Risikomanagement in KMUs

Nach EU-Definition sind Kleinunternehmen solche mit 10 bis 49 Mitarbeitern und ≤ 10 Mio. Bilanzsumme bzw. Umsatz. Mit rund 2 Mio. zählten lt. Statistischem Bundesamt 2011 in Deutschland 54 % aller Unternehmen zu den kleinen und mittleren Unternehmen (KMU); rund 1,7 Mio. galten als Kleinstunternehmen.

Die Bildung der KMU als Gruppe ignoriert allerdings die großen strukturellen und personellen Unterscheide zwischen kleinen und mittleren Unternehmen. So dominieren in Klein- gegenüber Mittelunternehmen (rasche) Einzelentscheidungen durch den Geschäftsführer (oft auch Eigentümer), eine Funktionstrennung ist wenig ausgeprägt, und der Führungsstil gleicht sehr oft dem eines Patriarchen.

Auch finden sich – vor allem bei den kleineren Kleinunternehmen kaum eine formale Ausbauorganisation oder ausgereifte betriebswirtschaftliche Methoden im Einsatz.

Risikomanagement

Unter Risikomanagement (RM) lässt sich die systematische Erfassung und Handhabung aller Chancen und Risiken im Unternehmen subsumieren. Im Kleinunternehmen wird RM i.d.R. „Chefsache“ sein. Ein RM sollte heute aber Teil jedes funktionierenden Führungssystems sein und als Überwachung des Unternehmensgeschehens hinsichtlich interner Risiken (z.B. unsachgemäße Lagerung, Defizite im Mahnwesen) und externer Risiken (z.B. Auftreten neuer Konkurrenten, Erhöhung der Kreditzinsen) verstanden werden.

Risiko- (und auch) chancenbehaftete Ziele können auf normativer, strategischer, Erfolgs- oder Liquiditätsebene liegen. Wichtige Ziele des RM in Kleinunternehmen werden sein: Verbesserte Liquidität, Verringerung von Forderungsausfällen, mehr Sicherheit. Werden auf der Liquiditätsebene Risiken schlagend und können sie in weiterer Folge nicht bewältigt werden, ist Insolvenz die Folge.

Aber RM darf nicht erst auf der Cash-Ebene ansetzen. Risiken sollten auch auf der strategischen Ebene bewusst und überlegt eingegangen bzw. vermieden werden. Und das lässt sich in kleinen Unternehmen mit „Bord-Mitteln“ durchwegs einrichten. Folgende fünf Fragen sind dabei wesentlich:

1. Welche Risiken können auftreten? Wie kann so ein „Risikoinventar“ aussehen?

Normative Risiken (z.B. Compliance-Risiken)
Strategischen Risiken (z.B. Fehlinvestitionen, falsche Schwerpunkte in der Produktpalette)
Operative Risiken (z.B. Maschinenausfälle, Abhängigkeit von Kunden und Lieferanten)
Finanzielle Risiken (z.B. zu hohe Lagerbestände, Liquiditätsengpässe, geplatzte Kredite)
Regulatorische Risiken (z.B. aus Gesetzesänderungen, vor allem im Umwelt- und Arbeitnehmerschutz)
Personalrisiken (z.B. fehlende Nachfolgeregelungen, hohe Mitarbeiterfluktuation)
IT-Risiken (z.B. Hacken des Mail-Accounts, Phishing, Diebstahl von USB-Sticks)
Politische Risiken in Ländern, in denen Lieferanten und/oder Kunden ihren Sitz haben.

2. Wie kann man Risiken analysieren?

In dieser Phase wird versucht, die das Unternehmen betreffenden Risiken zu identifizieren (z.B. durch Brainstorming, unter Mitwirkung des Controllings) und wichtige Risiken zu bewerten. Bewerten meint sowohl Wertung in Richtung Auswirkungen eines möglichen Schadens (klein bis existenzgefährdend) als auch Bewertung der Eintrittswahrscheinlichkeit (Eintritt unwahrscheinlich oder fast sicher?).

Aus diesen Bewertungen lässt sich eine Risikomatrix erstellen, die einen guten Überblick über die Risikosituation des Unternehmens gibt. Es zeigt sich eine Prioritätenliste der zu bearbeitenden Risiken. Dementsprechend sollte man sich um die Gegenmaßnahmen kümmern.

3. Welche sind die Ursachen der Risiken?

Auch bei dieser Frage geht es um Identifikation und Bewertung. Diesmal werden aber die Ursachen der einzelnen Risiken untersucht. Die entscheidende Frage ist: Was führt mit welcher Wahrscheinlichkeit zum Eintritt eines der in Phase 1 ermittelten Risiken? Es entsteht eine bewertete Liste der Ursachen der Risiken. So lässt sich erkennen, welchen Ursachen man unbedingt vorbeugen bzw. entgegentreten muss, und welchen vielleicht erst in einem zweiten Schritt, oder auch gar nicht.

4. Welche Maßnahmen sind zu treffen?

Anhand der in Frage 3 ermittelten priorisierten Ursachen für die jeweiligen Risiken werden nun Maßnahmen abgeleitet, um im Schadensfall die Auswirkungen eines negativen Ereignisses so gering wie möglich zu halten. Hier geht es um Maßnahmen zum

Vermeiden (z.B. Ablehnen von Aufträgen, die kaum Deckungsbeitrag bringen)
Vermindern bzw. Begrenzen (z.B. Hereinnahme von Partnern oder Suche nach Know-how)
Überwälzen (z.B. auf einen Versicherer oder Hedging)
Selbsttragen (z.B. Dotierung von Rücklagen oder Rückstellungen)

von Risiken. Auch hier erfolgt wieder eine Bewertung: Welche Maßnahme soll umgesetzt werden, welche nicht? Lohnt sich die Umsetzung im Vergleich zum vermuteten Risiko oder nicht? Als Ergebnis erhält man Maßnahmenpläne, die schriftlich erstellt und mit einem Timing versehen sein sollten.

5. Wie kann die Umsetzung der Maßnahmen kontrolliert werden?

Jetzt gilt es die abgeleiteten und beschlossenen Maßnahmen umzusetzen und ihre Wirksamkeit begleitend bzw. nachträglich zu kontrollieren. Und das wird zugleich wieder der erste Schritt im nächsten Durchlauf des RM-Prozesses sein. Zusätzlich sollte das Controlling eine Art „Risiko-Cockpit“ einrichten, um das RM als regelmäßig anzuwendendes Tool im Kleinunternehmen zu verankern.

Best Practices at its best - von Revisoren für Revisoren

Forum Executives - Ihre Praxisdatenbank für die Interne Revision

Interne Revision

Lesen Sie hier, was die Interne Revision über IT-Security und Interne Kontrollsysteme wissen muss

Forensic Services

Wertvolle Arbeitshilfen, interessante Fachartikel und beispielhafte Fraud Cases