Implikationen aus §§91, 93 AktG sowie DIIR RS Nr. 2

Aus den Präzisierungen zur Business Judgement Rule (§ 93 AktG) ergibt sich der Bedarf für eine Neuausrichtung des Risikomanagements, hin zu einem bei der Vorbereitung "unternehmerischer Entscheidungen" unterstützendem Ansatz. Dieser wird im neuen Risikomanagement-Standard des Deutschen Instituts für Interne Revision (DIIR RS 2) vom November 2018 erstmalig abgebildet und in diesem Beitrag erläutert (inklusive einer Checkliste).

Der Aufsichtsrat muss sich intensiv mit dem Risikomanagement seines Unternehmens befassen [siehe zur Möglichkeit der Prüfung des Risikomanagements durch den Aufsichtsrat Gleißner 2018b sowie Romeike 2014] und sich von der Wirksamkeit des Systems überzeugen. Da der Aufsichtsrat basierend auf § 111 AktG den Vorstand überwachen muss, ist das Risikomanagement- und Überwachungssystem Teil seiner Überwachungsaufgabe.

Basierend auf § 107 Abs. 3 AktG sollte der Aufsichtsrat einen Prüfungsausschuss bestellen, der sich mit der Überwachung des Risikomanagementsystems befasst. Wird ein solcher Prüfungsausschuss nicht eingerichtet, geht der Überwachungsauftrag auf den gesamten Aufsichtsrat über. Hieraus resultieren die folgenden Aufgaben:

1. Zunächst muss der Aufsichtsrat prüfen, ob der Vorstand das nach § 91 Abs. 2 AktG geforderte Risikomanagementsystem eingerichtet hat.
2. Außerdem muss seitens des Aufsichtsrats geprüft werden, ob das vom Vorstand eingerichtete Risikomanagementsystem funktionsfähig und wirksam ist.
3. Desweitern ist zu überwachen, inwieweit vom Vorstand erforderliche Maßnahmen zur Verbesserung dieser Systeme vorgenommen wurden.
4. Der Aufsichtsrat hat zu überwachen, dass die Wirtschaftlichkeit und Zweckmäßigkeit des Risikomanagementsystems gegeben ist.
5. Abschließend muss der Aufsichtsrat sich vergewissern, dass der Vorstand adäquat auf bestandsgefährdende Risiken reagiert hat. Dies bedingt vor allem ein System, dass solche bestandgefährenden Risiken wirksam erkennen kann.

Durch Präzisierungen bei den gesetzlichen und regulatorischen Rahmenbedingungen haben sich gerade in den letzten zwei Jahren wesentliche neue Anforderungen an das Risikomanagement ergeben, die nun erstmalig in einem Standard zusammengefasst wurden: Der DIIR Revisionsstandard Nr. 2: Prüfung des Risikomanagementsystems durch die Interne Revision (DIIR RS Nr. 2), veröffentlicht vom Instituts für Interne Revision im November 2018. Der Beitrag erläutert knapp diese Entwicklungen und erläutert die wesentlichen Neuerungen im DIIR RS Nr. 2 und den dort skizzierten Weg zu einem "entscheidungsorientierten Risikomanagement", das hilft, den Anforderungen aus der Business Judgement Rule (§ 93 AktG) bei der Vorbereitung "unternehmerischer Entscheidungen" gerecht zu werden. Der Aufsichtsrat kann bei einer Prüfung des Risikomanagements basierend auf dem neuen DIIR RS Nr. 2 ein wesentlich präziseres Bild der Leistungsfähigkeit des Risikomanagements seines Unternehmens erhalten, als dies bei einer Prüfung bisher der Fall ist (beispielsweise basierend auf den Prüfungsstandards IDW PS 340 und IDW PS 981).

Rechtliche Anforderungen und die Entwicklung im regulatorischen Umfeld

Seit Inkrafttreten des Kontroll- und Transparenzgesetzes (KonTraG) 1998 ist es die primäre Aufgabe des Risikomanagements mögliche "bestandsgefährdende Entwicklungen" (§ 91 AktG) früh zu erkennen. Neben bestandsgefährdenden Einzelrisiken sind dabei insbesondere Kombinationseffekte von Einzelrisiken zu untersuchen, die in der Regel Krisen- oder gar Insolvenzen auslösen könnne, was eine quantitative Risikoanalyse sowie Risikoaggregation mittels stochastischer Simulation (Monte-Carlo-Simulation) erfordert [siehe vertiefend Gleißner 2017a und 2017b sowie Romeike 2018 und Romeike/Hager 2020].

Die wesentlichen Anforderungen an ein Risikofrüherkennungssystem fasst auch schon seit dem Jahr 1998 der IDW Prüfungsstandard 340 des Instituts der Wirtschaftsprüfer (IDW) zusammen, der auch auf die zentrale Bedeutung einer Risikoquantifizierung und Risikoaggregation verweist [siehe Gleißner 2017a]. Die Bedeutung der Risikoaggregation wird auch im seit September 2019 vorliegenden Entwurf für die Überarbeitung des IDW PS 340 noch stärker betont. Mit dem IDW PS 981 für die freiwillige Prüfung von Risikomanagementsystemen gibt es seit 2017 einen ergänzenden Standard, der sich auch mit Risikobewältigung befasst und vor allem die zentrale Bedeutung von Konzepten für die Messung von Risikotragfähigkeit, Risikotoleranz und Risikoappetit aufzeigt.

Entscheidungsorientierte Ausrichtung von Risikomanagement

Diese Regelwerke haben allerdings eine zentrale Anforderung an das Risikomanagement noch gar nicht thematisiert: Die notwendige entscheidungsorientierte Ausrichtung von Risikomanagementsystemen. Gemeint ist damit ein neues Paradigma des Risikomanagements, demzufolge das Risikomanagement dazu beitragen soll, bei der Vorbereitung unternehmerischer Entscheidungen die dafür notwendigen Risikoinformationen zu liefern. Speziell sollte durch eine Risikoanalyse aufgezeigt werden, wie sich der Umfang an Chancen und Gefahren (Risiken) infolge einer Entscheidung verändern würde. Dieses neue Paradigma eines "entscheidungsorientierten Risikomanagements" findet man vor allem in der neuen Version von COSO Enterprise Risk Management (ERM) aus dem Jahr 2017 [siehe dazu Hunziker 2019 sowie Romeike/Hager 2020]. Der ökonomische Mehrwert dieser Neuausrichtung von Risikomanagementsystemen ist offensichtlich. Das Risikomanagement soll dazu beitragen, dass schon vor einer Entscheidung deren Auswirkung auf Ertrag und Risiko gegeneinander abgewogen werden (also Handlungsoptionen risikogerecht bewertet werden). Dies geht einher mit einer engeren Verknüpfung von Risikomanagement und Controlling sowie einer engen Verzahnung des Risikomanagements mit der Unternehmensstrategie.

Zu beachten ist, dass diese ökonomisch wünschenswerte Neuausrichtung des Risikomanagements auch geboten ist, um die in der Zwischenzeit durch die Rechtsprechung präzisierten Anforderungen an die Vorbereitung "unternehmerischer Entscheidungen" durch Geschäftsführer und Vorstände gerecht zu werden [siehe dazu Graumann 2014 und Romeike/Hartmann 2015 sowie Scherer 2012]. Gemäß der sogenannten Business Judgement Rule (BJR) in § 93 AktG muss ein Geschäftsleiter nämlich bei der Vorbereitung "unternehmerischer Entscheidungen", beispielsweise bezüglich einer Investition, Akquisition oder Strategie-Veränderung, nämlich beweisbar "angemessene Informationen" vorliegen haben (eine analoge Anforderung gilt für GmbH-Geschäftsführer). Da die Auswirkungen unternehmerischer Entscheidungen unsicher sind, sind es insbesondere die Ergebnisse einer entscheidungsvorbereitenden Risikoanalyse, die in einer Entscheidungsvorlage zu dokumentieren sind. Daraus ergibt sich auch aus rechtlicher Sicht die Notwendigkeit einer entscheidungsorientierten Ausrichtung des Risikomanagements. Rechtliche Mindestanforderungen an das Risikomanagement (und das Controlling) ergeben sich entsprechend in der Zwischenzeit sowohl aus dem § 91 als auch dem § 93 AktG.

Angemessene Informationen im Sinne von § 93 AktG

Für den Aufsichtsrat besonders wesentlich ist, dass die zentrale Anforderung aus § 93 AktG, demzufolge ein Vorstand bei einer "unternehmerischen Entscheidung" belegbar angemessene Informationen vorliegen haben muss, auch dann bestehen bleibt, wenn bei einem zustimmungspflichtigen Geschäft der Aufsichtsrat zustimmt. Bei Umsetzung der skizzierten Anforderungen durch den Vorstand kann ein Aufsichtsrat erwarten, dass er bei zustimmungspflichtigen Geschäften oft deutlich bessere Entscheidungsvorlagen erhalten kann. Insbesondere muss in einer neutralen Entscheidungsvorlage über die bestehende Handlungsoption, zugrundeliegende Annahmen und insbesondere die mit der Entscheidung verbundenen Chancen und Gefahren (Risiken) informiert werden. Zu beachten ist, dass der Vorstand nicht die Verantwortung übernehmen kann – und damit nicht haftet – wenn die mit unternehmerischen Entscheidungen unvermeidlich verbundenen Risiken sich auch einmal realisieren. Problematisch ist es jedoch, wenn nach einer unternehmerischen Entscheidung (beispielsweise bezüglich einer Investition oder Akquisition) Planabweichungen eintreten, die nicht auf in der Entscheidungsvorlage genannte Risiken zurückzuführen sind oder wenn diese in einem Umfang auftreten, der durch die entscheidungsvorbereitende Risikoanalyse nicht erklärt werden kann. Dies kann als Indiz dafür gesehen werden, dass die Entscheidungsvorlage grundlegende Schwächen aufgewiesen hat und möglicherweise eine Sorgfaltspflichtverletzung des Vorstands vorliegt, die der Aufsichtsrat – gestützt auf die der "unternehmerischen Entscheidung" zugrundeliegenden Entscheidungsvorlage – zu untersuchen hat.

In diesem Zusammenhang gilt auch der Anspruch, dass der anerkannte Stand von Wissenschaft und Technik zu berücksichtigen ist [vgl. hierzu Scherer 2012 sowie Romeike 2014]. Daher ist bei Entscheidungen unter Risiko eine entscheidungsvorbereitende Risikoanalyse erforderlich, die auf einer fundierten Methodik basiert. Weicht der Entscheider negativ von diesem anerkannten Stand der Technik ab, so könnte das eine Pflichtverletzung darstellen, zumindest zur Beweislastumkehr zulasten des Managers führen [vgl. vertiefend Scherer 2012 sowie Romeike/Hager 2020]. Welche Methoden den anerkannten Stand der Technik erfüllen ist abhängig von der jeweiligen Entscheidung. Bei Investitionsentscheidungen sind andere Methoden erforderlich [eine stochastische Investitionssimulation würde hier den anerkannten Stand der Technik wiederspiegeln, vgl. vertiefend Romeike 2018] als beispielswiese bei einer Entscheidung über den Einkauf von Rohstoffen und der Bewertung von Rohstoffpreisrisiken [vgl. vertiefend Romeike 2017].

Die zentrale These lautet hier, dass ein gewissenhafter, ordentlicher Geschäftsleiter auch die Methoden-Grundlagen einschlägiger betriebswirtschaftlicher, technischer und rechtlicher Werkzeuge, Methoden und des aktuellen Wissens kennen muss, um über deren sachgerechten Einsatz überhaupt urteilen zu können. Dieses Know-how stellt einen wesentlichen Bestandteil der "angemessenen Informationen" im Sinn der Business Judgement Rule dar.

Zwar darf ein Geschäftsführer auch risikoreiche Geschäfte eingehen oder verlustbringende Maßnahmen ergreifen, jedoch niemals die Risikotragfähigkeit seines Unternehmens überschreiten und auch nie sein unternehmerisches Ermessen fehlerhaft ausüben. Dies ist beispielsweise dann anzunehmen, wenn aus ex-ante Perspektive das Handeln des Geschäftsführers hinsichtlich ausreichender Information als Entscheidungsgrundlage zum Wohl der Gesellschaft unvertretbar erscheint.

Der DIIR RS Nr. 2: Ein nützlicher Standard für das Risikomanagement

Mit dem DIIR Revisionsstandard Nr. 2 des Instituts für Interne Revision e.V. (vom November 2018) liegt erstmalig ein Risikomanagement-Standard vor, der die Anforderungen aus § 91 und § 93 AktG gemeinsam betrachtet. Er ist klar fokussiert auf die Erfüllung der gesetzlichen Kernanforderungen (wie die frühe Identifikation möglicher "bestandsgefährdender Entwicklungen" im Sinne § 91 AktG).

Die Anwendung des DIIR Revisionsstandard Nr. 2 durch die Interne Revision (oder Berater oder auch Wirtschaftsprüfer, denen ein vergleichbarer Standard noch fehlt) kann dazu beitragen, bestehende Lücken im Risikomanagement aufzudecken und diese zu schließen. Auch der nun als Entwurf vorliegende neue IDW EPS 340 (von September 2019) befasst sich mit den Anforderungen aus §91 AktG. Dies ist in vielen Unternehmen auch notwendig [wie eine Vielzahl empirischer Studien zeigen, siehe z. B. Berger/Gleißner 2007; Link/Scheffler/Oehlmann 2018; Ulrich/Barth/Lehmann 2018]. Ein ergänzender Standard bezogen auf die neuen Anforderungen aus §93 AktG fehlt also noch.

Hervorzuheben ist, dass der neue DIIR Revisionsstandard Nr. 2 nun erstmals zwei große Prüfungsfelder deutlich getrennt aufzeigt:

1. Die Prüfung von Organisation und Prozessen im Risikomanagement;
2. Die Prüfung der im Risikomanagement eingesetzten betriebswirtschaftlichen Methoden (beispielsweise zur Risikoquantifizierung und Risikoaggregation).

Ein in vielen Studien zum Risikomanagement aufgezeigtes Problem besteht bisher darin, dass die Prüfung des Risikomanagements bisher primär auf Organisation und Prozesse ausgerichtet war (beispielsweise die Prozesse für Risikoanalyse, Risikoüberwachung oder Risikoreporting). Ob die hier genutzten Methoden aber überhaupt geeignet sind, um den (gesetzlichen) Anforderungen und Zielen des Risikomanagements gerecht zu werden, wurde mit deutlich weniger Intensität betrachtet. Eine Konsequenz ist, dass in vielen Unternehmen trotz oft scheinbar wirksamer Risikomanagementprozesse und einer sachgemäßen Organisation zugleich gravierende methodische Defizite bestehen, beispielsweise dergestalt, dass durch das Fehlen einer adäquaten Methode für die Risikoaggregation gar nicht beurteilt werden kann, ob "bestandsgefährdende Entwicklungen" aus Kombinationseffekten von Einzelrisiken auftreten können.

Von besonderer Bedeutung sind zudem folgende Aspekte des DIIR RS Nr. 2 [in enger Anlehnung an Gleißner 2019b und Gleißner/Kimpel 2019]:

1. Risiko wird verstanden als Überbegriff zu möglichen positiven Abweichungen (Chancen) und negativen Abweichungen (Gefahren, Risiken im engeren Sinn) (siehe RZ 15). Die Einbeziehung der Chancen ist notwendig, um bei der Vorbereitung unternehmerischer Entscheidungen die hier bestehenden Handlungsoptionen (beispielsweise Investitionen) nicht einfach "schlecht zu rechnen" (Was dem traditionellen Risikomanagement mit einem Fokus auf Gefahren berechtigterweise vorgeworfen wird). Eine Vernachlässigung der potenziellen positiven Planabweichungen führt zu einer zu pessimistischen Betrachtung des gesamten Risikoumfangs eines Unternehmens. Dies hat erhebliche Auswirkungen in Bezug auf den Abgleich mit der vorhandenen Risikotragfähigkeit. Diese (sehr deutsche) Definition von Risiken entspricht weder internationalen Standards noch einer "modernen" Definition, die sich in Risikomanagementsystem wiederspiegelt, die einen hohen Reifegrad aufweisen.  So definiert beispielsweise der internationale Standard ISO 31000 (2018) Risiken wie folgt: "Risk: effect of uncertainty on objectives. […] An effect is a deviation from the expected. It can be positive, negative or both, and can address, create or result in opportunities and threats. […]".
   Bereits die MaRisk VA (Mindestanforderungen an das Risikomanagement in Versicherungsunternehmen) folgten – als sogenannte normeninterpretierende Verwaltungsvorschriften – seit dem Jahr 2009 der folgenden Definition des Risikobegriffs: "Der Risikobegriff ist im Zusammenhang mit den Zielsetzungen zu interpretieren. Es sind sowohl negative als auch positive Zielabweichungen möglich. [...] Dennoch ist es die Ausgabe eines guten Risikomanagementsystems, unternehmerische Chancen und Risiken zu handhaben" [vgl. Korte/Romeike 2010].
2. Mit Bezug auf die gesetzliche Anforderung aus § 91 (2) AktG im Hinblick auf die Erkennung möglicher "bestandsgefährdender Entwicklungen" wird die Methode zur Risikoaggregation zum zentralen Prüfungsfeld, weil nur so durch diese erreicht werden kann, dass auch mögliche bestandsgefährdende Entwicklungen aus Kombinationseffekten von Einzelrisiken erfasst werden.
3. Der DIIR Revisionsstandard Nr. 2 betont zudem die Notwendigkeit der Quantifizierung von Risiken (ganz auf Linie des IDW PS 340) und empfiehlt die darauf aufbauende Messung der Risikotragfähigkeit und Risikotoleranz (wie auch IDW PS 981). Eine reine qualitative Bewertung von Risiken – wie in der Praxis nicht unüblich – ermöglicht keinerlei Aussage über "bestandsgefährdende Entwicklungen" und keine Abwägung der vorhandenen Risikotragfähigkeit zum aggregierten Risikoumfang. Unternehmen werden über quantitative Zielgrößen gesteuert und bewertet (EBIT, Umsatz, Marktwert etc.) und nicht über qualitative Größen – dies gilt auch für die Bewertung von Risiken.
4. Von grundlegender Bedeutung ist es, dass bei der Prüfung des Risikomanagements auch schon die Implikationen aus § 93 AktG im Hinblick auf ein "entscheidungsorientiertes Risikomanagement" berücksichtigt werden. Entsprechend klar wird zu den Aufgaben des Risikomanagements ausgeführt (siehe RZ 16): "Es gehört auch zu den Aufgaben des Risikomanagements sicherzustellen, dass schon bei der Vorbereitung wesentlicher unternehmerischer Entscheidungen deren Implikationen für den zukünftigen Risikoumfang nachvollziehbar aufgezeigt werden, um zumindest eine mit solchen Entscheidungen möglicherweise einhergehende bestandsgefährdende Entwicklung früh zu erkennen."
5. Gemäß DIIR Revisionsstandard Nr. 2 sind alle Managementsysteme, beispielsweise auch des Controllings oder des Qualitätsmanagements einzubeziehen, wenn sie sich mit Chancen und Gefahren befassen.
6. Der DIIR Revisionsstandard Nr. 2 stellt klar, dass das wesentliche Ziel der Risikoberichterstattung und -kommunikation darin besteht, dass Entscheidungsträger und Aufsichtsrat zeitnah über die Risikolage der Organisation informiert werden. Infolge der Anforderungen aus § 93 AktG bedeutet dies, dass ein Aufsichtsrat nicht nur "turnusmäßig" über die Risikolage informiert werden muss. Es ist zusätzlich erforderlich, dass durch die mit einer Entscheidung einhergehenden Veränderungen des Risikoumfangs in den Vorlagen für unternehmerische Entscheidungen, die sich auf durch den Aufsichtsrat zu genehmigenden Geschäften beziehen, enthalten sein müssen.

Für die Weiterentwicklung der entscheidungsvorbereitenden Managementsysteme im Allgemeinen, und des Risikomanagements im Besonderen, kann man folgende Empfehlungen ableiten:

1. Ein bereits vorhandenes Risikomanagementsystem sollte im Hinblick auf die Anforderungen auch aus der Business Judgement Rule geprüft werden, wofür die Prüfkriterien nach dem neuen deutschen Risikomanagement-Standard DIIR Revisionsstandard Nr. 2 hilfreich sein können.
2. Unternehmen sollten klar definieren, welche "unternehmerischen Entscheidungen" in Vorstand und Geschäftsführung getroffen werden, um mindestens bei diesen jeweils eine angemessene Entscheidungsgrundlage (mit angemessenen Informationen) sicherzustellen.
3. Es sollte klar geregelt sein, welche Informationen grundsätzlich (und belegbar) bei unternehmerischen Entscheidungen in den Entscheidungsvorlagen enthalten sein müssen, wobei insbesondere die zentrale Bedeutung von Informationen über die mit der Entscheidung verbundenen Chancen und Gefahren (Risiken) zu beachten ist.
4. Die internen Prozesse sollten so ausgerichtet werden, dass möglichst effizient adäquate Entscheidungsvorlagen erstellt werden, was insbesondere eine "entscheidungsorientierte Ausrichtung" des Risikomanagements erfordert.

Fazit und Ausblick

Im Ergebnis wird aus der Business Judgement Rule ein Sachverhalt klar: Unternehmerische Entscheidungen sind in der Regel immer mit Risiken verbunden. Kein Vorstand haftet für das "Pech", das die mit seinen Entscheidungen – beispielsweise bezüglich Investitionen oder Produktneuentwicklungen – verbundenen Risiken sich auch einmal realisieren können (und Verluste zur Konsequenz haben). Sorgfaltspflichtverletzungen liegen aber dann nicht vor, wenn "unternehmerische Entscheidungen" auf angemessenen Informationen basieren, also insbesondere in den Entscheidungsvorlagen nicht klargestellt wird, welche Chancen und Gefahren mit der Entscheidung verbunden sind.

Dies bedingt vor allem, dass diese angemessenen Informationen mit angemessenen und geeigneten Methoden generiert wurden. Vor Gericht muss der Entscheider beweisen können, dass dieser unternehmerische Entscheidungsprozess durch Methoden basierend auf dem aktuellem Stand von Wissenschaft und Praxis stattgefunden hat. Dieser Nachweis dürfte bei vielen heute in der Praxis existierenden Methoden (beispielsweise einfache Checklisten, FMEA etc.) einem Entscheider schwerfallen.
Aus der Business Judgement Rule (§ 93 AktG) und den Präzisierungen der Anforderung an das Risikomanagement im neuen Standard DIIR RS Nr. 2 des Instituts für interne Revision wird bei vielen Unternehmen eine Weiterentwicklung des Risikomanagements erforderlich. Notwendig ist insbesondere eine entscheidungsorientierte Ausrichtung des Risikomanagements, d.h. organisatorisch muss sichergestellt sein, dass schon bei der Vorbereitung "unternehmerischer Entscheidungen" durch eine Risikoanalyse aufgezeigt wird, welche Veränderung des Risikoumfangs sich durch diese Entscheidung ergeben würde.

Mit dem DIIR RS Nr. 2 gibt es nun erstmalig einen Standard, der die Implikationen der gesetzlichen Anforderungen aus den §§91 und 93 AktG gemeinsam berücksichtigt und präziser als ältere Standards zeigt, wie man Lücken im Risikomanagement eines Unternehmens erkennen und beheben kann. Aufsichtsräten ist daher zu empfehlen durch die eigene interne Revision (oder einen spezialisierten Risikomanagement-Berater) eine Prüfung des Risikomanagements entsprechend den DIIR RS Nr. 2 Anforderungen vornehmen zu lassen (gegebenenfalls ergänzend oder in Erweiterung einer Prüfung basierend auf dem IDW PS 340).

Quellenverzeichnis sowie weiterführende Literaturhinweise:

• Berger, T./Gleißner, W. (2007): Risikosituation und Stand des Risikomanagements aus Sicht der Geschäftsberichterstattung, in: Zeitschrift für Corporate Governance (ZCG), Heft 2.07 (April 2007), S. 62-68.
• Deutsches Institut für Interne Revision e.V. (2018): DIIR Revisionsstandard Nr. 2: Prüfung des Risikomanagementsystems durch die Interne Revision, Version 2.0, 2018, Download unter: www.diir.de/fileadmin/fachwissen/standards/downloads/DIIR_Revisionsstandard_Nr._2_Version_2.0.pdf (abgerufen am 31.03.2020).
• Gleißner, W. (2017a): Grundlagen des Risikomanagements, 3. Aufl., Vahlen Verlag München.
• Gleißner, W. (2017b): Risikomanagement, KonTraG und IDW PS 340, in: WPg, 3/2017, S. 158-164.
• Gleißner, W. (2018a): Risikomanagement 20 Jahre nach KonTraG: Auf dem Weg zum entscheidungsorientierten Risikomanagement, in: Der Betrieb vom 16.11.2018, Heft 46, S. 2769-2774.
• Gleißner, W. (2018b): Prüfung des Risikomanagements - Ein Reifegradmodell, in: Der Aufsichtsrat, Heft 02/2018, S. 18-21.
• Gleißner, W. (2019a): DIIR RS Nr. 2: Das neue Paradigma des "entscheidungsorientierten Risikomanagements", in: Risiko Manager, Heft 9, S. 42-47.
• Gleißner, W. (2019b): Business Judgement Rule - Das neue Paradigma eines entscheidungsorientierten Risikomanagements, in: GRC aktuell, Heft 4/2019, S. 1-6.
• Gleißner, W./Kimpel, R. (2019): Prüfung des Risikomanagements und der neue DIIR Revisionsstandard Nr. 2, in: ZIR, Heft 4/2019, S. 148-159.
• Gleißner, W./Sassen, R./ Behrmann, M. (2019): Prüfung und Weiterentwicklung von Risikomanagementsystemen (Springer Essentials), Springer Gabler Wiesbaden.
• Graumann, M. (2014): Die angemessene Informationsgrundlage bei Entscheidung, in: WISU, Heft 3/2014, S. 317–320.
• Hunziker, S. (2019): Enterprise Risk Management - Modern Approaches to Balancing Risk and Reward. Springer Gabler Wiesbaden.
• Korte, T./Romeike, F. (2010): MaRisk VA erfolgreich umsetzen: Praxisleitfaden für das Risikomanagement in Versicherungen, 2., komplett überarbeitete Auflage, Berlin 2010.
• Link, M./Scheffler, R./Oehlmann, D. (2018): Quo vadis Risikomanagement?, in: Controller Magazin, Heft 1 (2018), S. 72-78.
• Romeike, F. (2014): Risikomanagement im Kontext von Corporate Governance, in: Der Aufsichtsrat, 05/2014, S. 70-72.
• Romeike, F. (2017): Management von Rohstoffrisiken, in: Schöning/Sümer Göğüş/Pernsteiner [Hrsg.]: Risikomanagement in Unternehmen, Interkulturelle Betrachtungen zwischen Deutschland, Österreich und der Türkei, Spinger Verlag, Wiesbaden 2017, S. 117-173.
• Romeike, F. (2018): Stochastische Investitionssimulation. Seriöser Umgang mit Unsicherheit bei Investitionsplanungen, in: CFO aktuell, Ausgabe Juli 2018, S. 167-172.
• Romeike, F./Hartmann, W. (2015): Business Judgement Rule – Maßstab für die Prüfung von Pflichtverletzungen, in: Zeitschrift für das gesamte Kreditwesen, 68. Jg., Heft 05-2015, S. 227-230.
• Romeike, F./Hager, P. (2020): Erfolgsfaktor Risikomanagement 4.0: Methoden, Prozess, Organisation und Risikokultur, 4. komplett überarbeitete Auflage, Springer Verlag, Wiesbaden 2020.
• Scherer, J. (2012): Good Governance und ganzheitliches strategisches und operatives Management: Die Anreichung des "unternehmerischen Bauchgefühls" mit Risiko-, Chancen- und Compliancemanagement, in: Corporate Compliance Zeitschrift (CCZ), 6/2012.
• Ulrich, P./Barth, J./Lehmann, S. (2018): Stand des Risikomanagements in der Praxis, in: KSI, Heft 4/2018, S. 154-160.