Der Vorstand kann nicht immer alles wissen. Aber er sollte das Risikomanagement der Firma kennen und wissen, ob es funktioniert. Das sagen die Risikoexperten Thomas Schauerte und Rüdiger Theiselmann im Interview mit FINANCE – und verraten, wann Manager riskieren, persönlich haftbar gemacht zu werden.
Der Abgasskandal bei VW zeigt, wie schnell Vorstände persönlich im Fadenkreuz stehen, wenn ein Konzern im Schlamassel steckt. Was sagen Sie: Wusste der VW-Vorstand Bescheid?
Theiselmann: Mit Blick auf Volkswagen lässt sich das von außen nicht beurteilen. Generell kann der Vorstand nicht alles wissen, weil es Berichtslinien gibt, die auch eine sinnvolle Filterfunktion haben. Allerdings muss der Vorstand seine Organisationspflichten erfüllen und ein funktionierendes System zur Früherkennung von Risiken einrichten. In der Praxis kann es indes passieren, dass Mitarbeiter die internen Regeln aushebeln, etwa, um bessere Ergebnisse zu erzielen – und diese Verstöße unentdeckt bleiben.
Risikoexperte Schauerte: „Grundlage für ein funktionierendes Risikomanagement ist eine offene Risikokultur im Unternehmen“
Was kann und muss der Vorstand tun, um solche Verstöße zu vermeiden?
Theiselmann: Der Vorstand muss überwachen, ob das Risikomanagementsystem tatsächlich funktioniert. Juristisch werden von ihm ein engmaschiges Berichtswesen, umfangreiche Dokumentationen und klare Zuständigkeiten erwartet. Praktisch können fingierte Regelverstöße oder verdeckte Qualitätsprüfungen durch die interne Revision zur Aufdeckung von Schwachstellen zur Früherkennung beitragen.
Wie lassen sich die größten Risiken, die so genannten Fat-Tail-Risks, frühzeitig erkennen?
Schauerte: Die Grundlage für ein funktionierendes Risikomanagement- und internes Kontrollsystem ist eine offene Risikokultur im Unternehmen. Ein weiteres zentrales Element in der Risikosteuerung ist das Konzept der „three lines of defence“, das Unternehmen über mehrere Verteidigungslinien vor dem Eintreten wesentlicher Risiken schützen soll. Die erste Verteidigungslinie besteht aus den operativen Bereichen beziehungsweise den einzelnen Gesellschaften des Konzerns; über die Berichtslinien wird der Vorstand zeitnah über wesentliche Risiken informiert. Die zweite besteht aus dem eigentlichen Risikocontrolling als Stabsfunktion; dort werden die Standards für das Risikomanagementsystem gesetzt und überwacht sowie regelmäßig die Gesamtrisikolage beurteilt. Die dritte Verteidigungslinie ist die Konzernrevision, die im Rahmen ihrer unabhängigen Prüfungshandlungen Aufbau und Umsetzung des Risikomanagements überprüft.
Info
Thomas Schauerte ist Professor für Risikomanagement an der Hochschule Coburg. Rüdiger Theiselmann ist als Rechtsanwalt in Frankfurt am Main auf die Beratung von Vorständen und Geschäftsführern spezialisiert.
Rechtsanwalt Theiselmann: „Der Geschäftsleiter muss beweisen, dass er seine Pflichten erfüllt hat“
Wann liegt eine Pflichtverletzung im Zusammenhang mit Risikomanagement vor, die zur persönlichen Haftung führt?
Theiselmann: Wird kein Risikomanagement eingerichtet oder gibt es Mängel in der Überwachung und resultiert daraus ein Schaden für das Unternehmen, so droht neben der Abberufung und Kündigung des Anstellungsvertrags eine Schadensersatzhaftung des Geschäftsleiters gegenüber der Gesellschaft. Weil der Geschäftsleiter beweisen muss, dass er seine Pflichten erfüllt hat, ist es auch mit Blick auf das Risikomanagement wichtig, dass er sein Handeln dokumentiert.
Woran lässt sich erkennen, ob im Risikomanagement etwas im Argen liegt?
Schauerte: Ein gutes Risikomanagement sollte in guten Zeiten eigentlich gar nicht auffallen, aber als Frühwarnsystem rechtzeitig auf Fehlentwicklungen hinweisen. Dass das ein ambitioniertes Ziel ist, zeigen zahlreiche Unternehmenskrisen. Man kann aber überprüfen, ob die Organisation des Risikomanagements adäquat ausgestaltet ist: Gibt es überhaupt ein unabhängiges Risikomanagement oder sind die Aufgaben nur ein Teil des Controllings? Zudem sollten die Risikobetrachtung zum strategischen Planungsprozess gehören und Risikokennzahlen steuerungsrelevant eingebunden sein.
