Die Zeit multipler Krisen und Transformationen hat Organisationen weltweit in einen Zustand permanenter Unsicherheit versetzt. Geopolitische Konflikte, ökologische Herausforderungen, technologische Umbrüche und soziale Spannungen sind zur Norm geworden. In diesem Kontext kommt der verantwortungsvollen Führung von Organisationen eine besondere Bedeutung zu. Josef Scherer, Professor an der Technischen Hochschule Deggendorf und Leiter des Internationalen Instituts für Governance, Management, Risk und Compliance, (GMRC) zeigt in seiner Analyse, dass insbesondere das Versagen bei der Einhaltung sogenannter Kardinalpflichten sowie mangelnde Risikokompetenz zu existenzbedrohenden Entwicklungen führen können.
Was sind Kardinalpflichten?
Unter Kardinalpflichten versteht die aktuelle Rechtsprechung elementare berufliche Pflichten, deren Kenntnis bei jeder Führungskraft vorausgesetzt werden kann. Dazu zählen unter anderem die Pflicht zur Krisen- und Risikofrüherkennung, die gewissenhafte Überwachung und Steuerung der Organisation, die rechtzeitige Insolvenzantragstellung bei Zahlungsunfähigkeit sowie der sorgsame Umgang mit Unternehmensvermögen. Werden diese Pflichten verletzt, drohen nicht nur zivil- und strafrechtliche Konsequenzen, sondern auch der Verlust des Versicherungsschutzes (D&O) aufgrund wissentlicher Pflichtverletzung.
Der risikobasierte Ansatz: Von der Theorie zur Pflicht
Der risikobasierte Ansatz verlangt, Ressourcen und Aufmerksamkeiten dort zu bündeln, wo Organisationen ernsthaft gefährdet sind: bei Gefahren für Leib und Leben, bei Haftungsrisiken sowie bei existenzbedrohenden finanziellen Schäden. In der Praxis jedoch zeigt sich, dass viele Unternehmen genau hier ihre größten Defizite aufweisen. Statt konkrete Risiken systematisch zu analysieren und abzusichern, versinken sie in Bürokratie und kleinteiligem Reporting.
Systemisches Versagen: Beispiele aus der Unternehmenspraxis
Fälle wie Wirecard, BayWa oder die Helma AG zeigen exemplarisch, wie Aufsichtsorgane, Abschlussprüfer und interne Kontrollinstanzen versagen, wenn Governance- und Risikoprozesse nicht ernst genommen werden. Die Überprüfung von Geschäftsberichten offenbart oft, dass zentrale Anforderungen aus dem StaRUG (Unternehmensstabilisierungs- und -restrukturierungsgesetz) oder dem FISG (Finanzmarktintegritätsstärkungsgesetz) nicht beachtet werden. Der Mittelstand wird gleichzeitig durch überbordende Regulierung – etwa durch die CSRD (Corporate Sustainability Reporting Directive), NIS2 (Network and Information Security Directive 2) oder das LkSG (Lieferkettensorgfaltspflichtengesetz) – belastet, ohne dass dies zu einer effektiveren Risikosteuerung führt.
Die Rolle von AI, IT und OT in der Risikoanalyse
Die Risiken im Bereich IT und Artificial Intelligence (AI) sowie der Operational Technology (OT) nehmen deutlich zu. Cyberangriffe, Desinformation, systemische Störungen in vernetzten Infrastrukturen und regulatorische Haftungsrisiken sind an der Tagesordnung. Die Praxis zeigt, dass IT- und OT-Governance oft nicht ausreichend integriert sind. Verantwortliche müssen lernen, neue Technologien risikobasiert zu steuern und in die Gesamt-Governance zu integrieren.
Die Krise der Wirtschaftsprüfung und das Versagen der "Welt der Überwacher"
Die Wirtschafts- und Abschlussprüfung befindet sich im Legitimationsdruck. Skandale wie Wirecard oder der Fall BayWa werfen die Frage nach der Unabhängigkeit und Wirksamkeit von Prüfmechanismen auf. Europäische Reformvorschläge zur wirksamen Trennung von Prüfung und Beratung scheiterten bisher immer an politischem Widerstand. Trotz hoher Ressourcen bleiben Aufsicht und Prüfung oft blind für systemische Risiken.
Governance-Compliance als fundamentale Unternehmenspflicht
Governance-Compliance beschreibt die risikobasierte, nachhaltige und gewissenhafte Führung und Überwachung von Organisationen. Sie umfasst eine Vielzahl organisatorischer Aspekte, von IT-Governance über Stakeholderkommunikation bis hin zu ethisch funiderter Entscheidungsfindung. Die ISO 37000 und 37301 sowie StaRUG und AktG liefern den regulatorischen Rahmen. Ohne strukturierte Risikoanalyse, Aggregation und Abgleich mit der Risikotragfähigkeit fehlt die Grundlage für unternehmerische Resilienz.
Haftung als Realität: Die juristische Dimension
Die Zahl der Managerhaftungsfälle steigt seit Jahrzehnten stetig. Die Rechtsprechung, unter anderem durch das OLG Frankfurt oder den Bundesfinanzhof, verschärft die Anforderungen an Geschäftsführer, Vorstände und Aufsichtsräte. Wer keine funktionierenden Risiko- und Compliance-Systeme etabliert, riskiert nicht nur zivil- und strafrechtliche Konsequenzen, sondern auch den Verlust der Entlastung oder Versicherungsdeckung. Kardinalpflichten wie Risikofrüherkennung, Legalitätsprinzip und Krisenmanagement sind heute nicht mehr optional.
Resilienz beginnt mit Verantwortung
Ein funktionierendes Governance-System ist kein Kostenblock, sondern der elementare Schutzmechanismus jeder Organisation. Unternehmen, die Risiken erkennen, bewerten und steuern, handeln nicht nur gesetzeskonform, sondern sichern auch ihren Wertbeitrag und ihre Zukunftsfähigkeit. Die Führung in Krisenzeiten beginnt nicht mit Reaktion, sondern mit Vorbereitung. Und Vorbereitung beginnt mit dem Blick für das Wesentliche: Kardinalpflichten ernst zu nehmen und Governance zur Chefsache zu machen.
Download Artikel "Kardinalpflicht fordert risikobasierten Ansatz"
