Zwar verpflichtet seit 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (kurz KonTraG) auch weite Teile des Mittelstands zu einem Risikomanagement-System – einschließlich einer Berichterstattung im Lagebericht des Jahresabschlusses. Aber alle diese rechtlichen Vorgaben, zum Beispiel auch die Mindestanforderungen an das Risikomanagement (MaRisk) für Banken, Versicherungen und Investmentgesellschaften, haben eines gemeinsam: Sie sind zwischen 15 und 20 Jahre alt, so dass sich ihre Umsetzung in den Unternehmen im typischen Zustand der Standardisierung befindet. Mit anderen Worten: Alle Vorgaben werden routinemäßig erfüllt. Für die Risikoidentifikation und -einschätzung ist das aber zu wenig. Denn die neuen geopolitischen und die vielen hausgemachten Risiken entziehen sich der gewohnten routinemäßigen Bearbeitung.
Zauberwort: Umfeldbeobachtung
Angesichts der Turbulenzen, die das immer volatilere Umfeld erzeugt, steigen die strategischen Risiken. Die operativen Risiken aus immer komplexeren Prozessen – Stichworte sind IT beziehungsweise IT-Sicherheit und IT-Regulatorik sowie Compliance-Verstöße aller Art – werden unübersichtlicher. Generell gilt in turbulenten Zeiten, jenseits von DIN-Norm und Prüfstandards, nach geschäftsnahen Lösungen für den Umgang mit Risiken zu suchen. Umfeldbeobachtung heißt in diesem Zusammenhang das neue Zauberwort, und zwar mit allen Augen und Ohren, die eine große Organisation zur Verfügung hat. Gefragt sind flexible Instrumente, die in kurzen Abständen eingesetzt werden sollten.
[article_line type=“most_read“ cat=“Versicherungen“]
360-Grad-Stakeholder-Befragungen, mit denen Einschätzungen von innen und außen zu einem Gesamtbild zusammengefügt werden, sind nur ein Beispiel. Zudem kommt es mehr denn je darauf an, auf dem Risikoradar diejenigen Faktoren auszuwählen, die für das eigene Geschäftsmodell am bedrohlichsten sind. Auch dafür braucht es Entscheidungsprozesse, die wesentlich kürzer sind als die bisherigen traditionellen Steuerungszyklen. Die Planungszyklen haben sich bereits verkürzt und die Zyklen für die Risikobetrachtung müssen noch kürzer werden.
Risikomanagement muss zur Chefsache werden
In einer Welt, die von den US-Militärs mit dem Akronym VUCA (Volatile, Uncertain, Chaotic, Ambiguous) bezeichnet wird, sollten die meisten Unternehmen des Mittelstands vor allem zwei Aufgaben erledigen: Die Gesetzesvorgaben zum Risikomanagement ordnungsgemäß erledigen und sorgfältig darüber berichten. Zugleich muss das Risikomanagement zur Chefsache im Tagesgeschäft erklärt werden. Schließlich geht es um nicht mehr und nicht weniger als die Existenzsicherung des Unternehmens!
Nicolas Kemper (60) ist Wirtschaftsprüfer, Rechtsanwalt, Steuerberater und Partner bei LKC Kemper Czarske v. Gronau Berz aus Grünwald bei München.
Foto: LKC Kemper Czarske v. Gronau Berz
