„Gefahr erkannt – Gefahr gebannt“ – ganz so einfach ist es bei Unternehmenskrisen dann doch nicht. Gleichwohl ist die (rechtzeitige!) Krisenerkennung der erste wichtige Schritt zur Krisenvermeidung oder -abwehr. Nachfolgend werden deswegen einige erste Handreichungen für den Aufbau eines eigenen Risikofrüherkennungssystems gerade für mittelständische Unternehmen gegeben.
Zunächst zu den rechtlichen Hintergründen: Die Risikofrüherkennung im Unternehmen ist als Teil der Compliance grundsätzlich eine Pflicht der Geschäftsleitung: Durch die Einführung des „KonTraG“ (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) wurde zunächst der Vorstand einer Aktiengesellschaft nach § 91 Abs. 2 AktG verpflichtet, in seinem Unternehmen ein Risikofrüherkennungssystem vorzuhalten, welches ihm ermöglicht, frühzeitig eine finanzielle Schieflage des Unternehmens zu erkennen. Der Gesetzgeber ging aber schon in seiner Begründung zum KonTraG davon aus, dass diese Regelung auch für Geschäftsführer anderer Rechtsformen (insbesondere der GmbH) je nach Größe und Komplexität der Unternehmensstruktur „Ausstrahlungswirkung“ haben würde. Der genaue Umfang dieser Ausstrahlungswirkung gerade auf KMU ist bis heute allerdings nicht näher definiert.
Unabhängig von einer etwaig bestehenden rechtlichen Verpflichtung sollte der Unternehmer die Risikofrüherkennung zur Vermeidung kostenintensiver oder sogar existenzgefährdender Risiken als eigenständige Priorität begreifen. Auch kann sich bereits das Vorhandensein eines Risikofrüherkennungssystems (oder gar -managementsystems, dazu näher unten) positiv auf etwaige Bankenratings und damit die Kreditvergabe an das Unternehmen auswirken.
Grundsätzlich sollte die Ausgestaltung eines Risikofrüherkennungssystems in Anlehnung an geltende Standards erfolgen, die je nach Größe, Struktur und Branchenzugehörigkeit des Unternehmens modifiziert werden können. Als Handreichung für die Errichtung eines Risikofrüherkennungssystems kann der entsprechende IDW-Standard PS 340 zur Prüfung nach § 317 Abs. 4 HGB oder die ISO 31000 – Risk Management-Principles – dienen.
Ferner hat die Rechtsprechung Kriterien entwickelt: Demnach müssen als Kernpunkte stets zwei Aspekte beachtet werden: Zum Einen muss es um die Früherkennung von Risiken gehen, also die längerfristige Erkennung künftiger potentiell krisenhafter Entwicklungen. Es darf also nicht die Erkennung bereits verwirklichter Risiken im Vordergrund stehen. Das impliziert, dass laufend und regelmäßig eine Bestandsaufnahme der Faktoren und Risiken erfolgen muss, die für das Unternehmen und dessen Fortbestand relevant sind. Ein solches Risiko ist z. B. gegeben, wenn das Bestehen oder Eintreten eines Insolvenzgrundes, also der Zahlungsunfähigkeit oder Überschuldung, wahrscheinlich wird.
Zum Anderen muss aber auch die Überwachung des Systems selber, also die Kontrolle über dessen Funktionieren erfolgen. Es reicht nicht aus, allein die Erkennbarkeit der Risiken durch die regelmäßige Zulieferung von Zahlen und sonstigen Informationen sicherzustellen. Der Geschäftsführer muss ebenfalls sicherstellen, dass auf allen Ebenen die pünktliche Weitergabe der Informationen an ihn erfolgt, diese Informationen der Sach- und Rechtslage entsprechen und auf jeder Ebene jeweils vertikal nach unten hin wiederum die Einhaltung kontrolliert wird. Geeignete Maßnahmen zur Erfüllung dieser Voraussetzungen sind, nach Auffassung der Rechtsprechung, die klare Abgrenzung von Zuständigkeiten, unmissverständliche Pflichten, ein strukturiertes Berichtswesen und ständige Dokumentation.
Insbesondere in KMU stellt sich natürlich die Frage, inwieweit diese Standards und Rechtsprechungsregeln für das konkrete – zumeist wesentlich kleinere Unternehmen – zuzuschneiden sind. Die Erfahrung aus der Beratung von KMUs lehrt, dass in vielen Fällen bereits eine zahlenbasierte Unternehmensplanung fehlt. Vielmehr wird „auf Sicht“ mit Hilfe von (veralteten?) BWA’s agiert. Damit besteht der erste Schritt zu einem Risikofrüherkennungssystem häufig schlicht im Aufbau einer aussagefähigen integrierten Unternehmensplanung mitsamt Entwicklung und Implementierung eingängiger Kennziffern. Ein einfaches Kennziffernsystem zur Krisenerkennung ist z.B. der sog. Altman Z-Score. Dieses, bereits 1968 von Prof. Dr. Edward I. Altman veröffentlichte, Tool erlaubt auf Grund der (gewichteten) Bewertung von fünf Finanzkennzahlen eine Einschätzung zur Insolvenzwahrscheinlichkeit eines Unternehmens. Das Tool ist hier online verfügbar (leider nur auf englisch) und die darin verwendeten Kennziffern bieten sich zur Überwachung der Insolvenzrisiken eines Unternehmens an. Daneben sollten natürlich auch andere Daten ausgewertet werden, um frühzeitig eine Krise erkennen zu können. So können z. B. relevante Daten über die Belegschaft, wie Mitarbeiterfluktuation oder -krankheitsstand ausgewertet werden, um so kritische Entwicklungen im Personalbereich rechtzeitig wahrzunehmen.
Gerade bei größeren Unternehmen sind Risikofrüherkennungssysteme aber häufig auch zu „zahlenlastig“, sprich, es werden nur meßbare Risiken im oder außerhalb des Unternehmens abgebildet. Spätestens seit dem Erscheinen des Buches „Der Schwarze Schwan“ von Nassim Taleb sollte aber die Erkenntnis gereift sein, dass die ausschließlich zahlenbasierte Sicht auf die (Finanz-)Welt ein Risiko eigener Art darstellt. So lasssen sich politische Risiken oder Risiken in der Marktentwicklung – man denke nur an die Atomstrategie Nord-Koreas oder die potentiellen Auswirkungen der Digitalisierung auf bisherige Geschäftsmodelle – zunächst nicht kennziffernbasiert erfassen – ihre potentiellen Auswirkungen dürften aber unbestritten sein. Beim Aufbau eines Risikfrüherkennungssystems ist also auch auf eine systematische Erfassung von sog. „schwachen Signale“ (I. Ansoff) zu achten.
Mit der Risikfrüherkennung ist es aber natürlich nicht getan: Einer der Kritikpunkte gerade am IDW PS 340 ist, dass er zwar das Vorhandensein eines Risikofrüherkennungssystems voraussetzt, aber selber keine Maßnahmen der Risikovermeidung oder -abwehr prüft – und damit vorgibt (sog. „Risiko-Management-System“). Schon auf Grund der Vielfalt potentieller Risiken – s. nur die zuvor genannten Beispiele – ist eine schematische Herangehensweise an das Risikomanagement noch weniger möglich, als dies schon im Bereich der Risikoerkennung der Fall ist. Aber, je früher jedoch eine Gefahr erkannt wird, über desto mehr zeitlichen Spielraum verfügt das Unternehmen, um etwaige Abwehr- oder Vermeidungsstrategien zu planen und auszuführen. Der Beginn des Risikomanagements liegt damit im Bereich des Durchdenkens der Konsequenzen des Eintritts eines bestimmten Risikos (sog. „Szenario-Planung“). Mit den hieraus entwickelten Erkenntnissen lassen sich dann Maßnahmen entwickeln, wie man einer entstehenden Krise entgegentreten will. Diese Maßnahmen sollten dann – wie auch die unternehmenseigene Systematik zur Erfassung der Risiken – in einem Risikohandbuch erfasst werden. Durch die kontinuierliche und revolvierende Bearbeitung dieses einfachen Risikohandbuches alleine wird ein Unternehmen schon einen gewissen Vorsprung vor den Wettbewerbern bei der Krisenvermeidung und -abwehr gewinnen.