Einführung eines Risikomanagementsystems im Unternehmen: Das sind die wesentlichen Schritte
Seit dem 1.1.2021 ist klarstellend gesetzlich geregelt, dass haftungsbeschränkte Unternehmen (AG, GmbH, GmbH & Co. KG, UG, Genossenschaft) ein Früherkennungssystem für bestandsgefährdende Entwicklungen benötigen, § 1 StaRUG. Zuvor war dies so schon von der Rechtsprechung als Konkretisierung der Geschäftsleiterpflichten gesehen und seit dem 1.1.1998 für Aktiengesellschaften gesetzlich geregelt.
Ein Verstoß gegen diese Pflicht ist ein „schwerer Pflichtenverstoß“ und kann straf- und zivilrechtliche Verantwortlichkeit begründen. Eine Ressortverteilung diesbezüglich ist unwirksam: Für die Einführung des Früherkennungssystems besteht eine Gesamtverantwortung sämtlicher Vorstände bzw. Geschäftsführer.
Sofern Bestandsgefährdungen erkannt werden, sind die Geschäftsleiter zu Gegenmaßnahmen verpflichtet. Insoweit enthält § 1 StaRUG die Verpflichtung, ein Risikomanagementsystem einzuführen und dauerhaft zu pflegen. Im folgenden Beitrag stellen wir die einzelnen Schritte hierfür vor, als „Road to Enterprise Risk Management“.
Mindestanforderungen an Früherkennungssysteme
Nun zeigt die Praxis, dass die Unternehmen dieser Pflicht nur schleppend nachkommen. Zum Teil liegt das an der Unkenntnis, was genau zu tun ist und wann ein Früherkennungssystem auch den rechtlichen Anforderungen genügt.
Inhaltlich muss ein solches System nach Fleischer (AG 2022, 377 (388)) als prozessförmiges Vorgehen verankert sein, welches aus
- Risikoidentifikation, Risikomessung (oder Risikobewertung) und
- Risikoanalyse,
- Risikosteuerung sowie
- Risikoüberwachung
besteht. Dies deckt sich insoweit mit den ökonomischen Standards, insbesondere dem IDW PS 340. Ziel ist es, die Gefahr möglicher Insolvenzgründe (Bestandsgefährdung) so rechtzeitig zu erkennen, dass noch gegengesteuert werden kann.
Risikotragfähigkeit, Risikotoleranz und Risikoappetit
Inhaltlich unterschieden wird zwischen der Risikotragfähigkeit, der Risikotoleranz und dem Risikoappetit. Risikotragfähigkeit ist der maximale Risikoumfang, den eine Organisation angesichts ihrer Ressourcen, ihres Betriebsumfelds und ihrer Verpflichtung gegenüber Stakeholdern eingehen kann. Die Risikotragfähigkeit wird i.d.R. durch das Eigenkapital und die Liquiditätsreserven bestimmt.
Die Risikotoleranz ist das akzeptable Maß an Abweichung von einem Standard oder Ziel, das durch die Verwendung von Grenzwerten, Richtlinien und die Delegierung von Befugnissen festgelegt wird. Es handelt sich also um eine subjektive Neigung des jeweiligen Unternehmens.
Zuletzt ist es erforderlich, den Risikoappetit des Unternehmens zu definieren: Gewinne kommen nämlich von übernommenen Risiken. Risikoappetit ist die Höhe des Risikos, das eine Organisation bereit ist einzugehen, um ihre strategischen Ziele und damit ihre Gewinnambitionen zu verfolgen.
Für Unternehmen ist es wichtig festzulegen, wie Risikotoleranz und Risikoappetit ausgestaltet werden.
Schrittweise Einführung des Risikomanagements
Was aber sind nun die einzelnen Schritte, um ein solches System zu implementieren?
Inhaltlich ist ein Risikomanagementsystem ein Steuerungssystem, das darauf ausgerichtet ist, die Ziele des Unternehmens, insbesondere auch in Bezug auf die einzugehenden Risiken, zu koordinieren. Es ist folglich ein System, das der Vorbereitung von Entscheidungen dient.
Stufe 1: Integrierte erwartungsgetreue Unternehmensplanung
Auf der ersten Stufe ist zunächst eine integrierte Unternehmensplanung im Unternehmen aufzubauen und dauerhaft zu pflegen: Für die Früherkennung ist entscheidend, ob der ermittelte Gesamtrisikoumfang vom Unternehmen getragen werden kann.
Eine solche integrierte Planung besteht zumindest aus einer Ertrags- (G&V), Bilanz- und Liquiditätsplanung. Meist werden noch weitere Detailpläne (Produktionsplanung, Investitionsplanung, Steuerplanung etc.) integriert. Diese Planung muss mindestens einen Planungshorizont von drei Jahren aufweisen, soll doch der Eintritt der drohenden Zahlungsunfähigkeit mit einem Prognosehorizont von 24 Monaten so rechtzeitig entdeckt werden, dass vor deren Eintritt noch gegengesteuert werden kann.
Für die Erkennung strategischer Chancen und Risiken kann dieser Zeitraum zu kurz sein. Hier ist unternehmensindividuell ein angemessener Zeitraum festzulegen. Diese Planung muss erwartungsgetreu sein, denn nur eine solche Planung kann Grundlage eines Früherkennungssystems sein. Schließlich geht es darum, die Bestandsgefährdung zu prognostizieren. Selbstverständlich dürfen (und sollen) daneben ambitionierte Planungen zu Steuerungszwecken eingesetzt werden.
Es empfiehlt sich, die Planung mit einer Standardsoftware durchzuführen. Möglich ist auch die Planung in Excel. Hier ist allerdings sehr sorgfältig zu arbeiten, da gerade bei der Bilanz- und der Liquiditätsintegration häufig Zellbezugsfehler festzustellen sind und auch das Auseinanderfallen von Ertrags- und Liquiditätswirkung sehr aufwändig ist.
Stufe 2: Szenarioplanung bzw. Stresstests
Auf der zweiten Stufe wird dann die Grund- oder Basisplanung um eine einfache Szenarioplanung bzw. einen Stresstest ergänzt. Eventuell reicht es aus, nur G&V-Szenarien zu bilden und die Differenz zur Basisplanung rechnerisch vom Eigenkapital abzuziehen. Diese Szenarien können entweder in Excel dokumentiert werden oder in einer Standardsoftware. Die Szenarien bzw. der Stresstest müssen methodisch korrekt entwickelt und vor allem dokumentiert werden.
Stufe 3: Monte-Carlo-Simulation der Gewinn- und Verlustrechnung
Auf der dritten Stufe empfiehlt es sich, eine einfache G&V-Planung mit Simulation zu erstellen. Hierzu müssen die Chancen und Risiken umfassend ermittelt, analysiert und quantifiziert und in die G&V integriert werden. Die Chancen- und Risikoidentifikation muss umfassend erfolgen. In der Praxis werden dann aber die Chancen und Risiken für die Früherkennung auf die wesentlichen Einflussfaktoren reduziert. Als Heuristik hat sich ein Umfang von 5-15 Chancen und Risiken für KMU als sinnvoll, aber auch ausreichend gezeigt.
Im Unterschied zur integrierten Unternehmensplanung erfolgt die Planung im Risikomanagement und in der Früherkennung nicht auf Monatsebene, sondern auf Jahresebene. Es macht schlicht keinen Sinn, den Eintritt von Chancen und Risiken (sog. Events) auf Monatsebene, quasi wie ein Seher oder Prophet, vorauszusagen.
Die Simulation wird üblicherweise in Excel vorgenommen, gegebenenfalls unter Einbeziehung eines Add-In (z.B. MCFLOsim.ch oder @RISK von Lumivero, vormals Palisade). Aus der Simulation lässt sich dann ein Sicherheitspuffer ableiten, der in die bestehende integrierte Planung als „Schwelle“ eingearbeitet wird.
Stufe 4: Vollsimulation der integrierten Planung
Auf der vierten Stufe erfolgt eine Vollsimulation – das heißt, auch die Bilanzveränderungen werden simuliert (z.B. Debitorenumschlagsdauer). Auch hier kann noch mit MS-Excel® gearbeitet werden. Gegebenenfalls sind die Zellen zu schützen (z.B. durch VBA), da das Modell zunehmend komplexer und damit fehleranfälliger wird. Daher sollten Veränderungsmöglichkeiten gesperrt werden.
Auch hier erfolgt die Planung auf Jahresebene, um sodann aus dieser Planung den Schwellenwert (treshold) in der integrierten Planung zu berücksichtigen.
Stufe 5: Individuelles Ursachen-Wirkungs-Modell
In der Stufe 5 wird sinnvollerweise ein individuelles Modell aufgebaut, das über die Bilanz- und G&V-Posten hinausgeht, §§ 266, 275 HGB. Insbesondere werden für die wesentlichen Treiber, die in die Planung bzw. Analyse einfließen, Automatismen integriert. Das heißt, Informationen werden automatisch z.B. aus der ERP-Software in die Planung und Analyse integriert. Eine solche Organisation wird üblicherweise in Excel (VBA) oder R aufgebaut.
Stufe 6: Standard-Risikomanagement-Software
Die vorläufige Endstufe wird mit dem Einsatz einer Standardsoftware-Lösung erreicht. Der Vorteil der Standardlösung ist die Fehlerreduktion. Der Nachteil sind die damit verbundenen zum Teil beträchtlichen Kosten einerseits sowie eine reduzierte Flexibilität. Ab einer gewissen Größe des Unternehmens ist eine Standardlösung allerdings unvermeidbar.
Stufe 7: AI/KI
Perspektivisch wird der Einsatz von Künstlicher Intelligenz und neuronalen Netzen zu überlegen sein. Hier ist insbesondere die technische Entwicklung abzuwarten und inwieweit z.B. die semantischen Analysen von ChatGPT o.ä. für die Risikoidentifizierung und -quantifizierung verwendet werden können.
Zeitlicher Ablauf : Schritt für Schritt
Wie sieht der Zeitablauf eines so mächtigen Prozesses aus? Auch hier gilt, wie so oft, das altbekannte Sprichwort: „Auch die längste Reise beginnt mit dem ersten Schritt.“ Aus diesem Grund ist die mächtige Reise zum unternehmenseigenen Risikomanagement, die „Road to Enterprise Risk Management“, in Etappen zu zerlegen.
Von einem wirksamen und angemessenen Früherkennungssystem, dem Herzstück des Risikomanagements, ist erst ab der Stufe 3 auszugehen. Daher müssen haftungsbeschränkte Unternehmen, die noch keine der Stufen erfüllen, schnellstmöglich in die Stufe 3 kommen.
Chancen und Risiken sind bereits in Stufe 1 erkennbar
Grundsätzlich wäre aber, soweit rechtlich nicht geboten, ein langsameres Vorgehen vorzuziehen. Aus der integrierten Planung folgt nämlich beim nachfolgenden Soll-Ist-Vergleich, wo Planabweichungen festzustellen sind. Dies sind Analysefelder für Chancen und Risiken. Diese zeigen, in Verbindung mit Branchenberichten, auf, welchen Gefährdungspotenzialen ein Unternehmen ausgesetzt ist und welche ungenutzten Chancen es hat. Daraus wiederum lassen sich Szenarien oder Stresstests ableiten.
Der größte Schritt ist von der Stufe 2 zur Stufe 3. Hier wird das System von deterministischen (einwertigen) Werten hin zu unsicheren Werten, Bandbreiten und Wahrscheinlichkeitsverteilungen geändert. Die Wahrscheinlichkeit ist künftig treuer Begleiter des Unternehmens, nichts ist mehr sicher. Dies erfordert ein Umdenken und insbesondere die Akzeptanz der eigenen Unzulänglichkeit.
Risiken vermeiden, reduzieren, migrieren oder akzeptieren – ab Stufe 3
Schon auf Stufe 3 können die wesentlichen Gefährdungspotentiale ermittelt werden. Lesen Sie für weitergehende Informationen hierzu auch unseren Blogbeitrag „Risikomanagement: Wer braucht es – und warum?“
Diese Analyse ist auch der Ausgangspunkt, um zu überlegen, welche Risiken in Zukunft gänzlich vermieden, reduziert, migriert oder vom Unternehmen akzeptiert werden. Insbesondere zeigt die Simulation nicht nur auf, welche Risiken einzeln zur Bestandsgefährdung führen, sondern sie zeigt auch, welche für sich gesehen geringeren Risiken in der Zusammenwirkung zu einer Bestandsgefährdung führen können („Viele Hunde sind des Hasen Tod“).
Die Stufe 4 ist nur die konsequente Fortsetzung des eingeschlagenen Wegs. Aus der permanenten Rückkopplung lassen sich die Analysen der Stufe 3 verfeinern.
Ebenfalls ab Stufe 3: Anpassungen des Rechnungswesens sind sinnvoll
Wer eine Weile mit den Systemen gearbeitet hat, kann das interne Rechnungswesen daraufhin ausrichten: Das Rechnungswesen ist so zu organisieren, dass sinnvolle Analysen unterstützt werden. Dies kann auch Daten und Informationen aus Vorsystemen (ERP, CRM, Webseitenanalyse) umfassen.
Ferner können hier, nach Wesentlichkeit und Verfügbarkeit, Daten automatisiert eingesteuert werden. Diese Programmierung macht einen gewissen Aufwand. Deshalb ist es sinnvoll, durch die Erfahrung mit den Systemen erst einmal herauszuarbeiten, was genau automatisiert werden kann und wo die Daten hierfür gewonnen werden können. Aus solchen Daten lassen sich unter Umständen auch Forecasts (predictive Analytics) generieren, die für die Planung der Produktion und damit des Materialbedarfs und des Personalbedarfs von besonderer Bedeutung sein können. Daran reiht sich dann nahtlos die Prüfung von KI-Tools bzw. KI-Informationen ein.
Da sich das Unternehmen, vor allem aber auch das Unternehmensumfeld, permanent ändert, steht über allem eine permanente Rückkopplungsschleife, ob das System richtig modelliert und kalibriert ist. Das Risikomanagement ist also eine niemals endende Aufgabe.
NO RISKS NO FUN Tipp
Fangen Sie noch heute mit Ihrer Reise, mit Ihrer „Road to Enterprise Risk Management“, an. Es macht Ihnen die Zukunft transparenter und erfreut Ihre Bank. Sie werden schnell erkennen, dass Sie ein solches System (auch) vor dem größten Risiko warnt: der verpassten Chance.