Governance und Compliance nach § 1 StaRUG

Kontinuierliche Risikoüberwachung in Echtzeit


Governance und Compliance nach § 1 StaRUG: Kontinuierliche Risikoüberwachung in Echtzeit News

Ein aktueller Fachbeitrag von Scherer/Seehaus beleuchtet die erheblich gestiegenen Anforderungen und Haftungsgefahren für Vorstände, Geschäftsführer und Aufsichtsgremien von Kapitalgesellschaften durch das seit dem Jahr 2021 geltende StaRUG (Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen) . Besonders in Zeiten zunehmender Insolvenzen und Krisen wird deutlich, wie wichtig ein StaRUG-konformes Risikomanagementsystem ist, damit "gesunde" Unternehmen potenzielle Gefahren frühzeitig erkennen und abwehren können.  Viele Unternehmensleiter interpretieren § 1 StaRUG gar nicht oder falsch und nehmen fälschlicherweise an, dass diese Vorschrift nur in der Unternehmenskrise von Bedeutung sei. Die Pflichten aus § 1 StaRUG gelten jedoch auch, wenn das Unternehmen in einem guten Gesundheitszustand ist.

Analyse potenzieller Worst-Case-Szenarien

§ 1 StaRUG wird von der jüngsten Rechtsprechung des BGH vom 23.7.2024, II ZR 206 / 22 ergänzt. Der BGH verlangt eine entsprechende (Risikoerkennungs-) Organisation und kontinuierliche Kenntnis der wirtschaftlichen und finanziellen Situation des Unternehmens in Echtzeit. Zu dieser Situation gehören auch die Analyse von methodisch fundiert erstellten "Worst-Case-Szenarien".

Ein StaRUG-konformes Risikofrüherkennungssystem wird auch Risiken identifizieren, die in aggregierter Form noch unterhalb der Bestandsgefährdungsschwelle liegen. In solchen Fällen sind Geschäftsleiter zwar nicht nach § 1 StaRUG, sondern aufgrund der allgemeinen Sorgfaltspflichten gemäß §§ 43 GmbHG und 93 AktG verpflichtet, tätig zu werden und die Risiken zu steuern. Insbesondere bei Compliance-Risiken darf es aufgrund der Legalitätspflicht keine Erheblichkeitsschwelle und keinen Risikoappetit geben.

Missmanagement i.S.v. (Risikomanagement-)Organisations- und Legalitätspflichtverletzungen können nicht nur haftungs-, sondern auch versicherungsrechtliche Konsequenzen haben, etwa den Verlust des D&O-Versicherungsschutzes, so die Autoren.

Erweiterung der Verantwortung und Handlungspflichten der Geschäftsleitung

Das "Gesetz zur Fortentwicklung des Sanierungs- und Insolvenzrechts" (SanInsFoG)  brachte bedeutende Veränderungen im Bereich des Risikomanagements und der Geschäftsleiterpflichten mit sich. Im Zentrum steht dabei das Unternehmensstabilisierungs- und -restrukturierungsgesetz (StaRUG. Im Bereich des Haftungsrechts wurde durch das StaRUG die Verantwortung und Handlungspflichten der Geschäftsleitung maßgeblich erweitert. Mit dem Inkrafttreten des StaRUG wurde ein Paradigmenwechsel in der Haftung von Geschäftsleitern eingeläutet.

Zusätzlich zu den bereits umfassenden Pflichten aus § 1 StaRUG kommen Anforderungen, die die jüngste höchstrichterliche Rechtsprechung an Organe stellt: Ein Geschäftsführer oder Vorstand müsse die wirtschaftliche Situation seines Unternehmens laufend (!) beobachten und für eine Organisation sorgen, die ihm jederzeit eine Übersicht über die wirtschaftliche und finanzielle Situation ermögliche. 

Aufgrund fehlenden Risikobewusstseins und mangelnder Risikokompetenz oder falscher Anwendung des "risikobasierten Ansatzes"  beschäftigen sich Organe und Führungskräfte häufig mit wenig relevanten Themen, anstelle sich angemessen um die ökonomische Nachhaltigkeit bzw. langfristige Existenzsicherung des Unternehmens zu kümmern.

Viele Unternehmen blind für bestandsbedrohende Entwicklungen

Unternehmensinsolvenzen nahmen im ersten Halbjahr 2024 um 30 % zu. Offenkundig bzw. prima facie waren die "Opfer" von Krisen bisher noch nicht in der Lage, bestandsgefährdende Entwicklungen frühzeitig zu erkennen und angemessene Maßnahmen einzuleiten, zumal es sonst in den meisten Fällen hätte möglich sein müssen, Eintritt oder Ausmaß zu verhindern oder zu reduzieren.

Insoweit werden inzwischen nahezu bei jeder Unternehmenskrise oder gar Insolvenz Stimmen laut, die fragen, ob es ein angemessenes und wirksames Risikofrüherkennungssystem nach § 1 StaRUG gegeben habe und wieso dieses trotz angeblicher Angemessenheit und Wirksamkeit nicht in der Lage war, den Schadenseintritt zu verhindern. Auch der Vorwurf von Missmanagement und die Frage nach Haftungsverantwortung folgt sogleich.

Anforderungen von § 1 StaRUG an Geschäftsleiter

§ 1 Abs. 1 StaRUG verpflichtet Geschäftsleiter zur fortlaufenden Überwachung von Entwicklungen (Risiken), die den Fortbestand der Gesellschaft gefährden könnten. Die Überwachungspflicht umfasst nicht nur finanzielle Aspekte, sondern auch Markt- und Unternehmensentwicklungen sowie das frühzeitige Erkennen von Krisensignalen. 

Der Begriff "fortlaufend" ist im Gesetz nicht definiert, jedoch verlangt der BGH von Geschäftsleitern eine Organisation, die jederzeit einen Überblick über die wirtschaftliche und finanzielle Situation ermöglicht. Fortlaufende Überwachung bedeutet eine ununterbrochene und kontinuierliche Beobachtung und Entwicklung ohne Unterbrechungen.

Den Hinweis auf die Notwendigkeit der "fortlaufenden" Überwachung in §1 StaRUG findet man in § 91 Abs. 2 AktG (KonTraG) nicht. Der Hintergrund ist einfach zu erklären: Empirische Untersuchungen haben regelmäßig gezeigt, dass in vielen Risikomanagementsystemen Aktualisierungen von Risikoanalysen und Risikoaggregationsrechnungen nur in unvertretbar großen zeitlichen Abständen stattfanden (beispielsweise nur einmal im Jahr).  Gleißner, Nickert und Romeike führen hierzu aus: "Der Gesetzgeber hat das Adjektiv "fortlaufend" nicht spezifiziert. Allgemein wird davon ausgegangen, dass Risikoanalysen grundsätzlich mindestens einmal im Quartal oder gar einmal im Monat zu aktualisieren sind, wobei bei Risiken, die sich in kürzeren Zeitabständen verändern, die entsprechende Veränderungsfrequenz zu berücksichtigen ist. Die Periodizität der "fortlaufenden" Überwachung ist hierbei vor allem abhängig von der Volatilität der exogenen Einflüsse und selbstverständlich auch von der Branche und dem Geschäftsmodell. Unabhängig von einem festen zeitlichen Rhythmus ist eine Aktualisierung auch dann geboten, wenn sich Risiken von bedeutender Relevanz massiv erhöhen." 

Im Zeitalter von Polykrisen dürfte daher eine Periodizität von "einmal im Halbjahr" oder "einmal im Quartal" nicht angemessen sein. Vielmehr ist die Krisenfrüherkennung als organrechtliche Dauerpflicht zu verstehen. Diese ständige Überwachung von internen und externen Veränderungen ist notwendig, um eine wirksame und proaktive Krisenvermeidung zu gewährleisten.

Die Pflichten aus § 1 StaRUG gelten für alle Mitglieder des vertretungsberechtigten Organs eines Unternehmens (Geschäftsleiter). Eine Ressortaufteilung, z.B. über einen Geschäftsverteilungsplan, enthaftet nach aktueller BGH-Rechtsprechung  nicht. Die Pflichten treffen Unternehmen aller Größen, von börsennotierten Aktiengesellschaften bis hin zu kleinen und mittelständischen Unternehmen (KMU) und Ein-Mann-GmbHs.

Allerdings ergeben sich aus § 1 StaRUG einige Grundanforderungen, die ebenfalls zu berücksichtigen sind. Das Früherkennungssystem- und Risikomanagementsystem ist zwingend zu dokumentieren. Ein Verstoß gegen diese Dokumentationspflicht ist ein "schwerer Pflichtenverstoß", LG München I, Urteil vom 5. 4. 2007 - 5 HK O 15964/06; NZG 2008, 319. Außerdem fordert der Gesetzgeber mit § 1 StaRUG, dass bei Bedarf "geeignete Gegenmaßnahmen" zu initiieren sind (z.B. zur Risikobewältigung). 

Das "Wie" der Risiko- und Krisenfrüherkennung

"Wie" die Risiko- und Krisenfrüherkennung nach § 1 Abs. 1 S. 1 StaRUG erfolgen soll, ist nicht geregelt. Die Ausgestaltung des Krisenfrüherkennungssystems kann je nach Größe, Branche, Struktur, Komplexität und Rechtsform des Unternehmens variieren, muss lediglich angemessen sein.

Jedoch lassen sich einige grundlegende Anforderungen ableiten. Notwendig ist eine systematische Identifikation und sachgerechte Quantifizierung der Risiken und insbesondere eine Risikoaggregation, da bestandsgefährdende Entwicklungen – wie die Praxis zeigt – meist aus Kombinationseffekten von Einzelrisiken resultieren. 

Die Geschäftsleitung sowie die Aufsichtsorgane sollten über den aktuellen Grad der Bestandsgefährdung durch geeignete Kennzahlen informiert werden. Und bei Überschreiten einer kritischen Schwelle muss der Vorstand den Aufsichtsrat informieren, durch welche "geeigneten Gegenmaßnahmen" – bis hin zu einem Restrukturierungsplan – eine (drohende) Krise abgewendet werden kann. 

Zur Erfüllung der Anforderungen aus StaRUG benötigt man Kennzahlen für die Messung des "Grads der Bestandsgefährdung", also ein Risikotragfähigkeitskonzept, wie es auch der Prüfungsstandard IDWPS 340 fordert. Diese sind notwendig, um anzuzeigen, ob der Schwellenwert für die Initiierung "geeigneter Gegenmaßnahmen" (§1 StaRUG) zur Krisenprävention überschritten ist und der Aufsichtsrat informiert werden muss. Den "Grad der Bestandsgefährdung" kann man durch zwei Kennzahlen messen: 

  • die Insolvenzwahrscheinlichkeit und/oder 
  • Gefährdungswahrscheinlichkeit, d.h. die Wahrscheinlichkeit einer "bestandsgefährdenden Entwicklung".

Robuste und "gesunde" Unternehmen weisen eine hohe finanzielle Nachhaltigkeit auf. Hierbei bedeutet "Finanzielle Nachhaltigkeit", dass durch ein adäquates Risikodeckungspotenzial die mit jeder unternehmerischen Tätigkeit verbundenen Risiken abgedeckt werden können. Das Unternehmen weist deshalb, auch in möglichen Stressszenarien, ein gutes und stabiles Rating und damit eine niedrige Insolvenzwahrscheinlichkeit auf. Es verfügt darüber hinaus ein überdurchschnittliches Ertrag-Risiko-Profil.

Vermeidbares Missverständnis 

Ein verbreitetes Missverständnis von Geschäftsleitern ist die Annahme, dass § 1 StaRUG und dessen Beachtung und Anwendung lediglich in Zeiten der bereits eingetretenen Krise der eigenen Organisation relevant sei. Tatsächlich erfordert § 1 StaRUG auch bei "gesunden Unternehmen" eine kontinuierliche und proaktive Risikoüberwachung und -bewältigung.  

Das Bestreben des StaRUG ist es, dass Unternehmen kontinuierlich darüber wachen und sich informieren, ob sich durch die Aggregation vieler kleiner, schleichender Risiken, d.h. zunächst unscheinbarer Probleme, am Horizont eine Entwicklung abzeichnen würde, welche bei ungeminderter Entwicklung in letzter Konsequenz eine Bestandsgefährdung für das Unternehmen mit sich bringen könnte. Dies erfordert es letztlich, schon eine drohende "bestandsgefährdende Entwicklung" rechtzeitig zu erkennen, was im Übrigen eine der Hauptaufgabe des Risikomanagements gemäß der anerkannten Standards wie IDWPS 340 und DIIR RS Nr. 2 ist.

Allerdings wurden die durch § 1 StaRUG aufgestellten Anforderungen – trotz der Aktualisierung – in IDWPS 340 im Jahr 2022 nicht adäquat berücksichtigt. Dagegen sind die Implikationen aus § 1 StaRUG im ebenfalls zuletzt 2022 aktualisierten DIIR RS Nr. 2 bereits aufgegriffen. 

Die Anforderungen von § 1 StaRUG gehen über die des § 91 Abs. 2 AktG, auf dem der IDWPS 340 n.F. (noch) basiert, hinaus. Damit besagt ein Testat einer Prüfung nach IDWPS 340 keinesfalls, dass das Risikomanagement eines Unternehmens allen gesetzlichen Anforderungen genügt, da eine solche Prüfung im Hinblick auf die Anforderungen nach § 1 StaRUG zu kurz greift. 

Nach § 1 StaRUG ist es unerlässlich, eine systematische Analyse und Überwachung von Risiken, also Chancen und Gefahren, durchzuführen und diese insbesondere zu aggregieren, um potenziell kritische Entwicklungen zu erkennen, die sich aus der Wechselwirkung einzelner Risiken ergeben könnten. 

Erforderlich ist also eine Stärkung und Neuausrichtung des Risikomanagements (oder dessen erstmalige Implementierung) hin zu einer Identifikation und Bewertung potentiell "bestandsgefährdender Entwicklungen" durch verbesserte Analyse von Risikokombinationen (Risikoaggregation). Es bedarf hierzu eines Systems, durch welches Risiken und deren Kombination und Wechselwirkungen in Szenarien überführt werden können. Dies ist vor allem durch stochastische Simulationsmethoden möglich.

Wichtige Hinweise:

> § 1 StaRUG ist nicht nur in Krisenzeiten relevant – im Gegenteil: er gilt immer!
> Er fordert eine kontinuierliche und proaktive Risikoüberwachung- und -bewältigung, unabhängig von der Größe und vom aktuellen Zustand des Unternehmens.
> Ziel von § 1 StaRUG ist die Früherkennung von und Prävention vor bestandsgefährdenden Entwicklungen.
> Notwendig sind daher eine systematische Analyse und Aggregation von Risiken, da auch kleine, unscheinbare Risiken in Summe für ein Unternehmen gefährlich werden können.

 

Download kompletter Beitrag

 

[ Bildquelle Titelbild: Adobe Stock.com / AlfaSmart ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.