Beruflich Dokumente
Kultur Dokumente
Bachelor-Thesis
Studiengang Angewandte Betriebswirtschaftslehre
vorgelegt von
Kister, Jana
Inhaltsverzeichnis
Abbildungsverzeichnis .............................................................................................................. IV
Abkürzungsverzeichnis .............................................................................................................. V
2. Zielsetzung .............................................................................................................................. 2
3. Vorgehensweise ..................................................................................................................... 2
7. Prüfungsorgane .................................................................................................................... 15
8.3.4. Risikoidentifikation................................................................................................. 32
9. Fazit........................................................................................................................................ 45
III
Anhang ....................................................................................................................................... 48
Literaturverzeichnis .................................................................................................................. 49
Abbildungsverzeichnis
Abbildung 1: kleine und mittlere Unternehmen ...................................................................... 4
Abbildung 2: Risiko als positive und negative Zielabweichung ........................................... 6
Abbildung 3: Top-14-Risiken .................................................................................................... 7
Abbildung 4: Rechtsformstruktur der Unternehmen 2009 in Deutschland ...................... 13
Abbildung 5: Aufgaben der Internen Revision in Bezug auf das Risikomanagement ... 17
Abbildung 6: Grundelemente eines RMS nach PS 981 ..................................................... 23
Abbildung 7: Risikomanagement-Prozess............................................................................ 25
Abbildung 8: three-lines-of-defense-modell.......................................................................... 29
Abbildung 9: Softwaretechnische RMS-Umsetzung ........................................................... 31
Abbildung 10: Methoden und Instrumente zur Risikoidentifikation ................................... 33
Abbildung 11: Aufbau eines Risikoportfolios ........................................................................ 37
Abbildung 12: Bewältigungsmatrix ......................................................................................... 40
Abbildung 13: Perspektiven der Balanced Scorecard ........................................................ 43
V
Abkürzungsverzeichnis
ABI. Amtsblatt der Europäischen Gemeinschaften
Abs. Absatz
ad hoc unverzüglich
AG Aktiengesellschaft
Cie. Company
BilMoG Bilanzrechtsmodernisierungsgesetz
BSI Bundesamtes für Sicherheit und Informationstechnik
COSO Committee of Sponsoring Organizations of the Treadway Commission
DCGK Deutsche Corporate Governance – Kodex
DIIR Deutsches Institut für Interne Revision e.V.
DRS Deutscher Rechnungslegungs Standard
DRSC Deutsche Rechnungslegungs Standards Committee e.V.
EU Europäische Union
e.V. eingetragener Verein
ggf. gegebenenfalls
GmbH Gesellschaft mit beschränkter Haftung
IDW Institut für Wirtschaftsprüfer in Deutschland e.V.
IfM Institut für Mittelstandsförderung
inkl. inklusive
IR Interne Revision
i.S.v. im Sinne von
IT Informationstechnik
KfW Kreditanstalt für Wiederaufbau
KG Kommanditgesellschaft
KMU kleine und mittlere Unternehmen
KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
lt. laut
MaRisk Mindestanforderungen an das Risikomanagement
ONR Norm vom Austrian Standards Institute
PS Prüfungsstandard
RMS Risikomanagementsystem
vs. versus
WP Wirtschaftsprüfer
VI
https://www.destatis.de/DE/ZahlenFakten/GesamtwirtschaftUmwelt/UnternehmenHandwerk/In-
solvenzen/Insolvenzen.html (Stand 21.07.2017)
3 Verband der Vereine Creditreform e.V.. Online im Internet:
https://www.creditreform.de/nc/aktuelles/news-list/details/news-detail/insolvenzen-in-deutsch-
land-jahr-2016-3303.html (Stand 21.07.2017)
4 Springer Fachmedien Wiesbaden GmbH. Online im Internet:
https://www.springerprofessional.de/controlling/fehlendes-controlling-ist-die-haeufigste-insolven-
zursache/6601998 (Stand 21.07.2017)
2
Und hier setzt auch das Risikomanagement an, denn das Managen von Risiken ist eine
unverzichtbare Teildisziplin des Controllings5 und wesentliche Aufgabe der Geschäfts-
führung. Nur wem es in diesem Zusammenhang gelingt, umzudenken und sich mit den
Methoden/Werkzeugen der Risikobewältigung zu beschäftigen, kann nachhaltig den
sich ständig verändernden Marktbedingungen standhalten und damit ein Überleben si-
chern.
2. Zielsetzung
3. Vorgehensweise
Für kleine und mittlere Unternehmen, kurz KMU genannt, gibt es keine einheitliche Le-
galdefinition, weder in Deutschland noch international betrachtet. So orientiert sich die
Kreditanstalt für Wiederaufbau (KfW) als größte Förderbank Deutschlands an der Emp-
fehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunterneh-
men sowie der kleinen und mittleren Unternehmen ABl. der EU L 124/36 vom 20.05.2003
und clustert KMU‘s wie folgt:
Daneben dürfen max. 24,99 % der Stimmrechte oder des Kapitals direkt oder indirekt
von einer oder mehreren öffentlichen Stellen oder Körperschaften des öffentlichen
Rechts einzeln oder gemeinsam kontrolliert werden.6
Das Institut für Mittelstandsförderung (IfM) grenzt KMU’s seit 2016 hingegen so ab:
Das Statistische Bundesamt Wiesbaden unterteilt sein Datenmaterial über kleine und
mittlere Unternehmen wie in der EU-Empfehlung 2003/361/EG nach Umsatz- und Be-
schäftigtengrößenklassen so:
Gemäß § 267 Handelsgesetzbuch (HGB) gelten dagegen seit dem Inkrafttreten des Bi-
lanzrechtsmodernisierungsgesetzes (BilMoG) nachfolgende Schwellenwerte:
„(1) Kleine Kapitalgesellschaften sind solche, die mindestens zwei der drei nachstehen-
den Merkmale nicht überschreiten:
1. 6 000 000 Euro Bilanzsumme.
2. 12 000 000 Euro Umsatzerlöse in den zwölf Monaten vor dem Abschlußstichtag.
3. Im Jahresdurchschnitt fünfzig Arbeitnehmer.
(2) Mittelgroße Kapitalgesellschaften sind solche, die mindestens zwei der drei in Absatz
1 bezeichneten Merkmale überschreiten und jeweils mindestens zwei der drei nach-
stehenden Merkmale nicht überschreiten:
1. 20 000 000 Euro Bilanzsumme.
2. 40 000 000 Euro Umsatzerlöse in den zwölf Monaten vor dem Abschlußstichtag.
3. Im Jahresdurchschnitt zweihundertfünfzig Arbeitnehmer...“9
lichten bereinigten Fassung, das zuletzt durch Artikel 10 des Gesetzes vom 5. Juli 2017
(BGBl. I S. 2208) geändert worden ist
5
Egal, welche KMU-Definition letztendlich Verwendung findet, es handelt sich um die zah-
lenmäßig stärkste Unternehmensgruppe in Deutschland (Vgl. Abbildung 3, S. 12, Recht-
formstruktur der Unternehmen 2009 in Deutschland) mit großer volkswirtschaftlicher Be-
deutung. Um die Wichtigkeit der KMU’s zu unterstreichen, hier noch ein paar Fakten/
Schlagzeilen des Statistischen Bundesamtes:
Mit 2,5 Millionen zählte 2014 die überwiegende Mehrheit (99,3 %) der Unterneh-
men zu den kleinen und mittleren Unternehmen.
Von den 27,8 Millionen Beschäftigten arbeiteten rd. 61 % in KMU’s.
Im Bau- und Gastgewerbe wurden ca. 85 % des Umsatzes durch kleine und mitt-
lere Unternehmen generiert.
Knapp 20 % der Exporte entfielen auf KMU‘s.13
Erfolgreiche KMU’s sind somit wesentliche Treiber für Wirtschaftswachstum und Wohl-
stand in Deutschland. Schlussfolgernd hat somit die Sicherung des Fortbestandes der-
artiger Unternehmungen hohe Priorität. Der Risikobewältigung kommt hierbei eine zent-
rale Aufgabe zu.
10 Immerschitt, Wolfgang; Stumpf, Marcus: Employer Branding für KMU. Der Mittelstand als at-
traktiver Arbeitgeber: Gabler Verlag 2014, S. 20.
11 Recklies, Dagmar. Online im Internet:
Unternehmensführung. Berlin: Erich Schmidt Verlag GmbH & Co. KG 2016, S. 35.
13 Staatliches Bundesamt, Wiesbaden. Online im Internet:
https://www.destatis.de/DE/ZahlenFakten/GesamtwirtschaftUmwelt/UnternehmenHand-
werk/KleineMittlereUnternehmenMittelstand/KleineMittlereUnternehmenMittelstand.html
(Stand 21.07.2017)
6
„möglicher negativer Ausgang bei einer Unternehmung, mit dem Nachteile, Verlust,
Schäden verbunden sind…“
Der Risikobegriff leitet sich aus dem italienischen „ris(i)co ab; seine Herkunft ist jedoch
unbekannt.14 In der Literatur finden sich sehr viele, unterschiedliche Risiko-Definitionen
und Herleitungen. Auch in der Betriebswirtschaft fällt es schwer, sich auf eine einheitliche
Begriffsbestimmung zu verständigen. So werden beispielsweise unterschieden in enge
und weite Risiken, operative und strategische Risiken, versicherbare und nicht versicher-
bare Risiken oder primäre und sekundäre Risiken. Genauer betrachtet, erstreckt sich
das Risiko eigentlich nicht nur auf die negativen Auswirkungen einer Entscheidung, son-
dern beinhaltet vielmehr auch die Chance auf eine positive Abweichung des Ergebnisses
vom Erwartungswert.15
Unternehmerisches Handeln ist unweigerlich mit dem Eingehen von Risiken verbunden,
woraus sich hoffentlich Ertragschancen ergeben. Die jeweiligen Risiken sind verschie-
denartig, intern und extern beeinflusst und in ihrer Bedeutung eher subjektiv zu bewer-
ten.
Auch die in letzter Zeit häufig vorkommenden Cyberangriffe, beispielsweise auf die Deut-
sche Bahn AG, in deren Folge zahlreiche Anzeigetafeln und Ticketautomaten entspre-
chende Funktionsstörungen aufwiesen, haben gezeigt, welchen Risiken sich heutzutage
Unternehmen stellen müssen. Nicht selten treten dabei mehrere Risiken parallel zuei-
nander auf und verstärken die Problematik noch.
Liquiditätsrisiken
Abbildung 3: Top-14-Risiken17
17 Eigene Darstellung, angelehnt an: Funk RMCE GmbH; Rödl & Partner GmbH; Weissman &
Cie. GmbH & Co. KG: Risikomanagement im Mittelstand. Exklusive Benchmarkstudie zu Stand
und Perspektiven des Risikomanagements in deutschen (Familien-)Unternehmen. Hamburg: Ap-
ril 2011, S. 23.
8
Oberstes Ziel ist also primär die Existenzsicherung, insbesondere durch Stärkung der
Eigenkapitalausstattung (als wesentliches Kriterium für die Ermittlung der Risikotragfä-
higkeit). Im Weiteren wird aber auch die Verbesserung des Unternehmenswertes durch
beispielsweise Imagegewinn, Liquiditätsoptimierung oder auch Ratingverbesserung an-
gestrebt. Daneben gilt als Sonderziel, eine Minimierung der Risikokosten zu erreichen.19
Für die Zwecke des nachfolgend näher betrachteten IDW Prüfungsstandard gelten im
Übrigen folgende Begriffsdefinitionen als Grundlage, wobei auch hier die Chancen mit
einbezogen werden:
„Risiken – mögliche künftige Entwicklungen oder Ereignisse, die zu einer für das Unter-
nehmen negativen (Risiko im engeren Sinne) oder positiven (Chance) Zielabweichung
führen können.
Der Gesetzgeber ist in den letzten Jahren durch die Verabschiedung zahlreicher Rechts-
normen auf die Notwendigkeit zur Einrichtung eines angemessenen Risikomanage-
ments eingegangen und hat damit deren Bedeutung nochmal unterstrichen.
des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1693) geändert worden ist
24 Deutscher Bundestag: Entwurf eines Gesetzes zur Kontrolle und Transparenz im Unterneh-
Für Kapitalgesellschaften gilt lt. § 289 Abs. 1 HGB, dass im Lagebericht die voraussicht-
liche Entwicklung mit ihren wesentlichen Chancen und Risiken zu beurteilen und zu er-
läutern ist.26 Ähnliche Ausführungen für die GmbH sind Bestandteil des § 317 Abs. 2
HGB, sofern diese einen Lagebericht verpflichtend aufstellen müssen. Dies betrifft inso-
fern mittelgroße und große Gesellschaften sowie Mischformen (z. B. GmbH & Co. KG).
§ 317 Abs. 4 HGB verlangt für börsennotierte Aktiengesellschaften zudem eine Prüfung
dahingehend, ob das zuvor geforderte Überwachungssystem auch seine Aufgaben er-
füllen kann.27 Diese Prüfungen sind durch einen Abschlussprüfer vorzunehmen, der ent-
gegen der ursprünglichen Regelung nunmehr durch den Aufsichtsrat bestellt werden
muss.28 Damit werden die Rechte und Pflichten des Aufsichtsrates ausgeweitet und de-
ren Kontrollfunktion deutlich gestärkt.
Allerdings haben die Vorschriften aus Basel II + III indirekt auch Auswirkungen auf Un-
ternehmen und deren Kreditbeschaffung, nämlich über das ermittelte Rating im Rahmen
der notwendigen Bonitätsprüfung. Laut Ehrmann ergibt sich ein positives Rating (damit
verbunden u. a. geringere Zinsaufschläge und höhere Wahrscheinlichkeiten auf Kredit-
gewährung), wenn in einem Unternehmen ein funktionierendes Risikomanagement vor-
liegt.29 Außerdem verbessert sich dadurch auch die Außenwirkung im Marktumfeld im
Zusammenspiel mit anderen Geschäftspartnern.
26 Handelsgesetzbuch: a. a. O.
27 Handelsgesetzbuch: a. a. O.
28 Aktiengesetz: a. a. O., § 111 Abs. 2
29 Ehrmann, Prof. Dr. Harald: a. a. O., S. 57.
12
Gemäß Punkt 4.1.4. des DCGK hat der Vorstand für ein angemessenes Risikomanage-
ment und Risikocontrolling zu sorgen. Der Kodex will damit die Transparenz, Nachvoll-
ziehbarkeit und das Vertrauen in die Leitung und Überwachung deutscher börsennotier-
ter Gesellschaften fördern.30 Der Gesetzgeber verpflichtet derartige Gesellschaften so-
gar, jährlich eine Erklärung zum Corporate Governance Kodex (Regelwerk zur Förde-
rung einer guten und verantwortungsvollen Unternehmensführung31) abzugeben und zu
veröffentlichen.32
Aus dem BilMoG resultieren u. a. die in § 107 Abs. 3 AktG festgelegten Überwachungs-
pflichten für Aufsichtsräte, welche sich ebenfalls mit der Wirksamkeit des Risikomana-
gementsystems befassen sollen.33 Ferner haben bestimmte Kapitalgesellschaften im La-
gebericht die wesentlichen Merkmale des internen Kontroll- und des Risikomanagement-
systems im Hinblick auf den Rechnungslegungsprozess zu beschreiben.34
Ergänzt werden die dargestellten Anforderungen noch durch Regelungen des Deutsche
Rechnungslegungs Standards Committee e.V. (DRSC), z. B. mittels DRS 20 zum Kon-
zernlagebericht. Der Verein ist der nationale Standardsetzer auf dem Gebiet der Kon-
zernrechnungslegung in Deutschland und als privates Rechnungslegungsgremium im
Sinne von § 342 HGB anerkannt35 und legitimiert.
Es kann somit festgestellt werden, dass der wachsenden Bedeutung des Risikomana-
gements durch diverse Gesetze, Verordnungen und sonstige Vereinbarungen entspre-
chend Rechnung getragen wurde.
Die Struktur der Unternehmen 2009 in Deutschland zeigt, dass viele KMU’s sich in
Rechtsformen bzw. Größenklassen bewegen, die eigentlich keine gesetzliche Einrich-
tung derartiger Systeme erfordern:
37 Deutscher Bundestag: Entwurf eines Gesetzes zur Kontrolle und Transparenz im Unterneh-
mensbereich (KonTraG) mit Begründung und Vorblatt. Bonn: Bundesanzeiger Verlagsgesell-
schaft mbH 1998, S. 15.
38 Institut für Mittelstandsförderung: Unternehmensgrößenstatistik. Bonn: März 2012, S. 62.
14
„Von einer professionellen Steuerung von Risiken würde der Mittelstand gleich dreifach
profitieren. Zum einen ergeben sich durch ein integriertes Risikomanagement erhebliche
Synergieeffekte, über die Kosten gesenkt werden können. Zweitens erleichtert der Nach-
weis eines funktionierenden Risikomanagements die Kreditfinanzierung. Und drittens
entspricht das Unternehmen damit den gesetzlichen Anforderungen, die im Bereich der
Risikovorsorge laufend verschärft werden.“39
In diesem Zusammenhang wird abschließend auch noch auf den Governance Kodex für
Familienunternehmen als Leitlinie für die verantwortungsvolle Führung von Familienun-
ternehmen und Unternehmerfamilien verwiesen, der auf derartige Unternehmen zuge-
schnittene Empfehlungen, wie u. a. die Errichtung eines umfassenden RMS, enthält.40
Bevor im Kapitel 8 der IDW Prüfungsstandard PS 981 näher vorgestellt wird, folgt zu-
nächst ein kurzer Überblick über die gängigen Prüfungsorgane und ihre Tätigkeiten im
Rahmen des Risikomanagements. Dies ist insofern von Belang, weil dadurch der Zu-
sammenhang zum PS 981 hergestellt und gleichfalls die Einbettung der Kontrollgremien
in die Aufbau- und Ablauforganisation von Unternehmen beschrieben wird.
39 Funk RMCE GmbH; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: a. a. O., S. 5.
40 Krömer, Bernhard: Aufbau und Ablauf des Risikomanagements. Teil A: Umsetzung von Com-
pliance-Erfordernissen gem. §91 Abs.2 AktG in der Unternehmenspraxis. In: Zeitschrift für Cor-
porate Governance, Jg. 2017, Nr. 2. Berlin: Erich Schmidt Verlag, S. 71.
15
7. Prüfungsorgane
Dabei lassen sich die jeweiligen Prüfungsorgane zum Beispiel nach Art der Unterneh-
menszugehörigkeit unterscheiden. Zu den internen Prüfungsstellen gehören neben den
speziellen Fachabteilungen/dem (Risiko)-Controlling hauptsächlich die Interne Revision
sowie der Aufsichtsrat. Externe Kontrollhandlungen werden im Wesentlichen durch Ab-
schlussprüfer oder externe Revisoren durchgeführt.
7.1. (Risiko)-Controlling
Das Risikocontrolling ist für die Überwachung und Kommunikation der Risiken entlang
aller operativer Bereiche und Stäbe zuständig und orientiert sich dabei an den Unterneh-
menszielen inkl. enthaltener Risikokomponenten.41 Es trägt im Risikomanagement-Pro-
zess hauptsächlich durch Soll/Ist-Vergleiche betriebswirtschaftlicher Kennzahlen zur In-
formationsgewinnung bei und ist wesentlich eingebunden in die Steuerung und Kontrolle
der Risiken.42 Dabei wird fortlaufend untersucht, ob die unternehmensseitigen Planun-
gen, Ziele und Anweisungen erfüllt und eingehalten werden oder ggf. einer Überarbei-
tung bedürfen.
Die Interne Revision (IR) ist der Geschäftsleitung direkt unterstellt und dieser berichts-
pflichtig. Im Bereich der Risikokontrolle werden risikoorientiert und prozessunabhängig
die Wirksamkeit und Angemessenheit des RMS im Allgemeinen und des internen Kon-
trollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten
und Prozesse geprüft und beurteilt.45 Die Prüfungshandlungen zur Zweckmäßigkeit um-
fassen sowohl Aufbau- als auch Funktionsprüfungen, sie finden regelmäßig aber auch
in unregelmäßigen Zeitabständen statt. Ermittelte Schwachstellen werden an die Ge-
schäftsführung kommuniziert und lösen im Allgemeinen einen Anpassungsvorgang aus.
Die einzelnen Tätigkeiten der Internen Revision in Bezug auf das Risikomanagement
werden in der nachfolgenden Grafik abgebildet. Die im Fächer rechts aufgeführten Ar-
beiten - sofern im Mittelstand möglich – sollten nicht durch die IR ausgeführt werden.49
Die Einrichtung einer solchen Institution ist nicht zwingend vorgeschrieben, oftmals fin-
den sich gerade bei kleineren Unternehmen keine separaten Revisionseinheiten. In die-
sem Fall sind die entsprechenden Überwachungsvorgänge dann durch andere geeig-
nete Personen im Unternehmen – ggf. auch durch die Geschäftsleitung selbst – zu ge-
währleisten oder auch mittels Outsourcing dieser Tätigkeiten an externe Sachverstän-
dige zu übertragen.51
7.3. Wirtschaftsprüfer
Neben der originären Prüfung von Jahres- und Konzernabschlüssen (nachträglich) prüft
ein Wirtschaftsprüfer (WP) heutzutage auch die Kreditwürdigkeit, die Wirtschaftlichkeit
oder Kontroll- und IT-Systeme von Unternehmen.52 Damit gehen die WP-Tätigkeiten weit
über die eigentliche Buchführungsprüfung hinaus.
Dazu muss der WP diverse Gesetze und Rechtsverordnungen beachten. Seine Arbeit
lehnt sich zumeist an den gültigen Prüfungsstandards des IDW an.
Das nächste Kapitel widmet sich sehr umfangreich dem neuen IDW Prüfungsstandard:
Grundsätze ordnungsmäßiger Prüfung von Risikomanagementsystemen.
Vor kurzem hat der Hauptfachausschuss des Institut für Wirtschaftsprüfer in Deutsch-
land e.V. (IDW) mehrere Standards verabschiedet, u. a.
PS 981
Grundsätze ordnungsmäßiger Prüfung von Risikomanagementsystemen
PS 982
Grundsätze ordnungsmäßiger Prüfung des internen Kontrollsystems des inter-
nen und externen Berichtswesens
PS 983
Grundsätze ordnungsmäßiger Prüfung von Internen Revisionssystemen,
56 Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Institut der Wirt-
schaftsprüfer in Deutschland e.V. (IDW), online im Internet:
http://wirtschaftslexikon.gabler.de/Archiv/57524/institut-der-wirtschaftspruefer-in-deutschland-e-
v-idw-v7.html (Stand 21.07.2017)
57 Institut der Wirtschaftsprüfer in Deutschland e.V.. Online im Internet:
Anders als der IDW Standard 340: Die Prüfung des Risikofrüherkennungssystems nach
§ 317 Abs. 4 HGB befasst sich der PS 981 mit der freiwilligen Prüfung von Risikoma-
nagementsystemen (nicht nur des Teilaspektes der Früherkennung58) und findet dem-
zufolge keine Verwendung bei gesetzlich angeordneten Prüfungen. Der IDW unter-
streicht hiermit indirekt die Bedeutung zur Implementierung von Risikomanagementsys-
temen auch bei nicht prüfungspflichtigen Gesellschaften und schließt die Maßnahmen
zur Risikobewältigung gleich mit ein.
58 Institut der Wirtschaftsprüfer in Deutschland e.V.: IDW Prüfungsstandard: Die Prüfung des Ri-
sikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340, Stand 11.09.2000). Düssel-
dorf: IDW Verlag GmbH 2017, S. 1.
59 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft: EY Public Services Newsletter. Aus-
Als Gegenstand der Prüfung werden laut IDW die in der RMS-Beschreibung enthaltenen
Aussagen der gesetzlichen Vertreter zu den Grundelementen des Risikomanagement-
sytems sowie zur Angemessenheit, Implementierung und ggf. Wirksamkeit des RMS in
Übereinstimmung mit den angewandten RMS-Grundsätzen genannt.60 Im Ziel steht also
die Beurteilung, ob ausreichende Vorsorgemaßnahmen getroffen wurden, um wesentli-
che strategische und operative Risiken rechtzeitig zu identifizieren, zu bewerten, zu steu-
ern und zu überwachen. Dabei geht es nicht um eine Einschätzung zur Vollständigkeit
und wirtschaftlichen Sinnhaftigkeit der festgelegten Risiken oder der durchgeführten
Maßnahmen, auch nicht um ein Prüfungsurteil über den Fortbestand des geprüften Un-
ternehmens61, sondern darum, ob die unternehmensindividuellen Regelungen zum Risi-
komanagement insgesamt angemessen erscheinen.
Der IDW Standard sieht grundsätzlich auch vor, prüfungsrelevante Teilbereiche – insbe-
sondere operative Risiken – abzugrenzen. Durch den Auftraggeber sind die zu prüfen-
den Teilbereiche nach einzelnen Risikoarten und/oder Unternehmensprozessen bzw.
Organisationseinheiten abzustecken (z. B. kategorisiert nach Risiken aus Unterneh-
mensfunktionen wie Beschaffung, Produktion, Absatz, Rechnungswesen/Finanzwesen,
Personal, IT-Betrieb oder im Hinblick auf Prozesse wie Kernprozesse, Hilfsprozesse,
Management64). Eine isolierte Prüfung in Bezug auf einzelne Grundelemente wird dage-
gen ausgeschlossen.65 Dies dürfte auch nicht mit dem Ursache-Wirkung-Prinzip bzw.
den Wechselwirkungen im Regelkreislauf des Risikomanagement-Prozesses konform
gehen.
Auch auf eine projektbegleitende Prüfung bei Einführung eines RMS wird hingewiesen,
weil derartige Prüfungen bislang nur sehr wenig in Anspruch genommen werden. Zu
dieser Erkenntnis kommt auch die Benchmarkstudie von Funk RMCE; Rödl & Partner;
Weissmann & Cie., denn gerade einmal 8 % der befragten Unternehmen greifen beim
Aufbau und der Optimierung ihres Risikomanagementsystems auf externe Berater zu-
rück. So werden positive Synergieeffekte nicht gehoben und externes Wissen bleibt un-
genutzt.66
Von daher ist es für KMU’s durchaus empfehlenswert/sinnvoll, den PS 981 bei der Im-
plementierung bzw. Verbesserung ihres Risikomanagementsystems zu nutzen, zumal
für derartige Unternehmen nur wenig geeignete Ansätze und Konzepte in der Fachlite-
ratur zu finden sind.67 Die Deloitte GmbH Wirtschaftsprüfungsgesellschaft hat noch ein-
mal die Vorteile/Nutzen eines geprüften und optimierten RMS sowie die entsprechenden
Prüfungsleistungen in einem Flyer ausführlich zusammengefasst (Auszug siehe An-
hang).68 Hierauf wird an dieser Stelle ergänzend verwiesen.
Gestring I., Sonntag R., von der Weth R. (eds): Managementkompetenzen im Mittelstand. Wies-
baden: Springer Gabler Verlag 2014, S. 52.
68 Deloitte GmbH Wirtschaftsprüfungsgesellschaft: Prüfung des Risikomanagementsystems. Ber-
lin: o. V. 01/2017, S. 6.
23
Dabei richten sich die definierten Zielkategorien sowohl auf strategische als auch auf
operative Risiken der Geschäftsorganisation, d. h. aus grundlegenden/langfristigen aber
auch aus alltäglichen/kurzfristigen Entscheidungen resultierend. Besonders die strategi-
schen Risiken sind in ihrer Wichtigkeit für die Beständigkeit/Stabilität eines Unterneh-
mens relevant, dennoch können operative Einzelrisiken gleichfalls eine Bestandsgefähr-
dung auslösen und dürfen daher keinesfalls vernachlässigt werden.
Zudem resultiert aus dem geschilderten Prüfungsgegenstand das Erfordernis, die jewei-
ligen Regelungen zum Risikomanagement im Unternehmen schriftlich zu fixieren und zu
dokumentieren und nicht wie in kleineren Unternehmen oftmals üblich, nur einzelne Do-
kumente und Richtlinien zu sammeln.73
„Die RMS-Beschreibung stellt die Konzeption des RMS und die implementierten Rege-
lungen des RMS in einer für die Adressaten verständlichen Art und Weise dar.“ 74
Dies ist eine wesentliche Prüfungsvoraussetzung und hat den Vorteil, dass sich das Un-
ternehmen – explizit der gesetzliche Vertreter – dazu intensiv mit dem Risikomanage-
ment-Prozess (siehe nachfolgende Abbildung) und seinen Bestandteilen auseinander
setzen muss. Die genaue Prozessausgestaltung und der Umfang der jeweiligen Ele-
mente sind natürlich in einem angemessenen Rahmen zur Unternehmensgröße und
Komplexität anzupassen. Dies kann demzufolge in kleinen und mittleren Unternehmen
stark variieren, zumal KMU’s, wie bereits geschildert, sehr divergent sind.
Abbildung 7: Risikomanagement-Prozess75
Der IDW geht ferner davon aus, dass die internen Verfahrensbeschreibungen jedoch
nicht eine umfassende Prozessbeschreibung mit integriert werden.76 Damit wird das
Grundverständnis für hauseigene und externe Leser deutlich verbessert und gleichfalls
ein grober Überblick geschaffen. KMU’s müssen insofern grundlegende Ausführungen
zur Ausgestaltung und der Funktionsweise des Risikomanagementsystems (u. a Risiko-
bezug, Kontrollmaßnahmen, Verantwortlichkeiten) treffen.77
8.3.1. Risikokultur
Visionen
Unternehmenskultur und –philosophie
Strategien
Ziele78
Die Visionen und die Unternehmensphilosophie stellen hierbei die übergeordneten Ziel-
vorstellungen dar, Strategien und Ziele sind dagegen bereits die Basis für konkrete Un-
ternehmensentscheidungen.79 Da sich in allen operativen und strategischen Bereichen
entsprechende Risikopotenziale finden80, ist somit im gesamten Unternehmen das ge-
wünschte Risikobewusstsein auszubilden. Hierbei handelt es sich jedoch um einen suk-
zessiven Lernprozess, der sich erst im Laufe der Zeit einstellt wird.
Angewandt auf KMU’s sollte die Geschäftsleitung daher zunächst allgemeine risikopoli-
tische Grundsätze für die Unternehmensführung festlegen, strategische Grundaussagen
treffen und dort bereits ihre generelle Risikoeinstellung (z. B. risikoavers, risikoneutral
oder risikofreudig, ggf. differenziert nach Funktionsbereichen, Risikokonzentrationen…)
zum Ausdruck bringen. Über grobe Zielvorgaben, Schwellenwerte und Aufgabendelega-
tionen muss das Risikoverständnis im Gesamthaus integriert/platziert werden. Die Ver-
haltensweisen der Führungskräfte haben sich wie die der übrigen Mitarbeiter hieran zu
orientieren; auch die Unternehmensführung berücksichtigt die vorgegebenen Prinzipien
im Rahmen ihrer jeweiligen Entscheidungen und übernimmt so angemessen Risikover-
antwortung (vs. Ergebnis/Sicherheit). Unerwünschte Zuwiderhandlungen werden ent-
sprechend sanktioniert.82
Der offene Umgang mit Risikoinformationen bzw. deren Austausch ist über sämtliche
Bereiche sicherzustellen. Dies ist bei größeren Unternehmen in der Regel deutlich
schwieriger durch die höhere Anzahl an Mitarbeitern und Unternehmensbereichen. Für
die Entwicklung eines gleichgerichteten Risikobewusstseins in KMU‘s ist die Kommuni-
kation jedoch primär wichtig und daher entsprechend zu fördern.
Die Ziele des RMS sind aufbauend auf der v. g. Risikokultur unternehmensseitig in Form
einer entsprechenden Risikostrategie zu formulieren. Dabei ist festzulegen, in welchem
Ausmaß unter Berücksichtigung der Risikotragfähigkeit des Unternehmens Risiken ein-
gegangen werden sollen.83
Dazu muss das Unternehmen seinen eigenen „Risikoappetit“ und die „Risikotoleranz“
bestimmen.84 Auf Unternehmensleiterebene ist insofern festzulegen, ob und in welchem
Umfang Risiken zur Zielerreichung eingegangen werden können und welche Spielräume
(Abweichungen) vertretbar erscheinen. Bekanntermaßen muss man aber Risiken einge-
hen, um überhaupt Chancen nutzen zu können. Das Risikoausmaß ist jedoch unterneh-
mensindividuell verschieden und von diversen Faktoren abhängig.
Der IDW Standard stellt ferner heraus, dass die Risikopolitik im Unternehmen zu kom-
munizieren ist, um die definierten Ziele für den jeweiligen Unternehmensbereich zu mes-
sen.
„Die Ziele des RMS werden […] auf die jeweiligen Hierarchieebenen heruntergebrochen,
bspw. in Form einer quantitativen Risikostrategie mit Limits bei Finanzrisiken im Treasury
oder durch Kopplung an Budgetbegrenzungen und schrittweise Freigaben bei Investitio-
nen oder Entwicklungsprojekten.“85
Entscheidend für ein wirksames RMS ist aber auch das Vorleben durch die verantwort-
lichen Führungskräfte und die Geschäftsleitung, gerade in mittelständischen, eigentü-
mergeführten Unternehmen.86 Zugleich kommt hiermit die Unternehmensführung ihren
gesetzlich verankerten Sorgfaltspflichten nach. Es nützt also nichts, wenn der „Chef“
nicht vollständig hinter seinem Risikomanagement steht und seine Vorbildwirkung nicht
entsprechend ausübt.
Hierunter werden vor allem eine transparente und eindeutige Aufbau- sowie eine klar
definierte Ablauforganisation verstanden.87
Festlegung von Rollen und Verantwortlichkeiten für die Koordination und Steue-
rung
Definition von Aufgaben, der organisatorischen Einordnung und der Berichtsli-
nien
Festlegung der Ablauforganisation, insbesondere für die Risikoerkennung, Risi-
kosteuerung, Kommunikation und Überwachung
Einsatz technischer Hilfsmittel88
Abbildung 8: three-lines-of-defense-modell89
Während die erste „Verteidigungslinie“ auf Fachbereichsebene die Verantwortung für die
Beurteilung, Steuerung, Überwachung und Reduktion der Risiken trägt, dient die zweite
Instanz der Steuerung und Überwachung der Risikomanagementfunktion der ersten Li-
nie sowie dem Reporting an die Unternehmensleitung. Die dritte Verteidigungslinie wird
von der Internen Revision als objektive und unabhängige Prüfungsstelle wahrgenommen
und möglicherweise noch durch Externe wie z. B. Abschlussprüfer und Aufsichtsbehör-
den als sogenannte vierte Verteidigungslinie ergänzt90 (siehe auch Kapitel 7).
Ob jedoch in kleineren KMU’s auf Grund der geringeren Komplexität alle drei Abteilun-
gen separat vorhanden sein müssen, ist unternehmensindividuell abzuwägen. Möglich-
erweise können Überwachungs- und Prüfungsaufgaben auch zentral zusammengefasst
oder extern vergeben werden, wenn beispielsweise keine Interne Revision oder Con-
trolllingabteilung als solche vorgehalten werden. Grundsätzlich empfiehlt sich aber, um
den unterschiedlichen Funktionen gerecht zu werden, eine entsprechende Aufgaben-
trennung. Innerhalb der jeweiligen Bereiche ist dabei zu gewährleisten, dass keine mit-
einander unverträglichen Tätigkeiten durch ein und denselben Mitarbeiter ausgeführt
werden.91 Für KMU’s ohne eigene Interne Revision wäre eine angemessene Beschrei-
bung (Darstellung der Arbeitsabläufe in einem detaillierten Organigramm92), wer, wie und
wie oft die Systeme überwacht, wünschenswert.93 Eine Integration in bereits bestehende
Strukturen und Prozesse verringert den administrativen Aufwand und begünstigt die Re-
aktionsfähigkeit94, was gerade in kleineren Unternehmen nicht zu unterschätzen ist.
Bezüglich der Ablauforganisation ist diese in Form von Handbüchern und Regelwerken
zu dokumentieren und zu kommunizieren.95 Es sind folglich geeignete Geschäftspro-
zesse für die Risikobearbeitung zu bestimmen, welche insbesondere durch die zweite
Verteidigungslinie vorgegeben werden. Nach Gleißner ist die Entwicklung/Nutzung ge-
eigneter Kennzahlen sowie Verfahren dabei eine zentrale Aufgabe des Risikocontrol-
lings.96
mittelständischen Maschinen- und Anlagenbau. In: Controller-Magazin, Jg. 2017, Nr. 1. Freiburg:
VVW Verlag für ControllingWissen AG, S. 19.
95 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 29.
96 Gleißner, Werner: Grundlagen des Risikomanagements im Unternehmen. München: Verlag
Durch die explizite Benennung einer IT-Unterstützung durch den IDW wird die Notwen-
digkeit zu technischem Fortschritt und Digitalisierung in Unternehmen besonders her-
ausgestellt. Die Umsetzung von Risikomanagement mit Hilfe von spezialisierten Soft-
ware-Lösungen findet nämlich bislang in KMU’s nur unzureichend statt, weshalb die
Funktionalität und Wirksamkeit des RMS in Frage gestellt werden.97
Diesbezüglich besteht also noch Handlungsbedarf, auch für KMU’s die bereits ein Risi-
komanagementsystem eingeführt haben. Die vom Deutschen Sparkassen- und Girover-
band alljährlich herausgegebene „Diagnose Mittelstand“ 2017 bestätigt, dass in einigen
Bereichen durchaus noch Defizite bestehen und die Digitalisierungsanstrengungen nach
Unternehmensgröße und Branche sehr unterschiedlich sind.99
Neben den technischen Hilfsmitteln ist gleichfalls sicherzustellen, dass die Verantwor-
tungsträger die notwendigen persönlichen und fachlichen Voraussetzungen erfüllen und
ausreichende Ressourcen zur Verfügung stehen.100 In KMU’s sind also das diesbezüg-
liche Know-how und die RMS-Kompetenzen zu verbessern sowie entsprechende Mitar-
beiterkapazitäten zu schaffen. Dem Kostenargument stehen die bereits benannten Effi-
zienz- und Effektivitätssteigerungspotenziale eines wirksam genutzten Risikomanage-
ments nivellierend entgegen (61 % der befragten Unternehmen stellten keinen erhöhten
Bürokratieaufwand/Kostenfaktor fest101).
97 Funk RMCE; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: a. a. O., S. 31.
98 Funk RMCE; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: a. a. O., S. 31.
99 Sparkassen-Finanzgruppe Deutsche Sparkassen- und Giroverband: Diagnose Mittelstand
2/2016, S. 11.
101 Funk RMCE; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: a. a. O., S. 21.
32
8.3.4. Risikoidentifikation
Durch die Worte „regelmäßig“ und „systematisch“ wird in Anlehnung an den Regelkreis-
lauf eine kontinuierliche und strukturierte Betrachtung verstanden. Risikomanagement
ist insofern kein in sich abgeschlossener Prozess, sondern muss gelebt, ständig weiter-
entwickelt und wiederholt werden.
Fehler, die in dieser Phase gemacht werden, zeigen sich zumeist erst, wenn ein nicht
erkanntes Risiko tatsächlich eintritt und Schaden verursacht.105 Von daher ist der Pro-
zessschritt „Risiken identifizieren“ von zentraler Bedeutung.
Es bieten sich – wie in der nachstehenden Übersicht dargestellt (ohne Gewähr auf Voll-
ständigkeit) eine Vielzahl von Methoden und Instrumente zur Risikoidentifikation an, wo-
bei der Prüfungsstandard hier keine besonders geeigneten Verfahren benennt und die
Entscheidung deshalb dem Unternehmen selbst überlässt:
Methoden Instrumente
•Umweldanalyse •Checklisten
•Marktanalyse •Entscheidungsbaumanalysen
•Konkurrentenanalyse •Entscheidungstabellentechnik
•Branchenanalyse •Flow-Chart-Analyse
•Potenzialanalyse •Fehlermöglichkeits- und
•Stärken-Schwächen-Analyse Einflussanalyse
•Chancen-Risiken-Analyse •Brainstorming
•Lückenanalyse •Brainwriting
•Portfolioanalyse •Szenario
•Kennzahlenanalyse •Delphi-Methode
•Frühwarnsysteme
Bei strategischen Risiken eignen sich wegen der Einmaligkeit und dem Fehlen von his-
torischen Daten vor allem Szenarioanalysen, wohingegen operationelle Risiken auch
durch mathematische Verfahren wie Value-at-Risk oder Cash-Flow-at-Risk gut identifi-
ziert werden können.107 Externe Risiken lassen sich durch die gezielte Suche in mehr
oder weniger allgemein zugänglichen Quellen (u. a. Branchenverbänden, Wirtschafts-
förderungsgesellschaften, Kammern etc.) erkennen, dies ist bei internen Risiken leider
nicht so einfach möglich. Noch dazu kommt hier der ungewollte Effekt der „Betriebsblind-
heit“. Abhilfe könnte die Einschaltung eines fremden Moderators unter Einbindung von
Mitarbeitern aus sämtlichen Hierarchieebenen schaffen.108
106 Eigene Darstellung, angelehnt an: Ehrmann, Prof. Dr. Harald: a. a. O., S. 88-118.
107 Meyer, Ralf: a. a. O., S. 48ff.
108 Kaack, Dr. Jürgen: Einführung von Risikomanagement in mittelständischen Unternehmen. In:
https://www.controlling-wiki.com/de/index.php/Risikomanagementsystem_(RMS)
(Stand 21.07.2017)
34
Nicht jede Methode/jedes Instrument eignet sich aber für alle Unternehmen (so haben
beispielsweise EDV-Risiken in einem Bauunternehmen geringere Auswirkungen als bei
reinen Technologieunternehmen), für KMU’s müssen daher die richtigen Verfahren ge-
wählt und ggf. den speziellen Besonderheiten angepasst werden. Gerade mittelständi-
sche Unternehmen dürfen hinsichtlich der Analysewerkzeuge nicht mit zu komplexen
Modellen überfrachtet werden111.
Neben dem Top-Down-Ansatz (von oben nach unten) sollte jedoch auch durch die ope-
rativ tätigen Fachbereiche eine Risikoanalyse (Bottom-Up – von unten nach oben) erfol-
gen113, weil dies ggf. bessere oder genauere Ergebnisse liefert. Besonders eignet sich
hierfür u. a. das Brainstorming, bei dem sowohl die Mitarbeiter als auch die Geschäfts-
leitung die durch sie erkannten Risiken benennen. Im ersten Schritt wird noch keine
Wertung der einzelnen Risiken vorgenommen, es steht lediglich der Findungsprozess
im Vordergrund.114 Erst nach der eigentlichen Bestandsaufnahme erfolgt dann die Struk-
turierung und Relevanzabschätzung115, vorzugsweise wieder in Form einer Gruppenent-
scheidung.116
111 Funk RMCE; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: a. a. O., S. 25.
112 Schuppener, Jörg; Tillmann, Winfried: a. a. O., S. 3ff.
113 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 30.
114 Lorenz, Heike. Online im Internet:
http://das-unternehmerhandbuch.de/2013/02/20/risikomanagement-fuer-kleine-unterneh-
men/#Phase_1_Risikoanalyse (Stand 21.07.2017)
115 Gleißner, Werner: a. a. O., S. 58.
116 Barodte, Berthold; Montagne, Eric; Boutellier, Roman: Risikomanagement für kleine und mitt-
Bei den an der „Quelle“ sitzenden Mitarbeitern sollte dann auch ein mögliches Frühwarn-
system angesiedelt werden. Mithilfe von individuellen Frühwarnindikatoren (etwa Kon-
junktur- oder Einkaufsindizes…) sollen Risiken/Veränderungen so zeitnah festgestellt
werden, dass noch Gegensteuerungsmaßnahmen zur Abwendung des Risikoeintritts
bzw. zur Reduzierung des Schadensausmaßes angestoßen werden können.119 Ein sol-
ches Frühwarnsystem wird durch die explizite Benennung im PS 981 indirekt verlangt.
8.3.5. Risikobewertung
Neben der Identifikation der Risiken stellt vermutlich der nächste Prozessschritt, die Ri-
sikobewertung, für viele Unternehmen die schwierigste Aufgabenstellung dar, denn nicht
alle erkannten Risiken lassen sich mittels zahlenmäßiger Methoden messen und müs-
sen daher teilweise subjektiv eingeschätzt werden. Dies führt mitunter zu erheblichen
Bewertungsschwierigkeiten oder –spielräumen. Der Prüfungsstandard fordert hier, dass
Risiken hinsichtlich ihrer Ursache-Wirkungs-Zusammenhänge systematisch untersucht
und im Hinblick auf ihre Eintrittswahrscheinlichkeit und Auswirkungen nach Schadens-
höhe/Eintrittshäufigkeit beurteilt werden.120 Eine Risikomessung ist nach Ehrmann näm-
lich nur dann möglich, wenn diese Faktoren bekannt sind.121
Auch hierfür stehen verschiedene Instrumentarien zur Verfügung. Je nach Risikoart und
Situation des Unternehmens können quantitative (z. B. Statistische Risikoindizes, Kor-
relationen) und/oder hybride Techniken (u. a. Szenario-Analyse, Risk Map) eingesetzt
werden. Die Letztgenannten eignen sich insbesondere für KMU’s bei schwer messbaren
Risiken.122 Die angewandten Bewertungsverfahren und –kriterien sind dabei eindeutig
zu definieren, zu dokumentieren und müssen geeignet sein, die Bedeutung und den Wir-
kungsgrad von Risikosteuerungsmaßnahmen einzuschätzen.123
https://www.qz-online.de/qualitaets-management/qm-basics/massnahmen/risikomanage-
ment/artikel/risikomanagement-fuer-kmu-1247373.html?survey_1247373.current-step=1&ar-
ticle.page=3&_req_id=91500841616853:9A020EF0C2168C636428AD582BBFAFEEB2D03345
(Stand 21.07.2017)
123 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 9. Und 40.
124 Becker, Dr. Stefan; Neyer, Bastian. Online im Internet:
https://www.qz-online.de/qualitaets-management/qm-basics/massnahmen/risikomanage-
ment/artikel/risikomanagement-fuer-kmu-1247373.html?survey_1247373.current-step=1&ar-
ticle.page=3&_req_id=91500841616853:9A020EF0C2168C636428AD582BBFAFEEB2D03345
(Stand 21.07.2017)
125 Preißner, Andreas: a. a. O., S. 357.
37
Die v. g. Einschätzung basiert auf einer Art Relevanzskala, womit sich recht einfach die
Schadensklasse auch für nicht genau messbare Risiken ermitteln und darstellen lässt.
Im folgenden Beispiel wurde die Eintrittswahrscheinlich in unwahrscheinlich, möglich
oder wahrscheinlich und die Schadenshöhe in gering, mittel und groß eingeteilt.
Der Handlungsbedarf nimmt mit der Entfernung zum Koordinatenursprung zu und ist
oben rechts mit der Kombination hoch/wahrscheinlich am größten. Bei Risiken, die in
diesem Bereich angesiedelt sind, besteht der größte Handlungsbedarf mit der vermutlich
bedrohlichsten Auswirkung auf das Unternehmen.
Als Verfahren bieten sich zum Beispiel das „Quadrieren der Einzelwerte (und anschlie-
ßende Wurzelberechnung)“ sowie die „Monte-Carlo-Simulation“ an.131
Jedoch ist die letztgenannte Methode für den Einsatz in KMU’s aufgrund ihrer Komple-
xität nur in größeren Unternehmen geeignet.133 Die Verwendung des bereits erwähnten
Risikoinventars durch Fortschreibung aus der Risikoidentifikation wäre dagegen eine für
KMU’s viel einfachere Variante. Hierzu bietet sich ein standardisierter Erfassungsbogen
an, der übersichtlich die Einzelrisiken in Tabellenform enthält und damit trotzdem den
Blick aufs Ganze ermöglicht.134
Hier bleibt der Prüfungsstandard übrigens hinter den Empfehlungen der befragten Fach-
spezialisten zurück, die keine Wahlmöglichkeit bei der Anwendung von Simulationsver-
fahren, sondern eine wesentliche Pflicht darin sehen.
130 Funk RMCE; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: a. a. O., S. 25.
131 Henschel, Thomas; Heinze, Ilka: a. a. O., S.109.
132 Gleißner, Dr. Werner. Online im Internet:
8.3.6. Risikosteuerung
„Auf der Grundlage der identifizierten und bewerteten Risiken trifft die Unternehmenslei-
tung Entscheidungen über Maßnahmen zur Risikosteuerung (Risikovermeidung, Risiko-
reduktion, Risikoteilung bzw. –transfer sowie Risikoakzeptanz). Als Bezugsrahmen die-
nen die festgelegten Ziele des RMS.“135
Während bei der „Vermeidung“ gewisse Risiken von vornherein nicht eingegangen wer-
den, gilt es durch die anderen Maßnahmen die Risiken bestmöglich zu reduzieren, d. h.
die Schadenshöhe zu begrenzen und/oder die Eintrittswahrscheinlichkeit zu mindern.
Eine hohe Bedeutung kommt dabei auch dem Transfer auf Dritte – speziell der Versi-
cherung – zu.136 Risikoakzeptanz bedeutet in diesem Kontext die eigene Übernahme
von Risiken (selbst tragen), was unter dem Blickwinkel, entsprechende Chancen nicht
gänzlich aufzugeben oder mangels besserer Alternativen gleichfalls in Frage kommt.
Gerade für auftretende Risiken im Kerngeschäft eines Unternehmens ist es unumgäng-
lich, dass diese in einem bewussten Rahmen eingegangen und toleriert werden, um die
hieraus resultierenden Ertragspotenziale entsprechend nutzen zu können.
KMU’s sollten in Abhängigkeit von ihrer eigenen Risikosituation und der Risikotragfähig-
keit dabei einen sinnvollen Strategiemix festlegen und durch passende Steuerungsmaß-
nahmen konkretisieren137, welche unternehmensindividuell zugeschnitten und auf die je-
weiligen Eigenheiten abgestellt sind.
Es ist jedoch unbedingt sicherzustellen, dass die involvierten Mitarbeiter wiederrum an-
gemessen und regelmäßig weitergebildet werden142, um die risikospezifischen Qualifi-
kationen zu verbessern.
8.3.7. Risikokommunikation
Auf Basis eines standardisierten Prozesses sowie konkreter Zuständigkeiten soll ein an-
gemessener Informationsfluss im Risikomanagementsystem (und damit im Gesamt-
haus) gewährleistet werden. Dies bedeutet die Festlegung von Periodizitäten, Schwel-
lenwerten, Berichtsformaten, Eilmeldungen sowie die Sammlung, Prüfung und Aktuali-
sierung entscheidungsrelevanter Informationen.143
Eine gute Informationspolitik ist für das Risikomanagement existenziell wichtig, weil da-
mit die notwendigen Mitteilungen/Erkenntnisse - möglichst vorgefiltert - den entspre-
chenden Adressaten zugeleitet werden können. Dazu sind in KMU’s entsprechende
Kommunikationsmaßnahmen umzusetzen.
Wichtig ist zudem, die Bereitschaft der verantwortlichen Stellen als wesentliche Voraus-
setzung für eine gelungene Risikokommunikation z. B. durch Schulungsmaßnahmen zu
fördern.147
Das letzte zu implementierende Element widmet sich den Kontrollhandlungen zum Risi-
komanagementsystem mit dem Ziel der stetigen Weiterentwicklung und Optimierung. So
spricht sich der PS 981 sowohl für prozessintegrierte als auch prozessunabhängige
Überwachungsmaßnahmen aus, deren Ergebnisse dann in geeigneter Form berichtet
und ausgewertet werden, um Systemmängel zu beseitigen bzw. die Ausgestaltung wei-
ter zu verbessern.148
146 Gebhardt, Christian: Das Risikomanagementsystem als wesentlicher Bestandteil der Corpo-
rate Governance. In: Die Wohnungswirtschaft, Jg. 2015, Nr. 6, S. 69
147 Gleißner, Werner: a. a. O., S. 199.
148 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 9.
149 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 32.
43
schaftslehre. 25., überarbeitete und aktualisierte Auflage. München: Verlag Franz Vahlen GmbH,
S. 203.
154 ibid. S. 203
155 Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Balanced Sco-
Nur mit Hilfe von ausreichenden Kontrollmaßnahmen kann letztendlich die Effektivität
und Aktualität des Risikomanagementsystems dauerhaft sichergestellt werden.
9. Fazit
Für kleine und mittlere Unternehmen, die größtenteils nicht unter die gesetzlichen Anfor-
derungserfordernisse zur Implementierung eines Risikomanagementsystems fallen, gibt
es heutzutage allerdings wirtschaftliche Beweggründe und Interessenlagen, derartige
Systeme dennoch einzurichten. Dazu zählt neben Kostensenkungspotenzialen, verbes-
serten Zugängen auf Kredit- und Kapitalmärkten sowie einer allgemeinen Chancenopti-
mierung vordergründig die Existenzsicherung.
Der IDW hat mit der Veröffentlichung des Prüfungsstandard: Grundsätze ordnungsmä-
ßiger Prüfung von Risikomanagementsystemen nunmehr primär für Wirtschaftsprüfer
eine Prüfungsvorschrift herausgegeben, wie freiwillige RMS-Prüfungen durchzuführen
sind. Derartige Prüfungen von Risikomanagementsystemen sind nicht nur für Aufsichts-
räte oder Vorstände nützlich zum objektivierten Nachweis der ermessensfehlerfreien
Ausübung der Organisations- und Sorgfaltspflichten157, sondern können auch für kleine
und mittlere Unternehmen durchaus einen Mehrwert besitzen. Einerseits als positives
„Aushängeschild“ und Abgrenzungsmerkmal gegenüber anderen Marktteilnehmern und
Stakeholdern, andererseits als Ansatzpunkt zur Optimierung bereits eingeführter Risiko-
managementsysteme mit dem Ziel der Steigerung von Effektivität- und Effizienz genutzt
werden.
Um jedoch eine solche Prüfung überhaupt bestehen zu können, sind nach Meinung des
Standardherausgebers zwingend 8 Grundelemente in das betriebliche Risikomanage-
mentsystem zu integrieren, die sich gegenseitig beeinflussen.
Risikokultur
Förderung der Einstellung und des Verhaltens aller Mitarbeiter des Unterneh-
mens mit Risiken
Ziele des RMS
Formulierung einer Risikostrategie unter Berücksichtigung des eigenen Risiko-
appetits und der Risikotoleranz
Organisation des RMS
Schaffung einer angemessenen Aufbau- und Ablauforganisation durch Definition
von Rollen und Zuständigkeiten
Risikoidentifikation
Bestimmung der relevanten Risiken und deren Ursachen unter Zuhilfenahme von
beispielsweise Frühwarnindikatoren
Risikobewertung
Abschätzung der Risiken mittels quantitativer, qualitativer und aggregierter Ver-
fahren
Risikosteuerung
Festlegung von geeigneten Bewältigungsmaßnahmen wie Risikovermeidung, Ri-
sikoreduktion, Risikoteilung und Risikoakzeptanz
Risikokommunikation
Benennung von Berichtspflichten und –wegen zur adressatengerechten Risikoin-
formation
Überwachung und Verbesserung des RMS
Durchführung prozessintegrierter und prozessunabhängiger Kontrollhandlungen
mit dem Ziel der RMS-Weiterentwicklung158
Inhaltlich handelt es sich zwar nicht um neue Erkenntnisse, der Prüfungsstandard fasst
jedoch verständlich und übersichtlich auch für kleine und mittlere Unternehmen mit zu-
meist begrenztem Methodenwissen die wesentlichen Bestandteile eines Risikomanage-
mentsystems, deren Aufgaben und anzuwendenden Instrumentarien etc. zusammen.
Damit kann der PS 981 durchaus als Handlungsleitfaden und Hilfestellung bei der Im-
plementierung/Verbesserung eines auf das jeweilige Unternehmen zugeschnittenen Ri-
sikomanagementsystems angesehen werden. Es bleibt jedoch nicht aus, sich zusätzli-
ches Wissen insbesondere zu den einzusetzenden Verfahren anzueignen. In diesem
Zusammenhang sind keine detaillierten Aussagen getroffen worden, weil der jeweilige
Methoden- und Instrumenteneinsatz unternehmensindividuell recht unterschiedlich ist.
Auch den einzusetzenden Hilfsmitteln wie entsprechender Technik, Personal und Zeit
kommt eine wesentliche Rolle bei der Einrichtung von Risikomanagementsystemen zu,
so wird mehrfach durch den Prüfungsstandard auf die IT-Ausstattung und Schulungs-
notwendigkeit der verantwortlichen Mitarbeiter hingewiesen. Einschlägige Sachkennt-
nisse und Fertigkeiten sowie individuelle Unternehmenskenntnisse gehören ebenso wie
definierte Mitarbeiterbefugnisse und Kompetenzlimitierungen zu den wichtigen Erfolgs-
faktoren.
Anhang
Anlage 1: Deloitte GmbH Wirtschaftsprüfungsgesellschaft
49
Literaturverzeichnis
Aktiengesetz vom 6. September 1965 (BGBl. I S. 1089), das zuletzt durch Artikel 24 Absatz 16
des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1693) geändert worden ist
Barodte, Berthold; Montagne, Eric; Boutellier, Roman: Risikomanagement für kleine und mittlere
Unternehmen. Angepasster Risikomanagementprozess als Brücke zwischen Theorie
und Praxis. In: Der Schweizer Treuhänder, Jg. 2008, Nr. 3
Deutscher Bundestag: Entwurf eines Gesetzes zur Kontrolle und Transparenz im Unternehmens-
bereich (KonTraG) mit Begründung und Vorblatt. Bonn: Bundesanzeiger Verlagsgesell-
schaft mbH 1998
Funk RMCE GmbH; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: Risikomanage-
ment im Mittelstand. Exklusive Benchmarkstudie zu Stand und Perspektiven des Risiko-
managements in deutschen (Familien-)Unternehmen. Hamburg: April 2011
Gonschorek Torsten; Petzold Christian: Risiken managen. In: Haubold AK., Gonschorek T.,
Gestring I., Sonntag R., von der Weth R. (eds): Managementkompetenzen im Mittelstand.
Wiesbaden: Springer Gabler Verlag 2014
Henschel, Thomas; Heinze, Ilka: Governance, Risk und Compliance. Praxisleitfaden für gute
Unternehmensführung. Berlin: Erich Schmidt Verlag GmbH & Co. KG 2016
Immerschitt, Wolfgang; Stumpf, Marcus: Employer Branding für KMU. Der Mittelstand als attrati-
ver Arbeitgeber: Gabler Verlag 2014
50
Klein, Martin; Schmidt, Christina: Prüfung und Publizität von Risikomanagementsystemen bei mit-
telständischen Kapitalgesellschaften. Empfehlungen für eine angemessene Berichter-
stattung vor dem Hintergrund erweiterter Offenlegungsvorschriften. In: Zeitschrift für Cor-
porate Governance, Jg. 2011, Nr. 2. Berlin: Erich Schmidt Verlag, S. 85ff.
Krömer, Bernhard: Aufbau und Ablauf des Risikomanagements. Teil A: Umsetzung von Compli-
ance-Erfordernissen gem. §91 Abs.2 AktG in der Unternehmenspraxis. In: Zeitschrift für
Corporate Governance, Jg. 2017, Nr. 2. Berlin: Erich Schmidt Verlag
Meyer, Ralf: Die Entwicklung des betriebswirtschaftlichen Risiko- und Chancenmanagements. In:
Risikomanagement in der Unternehmensführung. Wertgenerierung durch chancen- und
kompetenzorientiertes Management. Weinheim: John Wiley & Sons 2008
Schuppener, Jörg; Tillmann, Winfried: KonTraG – Die möglichen Auswirkungen auf das Kredit-
geschäft. Dortmund: o. V.
Wöhe, Dr. Dr. h.c. mult. Günter; Döring, Dr. Ulrich: Einführung in die Allgemeine Betriebswirt-
schaftslehre. 25., überarbeitete und aktualisierte Auflage. München: Verlag Franz Vahlen
GmbH
Internetquellen
Bachmann, Andreas: Checkliste Risikomanagement für KMU. Online im Internet:
https://blog.adacor.com/leitfaden-betriebliches-risikomanagement_1517.html
DIIR - Deutsches Institut für Interne Revision e.V.: Hinweise zur Prüfung des Risikomanagement-
systems. Praxisleitfaden zum DIIR Revisionsstandard Nr. 2. Online im Internet:
http://www.diir.de
DIIR - Deutsches Institut für Interne Revision e.V.: Online-Revisionshandbuch für die Interne Re-
vision in Kreditinstituten. Online im Internet:
http://www.diir.de
Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Institut der Wirt-
schaftsprüfer in Deutschland e.V. (IDW), online im Internet:
http://wirtschaftslexikon.gabler.de/Archiv/57524/institut-der-wirtschaftspruefer-in-deutschland-e-
v-idw-v7.html
Eidesstattliche Versicherung
Eidesstattliche Erklärung
Hiermit erkläre ich an Eides statt, dass ich die vorliegende Bachelor-Arbeit selbstständig
und nur unter Zuhilfenahme der ausgewiesenen Hilfsmittel angefertigt habe. Sämtliche
Stellen der Arbeit, die im Wortlaut oder dem Sinn nach anderen gedruckten oder im
Internet verfügbaren Werken entnommen sind, habe ich durch genaue Quellenangaben
kenntlich gemacht.