Risikomanagementbeauftragter: Aufgaben und Einordnung im Unternehmen

In einer Zeit, die von volatilen Märkten, globalen Lieferkettenengpässen und geopolitischen Spannungen geprägt ist, stehen deutsche Unternehmen vor komplexen Herausforderungen. Die Fähigkeit, unvorhergesehene Entwicklungen frühzeitig zu erkennen und abzufedern, entscheidet heute maßgeblich über den langfristigen Erfolg und das Überleben eines Betriebs. Risikomanagement darf daher nicht mehr als lästige Pflicht oder reine Compliance-Übung verstanden werden. Es fungiert vielmehr als strategisches Instrument zur Existenzsicherung und stärkt die Resilienz des gesamten Geschäftsmodells, indem es fundierte Entscheidungen auf Basis transparenter Risikobewertungen ermöglicht.

Die rechtlichen Anforderungen an das Risikomanagement in Deutschland haben sich in den vergangenen Jahren drastisch verschärft. Während das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Jahr 1998 die Einrichtung eines Risikofrüherkennungssystems gemäß Paragraf 91 Absatz 2 Aktiengesetz primär für börsennotierte Aktiengesellschaften vorschrieb, hat der Gesetzgeber diesen Pflichtenkreis im Jahr 2021 massiv erweitert. Mit dem Inkrafttreten des Unternehmensstabilisierungs- und -restrukturierungsgesetzes (StaRUG) wurde die Pflicht zur kontinuierlichen Krisenfrüherkennung auf alle haftungsbeschränkten Unternehmensträger, einschließlich der GmbH, ausgeweitet. Paragraf 1 StaRUG verpflichtet die Geschäftsleitung ausdrücklich, fortlaufend über Entwicklungen zu wachen, die den Fortbestand der Gesellschaft gefährden könnten, und bei Bedarf geeignete Gegenmaßnahmen zu ergreifen[1].

Um diesen Anforderungen gerecht zu werden, müssen Unternehmen systematische Prozesse etablieren, die Risiken identifizieren, bewerten, steuern und überwachen. Hierbei erweist sich eine enge Verzahnung des Risikomanagements mit anderen Kontrollinstanzen als unverzichtbar. Vor allem die Schnittstelle zu einem qualifizierten Compliance-Beauftragten stellt sicher, dass gesetzliche Vorgaben und interne Richtlinien lückenlos ineinandergreifen, um Haftungsrisiken für die Geschäftsleitung effektiv zu minimieren.

Die rechtliche Landschaft des Risikomanagements in Deutschland hat sich in den vergangenen Jahrzehnten grundlegend gewandelt und betrifft längst nicht mehr nur börsennotierte Konzerne. Den historischen Ausgangspunkt bildet das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) aus dem Jahr 1998, das den Paragraphen 91 Absatz 2 des Aktiengesetzes (AktG) neu fasste. Nach dieser Vorschrift ist der Vorstand einer Aktiengesellschaft gesetzlich verpflichtet, ein geeignetes Überwachungssystem einzurichten, um bestandsgefährdende Entwicklungen frühzeitig zu erkennen[2]. Ziel war es ursprünglich, Insolvenzen großer Aktiengesellschaften durch ein strukturiertes und transparentes Risiko-Controlling zu verhindern.

Mit dem Inkrafttreten des Gesetzes über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen (StaRUG) am 1. Januar 2021 hat der Gesetzgeber diese Pflichten drastisch verschärft und auf nahezu alle haftungsbeschränkten Unternehmensträger ausgeweitet. Gemäß Paragraph 1 Absatz 1 StaRUG müssen Geschäftsleiter von Kapitalgesellschaften wie der GmbH oder der UG (haftungsbeschränkt) fortlaufend über Entwicklungen wachen, die den Fortbestand des Unternehmens gefährden können[1]. Erkennen sie solche Krisensignale, sind sie gesetzlich verpflichtet, unverzüglich geeignete Gegenmaßnahmen zu ergreifen und die Überwachungsorgane zu unterrichten. Damit ist das Risikofrüherkennungssystem auch für den deutschen Mittelstand zur zwingenden Pflicht geworden.

Weder das Aktiengesetz noch das StaRUG schreiben explizit die namentliche Bestellung eines Risikomanagementbeauftragten vor. Die gesetzliche Gesamtverantwortung verbleibt stets unübertragbar bei der Geschäftsleitung oder dem Vorstand. In der Praxis zeigt sich jedoch, dass Geschäftsführer und Vorstände die komplexen operativen Anforderungen eines Risikofrüherkennungssystems im operativen Alltag kaum eigenständig bewältigen können. Um den rechtlichen Anforderungen gerecht zu werden und persönliche Haftungsrisiken zu vermeiden, ist eine klare personelle Zuständigkeit im Unternehmen unumgänglich. Der Risikomanagementbeauftragte übernimmt als spezialisierte Fachkraft die laufende Identifikation, Analyse, Bewertung und Aggregation von Risiken nach Standards wie der ISO 31000.

Durch die Delegation der operativen Aufgaben an einen Risikomanagementbeauftragten wird sichergestellt, dass das Risikoüberwachungssystem keine bloße Formalität bleibt, sondern aktiv gelebt wird. Diese Rolle fungiert als zentrale Schnittstelle im Unternehmen. Sie arbeitet eng mit anderen Kontrollinstanzen zusammen, insbesondere mit dem internen Compliance-Beauftragten oder der Internen Revision, um Compliance-Verstöße und operationelle Risiken frühzeitig abzuwehren. Die Nutzung einer integrierten Compliance-SaaS wie der CIVAC Compliance-Plattform hilft dabei, diese Schnittstellen sauber zu strukturieren, Berichtsstrukturen zu automatisieren und die Einhaltung gesetzlicher Fristen lückenlos nachzuweisen.

Der internationale Standard ISO 31000 bildet das weltweit anerkannte Fundament für ein systematisches Risikomanagement. In diesem Rahmen kommt dem Risikomanagementbeauftragten eine operative und koordinierende Schlüsselrolle zu. Er sorgt dafür, dass Risiken im Unternehmen nicht isoliert betrachtet, sondern als integraler Bestandteil aller Entscheidungsprozesse verstanden werden. Seine Kernaufgabe ist die Etablierung, Pflege und kontinuierliche Weiterentwicklung des Risikomanagementsystems (RMS). Dabei arbeitet er eng mit anderen Beauftragten zusammen, insbesondere mit dem Compliance-Beauftragten, um regulatorische Anforderungen lückenlos abzudecken.

Die Aufgaben des Beauftragten orientieren sich streng an den Phasen des Risikomanagementprozesses nach ISO 31000. Dieser Prozess umfasst mehrere aufeinander aufbauende Phasen, die der Risikomanagementbeauftragte steuert und moderiert. Dies beginnt mit der Definition des organisatorischen Kontexts und erstreckt sich über die Risikoidentifikation bis hin zur kontinuierlichen Überwachung.

• Kontextbestimmung: Festlegung des internen und externen Rahmens sowie der Risikokriterien.
• Risikoidentifikation: Systematische Erfassung von potenziellen Risiken, Gefahren und Chancen durch Workshops und Analysen.
• Risikoanalyse: Untersuchung der Ursachen, Auswirkungen und der Eintrittswahrscheinlichkeit der identifizierten Risiken.
• Risikobewertung: Vergleich der Analyseergebnisse mit den definierten Risikokriterien zur Priorisierung.
• Risikobehandlung: Planung und Implementierung von Maßnahmen zur Risikominderung, Risikovermeidung oder Risikoverlagerung.
• Überwachung und Überprüfung: Regelmäßige Kontrolle der Risikolage und der Wirksamkeit der getroffenen Maßnahmen.

Eine der anspruchsvollsten Aufgaben des Risikomanagementbeauftragten ist die sachgerechte Bewertung der identifizierten Risiken. Hierbei unterscheidet die Praxis zwischen qualitativen und quantitativen Methoden. Der Beauftragte muss beide Ansätze beherrschen und situationsgerecht kombinieren, um der Geschäftsleitung eine verlässliche Entscheidungsgrundlage zu bieten.

Ein Risikomanagementsystem ist nur so gut wie der Informationsfluss, den es erzeugt. Der Risikomanagementbeauftragte trägt die Verantwortung für das Berichtswesen. Er bereitet die Ergebnisse der Risikobewertungen systematisch auf und berichtet in regelmäßigen Abständen sowie anlassbezogen bei akuten Gefahren direkt an die Geschäftsleitung. Dieses Reporting bildet die Basis für strategische Entscheidungen und stellt sicher, dass bestandsgefährdende Entwicklungen frühzeitig erkannt und abgewendet werden können.

In modernen Unternehmen sind Risikomanagement, Compliance und Interne Revision keine isolierten Abteilungen, sondern eng verzahnte Säulen einer funktionierenden Governance. Das weltweit anerkannte Drei-Linien-Modell des Institute of Internal Auditors (IIA) beschreibt, wie diese Funktionen strukturiert zusammenarbeiten müssen, um die Unternehmensleitung wirksam zu unterstützen und Risiken abzuwehren[4]. Während die erste Linie aus dem operativen Management besteht, das Risiken direkt verantwortet, agiert der Risikomanagementbeauftragte primär in der zweiten Linie. Hier stellt er Methoden, Werkzeuge und Berichte bereit, um Risiken systematisch zu identifizieren, zu bewerten und zu steuern.

Die zweite Linie umfasst neben dem Risikomanagement auch andere Spezialistenrollen. Ein enges Zusammenwirken mit dem Compliance-Beauftragten ist hierbei unerlässlich. Während das Risikomanagement den Fokus auf geschäftliche, finanzielle und strategische Risiken legt, befasst sich Compliance mit der Einhaltung gesetzlicher, regulatorischer und interner Vorgaben. Diese beiden Bereiche überschneiden sich erheblich, beispielsweise bei Haftungsrisiken oder regulatorischen Anforderungen wie dem Lieferkettensorgfaltspflichtengesetz. Ein ständiger Informationsaustausch verhindert Doppelarbeiten und sorgt für ein lückenloses Kontrollsystem.

Die dritte Linie wird durch die Interne Revision gebildet. Als unabhängige Prüfinstanz berichtet sie direkt an die Geschäftsleitung oder das Kontrollorgan und bewertet die Wirksamkeit der ersten und zweiten Linie. Der Risikomanagementbeauftragte liefert der Internen Revision wertvolle Daten aus seinen Risikoanalysen. Diese dienen der Revisionsabteilung als Grundlage für eine risikoorientierte Prüfungsplanung. Im Gegenzug fließen die Prüfungsergebnisse der Internen Revision wieder in den Risikomanagementprozess ein, um festgestellte Schwachstellen in den Kontrollen zu beheben.

Eine zentrale Herausforderung bei der Verzahnung dieser drei Linien ist der Informationsfluss. Wenn Risikodaten in separaten Tabellen und Compliance-Nachweise in lokalen Ordnern liegen, entstehen gefährliche Informationssilos. Eine integrierte Lösung zur Verwaltung verschiedener Beauftragten-Rollen ermöglicht es, Aufgaben, Berichte und Audits auf einer gemeinsamen Datenbasis zu verwalten. Dies erleichtert dem Risikomanagementbeauftragten die kontinuierliche Dokumentation und stellt der Internen Revision jederzeit revisionssichere Nachweise für anstehende Prüfungen zur Verfügung.

Die Einrichtung und Überwachung eines Risikofrüherkennungssystems ist keine rein operative Aufgabe, sondern eine gesetzliche Leitungsaufgabe, die unmittelbar bei der Geschäftsleitung angesiedelt ist. Gemäß § 1 Abs. 1 StaRUG und § 91 Abs. 2 AktG (KonTraG) ist die Geschäftsführung verpflichtet, fortlaufend Entwicklungen zu überwachen, welche den Fortbestand der Gesellschaft gefährden könnten. Für Geschäftsführer im Mittelstand ist die Bestellung eines kompetenten Risikomanagementbeauftragten ein bewährter Weg, um diesen anspruchsvollen Pflichtenkreis im operativen Alltag zuverlässig abzudecken und eine strukturierte Risikoberichterstattung zu etablieren.

Da das Gesetz kein standardisiertes Berufsbild für den Risikomanager vorschreibt, orientiert sich die fachliche Eignung an international etablierten Standards wie der ISO 31000. Der Beauftragte muss neben tiefem betriebswirtschaftlichen Verständnis auch spezifische Kenntnisse im Bereich der Risikoanalyse und der Risikoaggregation mitbringen. Weil Risiken oft an den Schnittstellen verschiedener Abteilungen entstehen, arbeitet der Risikomanager eng mit anderen Überwachungsfunktionen zusammen, wie etwa einem internen oder extern bestellten Compliance-Beauftragten oder Fachverantwortlichen aus dem IT- und HSE-Bereich.

• Tiefgehendes Verständnis betriebswirtschaftlicher Zusammenhänge und finanzwirtschaftlicher Kennzahlen
• Fundierte Kenntnisse im Bereich Risikoanalyse, quantitative Methoden und Risikoaggregation nach ISO 31000
• Umfassende Kenntnis über die gesetzlichen Rahmenbedingungen wie das StaRUG und das KonTraG
• Regelmäßige Fortbildungen zu aktuellen regulatorischen Entwicklungen und modernen Methoden der Risikofrüherkennung
• Starke kommunikative Fähigkeiten zur fachlichen Schnittstellenarbeit mit der Geschäftsführung und der Internen Revision

Fehler im Risikofrüherkennungssystem oder das gänzliche Fehlen eines solchen Überwachungssystems sind für das Management mit extremen persönlichen Risiken verbunden. Die Pflichten zur Krisenfrüherkennung nach § 1 StaRUG sind zwingendes Recht. Verletzt die Geschäftsführung diese Sorgfaltspflichten schuldhaft, haftet sie bei Schäden nach § 43 Abs. 2 GmbHG oder § 93 Abs. 2 AktG persönlich und unbeschränkt mit ihrem Privatvermögen. Die sogenannte Business Judgment Rule, die Geschäftsleitern einen unternehmerischen Ermessensspielraum gewährt, greift bei einem vollständigen Organisations- oder Überwachungsdefizit ausdrücklich nicht.

Um im Ernstfall den Nachweis einer sorgfältigen Organisation erbringen zu können, ist eine lückenlose und revisionssichere Dokumentation aller Risikoanalysen und getroffenen Gegenmaßnahmen unerlässlich. Digitale Lösungen wie die CIVAC Compliance-Plattform helfen Unternehmen dabei, eine transparente Audit-Spur aufzubauen und Pflichten sowie Schulungen der Akteure nachweisbar zu steuern.

Die gesetzlichen Vorgaben durch das KonTraG und insbesondere das StaRUG verlangen von Geschäftsführern und Compliance-Verantwortlichen ein lückenloses System zur Krisenfrüherkennung und Risikoüberwachung. Da ein Verstoß direkt in die persönliche Haftung der Geschäftsleitung führen kann, ist eine rechtssichere und nachvollziehbare Organisation unerlässlich. Viele mittelständische Unternehmen stehen vor der Herausforderung, diese komplexen Anforderungen intern abzubilden, ohne die operative Effizienz zu gefährden. Das Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen fordert eine kontinuierliche Überwachung von Entwicklungen, die den Fortbestand der Gesellschaft gefährden könnten, was eine systematische Erfassung und Zuweisung von Kontrollaufgaben verlangt[5]. Genau an dieser Schnittstelle bietet CIVAC flexible Lösungsansätze für interne Compliance-Beauftragte und die Geschäftsführung.

Für Unternehmen, die das Risikomanagement intern organisieren möchten, stellt der CIVAC Workspace das ideale digitale Werkzeug dar. Diese Software-Plattform fungiert als zentrales Compliance-Management-System, das Aufgaben, Schulungen und Audits in einer übersichtlichen Benutzeroberfläche bündelt. Interne Beauftragte, wie ein DPO, ein CISO oder ein Compliance-Beauftragter, können Pflichtschulungen automatisieren, regelmäßige Risiko-Begehungen dokumentieren und vordefinierte Aufgabenvorlagen nutzen. Mit der CIVAC Compliance-Plattform behält die Geschäftsführung jederzeit den vollen Überblick über den Status aller Risikominderungsmaßnahmen, während die lückenlose Historie eine revisionssichere Dokumentation für Wirtschaftsprüfer und Behörden gewährleistet.

Fehlt es intern an personellen Ressourcen oder der nötigen fachlichen Expertise zur Umsetzung der gesetzlichen Anforderungen, bietet das Modell CIVAC Externe Beauftragte eine sichere Alternative. Durch die externe Besetzung gesetzlicher oder branchenspezifischer Beauftragten-Rollen wird die operative Last von den internen Teams genommen. Die externen, namentlich bestellten Experten übernehmen die laufende Überwachung, führen regelmäßige Audits durch und haften im Rahmen ihrer Aufgabenstellung für die fachgerechte Ausführung. Die Kombination aus erfahrener Fachkraft und digitaler Unterstützung durch die Plattform minimiert die Haftungsrisiken der Geschäftsführung drastisch und stellt sicher, dass alle regulatorischen Pflichten stets aktuell erfüllt werden. Die ganzheitlichen Leistungen von CIVAC ermöglichen es somit, das gesamte Beauftragtenwesen schlank, kosteneffizient und rechtssicher aufzustellen.

Egal, ob sich ein Unternehmen für den internen Weg unter Nutzung moderner Software oder für die vollständige Entlastung durch eine externe Fachkraft entscheidet: Eine strukturierte Steuerung ist der einzige Schutz vor regulatorischen Bußgeldern und persönlichen Haftungsrisiken. Ein systematischer Ansatz sorgt nicht nur für die gesetzliche Konformität im Sinne von StaRUG und KonTraG, sondern stärkt auch das Vertrauen von Investoren, Banken und Aufsichtsräten in die langfristige Stabilität des Unternehmens. Ein vorausschauender Geschäftsführer oder Compliance-Beauftragter profitiert von klaren Zuständigkeiten und schafft eine proaktive Risikokultur, die Risiken erkennt, bevor sie bestandsgefährdend werden.

Es gibt in Deutschland keine direkte, namentliche Pflicht zur Bestellung eines Risikomanagementbeauftragten im Gesetzestext. Allerdings verpflichten § 91 Abs. 2 AktG (für Aktiengesellschaften) und § 1 StaRUG (für haftungsbeschränkte Gesellschaften wie GmbHs) die Geschäftsführung zur Einrichtung eines Risikofrüherkennungssystems. In der Praxis lässt sich diese Pflicht ohne eine dedizierte Funktion oder einen Beauftragten kaum rechtssicher erfüllen.

Nach § 1 StaRUG sind alle haftungsbeschränkten Unternehmen, also insbesondere GmbHs, GmbH & Co. KGs sowie AGs, gesetzlich verpflichtet, ein Krisenfrüherkennungs- und Krisenmanagementsystem zu betreiben. Das Gesetz gilt somit branchenübergreifend und unabhängig von der reinen Mitarbeiterzahl für fast alle mittelständischen und großen Kapitalgesellschaften.

Zu den Kernaufgaben nach dem internationalen Standard ISO 31000 gehören die systematische Risikoidentifikation, die Risikobewertung (hinsichtlich Eintrittswahrscheinlichkeit und Schadensausmaß), die Steuerung von Gegenmaßnahmen sowie die kontinuierliche Berichterstattung an die Geschäftsführung zur fundierten Entscheidungsfindung.

Im 'Three Lines'-Modell ist das Risikomanagement Teil der zweiten Linie, die operative Risiken überwacht und Methoden bereitstellt. Die Compliance-Funktion stellt als ebenfalls zweite Linie die Einhaltung von Gesetzen sicher. Die Interne Revision agiert als unabhängige dritte Linie, die sowohl das Risikomanagement als auch das Compliance-System auf ihre Wirksamkeit hin prüft.

Der Risikomanagementbeauftragte haftet im Innenverhältnis gegenüber dem Unternehmen bei grober Fahrlässigkeit oder Vorsatz nach den allgemeinen arbeitsrechtlichen Grundsätzen. Die primäre Außenhaftung und Verantwortung für das System verbleibt jedoch stets bei der Geschäftsführung (Organhaftung nach § 93 AktG oder § 43 GmbHG).

Ja, Unternehmen können die Funktion an einen externen Dienstleister vergeben. Die externe Besetzung (z. B. als Officer-as-a-Service) bietet den Vorteil von sofort verfügbarer Fachkompetenz, minimierten internen Ressourcenbindungen und einer klaren vertraglichen Haftungsabgrenzung.