News

Risikomanagement auf dem Prüfstand unter Covid 19-Bedingungen - Welche Aufgaben betreffen den Aufsichtsrat? Von Falko R. Loy, ArMiD-Mitglied

News
Corporate Governance

Es ist eine zentrale Aufgabe des Aufsichtsrats, sich mit der Wirksamkeit des Risikomanagementsystems seines Unternehmens zu befassen. Insofern ergibt sich auch oder gerade im Kontext der Covid-19-Pandemie für die Unternehmen die interessante Fragestellung, ob das Risikomanagement wirksam ist, also das Unternehmen auf Covid 19 angemessen vorbereitet war und ob sich daraus etwaiger Handlungsbedarf für die künftige Ausrichtung des Risikomanagements ergibt.

Theoretisch sollte es allein durch eine Pandemie, wie die durch Covid 19 ausgelöste, keine zusätzlichen Konsequenzen auf das Risikomanagement geben. Warum auch? Risiken zu antizipieren, zu identifizieren und zu bewerten, gehört bekanntermaßen bereits seit langer Zeit zu den wesentlichen Pflichtaufgaben von Aktiengesellschaften und vieler Unternehmen, bei denen diese Aktivität unabhängig von der Gesellschaftsform regulatorisch vorgeschrieben ist, wie etwa bei Banken und Versicherungen.

Auch bei Unternehmen, die dazu nicht explizit gesetzlich verpflichtet sind, zählt es zu den Pflichten eines ordentlichen Kaufmanns, sich über Risiken, die das Unternehmen, den Geschäftsverlauf und das Geschäftsmodell betreffen könnten, Gedanken zu machen und geeignete Maßnahmen zu ergreifen – etwaige Risiken durch eine gute Vorbereitung zumindest zu minimieren.

War nun die Corona-Pandemie ein unvorhersehbares Ereignis? Eher nicht, denn ähnlich gelagerte Fälle, wenn auch nicht in der Auswirkung, gab es bereits in der jüngeren Vergangenheit einige. Zudem gab es in den letzten Jahren relevante Studien, die sich mit Pandemie-Risiken auseinandergesetzt haben. Insofern war das Risiko einer Pandemie als solches bekannt. Fraglich ist jedoch, ob die Unternehmen eine Pandemie als Unternehmensrisiko identifiziert und bewertet haben und etwaige Notfallpläne existierten.

Wird dies das letzte Ereignis dieser Tragweite sein? Das ist natürlich schwer zu beantworten, aber die meisten Wissenschaftler sehen das eher nicht so. Das Pandemierisiko gehörte bislang, wie viele andere Risiken auch, zu den sogenannten „Emerging Risks“, also Risiken, die zukünftig auftauchen können bzw. bereits vorhanden und nur schwer zu quantifizieren sind - und darüber hinaus ein potenziell hohes Schadenausmaß haben. Emerging Risks zeichnen sich durch eine hohe Unsicherheit aus, da selbst Basisinformationen, mit Hilfe derer die Häufigkeit und Schweregrad des Schadeneintritts adäquat bewertet werden könnten, nicht oder nur unzureichend vorhanden sind.
Das Pandemierisiko gehört aber inzwischen wohl nicht mehr zu den Emerging Risks, da mittlerweile sehr viele Daten vorhanden sind, diese Art Risiko für die Zukunft besser einzuschätzen. Zumindest in einer Bandbreite, die mit Hilfe mathematischer Verfahren, wie bspw. einer Monte-Carlo-Simulation, eingegrenzt werden können. Unbenommen ist auch, dass es noch weitaus schlimmere Szenarien einer Pandemie geben kann, so dass es ratsam ist, mehrere Szenarien genauer zu analysieren, welche Konsequenzen ein solcher Risikoeintritt für das eigene Unternehmen haben könnte und welche Maßnahmen zur Risikominderung und Krisenbewältigung ergriffen werden könnten.

Es gibt jedoch wie bereits angedeutet weitere Emerging Risks, die ebenfalls eintreten könnten. Eine hilfreiche Lektüre ist die Veröffentlichung des „CRO Forum“, das jährlich das sogenannte „Major Trends and Emerging Risk Radar“ herausbringt (https://www.thecroforum.org/2020/06/30/emerging-risk-initiative-major-trends-and-emerging-risk-radar-2020-update/). Hierbei werden wichtige Trends für den Versicherungssektor analysiert, welche zweifelsohne auch für viele weitere Branchen relevant sein können. Als die wichtigsten aktuellen Trends werden „Altern und Gesundheit“, „Verbraucherverhalten und Digitalisierung“, „wirtschaftliche Instabilität“, „Urbanisierung und soziale Veränderung“, „Umgebung und Klima“, „Verschiebung geopolitischer Landschaft“ und „technologische Veränderung“ genannt. Die dargestellten Risiken sind für die verschiedenen Branchen und Unternehmen von unterschiedlicher Bedeutung. Beispielhaft können hier „Blackout kritischer Infrastrukturen“, „Cyberrisiken“ oder auch „Digitale Fehlinformation“ genannt werden. Die Relevanz und möglichen Auswirkungen auf das eigene Unternehmen der dort genannten Risiken zu untersuchen, ist auf jeden Fall eine sinnvolle und gleichermaßen hilfreiche Übung. Jedoch auch abgesehen von den bereits aufgezeigten Risiken, lohnt es sich, bezogen auf die eigene Branche und das eigene Unternehmen, zu reflektieren, welche zukünftig aufkommenden Trends bzw. Risiken das Unternehmen betreffen könnten. Ich würde so weit gehen zu prognostizieren, dass dies in vielen Fällen zu weiteren Aktivitäten führen wird – zumindest, wenn die Übung ernsthaft betrieben wird. 

Zu betrachten sind hierbei die Auswirkungen auf das gesamte Unternehmen, also auf den Geschäftsbetrieb, die zur Verfügung stehenden Ressourcen, das Geschäftsmodell, die Lieferketten sowie die Wertschöpfung. Die zu ergreifenden Maßnahmen müssen daher vielfältig sein und beispielweise zusätzliche Absicherung, eine Diversifizierung im Geschäftsmodell, eine Neuordnung von Lieferketten, eine Anpassung des Auswahlprozesses von Lieferanten, eine Adjustierung von finanziellen Puffern oder eine Etablierung von Katastrophenplänen beinhalten.

Haben Sie dazu Fragen, Anregungen oder Diskussionsbedarf? Dann sprechen Sie mich gerne an:
fl@loy-consult.de