– zugleich Blick auf IDW ES 16 –
Am 1. Januar 2021 ist das Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen (StaRUG) in Kraft getreten und statuiert in § 1 Abs. 1 Satz 1 StaRUG eine rechtsformübergreifende Pflicht für die Mitglieder des Geschäftsführungsorgans haftungsbeschränkter Unternehmensträger, fortlaufend über Entwicklungen zu wachen, die den Fortbestand der juristischen Person gefährden können. Erkennen sie solche bestandsgefährdenden Entwicklungen, haben die Organe geeignete Gegenmaßnahmen zu ergreifen (§ 1 Abs. 1 Satz 2 StaRUG) oder, wenn solche Maßnahmen in die Zuständigkeit anderer Organe wie z.B. der Gesellschafterversammlung oder des Aufsichtsrates fallen, auf die Befassung der zuständigen Organe hinzuwirken (§ 1 Abs. 1 Satz 3 StaRUG). Zur Ausgestaltung eines Krisenfrüherkennungs- und Krisenmanagementsystems hat das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) im Februar dieses Jahres den Entwurf eines Standards zur Ausgestaltung der Krisenfrüherkennung und des Krisenmanagements nach § 1 StaRUG (IDW ES 16) vorgelegt.
§ 1 StaRUG im Grunde deklaratorisch – Entwicklung und Geltung der Krisenfrüherkennungspflichten
Vorangestellt sei, dass § 1 Abs. 1 StaRUG im Grunde eine deklaratorische Vorschrift ist, da sich die Pflicht zur Risikofrüherkennung auch bereits dem vor StaRUG geltenden Recht entnehmen ließ. Der StaRUG-Gesetzgeber ging daher davon aus, dass sich die Vorschrift darauf beschränkt, das geltende Recht im Interesse der Rechtsklarheit einer positiven Regelung zuzuführen (BT-Drucks 19/24181, S. 103).
Namentlich wurde durch das KonTraG bereits 1998 in § 91 Abs. 2 Aktiengesetz (AktG) eine Verpflichtung des Vorstandes einer Aktiengesellschaft normiert, ein Überwachungssystem einzurichten, damit „den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“.
Es war aber allgemeines Verständnis des KonTraG-Gesetzgebers, dass die in § 91 Abs. 2 AktG nochmals explizit zum Ausdruck gebrachte Pflicht zur Überwachung bestandsgefährdender Risiken und Entwicklungen nur eine ausgesprochene Ausprägung der allgemeinen Leitungsaufgabe des Vorstands (§ 76 Abs. 1 AktG) sei und je nach Größe, Komplexität und Struktur des Unternehmens auch ohne ausdrückliche Regelung im GmbH-Gesetz (GmbHG) für die GmbH und Unternehmen anderer Rechtsform entsprechend gelte (vgl. BT-Drucks 13/9712, S. 15).
Und in der Tat wird die Pflicht des GmbH-Geschäftsführers zur Implementierung geeigneter Steuerungs- und Überwachungssysteme seit jeher auch als Ausprägung der allgemeinen Leitungsaufgabe des GmbH-Geschäftsführers nach § 43 Abs. 1 GmbHG verstanden, die die Planung, Organisation und Kontrolle der Unternehmenstätigkeit umfasst. Hierzu gehört, ein geeignetes Controlling- und Risikoüberwachungssystem zu implementieren, um Fehlentwicklungen erkennen zu können (Risikoüberwachungspflicht), und beim Erkennen von Fehlentwicklungen geeignete Gegenmaßnahmen einzuleiten, um den Risikoeintritt zu verhindern und Schaden von der Gesellschaft abzuwenden (Pflicht zur Ergreifung von Gegenmaßnahmen).
Zuletzt wurde durch das Finanzmarktintegritätsstärkungsgesetz (FISG) 2021 als Reaktion auf den Wirecard-Skandal für die Vorstände börsennotierter Aktiengesellschaften eine über die Krisenfrüherkennungspflicht nach § 91 Abs. 2 AktG hinausgehende Pflicht zur Einrichtung eines dem Umfang der Geschäftstätigkeit und der Risikolage des Unternehmens angemessenen und wirksamen internen Kontrollsystems und Risikomanagementsystems gesetzlich geregelt (§ 91 Abs. 3 AktG).
Auch in diesem Kontext ging der Gesetzgeber aber davon aus, dass diese weitergehende Pflicht zur Implementierung eines internen Kontroll- sowie Risikomanagementsystems je nach Größe, Branche und Risikoexposition des Unternehmens auch bei nicht börsennotierten Aktiengesellschaften aus der allgemeinen Sorgfaltspflicht im Sinne von § 93 Abs. 1 Satz 1 AktG folgen könne (BT-Drucks 19/26966, S. 114 f.).
Zusammengefasst lässt sich festhalten, dass eine Krisenfrüherkennungspflicht für Vorstände einer Aktiengesellschaft und die Geschäftsführer einer GmbH bereits vor Inkrafttreten des § 1 Abs. 1 StaRUG teils explizit normiert (§ 91 Abs. 2 AktG) war, teils aus der allgemeinen Sorgfaltspflicht der Geschäftsleiter (§§ 93 Abs. 1 AktG, 43 Abs. 1 GmbHG) abgeleitet wurde.
Daneben kann eine weitergehende Pflicht der Leitungsorgane treten, ein dem Umfang der Geschäftstätigkeit und der Risikolage des Unternehmens angemessenes und wirksames internes Kontrollsystem und Risikomanagementsystem einzurichten. Für die Vorstände börsennotierter Aktiengesellschaften folgt dies unmittelbar aus § 91 Abs. 3 AktG, für nicht börsennotierte Aktiengesellschaften und Unternehmen anderer Rechtsform (z.B. GmbH, UG, GmbH & Co. KG) je nach Größe, Branche und Risikoexposition des Unternehmens wiederum aus der allgemeinen Sorgfaltspflicht (§§ 93 Abs. 1 AktG, 43 Abs. 1 GmbHG).
Inhalt der Krisenfrüherkennungspflicht und weitergehender Pflichten zum Risikomanagement
Während in § 91 Abs. 2 AktG und § 1 Abs. 1 StaRUG von der unter dem Schlagwort „Krisenfrüherkennungspflicht“ zusammengefassten Pflicht der Geschäftsleiter zur „Überwachung von bestandsgefährdenden Entwicklungen“ die Rede ist, setzt § 91 Abs.3 AktG daneben scheinbar eine zusätzliche Pflicht zur Einrichtung eines „internen Kontrollsystems“ und eines „Risikomanagementsystems“.
Dies wirft die Frage auf, wie sich die Pflichten überschneiden bzw. welche Hierarchien es zwischen den Pflichten gibt.
Der StaRUG-Gesetzgeber wollte in § 1 Abs. 1 StaRUG, der für Unternehmen jeglicher Größe und Couleur gilt (also auch für die 1-Personen-UG, die eine Imbissbude betreibt), nur Mindestanforderungen festlegen und betont, dass es sich insbesondere bei kleineren Unternehmen verbietet, übermäßige Organisationspflichten zu statuieren, welche kleinere Unternehmen überfordern. § 1 Abs. 3 StaRUG verweist daher nur darauf, dass sich aus anderen Gesetzen weitergehende Pflichten ergeben können.
Die überwiegende juristische Meinung geht für § 1 Abs. 1 StaRUG und § 91 Abs. 2 AktG (trotz teils weitergehender Stimmen aus der Betriebswirtschaft) davon aus, dass ein Risikofrüherkennungssystem nach diesen Vorschriften jedenfalls – aber auch nur – solche „bestandsgefährdenden Entwicklungen“ aufdecken muss, die ein Insolvenzrisiko erheblich steigern oder hervorrufen. Dies bedeutet, dass jedenfalls der drohende Eintritt der materiellen Insolvenz, also der Zahlungsunfähigkeit (§ 17 InsO) oder der Überschuldung (§ 19 InsO), rechtzeitig erkannt werden muss.
Richtigerweise wird man aber davon ausgehen müssen, dass eine bestandsgefährdende Entwicklung im Sinne des § 1 Abs. 1 Satz 1 StaRUG bereits mit Eintritt der drohenden Zahlungsunfähigkeit (§ 18 InsO) indiziert wird, da die europäische Restrukturierungsrichtlinie (Richtlinie (EU) 2019/1023), die Grundlage des StaRUG war, sowohl die Vorgaben zur Bereitstellung von Frühwarnsystemen (Art. 3) als auch die speziellen Krisenpflichten der Geschäftsleiter (Art. 19) mit dem Begriff der „wahrscheinlichen Insolvenz“ verknüpft, für den der deutsche StaRUG-Gesetzgeber die drohende Zahlungsunfähigkeit im Sinne des § 18 InsO als Anknüpfungspunkt gewählt hat.
Ein Krisenfrüherkennungssystem im Sinne von § 1 Abs. 1 Satz 1 StaRUG muss daher mindestens geeignet sein, den Eintritt einer drohenden Zahlungsunfähigkeit (§ 18 InsO) und erst recht einer Überschuldung (§ 19 InsO) oder Zahlungsunfähigkeit (§ 17 InsO) frühzeitig zu erkennen, was de facto mit einer entsprechenden Planungspflicht einhergeht, da insbesondere die drohende Zahlungsunfähigkeit (§ 18 InsO) und die Überschuldung (§ 19 InsO) mittels einer Solvenzprognose auf Basis einer Finanz- bzw. Liquiditätsplanung geprüft werden.
Da der Prognosezeitraum im Rahmen der Prüfung der drohenden Zahlungsunfähigkeit (§ 18 InsO) in der Regel 24 Monate umfasst, sollte die Finanz- bzw. Liquiditätsplanung mindestens diesen Zeitraum abdecken und regelmäßig fortgeschrieben werden. Verdichten sich die Krisenanzeichen, kann es geboten und erforderlich sein, daneben auch kurzfristigere Liquiditätsrisiken zu überwachen, was in der Praxis regelmäßig in Form einer rollierenden 13-Wochen-Liquiditätsplanung geschieht.
Neben diesen Minimalanforderungen im Hinblick auf die Risikoüberwachung, die die Geschäftsleiter aller haftungsbeschränkten Unternehmensträger treffen, kann sich, obwohl in § 91 Abs. 3 AktG expliziert nur für börsennotierte Aktiengesellschaften normiert, aus den allgemeinen Sorgfaltsanforderungen (§§ 93 Abs. 1 AktG, 43 Abs. 1 GmbHG) je nach Größe, Branche und Risikoexposition des Unternehmens auch für die Geschäftsleiter nicht börsennotierter Unternehmen und anderer Rechtsform (GmbH, UG, GmbH & Co. KG) eine weitergehende Pflicht ergeben, wirksame Kontrollmechanismen (internes Kontrollsystem) und ein Risikomanagementsystem zu implementieren.
Ein internes Kontrollsystem beschreibt der Gesetzgeber dabei als ein System, das die Grundsätze, Verfahren und Maßnahmen zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, zur Sicherung der Ordnungsmäßigkeit der Rechnungslegung und zur Sicherung der Einhaltung der maßgeblichen rechtlichen Vorschriften umfasst (BT-Drucks. 19/26966, S. 115). Es setzt sich in der Regel zusammen aus einem Kontrollrahmen, namentlich denjenigen Regeln und Richtlinien, nach denen die Unternehmenstätigkeit organisiert ist (z.B. Datenschutz-, Passwort- oder Cyberrichtlinien, Dienstreiseregelungen, Zeichnungsrichtlinien, Code of Conduct, Compliance-Regelungen, etc.) und Maßnahmen zur Überwachung der Einhaltung dieser Regeln (z.B. interne Revision, Compliance Management System, etc.).
Das Risikomanagementsystem ist dagegen weder im Gesetz noch in der Gesetzesbegründung näher definiert, weswegen mangels rechtlicher Vorgaben auf betriebswirtschaftliche Ansätze zur Beschreibung und Ausgestaltung eines Risikomanagementsystems zurückgegriffen werden muss. Hierzu gibt es eine Vielzahl fachlicher Verlautbarungen und betriebswirtschaftlicher Modelle (vgl. z.B. IDW-Prüfungsstandards PS 340, PS 981 und PS 982, ISO-Norm 31000:2018) zum Thema „Risikomanagement“, die kein einheitliches Bild im Sinne eines Grundsatzes ordnungsgemäßer Überwachungssysteme zeichnen und keine unmittelbare Bindungswirkung für die verpflichteten Unternehmensorgane entfalten. Gleichwohl können diese Leitfaden von den Geschäftsleitern zumindest als Orientierung herangezogen werden, da zu einer zweckmäßigen und daher ermessenfehlerfreien Ausgestaltung eines Risikomanagementsystems auch gehört, die anerkannten Regeln der Technik (oder hier: der Betriebswirtschaftslehre) zumindest zu berücksichtigen und zu erwägen. Wenn man einen Querschnitt aus den verschiedenen Modellen bilden will, sollte ein wirksames Risikomanagementsystem wohl jedenfalls folgende Elemente aufweisen:
- Risikoidentifikation: Wichtigste Grundlage eines Risikomanagementsystems ist die Erfassung von internen und externen Risiken, die auf das Unternehmen einwirken und zu einer ungünstigen wirtschaftlichen Entwicklung führen können. Diese müssen nach vom Vorstand festgelegten Kriterien vollständig und stets aktuell erfasst werden
- Risikobewertung: Die identifizierten Risiken sind insbesondere hinsichtlich Eintrittswahrscheinlichkeit und Schadenshöhe zu bewerten. Hierbei sind auch mögliche Interdependenzen verschiedener Risiken zu berücksichtigen. Aus der Risikobewertung können sich je nach Eintrittswahrscheinlichkeit und Schadenshöhe (oder der Kombination von beidem) unterschiedliche Risikoklassen ergeben.
- Risikoberichterstattung: Die (neu) erfassten und bewerteten Risiken sowie Risikokonzentrationen sind regelmäßig in einem gesonderten Risikobericht an den Vorstand zu berichten.
- Risikosteuerung: Die Risikosteuerung beschreibt alle Maßnahmen, die auf die bewusste Übernahme von Risiken oder aber deren Vermeidung oder Begrenzung gerichtet sind.
- Risikoüberwachung: Die Risikoüberwachung hat die zur Risikosteuerung ergriffenen Maßnahmen kontinuierlich auf ihre Wirksamkeit zu überprüfen und die Prozesse der Risikokontrolle in sachlicher und zeitlicher Hinsicht zu koordinieren.
Letztlich bleibt zu konstatieren: § 91 Abs. 3 AktG erlegt den Vorständen börsennotierter Aktiengesellschaften zwar die Pflicht zur Einführung eines Risikomanagementsystems auf, reduziert das Ermessen hinsichtlich des „Ob“ also auf null, stellt die Frage der konkreten Ausgestaltung des Risikomanagementsystems, also des „Wie“, im Hinblick auf den konkreten Umfang und die konkrete Risikoposition des Unternehmens aber weiterhin in das Leitungsermessen des Vorstandes (§ 76 Abs. 1 AktG). In gleicher Weise liegt es im pflichtgemäßen Leitungsermessen der Geschäftsleiter von durch § 91 Abs. 3 AktG nicht unmittelbar adressierten Unternehmen, in welchem Umfang und mit welchen Maßnahmen institutionalisierte Überwachungssysteme eingerichtet werden.
Sanktionen bei Verstößen
Da § 1 Abs. 1 StaRUG nur deklaratorisch das bisher geltende Recht auf den Punkt bringt und sich die Krisenfrüherkennungspflicht ebenso wie weitergehende Pflichten zur Einrichtung von internen Kontroll- und Risikomanagementsystemen im Grunde schon immer aus den allgemeinen Sorgfaltsanforderungen (insbesondere §§ 93 Abs. 1 AktG, 43 Abs. 1 AktG) herleiten ließen, resultieren auch die drohenden Rechtsfolgen aus den allgemeinen Vorschriften für Schadensersatz bei Verletzung der Geschäftsleiterpflichten, insbesondere also §§ 93 Abs. 2 und 43 Abs. 2 GmbHG.
Zuzugeben ist, dass es der Gesellschaft als Anspruchsinhaberin (bzw. im Insolvenzverfahren dem Insolvenzverwalter) schwerfallen dürfte, Kausalität und Höhe eines Schadens auf das Unterlassen einer konkreten Risikoüberwachungs- oder Gegenmaßnahme zu stützen, zumal in der Regel ja verschiedene Maßnahmen und Ansätze zur Verfügung gestanden haben dürften und niemand vorhersagen kann, wie sich das Geschehen in einem anderen Szenario entwickelt hätte.
Auf der anderen Seite muss die Gesellschaft / der Insolvenzverwalter „nur“ darlegen, dass der Gesellschaft durch ein möglicherweise pflichtwidriges Verhalten des Geschäftsleitungsorgans ein auch nur zu schätzender (§ 287 Zivilprozessordnung) Schaden entstanden ist, damit sich die Beweislast umkehrt und der Geschäftsleiter seinerseits darlegen und beweisen muss, dass er seine Pflichten zur Risikoüberwachung und Einleitung von Gegenmaßnahmen pflichtgemäß erfüllt hat.
Fazit und Ausblick auf den IDW ES 16
IDW ES 16, der sich wohlgemerkt vom eigenen Anspruch her nur auf die Mindestanforderungen nach § 1 Abs. 1 StaRUG beziehen soll, ist mit Blick auf den vorstehend ausgebreiteten Rechtsrahmen insgesamt als gelungener Entwurf eines Standards zu bezeichnen.
Zutreffend wird die Bedeutung der Unternehmensplanung für die Krisenfrüherkennungspflicht betont (IDW ES 16, Tz. 29 ff.), zugleich aber wohltuend darauf hingewiesen, dass bei Vorliegen so genannter „Schönwetterkriterien“ (nachhaltige Gewinnsituation, keine bilanzielle Überschuldung, jederzeit leichter Zugriff auf finanzielle Mittel, etc.) keine hohen Anforderungen an die Unternehmensplanung zu stellen sind bzw. in Ausnahmefällen sogar auf eine Planung verzichtet werden könne, wenn zumindest eine Verschlechterung der Rahmenbedingungen überwacht wird (IDW ES 16, Tz. 12).
Überhaupt betont IDW ES 16 im Gegensatz zu früheren Standards auffällig häufig, aber zutreffend, dass sämtliche Pflichten und Prozesse hinsichtlich des „Ob“, des „Wie“ und der Intensität (Überwachungsdichte) unbeschadet zwingender gesetzlicher Anforderung der konkreten Größe, Lage und Risikoexposition des Unternehmens anzupassen sind.
Negativ bleibt festzuhalten, dass den eigentlich dem Risikomanagementsystem zuzuordnenden Punkten (Risikoidentifikation, Risikobewertung, etc.) trotz der Relativierung über die notwendige Skalierung / Anpassung bei kleineren Unternehmen auch für die „reine“ Krisenfrüherkennung nach § 1 StaRUG (z.B. also bei der 1-Personen-UG-Imbissbude) relativ viel Raum beigemessen wird (immerhin fast 20 von 66 Randnummern) und es neben der Umschreibung des Rahmens relativ wenige konkrete Handlungsanweisungen und Handreichungen für Geschäftsleiter gibt, was diese etwas allein mit der Einschätzung lassen kann, ob sie ihren Pflichten vom Umfang und der Ausgestaltung her in ausreichendem Umfange nachgekommen sind.
Fazit: Insgesamt kann der IDW ES 16 als sinnvolle, wenngleich wenig konkrete Handreichung für Geschäftsleiter angesehen werden, sofern diese sich stets bewusst machen, dass sie die im IDW ES 16 formulierten Anforderungen nicht blind und 1:1 auf ihr Unternehmen übertragen sollen, sondern stets hinterfragen müssen, was für ihr Unternehmen in welcher Ausprägung, Ausgestaltung und Intensität sinnvoll und notwendig ist.