Risikomanagement (nach § 1 StaRUG)

Was bedeutet "fortlaufende" Überwachung einer möglichen Bestandsgefährdung?


Risikomanagement (nach § 1 StaRUG): Was bedeutet "fortlaufende" Überwachung einer möglichen Bestandsgefährdung? News

§ 1 StaRUG fordert, über die älteren Anforderungen nach KonTraG hinausgehend, eine "fortlaufende" Überwachung, ob von einer bestandsgefährdenden Entwicklung (bzw. überhöhter Gefährdungswahrscheinlichkeit) auszugehen ist [Siehe dazu Gleißner/Nickert/Nickert 2023; Gleißner 2017 zum KonTraG]. Was konkret unter "fortlaufend" zu verstehen ist, wurde im Gesetzgebungsverfahren nicht umfassend konkretisiert. Klar ist, dass eben eine beispielsweise nur einmal im Jahr durchgeführte Risikoanalyse und Risikoaggregation zur Beurteilung möglicher bestandsgefährdender Entwicklungen – ohne Betrachtung relevanter Informationen im Laufe des Jahres – nicht ausreicht. In welchem zeitlichen Abstand und welchem Umfang Aktualisierungen von Risiko- und Krisenfrüherkennung erforderlich sind, muss kontextabhängig betrachtet werden [Vgl. Gleißner 2021b]. Die nachfolgenden Erläuterungen zeigen hier die wichtigsten Orientierungspunkte bzw. "Indikationen":

Empfehlungen für die Praxis: was ist wann zu tun?

Grundsätzlich ist eine Aktualisierung der Daten (insbesondere neue Berechnung der Gefährdungswahrscheinlichkeit, die maßgeblich ist für die gegebenenfalls erforderliche Initiierung "geeigneter Gegenmaßnahmen") erforderlich, wenn

a) Bedeutende Veränderungen bei bestehenden Risiken (andere Relevanzeinstufung).

b) Identifikation von (1) neuen Risiken oder (2) Entwicklung, die eine (noch nicht durchgeführte) Änderung der Quantifizierung oder Anpassung der Unternehmensplanung erforderlich macht.

c) Deutliche Abweichungen von der letzten Unternehmensplanung (infolge von "Risikoeintritt").

d) Deutliche Anpassung der Unternehmensplanung oder von Forecasts.

e) Bevorstehende "unternehmerische Entscheidungen" (§93 AktG), die zu einer Änderung des Risikoumfangs führen dürfte [Siehe dazu Gleißner 2018 und 2021a und b; ICV 2021 und RMA 2019].

Alle diese Fälle deuten an, dass sich die Gefährdungslage des Unternehmens so verändert haben könnte, dass möglicherweise die vom Gesetz gebotenen Initiierung "geeigneter Gegenmaßnahmen" erforderlich werden könnte und gegebenenfalls auch eine Information des Überwachungsgremiums (Aufsichtsrat) notwendig ist. Im Kontext eines laufenden (mindestens beispielsweise monatlich betrachteten) Prozess sollte zumindest geprüft werden, ob einer der hier genannten "Indikatoren" für ein Update der Beurteilung der Risikolage des Unternehmens gegeben ist. In diesen Fällen sollte eine Aktualisierung durchgeführt und das Ergebnis entsprechend auch dokumentiert werden (Siehe die schon lange bekannten Anforderungen aus dem KonTRaG im Hinblick auf Dokumentationspflichten).

Der Handlungsbedarf beim Eintritt eines der Indikatoren kann man in mehrere Stufen einteilen. Idealerweise verfügt ein Unternehmen über eine rollierende Planung und die Fähigkeit auch monatlich eine Risikoaggregation [Vgl. Gleißner 2022 sowie Gleißner/Wolfrum 2019] für den gesamten betrachteten Planungszeitraum [Gemäß GoP 3.0, vgl. Exler et al. 2023] auf Monatsbasis vorzunehmen. Aber eine derartige Ausgangssituation ist (1) weder erforderlich, um (gesetzliche) Anforderungen zu erfüllen, noch für (2) den wesentlichen Teil des ökonomischen Mehrwerts einer simulationsbasierten Risikoaggregation [beispielsweise die risikoadäquate Bewertung strategischer Handlungsoptionen wie Investition oder Akquisitionen, siehe dazu Gleißner 2019 und Gleißner/Ernst 2023].

Im Allgemeinen reicht für die gesetzlichen Anforderungen und den wesentlichen Teil des ökonomischen Mehrwerts (Beurteilung strategischer Handlungsoptionen sowie Bestimmung von Eigenkapital und Liquiditätsbedarf des Unternehmens) eine Risikoaggregation basierend auf Jahreswerten. Damit ist davon auszugehen, dass mit der Erstellung der Jahresplanung (am Anfang des Jahres bzw. Geschäftsjahres) eine Risikoaggregation vorgenommen wird, um Eigenkapital und Liquiditätsbedarf sowie den Grad der Bestandsgefährdung (Gefährdungswahrscheinlichkeit, vgl. Gleißner 2021b) zu bestimmen (meistens im Dezember/Januar). Entsprechend der Grundsätze ordnungsgemäßer Planung (GoP), dem DIIR Revisionsstandard Nr. 2 Version 2.1 (2022) [siehe DIIR- und RMA-Arbeitskreis "Interne Revision und Risikomanagement", 2022] und der schon älteren Anforderungen aus dem IDW PS 340 [vgl. Berger et al. 2021] bezüglich der Erfordernis einer "Aggregation von Risiken über die Zeit" werden hier zwei, besser drei Geschäftsjahre betrachtet.

Welche Konsequenzen ergeben sich nun, wenn aus einem der oben genannten "Indikatoren" (a bis e) ein "Update" der Risikoaggregation erforderlich wird, um zu untersuchen ein kritischer Grad der Bestandsgefährdung in Anbetracht neuer verfügbarer Informationen festzustellen ist?

Man kann hier folgende Stufen unterscheiden:

  1. In manchen Fällen kann man basierend schon auf einer einfachen Überschlagskalkulation belegen, dass Veränderungen der Planung und der Risikolage die Gefährdungswahrscheinlichkeit nicht oberhalb des fixierten Schwellenwerts (meist 10 %) bewegen werden [Diese Überlegungen sind zu dokumentieren. Siehe dazu eine weiterführende Veröffentlichung Gleißner/Wolfrum, Heuristiken zur Beurteilung von Veränderungen der Gefährdungswahrscheinlichkeit, erscheint in Kürze].
  2. Man unterstellt vereinfachend, dass unterjährig (beispielsweise im März oder Juli) neu verfügbare Informationen (siehe a) oben) schon zum Jahresbeginn verfügbar gewesen wären, und führt mit dieser Informationsgrundlage erneut eine Risikoaggregation zur Bestimmung der Gefährdungswahrscheinlichkeit durch (im späteren Verlauf eines Geschäftsjahres empfiehlt sich hier die Erweiterung des Planungszeitraums um ein weiteres Jahr, beispielsweise erscheint dies sinnvoll, wenn bereits mehr als ein halbes Jahr vergangen ist).
    Diese Herangehensweise ist als "konservativ" zu bezeichnen, weil nach wie vor die Risiken des gesamten Geschäftsjahres betrachtet werden (wenngleich einige von diesen aufgrund des eingetretenen Zeitverlaufs so oder in diesem Umfang gar nicht mehr eintreten können). Beispiel: Die Unsicherheit über die Umsatzentwicklung eines Geschäftsjahres ist zum 01.07. natürlich geringer als am Jahresanfang [siehe Gleißner 2022, zum "Wurzel-T-Ansatz" bezüglich der Abschätzung der Auswirkungen der Periodenlänge auf den Umfang von Risiken].
  3. Man führt eine Aggregation der Risiken für das laufende Jahr unter Berücksichtigung der risikoreduzierenden Wirkung der bereits vergangenen Zeit (siehe 2.) sowie zusätzlich der folgenden Planjahre durch (mit dem aktuell verbesserten Informationsstand, beispielsweise unter Berücksichtigung auch neuer Forecasts).
    In diesem Fall sind im Unternehmen Methoden der Risikoquantifizierung zu implementieren, die zumindest bei den wichtigsten (beispielsweise 10) Risiken deren Veränderung im Verlauf eines Jahres abbilden.

Zur Erfüllung der gesetzlichen Anforderungen ist meistens die Herangehensweise gemäß 1. und 2. ausreichend.

 

Stufen der Aktualisierung im Rahmen der "fortlaufenden" Überwachung gemäß §1 StaRUG

Als Reaktion auf eingetretene Indikatoren (siehe Punkte a – e) oder einer festgelegten "turnusmäßigen" Aktualisierung (beispielsweise monatlich oder quartärlich) sind folgende Reaktionsweisen möglich:

1. Erstellung und Dokumentation einer "Überschlagskalkulation", die belegt, dass trotz Eintreten eines Indikators (a bis e) keine wesentliche Änderung der Bestandsgefährdung erfolgt.

2. Durchführung einer adjustierten Risikoaggregation für das Gesamtjahr (mit dem letzten Startzeitpunkt) unter Einbeziehung neuer Informationen (aus Planung, Planabweichungen oder Risiken) unter der vereinfachten Hypothese, dass diese bereits zum Jahresbeginn verfügbar gewesen wären.

3. Erneute Durchführung der Risikoaggregation ausgehend vom aktuellen (unterjährigen) Zeitpunkt (mit der Konsequenz Risikoauswirkungen auf einen unterjährigen Zeitraum "umrechnen" zu müssen).

Hinweis: bei Variante a) ist gar keine neue Risikoaggregation erforderlich, bei Variante b) die übliche "Betrachtung eines kompletten Jahres" und bei Variante 3 eine Risikoaggregation für einen "verkürzten" Jahreszeitraum (und selbstverständlich die Folgejahre).

Fazit und Praxishinweise

Die fortlaufende Überwachung von Risiken bedeutet, dass auf jeden Fall Veränderungen des Risikoumfangs unterjährig betrachtet werden sollen. Dies gilt sowohl für vom Unternehmen selbst beabsichtigte Veränderungen des Risikoumfangs (infolge unternehmerischer Entscheidungen) wie auch externe Veränderungen.

Besonders zu beachten ist, dass ausgehend von der ursprünglichen Planung durch bereits eingetretene Chancen und Gefahren (Risiken) es zu Planabweichungen kommen kann, die im Rahmen von Forecasts und damit quasi einer Adjustierung der Planung [vgl. Rieg 2018] Berücksichtigung finden sollten. Die fortlaufende Überwachung der Risiken erfordert eine Betrachtung mindestens in einem regelmäßigen Abstand sowie "anlassbezogen" (siehe Fallbeispiel Ukraine-Krieg). Erforderlich ist auch eine entscheidungsorientierte Ausrichtung des Risikomanagements, da natürlich gerade unternehmerische Entscheidungen zu einer deutlichen Veränderung des Risikoumfangs führen. Wenn einer der im Beitrag erläuterten "Indikatoren" (a, b, c, d oder e), die eine deutliche Veränderung der Risikolage und damit des Grads der Bestandsgefährdungen anzeigen, auftritt, ist eine dokumentierte Aktualisierung erforderlich. In vielen Fällen kann dies aber durch ein deutlich "vereinfachtes" Verfahren mit vergleichsweise wenig Arbeitsaufwand erreicht werden. So ist in der Mehrzahl der Fälle es bereits ausreichend, wenn man auch unterjährig eine Risikoaggregation basierend auf Jahresdaten der Planung vornimmt und dabei den aktuellen Stand der Kenntnisse (über Planung, Planabweichungen und Risiken), so berücksichtigt, als wenn sie zu Beginn des Geschäftsjahres bereits vorliegen.

Autoren:

Prof. Dr. Werner Gleißner
ist Vorstand der FutureValue Group AG und Honorarprofessor für Betriebswirtschaft, insbesondere Risikomanagement, an der Technischen Universität Dresden sowie Vorstand der European Association of Certified Valuators and Analysts (EACVA) und der Deutschen Gesellschaft für Krisenmanagement (DGfKM). Er ist Autor zahlreicher Fachartikel und Bücher, beispielsweise Gleißner, W. (2022): Grundlagen des Risikomanagements, 4. Aufl., München: Vahlen Verlag.

Marco Wolfrum leitet als Partner bei der FutureValue Group AG den Bereich Leistungserstellung und in dieser Funktion eine Vielzahl von Projekten. Seit September 2014 ist er Mitglied des Vorstands der RMA Risk Management & Rating Association e.V. und seit September 2021 Geschäftsführer der RMA Rating & Risk Academy GmbH. Wolfrum ist zudem Autor zahlreicher Fachveröffentlichungen, nimmt Lehraufträge an diversen Hochschulen wahr und ist Referent bei diversen Seminaranbietern.


Quellenverzeichnis sowie weiterführende Literaturhinweise:

  • Berger, Th./Ernst, D./Gleißner, W./Hofmann, K. H./Meyer, M./Schneck, O./Ulrich, P./Vanini, U. (2021): Die Prüfung von Risikomanagementsystemen und die Defizite des IDW Prüfungsstandards 340, in: Der Betrieb, 74. Jg., Heft 46, S. 2709-2714.
  • DIIR- und RMA-Arbeitskreis "Interne Revision und Risikomanagement" (2022): Der neue DIIR Revisionsstandard Nr. 2 zur Prüfung des Risikomanagementsystems. Implikationen von FISG und StaRUG für die Interne Revision, erarbeitet von Bünis, M./Disch, O./Gleißner, W./Gutzmer, M./Hadaschik, M./Kempf, A./Kimpel, R., in: ZIR, Heft 3, S. 112-117.
  • Exler, M./Gleißner, W./Obersteiner, R./Presber, R./Redley, R./Henning, W./Weyrather, Ch. (2023): Die neuen Grundsätze ordnungsgemäßer Planung. In der neuen Version GoP 3.0 von 2022, in: Controller Magazin, Heft 1 (Januar/Februar 2023), S. 74-78.
  • Gleißner, W. (2017): Risikomanagement, KonTraG und IDW PS 340, in: WPg, Heft 3, S. 158-164.
  • Gleißner, W. (2018): Risikomanagement 20 Jahre nach KonTraG: Auf dem Weg zum entscheidungsorientierten Risikomanagement, in: Der Betrieb vom 16.11.2018, Heft 46, S. 2769-2774.
  • Gleißner, W. (2019): Cost of capital and probability of default in value-based risk management, in: Management Research Review, Vol. 42, No. 11, S. 1243-1258.
  • Gleißner, W. (2021a): Unternehmerische Entscheidungen. Haftungsrisiken vermeiden (§ 93 AktG, Business Judgement Rule), in: Controller Magazin, Heft 1, Januar/Februar 2021, S. 16-23.
  • Gleißner, W. (2021b): Krisenfrüherkennung und Kennzahlen einer Krisenampel. Implikationen aus dem StaRUG (2021), in: Controller Magazin, Heft 5 (September/Oktober 2021), S. 34-42.
  • Gleißner, W. (2022): Grundlagen des Risikomanagements. Handbuch für ein Management unter Unsicherheit, 4. Aufl., Vahlen Verlag, München 2022.
  • Gleißner, W./Ernst, D. (2023): The Simulation‐Based Valuation of Companies and Their Strategies – Classification, Methodology and Case Study, in: EBVM – The European Business Valuation Magazine, Vol. 2, No. 2, pp. 4-16.
  • Gleißner, W./Nickert, A./Nickert, C. (2023): Die Auswirkungen des § 1 StaRUG auf die Aktiengesellschaft, in: Der Betrieb Nr. 26, S. 1489-1498.
  • Gleißner, W./Wolfrum, M. (2019): Risikoaggregation und Monte-Carlo-Simulation. Schlüsseltechnologie für Risikomanagement und Controlling, in der Reihe essentials erschienen, Springer Fachmedien Verlag, Wiesbaden 2019.
  • Internationaler Controller Verein e.V. (ICV) (Hrsg.): Entscheidungsvorlagen für die Unternehmensführung. Leitfaden für die Vorbereitung unternehmerischer Entscheidungen (Business Judgement Rule), erarbeitet von Werner Gleißner, Ute Vanini, Thomas Berger, Markus Feldmeier, Tobias Flath, Thomas Günther, Ralf A. Huber, Markus Kottbauer, Robert Rieg, Utz Schäffer, Karl-Heinz Steinke, Marco Wolfrum, Haufe-Lexware GmbH, Freiburg 2021.
  • Rieg, R. (2018): Eine Prognose ist (noch) kein Plan, in: Controlling, 30. Jg., Heft 6, S. 22–28.
  • Risk Management Association e. V. (RMA) (Hrsg.): Managemententscheidungen unter Risiko, erarbeitet von Werner Gleißner, Ralf Kimpel, Matthias Kühne, Frank Lienhard, Anne-Gret Nickert und Cornelius Nickert, Erich Schmidt Verlag, Berlin 2019.

 

[ Source of cover photo: Adobe Stock.com / IGORS PETROVS ]
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.