Risikomanagement umfasst sämtliche Maßnahmen zur systematischen Erkennung, Analyse, Bewertung, Überwachung und Kontrolle von Risiken, ist also der planvolle Umgang mit Risiken.

Forderung nach Risikomanagementsystemen
Durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontrG) wurden bereits 1998 Risikomanagementsysteme für Aktiengesellschaften, Gesellschaften mit beschränkter Haftung (GmbHs) und Kommanditgesellschaften auf Aktien gefordert. Danach hatten durch den neu eingeführten § 91 Abs. 2 AktG (Aktiengesetz) Vorstände geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Leitung und Überwachung des Unternehmens sollten so verbessert werden.

§ 317 Abs. 4 HGB (Handelsgesetzbuch) sieht darüber hinaus bei börsennotierten Unternehmen eine Überprüfung durch einen Abschlussprüfer dahingehend vor, dass die Forderung nach der Einrichtung eines funktionsfähigen RMS und dessen unternehmensinterner Überwachung erfüllt wurde.

Verschärfung der Forderung
Ein Jahrzehnt nach Einführung des § 91 Abs. 2 AktG wurden im Jahr 2009 durch das Bilanzrechtsmodernisierungsgesetz (BilMoG) die Forderungen nach einem Risikomanagement dadurch verschärft, dass nunmehr alle kapitalmarkorientierten Gesellschaften verpflichtet wurden, die wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess im Lagebericht zu beschreiben.

Auch die Störfallverordnung (12. BImSchV) fordert die Ermittlung und Analyse der Risiken, allerdings bezogen auf das Risiko von Störfällen und das Mittel zur Verhinderung solcher Störfälle (Anhang II Nr. IV StörfallV).

Was bedeutet jedoch der Begriff Risiko?

Risiko – Definition
Die DIN EN ISO 14001:2015-11 definiert Risiko als Auswirkung von Ungewissheit. Dabei wird Auswirkung verstanden als eine Abweichung vom Erwarteten – in positiver oder negativer Hinsicht. Ungewissheit ist der Zustand des auch teilweisen Fehlens von Informationen im Hinblick auf das Verständnis eines Ereignisses oder das Wissen über ein Ereignis, seine Folgen oder seine Wahrscheinlichkeit.

Ein Risikomanagement umfasst demnach auch die Betrachtung der ökologischen Risiken und die Einhaltung und Beachtung des Umweltrechts. Verstärkt wird der Druck auf die Unternehmen durch eine ständige Verschärfung und Änderung umweltrechtlicher Vorschriften durch die Europäischen Gemeinschaften, den bundesdeutschen Gesetzgeber sowie die Bundesländer und Kommunen.

Da gerade die Sicherstellung der Einhaltung umweltrechtlicher Vorschriften zu den originären Aufgaben der Unternehmen zählt, birgt die Nicht- oder nicht ordnungsgemäße Umsetzung der umweltrechtlichen Vorgaben Risiken im Bereich der Umwelthaftung, Verlust des Versicherungsschutzes, schlechte wirtschaftliche Bewertung des Unternehmens und so fort.

Keine gesetzliche Regelung
Es stellt sich die Frage nach einem geeigneten Instrument bzw. der konkreten Umsetzung, denn bislang gibt es keine gesetzliche Regelung, wie das Risikomanagementsystem auszugestalten ist. Mit der ISO 31000:2018 gibt es allerdings eine ISO-Norm, die Leitlinien zum Thema enthält. Diese Norm beschreibt den Umgang mit Risiken in einer Organisation, und zwar unabhängig von Größe, Branche oder Geschäftstätigkeit.

Spielraum
Der Gesetzgeber hat es nicht etwa versäumt, konkrete Vorgaben zu machen, wie das Risikomanagementsystem ausgestaltet sein muss, sondern er hat der betriebswirtschaftlichen Praxis bewusst einen gewissen Spielraum gelassen. Ein Grund ist, dass die Aufbauorganisation maßgeblich von der Größe, Komplexität und Branche eines Unternehmens abhängt.