- Finanznachrichten auf Cash.Online - https://www.cash-online.de -

Risikomanagementsysteme am Limit: Warum auch der Mittelstand mehr tun muss

So mancher Mittelständler wird womöglich zum ersten Mal gezwungen sein, sich systematisch mit den Risiken seines Geschäftsmodells auseinander zu setzen. Grund hierfür ist, dass die EU-Mitgliedstaaten die so genannte CSR-Richtlinie umsetzen müssen.

Gastbeitrag von Nicolas Kemper, LKC Kemper Czarske v. Gronau Berz

“Das Risikomanagement muss zur Chefsache im Tagesgeschäft erklärt werden.”

Die Wahrscheinlichkeitsverteilung, mit der sich die Risikoforschung befasst, sieht seit Längerem das Ende der Gaußschen Normalverteilung. Deutlich mehr Risiken als angenommen weisen demnach eine höhere Wahrscheinlichkeit auf. Die letzten Monate scheinen diese statistische Berechnung zu bekräftigen.

EU: Unternehmen sollen ihre Risiken in Zukunft besser beherrschen können

Nach Griechenland-Krise, Konjunktureinbruch in China, Embargo gegen Russland, Terror in Paris, Syrienkrieg, Flüchtlingschaos und EU-Streit kommt nun mit einer neuen drohenden Bankenkrise die nächste Hiobsbotschaft für Märkte und Unternehmen.

Und so ist vielleicht gerade jetzt der richtige Zeitpunkt, dass die EU-Mitgliedstaaten die so genannte CSR-Richtlinie umsetzen müssen. Ab 2017 sind insbesondere börsennotierte Unternehmen, Banken und Versicherungsunternehmen verpflichtet, in ihren Rechenschaftsberichten nichtfinanzielle Informationen über Strategien und Risiken offen zu legen. Die neue Richtlinie will explizit erreichen, dass Unternehmen ihre Risiken in Zukunft besser erkennen und beherrschen können.

Die Risiken, über die es zu berichten gilt, sind deshalb breit gefächert. Sie sollen zugleich nach Ausmaß und Intensität beurteilt werden. Risiken können unmittelbar aus den eigenen Tätigkeiten des Unternehmens herrühren oder mit der Geschäftstätigkeit, den Erzeugnissen, Dienstleistungen und Geschäftsbeziehungen, einschließlich der Lieferkette und der Kette von Subunternehmern, in welcher Form auch immer, verknüpft sein.

Mit den Risiken auseinandersetzen – nicht nur pro forma abarbeiten

Insbesondere international tätige Unternehmen sollten diese neue Berichtspflicht nicht nur pro forma abarbeiten. Sie sollten sie zum Anlass nehmen, das eigene Risikomanagement grundlegend zu überprüfen und einem Stresstest zu unterziehen. Dabei zeigt der Hinweis auf die Lieferkette, dass auch kleine und mittlere Unternehmen zumindest indirekt betroffen sein werden. Natürlich sollte sich, wie immer bei zusätzlichen Berichtspflichten, der Aufwand in Grenzen halten, aber in diesem Fall ist es der richtige Impuls zum richtigen Zeitpunkt. So mancher Mittelständler wird womöglich zum ersten Mal gezwungen sein, sich systematisch mit den Risiken seines Geschäftsmodells auseinander zu setzen.

Seite zwei: Die operativen Risiken werden unübersichtlicher [1]

Zwar verpflichtet seit 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (kurz KonTraG) auch weite Teile des Mittelstands zu einem Risikomanagement-System – einschließlich einer Berichterstattung im Lagebericht des Jahresabschlusses. Aber alle diese rechtlichen Vorgaben, zum Beispiel auch die Mindestanforderungen an das Risikomanagement (MaRisk) für Banken, Versicherungen und Investmentgesellschaften, haben eines gemeinsam: Sie sind zwischen 15 und 20 Jahre alt, so dass sich ihre Umsetzung in den Unternehmen im typischen Zustand der Standardisierung befindet. Mit anderen Worten: Alle Vorgaben werden routinemäßig erfüllt. Für die Risikoidentifikation und -einschätzung ist das aber zu wenig. Denn die neuen geopolitischen und die vielen hausgemachten Risiken entziehen sich der gewohnten routinemäßigen Bearbeitung.

Zauberwort: Umfeldbeobachtung

Angesichts der Turbulenzen, die das immer volatilere Umfeld erzeugt, steigen die strategischen Risiken. Die operativen Risiken aus immer komplexeren Prozessen – Stichworte sind IT beziehungsweise IT-Sicherheit und IT-Regulatorik sowie Compliance-Verstöße aller Art – werden unübersichtlicher. Generell gilt in turbulenten Zeiten, jenseits von DIN-Norm und Prüfstandards, nach geschäftsnahen Lösungen für den Umgang mit Risiken zu suchen. Umfeldbeobachtung heißt in diesem Zusammenhang das neue Zauberwort, und zwar mit allen Augen und Ohren, die eine große Organisation zur Verfügung hat. Gefragt sind flexible Instrumente, die in kurzen Abständen eingesetzt werden sollten.

360-Grad-Stakeholder-Befragungen, mit denen Einschätzungen von innen und außen zu einem Gesamtbild zusammengefügt werden, sind nur ein Beispiel. Zudem kommt es mehr denn je darauf an, auf dem Risikoradar diejenigen Faktoren auszuwählen, die für das eigene Geschäftsmodell am bedrohlichsten sind. Auch dafür braucht es Entscheidungsprozesse, die wesentlich kürzer sind als die bisherigen traditionellen Steuerungszyklen. Die Planungszyklen haben sich bereits verkürzt und die Zyklen für die Risikobetrachtung müssen noch kürzer werden.

Risikomanagement muss zur Chefsache werden

In einer Welt, die von den US-Militärs mit dem Akronym VUCA (Volatile, Uncertain, Chaotic, Ambiguous) bezeichnet wird, sollten die meisten Unternehmen des Mittelstands vor allem zwei Aufgaben erledigen: Die Gesetzesvorgaben zum Risikomanagement ordnungsgemäß erledigen und sorgfältig darüber berichten. Zugleich muss das Risikomanagement zur Chefsache im Tagesgeschäft erklärt werden. Schließlich geht es um nicht mehr und nicht weniger als die Existenzsicherung des Unternehmens!

Nicolas Kemper (60) ist Wirtschaftsprüfer, Rechtsanwalt, Steuerberater und Partner bei LKC Kemper Czarske v. Gronau Berz aus Grünwald bei München.

Foto: LKC Kemper Czarske v. Gronau Berz