Teil 1 von 4
Kleine und mittelständische Unternehmen haben es nicht nur durch schwankende und globalisierte Märkten mit den gleichen Risiken zu tun wie Großunternehmen, sondern beispielsweise auch durch das Thema Cyberkriminalität: Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden drei von vier aller deutschen Unternehmen im Jahr 2017 Opfer von Cyber-Attacken. Ob Datenschutzverletzungen, Manipulation, Beschädigung oder Verlust von Daten oder zum Internetbetrug – der Schaden, der der Deutschen Wirtschaft durch Spionage, Sabotage und Datendiebstahl entsteht, wird auf jährlich 55 Milliarden Euro beziffert, so eine Studie des Digitalverbands Bitkom. Dabei zeigt sich, dass kleine und mittlere Unternehmen die Gefahren von Cyber-Schäden zu einem großen Teil unterschätzen und als weniger kritisch beurteilen.
Meine Erfahrung ist, dass im Unternehmensalltag Risikomanagement immer noch gerne mit Krisenmanagement verwechselt wird. Während letzteres rückwärtsgewandt die Fehler der Vergangenheit für die zukünftige Fehlervermeidung oder -minimierung nutzt, ist Risikomanagement als zukunftsorientiertes Verfahren auf die Minimierung beziehungsweise Vermeidung zukünftiger Risiken ausgerichtet. Deshalb möchte ich hier auf dem Blog noch einmal das Thema Risikomanagement beleuchten.
Mit jeder unternehmerischen Tätigkeit sind untrennbar Risiken verbunden, sie können den Prozess der Zielsetzung und Zielerreichung negativ beeinflussen. Unachtsamer Umgang mit Risiken kann sich schnell existenzgefährdend auswirken. Dies gilt ganz besonders für mittelständische Unternehmen. Da sich das Risikomanagement mit den Ursachen für Planabweichungen (hier sowohl Chancen als auch und Gefahren) befasst, ergeben sich zwangsläufig viele Berührungspunkte zu Planung und Controlling. Deshalb haben wir das Thema Risikomanagement intensiv in unseren C4B Benchmarking Circles behandelt. Ich möchte Ihnen in den kommenden Blogbeiträgen zum Risikomanagement eine Einführung zum Thema geben sowie Beispiele und Learnings aus der Praxis vorstellen.
Worauf zielt Risikomanagement ab?
Risikomanagement kommt bei allem Praxisbezug nicht ohne theoretischen Unterbau und Systematiken aus. An dieser Stelle deshalb ein kurzer Ausflug. Was bedeutet im unternehmerischen Kontext Risiko? Das Wirtschaftslexikon Gabler definiert Risiko so:
„Kennzeichnung der Eventualität, dass mit einer (ggf. niedrigen, ggf. auch unbekannten) Wahrscheinlichkeit ein (ggf. hoher, ggf. in seinem Ausmaß unbekannter) Schaden bei einer (wirtschaftlichen) Entscheidung eintreten oder ein erwarteter Vorteil ausbleiben kann.“
Einfach gesagt zielt Risikomanagement darauf ab, existenzbedrohende Entwicklungen rechtzeitig zu erkennen und Gegenmaßnahmen einzuleiten.
Wie identifiziere ich nun die für das Unternehmen relevanten Risiken und baue mein Risikomanagement auf? Man kann das Risikomanagement zunächst einmal in vier Teilprozesse zerlegen:
- Risiken identifizieren
- Risiken analysieren
- Risiken bewerten
- Risiken steuern
Mit diesen Teilprozessen haben wir uns im C4B Benchmarking Circle intensiver befasst, deshalb habe ich für Sie den theoretischen Unterbau mit Praxisbeispielen unterfüttert. Bevor wir dazu kommen, ein kurzer Ausflug zu den gesetzlichen Grundlagen:
Gesetzliche Anforderungen an das Risikomanagement nach BILMOG
Durch das Bilanzrechtsmodernisierungsgesetz (BilMoG) wurde der entsprechende § 107 Abs. 3 Satz 2 AktG in das Aktiengesetz eingefügt. Dieser regelt unter anderem erstmalig die Einrichtung eines Prüfungsausschusses aus dem Kreise des Aufsichtsrats und kodifiziert darüber hinaus, dass der Aufsichtsrat bzw. die Mitglieder des eingerichteten Prüfungsausschusses für die Überwachung der Wirksamkeit des internen Kontrollsystems, des internen Revisionssystems sowie des Risikomanagementsystems zuständig sind.
Risikomanagement-Systeme sind nur für kapitalmarktorientierte Unternehmen gesetzlich verbindlich vorgeschrieben. Mittelständler zählen aber immer häufiger dazu. Seit Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Jahr 1998 sind Aktiengesellschaften, Gesellschaften mit beschränkter Haftung (GmbHs) und Kommanditgesellschaften auf Aktien (KGaAs) sowie diesen gleichgestellte Gesellschaftsformen wie GmbH & Co. KGs verpflichtet, ein Risikofrüherkennungssystem einzuführen. Börsennotierte Aktiengesellschaften müssen das System auch durch einen Abschlussprüfer prüfen lassen. Mit der hier geregelten „Früherkennung” sind Risiken gemeint, die das Bestands- und Insolvenzrisiko für eine Gesellschaft erheblich steigern oder hervorrufen können. Rein operative Geschäftsrisiken unterhalb der Schwelle der Bestandsgefährdung sind dagegen nicht einbezogen.
Im nächsten Teil meines Beitrags zum Risikomanagement beleuchte ich den ersten der oben genannten vier Teilprozesse des Risikomanagements, die Risikoidentifikation, und gebe Ihnen dazu Praxisbeispiele.
[…] ← Vorherige […]