Bachelorarbeit Kister 2017

Fachbereich Agrarwirtschaft und Lebensmittelwissenschaften
Prüfung und Ausgestaltung von Risikomanagement-

systemen bei kleinen und mittleren Unternehmen
Bachelor-Thesis
Studiengang Angewandte Betriebswirtschaftslehre
vorgelegt von
Kister, Jana
Datum der Abgabe: 29.07.2017

Betreuer: Prof. Dr. Thomas Henschel
Betreuer: Prof. Dr. Theodor Fock
II
Inhaltsverzeichnis
Abbildungsverzeichnis .............................................................................................................. IV
Abkürzungsverzeichnis .............................................................................................................. V
Verzeichnis aufgeführter Gesetze........................................................................................... VI
1. Problemstellung und Abgrenzung ....................................................................................... 1
2. Zielsetzung .............................................................................................................................. 2
3. Vorgehensweise ..................................................................................................................... 2
4. Kleine und mittlere Unternehmen ........................................................................................ 3
5. Risiko und Risikomanagement ............................................................................................ 6
6. Rechtliche Grundlagen des Risikomanagements ........................................................... 10
7. Prüfungsorgane .................................................................................................................... 15
7.1. (Risiko)-Controlling ....................................................................................................... 15
7.2. Interne Revision ............................................................................................................ 16
7.3. Wirtschaftsprüfer ........................................................................................................... 18
8. Prüfungsstandard PS 981 (Stand 03.03.2017) ............................................................... 19
8.1. Eckpunkte des PS 981................................................................................................. 20
8.2. Gegenstand, Ziel und Umfang der Prüfung .............................................................. 21
8.3. Einrichtung eines RMS nach IDW 981 ...................................................................... 23
8.3.1. Risikokultur ............................................................................................................. 26
8.3.2. Ziele des RMS........................................................................................................ 27
8.3.3. Organisation des RMS.......................................................................................... 28
8.3.4. Risikoidentifikation................................................................................................. 32
8.3.5. Risikobewertung .................................................................................................... 36
8.3.6. Risikosteuerung ..................................................................................................... 39
8.3.7. Risikokommunikation ............................................................................................ 41
8.3.8. Überwachung und Verbesserung des RMS ...................................................... 42
9. Fazit........................................................................................................................................ 45
III
Anhang ....................................................................................................................................... 48
Literaturverzeichnis .................................................................................................................. 49
Eidesstattliche Versicherung .................................................................................................. 53

IV
Abbildungsverzeichnis
Abbildung 1: kleine und mittlere Unternehmen ...................................................................... 4
Abbildung 2: Risiko als positive und negative Zielabweichung ........................................... 6
Abbildung 3: Top-14-Risiken .................................................................................................... 7
Abbildung 4: Rechtsformstruktur der Unternehmen 2009 in Deutschland ...................... 13
Abbildung 5: Aufgaben der Internen Revision in Bezug auf das Risikomanagement ... 17
Abbildung 6: Grundelemente eines RMS nach PS 981 ..................................................... 23
Abbildung 7: Risikomanagement-Prozess............................................................................ 25
Abbildung 8: three-lines-of-defense-modell.......................................................................... 29
Abbildung 9: Softwaretechnische RMS-Umsetzung ........................................................... 31
Abbildung 10: Methoden und Instrumente zur Risikoidentifikation ................................... 33
Abbildung 11: Aufbau eines Risikoportfolios ........................................................................ 37
Abbildung 12: Bewältigungsmatrix ......................................................................................... 40
Abbildung 13: Perspektiven der Balanced Scorecard ........................................................ 43
V
Abkürzungsverzeichnis
ABI. Amtsblatt der Europäischen Gemeinschaften
Abs. Absatz
ad hoc unverzüglich
AG Aktiengesellschaft
Cie. Company
BilMoG Bilanzrechtsmodernisierungsgesetz
BSI Bundesamtes für Sicherheit und Informationstechnik
COSO Committee of Sponsoring Organizations of the Treadway Commission
DCGK Deutsche Corporate Governance – Kodex
DIIR Deutsches Institut für Interne Revision e.V.
DRS Deutscher Rechnungslegungs Standard
DRSC Deutsche Rechnungslegungs Standards Committee e.V.
EU Europäische Union
e.V. eingetragener Verein
ggf. gegebenenfalls
GmbH Gesellschaft mit beschränkter Haftung
IDW Institut für Wirtschaftsprüfer in Deutschland e.V.
IfM Institut für Mittelstandsförderung
inkl. inklusive
IR Interne Revision
i.S.v. im Sinne von
IT Informationstechnik
KfW Kreditanstalt für Wiederaufbau
KG Kommanditgesellschaft
KMU kleine und mittlere Unternehmen
KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
lt. laut
MaRisk Mindestanforderungen an das Risikomanagement
ONR Norm vom Austrian Standards Institute
PS Prüfungsstandard
RMS Risikomanagementsystem
vs. versus
WP Wirtschaftsprüfer
VI
Verzeichnis aufgeführter Gesetze

AktG Aktiengesetz vom 6. September 1965 (BGBl. I S. 1089), das zuletzt durch
Artikel 24 Absatz 16 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1693)
geändert worden ist
GmbHG Gesetz betreffend die Gesellschaften mit beschränkter Haftung in der im
Bundesgesetzblatt Teil III, Gliederungsnummer 4123-1, veröffentlichten
bereinigten Fassung, das durch Artikel 10 des Gesetzes vom 17. Juli 2017
(BGBl. I S. 2446) geändert worden ist
HGB Handelsgesetzbuch in der im Bundesgesetzblatt Teil III, Gliederungsnum-
mer 4100-1, veröffentlichten bereinigten Fassung, das zuletzt durch Arti-
kel 10 des Gesetzes vom 5. Juli 2017 (BGBl. I S. 2208) geändert worden
ist
1
1. Problemstellung und Abgrenzung
Obwohl in zahlreichen Gesetzen und Verordnungen wie beispielsweise dem Aktienge-

setz (AktG) die Einrichtung von Überwachungssystemen gefordert wird, fehlen konkrete
Vorschriften, welche detaillierten Instrumente und Maßnahmen zur Erfüllung dieser Vor-
gaben im Detail zu ergreifen sind. Der Umfang, die Ausgestaltung sowie die Prüfung des
Risikomanagements sind den Unternehmen selbst überlassen und bedingen je nach Ri-
sikobewusstsein unterschiedliche Ausprägungen.
Unerkannte oder ungenügend berücksichtigte Risiken können dabei verheerende Fol-

gen haben, schlimmstenfalls sogar die Insolvenz bedeuten. In 2016 waren insgesamt
21.518 Unternehmensinsolvenzen zu verzeichnen. Zwar ist ein rückläufiger Trend er-
kennbar (Vgl. 2010: 31.998, 2003: 39.320)1, dennoch scheitern noch immer sehr viele
Unternehmen und damit einhergehend sind hohe Forderungsverluste verbunden. Bei bis
2015 beendeten Insolvenzverfahren erhielten Gläubiger lediglich 2,2 % ihrer Forderun-
gen zurück; im Umkehrschluss resultierten hieraus Verluste von schätzungsweise 9,5
Mrd. €.2 Aus der Insolvenzstatistik 2016 ist zu entnehmen, dass 99,7 % aller Unterneh-
mensinsolvenzen dabei auf Kleinstunternehmen bzw. kleine und mittlere Unternehmen
entfallen.3 Die Ursachen für eine Insolvenz sind sehr verschieden und oft nicht nur durch
äußere Faktoren hervorgerufen. Springer-Autor (Springer Gabler Verlag: Die 7 häufigs-
ten Insolvenzgründe erkennen und vermeiden – Wie KMU nachhaltig erfolgreich bleiben)
und Experte Jürgen Staab hat in einem diesbezüglichen Interview in 2015 berichtet, dass
fehlendes Controlling die häufigste Insolvenzursache ist.4
1 Staatliches Bundesamt, Wiesbaden. Online im Internet:

https://www.destatis.de/DE/ZahlenFakten/Indikatoren/LangeReihen/Insolvenzen/lrins01.html
(Stand 21.07.2017)
https://www.destatis.de/DE/ZahlenFakten/GesamtwirtschaftUmwelt/UnternehmenHandwerk/In-
solvenzen/Insolvenzen.html (Stand 21.07.2017)
3 Verband der Vereine Creditreform e.V.. Online im Internet:
https://www.creditreform.de/nc/aktuelles/news-list/details/news-detail/insolvenzen-in-deutsch-
land-jahr-2016-3303.html (Stand 21.07.2017)
4 Springer Fachmedien Wiesbaden GmbH. Online im Internet:
https://www.springerprofessional.de/controlling/fehlendes-controlling-ist-die-haeufigste-insolven-
zursache/6601998 (Stand 21.07.2017)
2
Und hier setzt auch das Risikomanagement an, denn das Managen von Risiken ist eine
unverzichtbare Teildisziplin des Controllings5 und wesentliche Aufgabe der Geschäfts-
führung. Nur wem es in diesem Zusammenhang gelingt, umzudenken und sich mit den
Methoden/Werkzeugen der Risikobewältigung zu beschäftigen, kann nachhaltig den
sich ständig verändernden Marktbedingungen standhalten und damit ein Überleben si-
chern.
2. Zielsetzung
Mithilfe des gerade verabschiedeten IDW Prüfungsstandard „Grundsätze ordnungsmä-

ßiger Prüfung von Risikomanagementsystemen“ (IDW PS 981, Stand: 03.03.2017) soll
nunmehr insbesondere kleinen und mittleren Unternehmen eine Hilfestellung gegeben
werden, welche notwendigen Grundelemente zu einem funktionsfähigen Risikomanage-
mentsystem (RMS) gehören sollten. Damit können diese eine (freiwillige) externe Prü-
fung ihres eingerichteten Risikomanagementsystems künftig ebenso bestehen und so-
mit die Glaubwürdigkeit in ihre Unternehmensinformation verbessern, was nicht zuletzt
durch finanzierende Banken und sonstige Stakeholder zunehmend gefordert wird.
3. Vorgehensweise
Einer groben Darstellung der wesentlichen Rechtsnormen bezüglich der Implementie-

rung von Risikomanagementsystemen und deren Bedeutung/praktische Anwendung für
kleine und mittlere Unternehmen folgt eine Gegenüberstellung wichtiger Prüfungsorgane
und deren Aufgaben. Hierzu wurden diverse Recherchen in elektronischen Netzwerken
durchgeführt sowie umfangreiche Literatur studiert. Im Anschluss daran wird der PS 981
als möglicher Leitfaden für die Ausrichtung von Risikomanagementsystemen vorgestellt
und hieraus notwendige Bestandteile für eine einheitliche RMS-Ausgestaltung hergelei-
tet. Im Fokus steht speziell die v. g. Unternehmensgruppe, die im nächsten Kapitel ge-
nauer vorgestellt wird.
5Haufe-Lexware GmbH & Co. KG. Online im Internet:

https://www.haufe.de/controlling/controllerpraxis/controller-magazin-032017-risikomanag-
ment_112_410376.html (Stand 21.07.2017)
3
4. Kleine und mittlere Unternehmen
Für kleine und mittlere Unternehmen, kurz KMU genannt, gibt es keine einheitliche Le-
galdefinition, weder in Deutschland noch international betrachtet. So orientiert sich die
Kreditanstalt für Wiederaufbau (KfW) als größte Förderbank Deutschlands an der Emp-
fehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunterneh-
men sowie der kleinen und mittleren Unternehmen ABl. der EU L 124/36 vom 20.05.2003
und clustert KMU‘s wie folgt:
- Kleinstunternehmen: < 10 Mitarbeiter und

Jahresumsatz oder Jahresbilanzsumme ≤ 2 Mio. €
- Kleine Unternehmen: < 50 Mitarbeiter und

Jahresumsatz oder Jahresbilanzsumme ≤ 10 Mio. €
- Mittlere Unternehmen: < 250 Mitarbeiter und

Jahresumsatz ≤ 50 Mio. € oder Jahresbilanzsumme ≤ 43 Mio. €
Daneben dürfen max. 24,99 % der Stimmrechte oder des Kapitals direkt oder indirekt
von einer oder mehreren öffentlichen Stellen oder Körperschaften des öffentlichen
Rechts einzeln oder gemeinsam kontrolliert werden.6
Das Institut für Mittelstandsförderung (IfM) grenzt KMU’s seit 2016 hingegen so ab:
- Kleinstunternehmen: < 10 Mitarbeiter und

Jahresumsatz ≤ 2 Mio. €
- Kleine Unternehmen: < 50 Mitarbeiter und

Jahresumsatz ≤ 10 Mio. €
- Mittlere Unternehmen: < 500 Mitarbeiter und

Jahresumsatz ≤ 50 Mio. €7
6KfW Bankengruppe: Merkblatt KMU-Definition. Frankfurt Stand 09/2016, S.1.

7Institut für Mittelstandsförderung, Bonn. Online im Internet:
http://www.ifm-bonn.org/definitionen/kmu-definition-des-ifm-bonn/ (Stand 21.07.2017)
4
Das Statistische Bundesamt Wiesbaden unterteilt sein Datenmaterial über kleine und
mittlere Unternehmen wie in der EU-Empfehlung 2003/361/EG nach Umsatz- und Be-
schäftigtengrößenklassen so:
Größenklasse Beschäftigte Jahresumsatz

Kleinstunternehmen bis 9 und bis 2 Mill. EUR
Kleine Unternehmen bis 49 und bis 10 Mill. EUR
Mittlere Unternehmen bis 249 und bis 50 Mill. EUR
Großunternehmen über 249 oder über 50 Mill. EUR
Abbildung 1: kleine und mittlere Unternehmen8
Gemäß § 267 Handelsgesetzbuch (HGB) gelten dagegen seit dem Inkrafttreten des Bi-
lanzrechtsmodernisierungsgesetzes (BilMoG) nachfolgende Schwellenwerte:
„(1) Kleine Kapitalgesellschaften sind solche, die mindestens zwei der drei nachstehen-
den Merkmale nicht überschreiten:
1. 6 000 000 Euro Bilanzsumme.
2. 12 000 000 Euro Umsatzerlöse in den zwölf Monaten vor dem Abschlußstichtag.
3. Im Jahresdurchschnitt fünfzig Arbeitnehmer.
(2) Mittelgroße Kapitalgesellschaften sind solche, die mindestens zwei der drei in Absatz
1 bezeichneten Merkmale überschreiten und jeweils mindestens zwei der drei nach-
stehenden Merkmale nicht überschreiten:
1. 20 000 000 Euro Bilanzsumme.
2. 40 000 000 Euro Umsatzerlöse in den zwölf Monaten vor dem Abschlußstichtag.
3. Im Jahresdurchschnitt zweihundertfünfzig Arbeitnehmer...“9
Hieraus wird deutlich ersichtlich, dass es keine einheitlichen Unterscheidungskriterien

für KMU‘s in der deutschen Praxis gibt; die Orientierung erfolgt jedoch vordergründig an
zahlenmäßigen Bezugsgrößen.

https://www.destatis.de/DE/ZahlenFakten/GesamtwirtschaftUmwelt/UnternehmenHand-
werk/KleineMittlereUnternehmenMittelstand/KMUBegriffserlaeuterung.html (Stand 21.07.2017)
9 Handelsgesetzbuch in der im Bundesgesetzblatt Teil III, Gliederungsnummer 4100-1, veröffent-
lichten bereinigten Fassung, das zuletzt durch Artikel 10 des Gesetzes vom 5. Juli 2017
5
Neben den zuvor genannten quantitativen Gliederungsmöglichkeiten sind KMU‘s aber

noch durch andere Wesensmerkmale gekennzeichnet. So weisen diese spezifische Or-
ganisations-, Führungs- und Ressourcencharakteristika auf.10 Zumeist wird eine enge
Verbindung zwischen Unternehmen und Eigentümer unterstellt; sie befinden sich oft-
mals in Familienhand bzw. Privateigentum einzelner Personen.11 Aus diesem persönli-
chen Einfluss eines KMU-Unternehmers resultiert ein zum angestellten Manager bzw.
Geschäftsführer in Großunternehmen unterschiedliches Entscheidungs- und Risikover-
halten. Häufig sind Familienunternehmen risikovermeidender und zeichnen sich durch
ein geringeres betriebswirtschaftliches Methodenwissen ab.12
Egal, welche KMU-Definition letztendlich Verwendung findet, es handelt sich um die zah-
lenmäßig stärkste Unternehmensgruppe in Deutschland (Vgl. Abbildung 3, S. 12, Recht-
formstruktur der Unternehmen 2009 in Deutschland) mit großer volkswirtschaftlicher Be-
deutung. Um die Wichtigkeit der KMU’s zu unterstreichen, hier noch ein paar Fakten/
Schlagzeilen des Statistischen Bundesamtes:
 Mit 2,5 Millionen zählte 2014 die überwiegende Mehrheit (99,3 %) der Unterneh-
men zu den kleinen und mittleren Unternehmen.
 Von den 27,8 Millionen Beschäftigten arbeiteten rd. 61 % in KMU’s.
 Im Bau- und Gastgewerbe wurden ca. 85 % des Umsatzes durch kleine und mitt-
lere Unternehmen generiert.
 Knapp 20 % der Exporte entfielen auf KMU‘s.13
Erfolgreiche KMU’s sind somit wesentliche Treiber für Wirtschaftswachstum und Wohl-
stand in Deutschland. Schlussfolgernd hat somit die Sicherung des Fortbestandes der-
artiger Unternehmungen hohe Priorität. Der Risikobewältigung kommt hierbei eine zent-
rale Aufgabe zu.
10 Immerschitt, Wolfgang; Stumpf, Marcus: Employer Branding für KMU. Der Mittelstand als at-
traktiver Arbeitgeber: Gabler Verlag 2014, S. 20.
11 Recklies, Dagmar. Online im Internet:
http://managementportal.de/Ressources/KMU (Stand 21.07.2017)

12 Henschel, Thomas; Heinze, Ilka: Governance, Risk und Compliance. Praxisleitfaden für gute
Unternehmensführung. Berlin: Erich Schmidt Verlag GmbH & Co. KG 2016, S. 35.
werk/KleineMittlereUnternehmenMittelstand/KleineMittlereUnternehmenMittelstand.html
(Stand 21.07.2017)
6
5. Risiko und Risikomanagement
Im Duden wird dem Wort Risiko folgende Bedeutung beigemessen:
„möglicher negativer Ausgang bei einer Unternehmung, mit dem Nachteile, Verlust,
Schäden verbunden sind…“
Der Risikobegriff leitet sich aus dem italienischen „ris(i)co ab; seine Herkunft ist jedoch
unbekannt.14 In der Literatur finden sich sehr viele, unterschiedliche Risiko-Definitionen
und Herleitungen. Auch in der Betriebswirtschaft fällt es schwer, sich auf eine einheitliche
Begriffsbestimmung zu verständigen. So werden beispielsweise unterschieden in enge
und weite Risiken, operative und strategische Risiken, versicherbare und nicht versicher-
bare Risiken oder primäre und sekundäre Risiken. Genauer betrachtet, erstreckt sich
das Risiko eigentlich nicht nur auf die negativen Auswirkungen einer Entscheidung, son-
dern beinhaltet vielmehr auch die Chance auf eine positive Abweichung des Ergebnisses
vom Erwartungswert.15
Abbildung 2: Risiko als positive und negative Zielabweichung 16
14 Bibliographisches Institut GmbH. Online im Internet:

http://www.duden.de/rechtschreibung/Risiko (Stand 21.07.2017)
15 Meyer, Ralf: Die Entwicklung des betriebswirtschaftlichen Risiko- und Chancenmanagements.
In: Risikomanagement in der Unternehmensführung. Wertgenerierung durch chancen- und kom-

petenzorientiertes Management. Weinheim: John Wiley & Sons 2008, S. 25.
16 RiskNET GmbH – The Risk Management Network. Online im Internet:
https://www.risknet.de/wissen/risk-management-prozess/ (Stand 21.07.2017)

7
Unternehmerisches Handeln ist unweigerlich mit dem Eingehen von Risiken verbunden,
woraus sich hoffentlich Ertragschancen ergeben. Die jeweiligen Risiken sind verschie-
denartig, intern und extern beeinflusst und in ihrer Bedeutung eher subjektiv zu bewer-
ten.
So könnte beispielsweise anstatt der üblicherweise kalkulierten Rohgewinnmarge eines

zusätzlichen Auftrags auch ein Verlustgeschäft werden, wenn ggf. nicht rechtzeitig oder
qualitativ ansprechend geliefert werden kann (Vertragsstrafen, Einbehalte…), Material-
kosten unerwartet steigen oder vielleicht teurere Fremdleistungen aus Kapazitätsgrün-
den benötigt würden. Je nach Unternehmens- bzw. Auftragsgröße haben solche negati-
ven Einflüsse unterschiedlich starke Auswirkungen, möglicherweise sogar existenz-
bedrohende Ausmaße.
Auch die in letzter Zeit häufig vorkommenden Cyberangriffe, beispielsweise auf die Deut-
sche Bahn AG, in deren Folge zahlreiche Anzeigetafeln und Ticketautomaten entspre-
chende Funktionsstörungen aufwiesen, haben gezeigt, welchen Risiken sich heutzutage
Unternehmen stellen müssen. Nicht selten treten dabei mehrere Risiken parallel zuei-
nander auf und verstärken die Problematik noch.
Liquiditätsrisiken
Wettbewerbs- und Marktumfeldrisiken

Risiken aus Produktpiraterie und -plagiaten
Personalmarktrisiken
Reputations- und Imagerisiken Risiken aus Rohstoffpreisschwankungen

Kapitalbeschaffungsrisiken
IT-Ausfallrisiken
Risiken aus konjunkturellen Schwankungen
Risiken aus Produkthaftung
Risiken aus Währungskursschwankungen

Regulatorische Risiken
Risiken aus Compliance-Verstößen
Abbildung 3: Top-14-Risiken17
17 Eigene Darstellung, angelehnt an: Funk RMCE GmbH; Rödl & Partner GmbH; Weissman &
Cie. GmbH & Co. KG: Risikomanagement im Mittelstand. Exklusive Benchmarkstudie zu Stand
und Perspektiven des Risikomanagements in deutschen (Familien-)Unternehmen. Hamburg: Ap-
ril 2011, S. 23.
8
Hierauf gilt es sich im Rahmen eines angemessenen Risikomanagement-(systems) ein-

zustellen und vorzubereiten. Als Risikomanagement können alle Maßnahmen verstan-
den werden, die sich mit dem Erkennen, dem Bewerten, dem Steuern und dem Überwa-
chen von (latenten) Risiken beschäftigen. Nach Henschel/Heinze ist dessen Ziel, die
bereits bestehenden und die künftig entstehenden Risiken so zu steuern und zu regeln,
dass der Wert eines Unternehmens durch die Verringerung von Risiken bei weiter be-
stehenden Ertragschancen gesteigert werden kann. Die Risikoposition eines Unterneh-
mens als Gesamtheit der eingegangen Risiken sollte dessen Risikotragfähigkeit nicht
übersteigen, d. h. Verluste können aus eigener Kraft getragen werden, ohne in Insolvenz
zu geraten.18
Oberstes Ziel ist also primär die Existenzsicherung, insbesondere durch Stärkung der
Eigenkapitalausstattung (als wesentliches Kriterium für die Ermittlung der Risikotragfä-
higkeit). Im Weiteren wird aber auch die Verbesserung des Unternehmenswertes durch
beispielsweise Imagegewinn, Liquiditätsoptimierung oder auch Ratingverbesserung an-
gestrebt. Daneben gilt als Sonderziel, eine Minimierung der Risikokosten zu erreichen.19
Für die Zwecke des nachfolgend näher betrachteten IDW Prüfungsstandard gelten im
Übrigen folgende Begriffsdefinitionen als Grundlage, wobei auch hier die Chancen mit
einbezogen werden:
„Risiken – mögliche künftige Entwicklungen oder Ereignisse, die zu einer für das Unter-
nehmen negativen (Risiko im engeren Sinne) oder positiven (Chance) Zielabweichung
führen können.
Risikomanagement – strukturierter Umgang mit Risiken (i. S. v. positiven und negativen

Zielabweichungen) im Unternehmen.
Risikomanagementsystem – Gesamtheit der Regelungen, die einen strukturierten Um-

gang mit Risiken (i. S. v. positiven und negativen Zielabweichungen) im Unternehmen
sichergestellt.20
18 Henschel, Thomas; Heinze, Ilka: a. a. O., S. 85

19 Ehrmann, Prof. Dr. Harald: Risikomanagement in Unternehmen. 2. Aktualisierte und erheblich
überarbeitete Auflage 2012, Herne: NWB Verlag GmbH & Co. KG 2005, S. 28.
20 Institut der Wirtschaftsprüfer in Deutschland e.V.: IDW Prüfungsstandard: Grundsätze ord-
nungsmäßiger Prüfung von Risikomanagementsystemen (IDW PS 981, Stand 03.03.2017). Düs-

seldorf: IDW Verlag GmbH 2017, S. 5.
9
Der Gesetzgeber ist in den letzten Jahren durch die Verabschiedung zahlreicher Rechts-
normen auf die Notwendigkeit zur Einrichtung eines angemessenen Risikomanage-
ments eingegangen und hat damit deren Bedeutung nochmal unterstrichen.
Die wesentlichsten nationalen Verordnungen sollen im nächsten Kapital vorgestellt wer-

den.
10
6. Rechtliche Grundlagen des Risikomanagements
In 1998 wurde das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

(KonTraG) als sogenanntes Artikelgesetz in Kraft gesetzt. Es ist Resultat großer Firmen-
zusammenbrüche und Unternehmenskrisen (z. B. Dr. Jürgen Schneider AG), die zu ei-
ner massiven Kritik am Risikomanagement in deutschen Firmen geführt haben.21 Aber
auch die zunehmende Internationalisierung der Kapitalmärkte und eine steigende Glo-
balisierung der Aktionärsstrukturen forderten erweiterte Auskunftspflichten und stärkere
Kontrollmöglichkeiten.22
Das KonTraG bewirkte Änderungen/Ergänzungen von insgesamt 10 Gesetzen/Verord-

nungen. So wurden neue Paragraphen aufgenommen oder bestehende Rechtsnormen
modifiziert, z. B. im Aktiengesetz, Handelsgesetz, Publizitätsgesetz und GmbH-Gesetz.
In § 91 Abs. 2 AktG ist seither geregelt:
„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungs-

system einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen
früh erkannt werden.“23
Hiermit wird die Geschäftsleitung von Aktiengesellschaften (AG) zwingend verpflichtet,

sich mit dem Thema Risikomanagement und der Einrichtung entsprechender Systeme,
u. a. auch einer Internen Revision, auseinander zu setzen. Die interne Überwachung soll
dabei so frühzeitig Entwicklungen erkennen, dass noch geeignete Maßnahmen zur Si-
cherung des Fortbestandes der Gesellschaft ergriffen werden können.24 Die Vorstands-
mitglieder haben hierbei die Sorgfalt eines ordentlichen und gewissenhaften Geschäfts-
leiters anzuwenden.25
21 Richard Boorberg Verlag GmbH & Co KG. Online im Internet:

http://www.sicherheitsmelder.de/xhtml/articleview.jsf;jsessio-
nid=56AF34A95DA84C80385267A2E852D314.BoorbergSolrAppLive?id=193B38BBA66B.htm
(Stand 21.07.2017)
22 Schuppener, Jörg; Tillmann, Winfried: KonTraG – Die möglichen Auswirkungen auf das Kredit-
geschäft. Dortmund: o. V., S. 1.

23 Aktiengesetz vom 6. September 1965 (BGBl. I S. 1089), das zuletzt durch Artikel 24 Absatz 16
des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1693) geändert worden ist
24 Deutscher Bundestag: Entwurf eines Gesetzes zur Kontrolle und Transparenz im Unterneh-
mensbereich (KonTraG) mit Begründung und Vorblatt. Bonn: Bundesanzeiger Verlagsgesell-

schaft mbH 1998, S. 15.
25 Aktiengesetz: a. a. O., § 93 Abs. 1
11
Aus dem § 43 GmbHG wird eine entsprechende Ausstrahlungswirkung dieser Regelung

auf die GmbH hergeleitet sowie in der Gesetzesbegründung zum KonTraG ebenfalls
ausdrücklich erwähnt.
Für Kapitalgesellschaften gilt lt. § 289 Abs. 1 HGB, dass im Lagebericht die voraussicht-
liche Entwicklung mit ihren wesentlichen Chancen und Risiken zu beurteilen und zu er-
läutern ist.26 Ähnliche Ausführungen für die GmbH sind Bestandteil des § 317 Abs. 2
HGB, sofern diese einen Lagebericht verpflichtend aufstellen müssen. Dies betrifft inso-
fern mittelgroße und große Gesellschaften sowie Mischformen (z. B. GmbH & Co. KG).
§ 317 Abs. 4 HGB verlangt für börsennotierte Aktiengesellschaften zudem eine Prüfung
dahingehend, ob das zuvor geforderte Überwachungssystem auch seine Aufgaben er-
füllen kann.27 Diese Prüfungen sind durch einen Abschlussprüfer vorzunehmen, der ent-
gegen der ursprünglichen Regelung nunmehr durch den Aufsichtsrat bestellt werden
muss.28 Damit werden die Rechte und Pflichten des Aufsichtsrates ausgeweitet und de-
ren Kontrollfunktion deutlich gestärkt.
Neben den v. g. gesetzlichen Anforderungen zum Risikomanagementsystem (RMS) ent-

halten aber auch die Basler Eigenkapitalvereinbarungen, das BilMoG, der Deutsche Cor-
porate Governance – Kodex (DCGK) sowie die Mindestanforderungen an das Risikoma-
nagement (MaRisk) entsprechende Ausführungen zum Risikomanagement. Während
sich die Eigenkapital- und Liquiditätsvorschriften aus Basel wie die MaRisk insbesondere
der Bankenlandschaft widmen, richten sich der DCGK und das BilMoG wiederum an
Unternehmen in Form von AG‘s.
Allerdings haben die Vorschriften aus Basel II + III indirekt auch Auswirkungen auf Un-
ternehmen und deren Kreditbeschaffung, nämlich über das ermittelte Rating im Rahmen
der notwendigen Bonitätsprüfung. Laut Ehrmann ergibt sich ein positives Rating (damit
verbunden u. a. geringere Zinsaufschläge und höhere Wahrscheinlichkeiten auf Kredit-
gewährung), wenn in einem Unternehmen ein funktionierendes Risikomanagement vor-
liegt.29 Außerdem verbessert sich dadurch auch die Außenwirkung im Marktumfeld im
Zusammenspiel mit anderen Geschäftspartnern.
26 Handelsgesetzbuch: a. a. O.
27 Handelsgesetzbuch: a. a. O.
28 Aktiengesetz: a. a. O., § 111 Abs. 2
29 Ehrmann, Prof. Dr. Harald: a. a. O., S. 57.
12
Gemäß Punkt 4.1.4. des DCGK hat der Vorstand für ein angemessenes Risikomanage-
ment und Risikocontrolling zu sorgen. Der Kodex will damit die Transparenz, Nachvoll-
ziehbarkeit und das Vertrauen in die Leitung und Überwachung deutscher börsennotier-
ter Gesellschaften fördern.30 Der Gesetzgeber verpflichtet derartige Gesellschaften so-
gar, jährlich eine Erklärung zum Corporate Governance Kodex (Regelwerk zur Förde-
rung einer guten und verantwortungsvollen Unternehmensführung31) abzugeben und zu
veröffentlichen.32
Aus dem BilMoG resultieren u. a. die in § 107 Abs. 3 AktG festgelegten Überwachungs-
pflichten für Aufsichtsräte, welche sich ebenfalls mit der Wirksamkeit des Risikomana-
gementsystems befassen sollen.33 Ferner haben bestimmte Kapitalgesellschaften im La-
gebericht die wesentlichen Merkmale des internen Kontroll- und des Risikomanagement-
systems im Hinblick auf den Rechnungslegungsprozess zu beschreiben.34
Ergänzt werden die dargestellten Anforderungen noch durch Regelungen des Deutsche
Rechnungslegungs Standards Committee e.V. (DRSC), z. B. mittels DRS 20 zum Kon-
zernlagebericht. Der Verein ist der nationale Standardsetzer auf dem Gebiet der Kon-
zernrechnungslegung in Deutschland und als privates Rechnungslegungsgremium im
Sinne von § 342 HGB anerkannt35 und legitimiert.
Es kann somit festgestellt werden, dass der wachsenden Bedeutung des Risikomana-
gements durch diverse Gesetze, Verordnungen und sonstige Vereinbarungen entspre-
chend Rechnung getragen wurde.
Leider enthalten diese keine konkreten Umsetzungsvorschläge, so dass die Handha-

bung der Risiken sowie der Aufbau und die Gestaltung eines Risikomanagementsys-
tems relativ große Gestaltungsspielräume zulassen.36
30 Regierungskommission Deutscher Corporate Governance Kodex. Online im Internet:

http://www.dcgk.de/de/kodex/aktuelle-fassung/praeambel.html (Stand 21.07.2017)
31 Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Deutscher Cor-
porate Governance Kodex, Online im Internet:

http://wirtschaftslexikon.gabler.de/Archiv/18161/deutscher-corporate-governance-kodex-v7.html
(Stand 21.07.2017)
32 Aktiengesetz: a. a. O.
33 Aktiengesetz: a. a. O.
34 Handelsgesetzbuch: a. a. O., § 289 Abs. 4
35 Deutsches Rechnungslegungs Standards Committee e.V.. Online im Internet:
https://www.drsc.de/profil/ (Stand 21.07.2017)

13
Dieses unternehmensindividuelle Ermessen scheint mit Blick auf die Gesetzesbegrün-

dung zum KonTraG aber so gewollt zu sein (je nach Bedarf, Größe oder Branche37),
birgt jedoch grundsätzlich die Gefahr von möglichen Fehlinterpretationen und Unvoll-
ständigkeiten.
Trotzdem für zahlreiche Vorschriften von Aktiengesellschaften eine Ausstrahlungswir-

kung auf andere Gesellschaftsformen unterstellt werden kann, so gelten die aufgeführ-
ten Regelungen für KMU‘s teilweise nur mit Erleichterungen (u. a. Verzicht auf den La-
gebericht, Verkürzung der Bilanz).
Die Struktur der Unternehmen 2009 in Deutschland zeigt, dass viele KMU’s sich in
Rechtsformen bzw. Größenklassen bewegen, die eigentlich keine gesetzliche Einrich-
tung derartiger Systeme erfordern:
Abbildung 4: Rechtsformstruktur der Unternehmen 2009 in Deutschland38
37 Deutscher Bundestag: Entwurf eines Gesetzes zur Kontrolle und Transparenz im Unterneh-
mensbereich (KonTraG) mit Begründung und Vorblatt. Bonn: Bundesanzeiger Verlagsgesell-
schaft mbH 1998, S. 15.
38 Institut für Mittelstandsförderung: Unternehmensgrößenstatistik. Bonn: März 2012, S. 62.
14
Nichtsdestotrotz dürfte vor dem Hintergrund des rasanten unternehmerischen Wandels,

der Notwendigkeit zur Anpassungsfähigkeit und den damit verbundenen Gefahren (vs.
Chancen) auch für KMU’s der Bedarf, ja sogar die Pflicht geboten sein, sich mit Risiko-
managementaufgaben intensiver zu beschäftigen. Hier besteht nach einer Benchmark-
studie zu Stand und Perspektiven des Risikomanagements in deutschen (Familien)-Un-
ternehmen noch erheblicher Nachholbedarf, zumal eigentlich die Vorteile auf der Hand
liegen.
„Von einer professionellen Steuerung von Risiken würde der Mittelstand gleich dreifach
profitieren. Zum einen ergeben sich durch ein integriertes Risikomanagement erhebliche
Synergieeffekte, über die Kosten gesenkt werden können. Zweitens erleichtert der Nach-
weis eines funktionierenden Risikomanagements die Kreditfinanzierung. Und drittens
entspricht das Unternehmen damit den gesetzlichen Anforderungen, die im Bereich der
Risikovorsorge laufend verschärft werden.“39
In diesem Zusammenhang wird abschließend auch noch auf den Governance Kodex für
Familienunternehmen als Leitlinie für die verantwortungsvolle Führung von Familienun-
ternehmen und Unternehmerfamilien verwiesen, der auf derartige Unternehmen zuge-
schnittene Empfehlungen, wie u. a. die Errichtung eines umfassenden RMS, enthält.40
Bevor im Kapitel 8 der IDW Prüfungsstandard PS 981 näher vorgestellt wird, folgt zu-
nächst ein kurzer Überblick über die gängigen Prüfungsorgane und ihre Tätigkeiten im
Rahmen des Risikomanagements. Dies ist insofern von Belang, weil dadurch der Zu-
sammenhang zum PS 981 hergestellt und gleichfalls die Einbettung der Kontrollgremien
in die Aufbau- und Ablauforganisation von Unternehmen beschrieben wird.
39 Funk RMCE GmbH; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: a. a. O., S. 5.
40 Krömer, Bernhard: Aufbau und Ablauf des Risikomanagements. Teil A: Umsetzung von Com-
pliance-Erfordernissen gem. §91 Abs.2 AktG in der Unternehmenspraxis. In: Zeitschrift für Cor-
porate Governance, Jg. 2017, Nr. 2. Berlin: Erich Schmidt Verlag, S. 71.
15
7. Prüfungsorgane
Neben den bereits benannten gesetzlichen Anforderungen in § 317 HGB Gegenstand

und Umfang der Prüfung finden entsprechende RMS-Kontrollhandlungen vor allem auf-
grund unternehmensindividueller Regelungen statt.
Dabei lassen sich die jeweiligen Prüfungsorgane zum Beispiel nach Art der Unterneh-
menszugehörigkeit unterscheiden. Zu den internen Prüfungsstellen gehören neben den
speziellen Fachabteilungen/dem (Risiko)-Controlling hauptsächlich die Interne Revision
sowie der Aufsichtsrat. Externe Kontrollhandlungen werden im Wesentlichen durch Ab-
schlussprüfer oder externe Revisoren durchgeführt.
Im Weiteren werden nun einzelne Prüfungsorgane nach Prüfungsumfang, Prüfungszeit-

punkt und den Prüfungsgrundlagen charakterisiert.
7.1. (Risiko)-Controlling
Das Risikocontrolling ist für die Überwachung und Kommunikation der Risiken entlang
aller operativer Bereiche und Stäbe zuständig und orientiert sich dabei an den Unterneh-
menszielen inkl. enthaltener Risikokomponenten.41 Es trägt im Risikomanagement-Pro-
zess hauptsächlich durch Soll/Ist-Vergleiche betriebswirtschaftlicher Kennzahlen zur In-
formationsgewinnung bei und ist wesentlich eingebunden in die Steuerung und Kontrolle
der Risiken.42 Dabei wird fortlaufend untersucht, ob die unternehmensseitigen Planun-
gen, Ziele und Anweisungen erfüllt und eingehalten werden oder ggf. einer Überarbei-
tung bedürfen.
Zudem werden bestimmte Prüfungstätigkeiten bereits auf Abteilungsebene wahrgenom-

men, vorzugsweise prozessbezogene Kontrollen im Rahmen der operativen Abläufe.43
Hierfür zeichnet sich das Controlling durch die Festlegung von entsprechenden Rege-
lungen mit verantwortlich.
41 Meyer, Ralf: a. a. O., S. 48.

42 Keitsch, Detlef: Risikomanagement. Ulm: Schäffer-Poeschel Verlag für Wirtschaft · Steuern ·
Recht GmbH & Co. KG 2000, S. 75.
43 Henschel, Thomas; Heinze, Ilka: a. a. O., S. 120.
16
In diesem Zusammenhang auftretende Abweichungen, z. B. Strategieverstöße, stellen

entsprechende Informationsimpulse an die nächsthöheren Instanzen dar.44
Die jeweiligen Tätigkeiten orientieren sich vorrangig an hauseigenen Arbeitsanweisun-

gen, Risikohandbüchern, Strategien und Konzepten, wobei gesetzliche Normen – soweit
anzuwenden – selbstverständlich Berücksichtigung finden sollten.
7.2. Interne Revision
Die Interne Revision (IR) ist der Geschäftsleitung direkt unterstellt und dieser berichts-
pflichtig. Im Bereich der Risikokontrolle werden risikoorientiert und prozessunabhängig
die Wirksamkeit und Angemessenheit des RMS im Allgemeinen und des internen Kon-
trollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten
und Prozesse geprüft und beurteilt.45 Die Prüfungshandlungen zur Zweckmäßigkeit um-
fassen sowohl Aufbau- als auch Funktionsprüfungen, sie finden regelmäßig aber auch
in unregelmäßigen Zeitabständen statt. Ermittelte Schwachstellen werden an die Ge-
schäftsführung kommuniziert und lösen im Allgemeinen einen Anpassungsvorgang aus.
Das Online-Revisionshandbuch vom DIIR Arbeitskreis beschreibt die notwendige Ver-

änderung von klassischen Prüfungshandlungen „ex post“ (im Nachhinein46) einer Inter-
nen Revision zu verstärkt präventiven „ex ante“ (im Voraus47) Prüfungsleistungen, um
dadurch frühzeitig Risiken, Mängel und Verbesserungspotenziale identifizieren zu kön-
nen.48 Der Blickwinkel der Revisoren muss sich also künftig anpassen.
Die einzelnen Tätigkeiten der Internen Revision in Bezug auf das Risikomanagement
werden in der nachfolgenden Grafik abgebildet. Die im Fächer rechts aufgeführten Ar-
beiten - sofern im Mittelstand möglich – sollten nicht durch die IR ausgeführt werden.49

45 Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Erläuterungen zu den MaRisk in der
Fassung vom 14.12.2012. o. O. 2012, S. 20.
http://www.duden.de/suchen/dudenonline/ex%20post (Stand 21.07.2017)

http://www.duden.de/suchen/dudenonline/ex%20ante (Stand 21.07.2017)

48 DIIR - Deutsches Institut für Interne Revision e.V.: Online-Revisionshandbuch für die Interne
Revision in Kreditinstituten. Online im Internet:

http://www.diir.de (Stand 21.07.2017)
49 DIIR - Deutsches Institut für Interne Revision e.V.: Hinweise zur Prüfung des Risikomanage-
mentsystems. Praxisleitfaden zum DIIR Revisionsstandard Nr. 2. Online im Internet:

17
Abbildung 5: Aufgaben der Internen Revision in Bezug auf das Risikomanagement50
Die Einrichtung einer solchen Institution ist nicht zwingend vorgeschrieben, oftmals fin-
den sich gerade bei kleineren Unternehmen keine separaten Revisionseinheiten. In die-
sem Fall sind die entsprechenden Überwachungsvorgänge dann durch andere geeig-
nete Personen im Unternehmen – ggf. auch durch die Geschäftsleitung selbst – zu ge-
währleisten oder auch mittels Outsourcing dieser Tätigkeiten an externe Sachverstän-
dige zu übertragen.51
Für die IR zählen neben gesetzlichen Bestimmungen insbesondere anerkannte Berufs-

standards, u. a. DIIR-Revisionsstandard Nr. 2, DRSC-Verlautbarungen, IDW Prüfungs-
standards zu den entscheidenden Arbeitsgrundlagen.

50 Institute of Internal Auditors. In: DIIR - Deutsches Institut für Interne Revision e.V.: Hinweise
zur Prüfung des Risikomanagementsystems. Praxisleitfaden zum DIIR Revisionsstandard Nr. 2.

Online im Internet:
51 Klein, Martin; Schmidt, Christina: Prüfung und Publizität von Risikomanagementsystemen bei
mittelständischen Kapitalgesellschaften. Empfehlungen für eine angemessene Berichterstattung

vor dem Hintergrund erweiterter Offenlegungsvorschriften. In: Zeitschrift für Corporate Gover-
nance, Jg. 2011, Nr. 2. Berlin: Erich Schmidt Verlag, S. 85ff.
18
7.3. Wirtschaftsprüfer
Neben der originären Prüfung von Jahres- und Konzernabschlüssen (nachträglich) prüft
ein Wirtschaftsprüfer (WP) heutzutage auch die Kreditwürdigkeit, die Wirtschaftlichkeit
oder Kontroll- und IT-Systeme von Unternehmen.52 Damit gehen die WP-Tätigkeiten weit
über die eigentliche Buchführungsprüfung hinaus.
Spätestens seit dem Inkrafttreten des KonTraG müssen Wirtschaftsprüfer, um an sie

gestellte Anforderungen der Risikoeinschätzung und deren Auswirkungen auf das jewei-
lige Unternehmen beurteilen zu können, zusätzlich über unternehmerische Denkansätze
und Branchenkenntnisse verfügen.53 Nur so können die gesetzlich vorgeschriebenen
Lagebeurteilungen vorgenommen werden. Hierzu sind im Übrigen nur bestimmte Per-
sonen/-gruppen mit Vorbehaltsaufgaben (z. B. Wirtschaftsprüfungsgesellschaften, be-
sondere Prüfungsverbände, vereidigte Buchprüfer) berechtigt.54
Das Prüfungsurteil im Jahres- bzw. Konzernabschluss erstreckt sich auf:
 Einhaltung der gesetzlichen Vorschriften, der Grundsätze ordnungsmäßiger

Buchführung sowie der Bestimmungen im Gesellschaftsvertrag/der Satzung
 Vermittlung ein den tatsächlichen Verhältnissen entsprechendes Bild der Vermö-
gens-, Finanz- und Ertragslage des Unternehmens
 Darstellung der Chancen und Risiken der künftigen Entwicklung im Lagebericht55
Dazu muss der WP diverse Gesetze und Rechtsverordnungen beachten. Seine Arbeit
lehnt sich zumeist an den gültigen Prüfungsstandards des IDW an.
Das nächste Kapitel widmet sich sehr umfangreich dem neuen IDW Prüfungsstandard:
Grundsätze ordnungsmäßiger Prüfung von Risikomanagementsystemen.
52 Instituts der Wirtschaftsprüfer in Deutschland e.V.. Online im Internet:

http://www.wirtschaftsprüfer.de/Wirtschaftsprueferberuf (Stand 25.07.2017)
53 Keitsch, Detlef: Risikomanagement. Ulm: Schäffer-Poeschel Verlag für Wirtschaft · Steuern ·
Recht GmbH & Co. KG 2000, S. 104.

54 Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Abschlussprüfer,
online im Internet: http://wirtschaftslexikon.gabler.de/Archiv/58188/abschlusspruefer-v8.html

(Stand 25.07.2017)
55 Wirtschaftsprüferkammer Körperschaft des öffentlichen Rechts. Online im Internet:
http://www.wpk.de/oeffentlichkeit/wirtschaftspruefer/ (Stand 25.07.2017)

19
8. Prüfungsstandard PS 981 (Stand 03.03.2017)
Vor kurzem hat der Hauptfachausschuss des Institut für Wirtschaftsprüfer in Deutsch-
land e.V. (IDW) mehrere Standards verabschiedet, u. a.
 PS 981
Grundsätze ordnungsmäßiger Prüfung von Risikomanagementsystemen
 PS 982
Grundsätze ordnungsmäßiger Prüfung des internen Kontrollsystems des inter-
nen und externen Berichtswesens
 PS 983
Grundsätze ordnungsmäßiger Prüfung von Internen Revisionssystemen,
um damit die verschiedenen Teile eines Corporate Governance-Systems in Unterneh-

men zu prüfen.
Der IDW ist eine Fachorganisation der Wirtschaftsprüfer und –prüfungsgesellschaften.

Zu seinen vordergründigen Aufgaben gehört die Förderung der Fachgebiete des Wirt-
schaftsprüfers. Neben beratenden Tätigkeiten für den Berufsstand werden Prüfungs-
standards erstellt, die die Auffassung zu fachlichen Fragen darstellen und zur Entwick-
lung beitragen sollen.56 Diese sind zwar grundsätzlich nicht rechtlich bindend, genießen
jedoch einen entsprechenden Bekanntheitsgrad und Akzeptanz, nicht zuletzt auch durch
die hohen Mitgliederzahlen (rd. 13.000 Wirtschaftsprüfer und Wirtschaftsprüfungsgesell-
schaften, damit etwa 82% aller deutschen Wirtschaftsprüfer57). In der Praxis wird in den
durch Steuerberater und Wirtschaftsprüfer aufgestellten Jahresabschlüssen regelmäßig
Bezug genommen auf zugrunde gelegte IDW Prüfungsstandards.
56 Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Institut der Wirt-
schaftsprüfer in Deutschland e.V. (IDW), online im Internet:
http://wirtschaftslexikon.gabler.de/Archiv/57524/institut-der-wirtschaftspruefer-in-deutschland-e-
v-idw-v7.html (Stand 21.07.2017)
57 Institut der Wirtschaftsprüfer in Deutschland e.V.. Online im Internet:
https://www.idw.de/idw/ueber-uns/Kurzportrait (Stand 21.07.2017)

20
8.1. Eckpunkte des PS 981
Anders als der IDW Standard 340: Die Prüfung des Risikofrüherkennungssystems nach
§ 317 Abs. 4 HGB befasst sich der PS 981 mit der freiwilligen Prüfung von Risikoma-
nagementsystemen (nicht nur des Teilaspektes der Früherkennung58) und findet dem-
zufolge keine Verwendung bei gesetzlich angeordneten Prüfungen. Der IDW unter-
streicht hiermit indirekt die Bedeutung zur Implementierung von Risikomanagementsys-
temen auch bei nicht prüfungspflichtigen Gesellschaften und schließt die Maßnahmen
zur Risikobewältigung gleich mit ein.
Damit dürften KMU’s zur potenziellen Zielgruppe derartiger Prüfungshandlungen gehö-

ren, zumal eine Anwendung unabhängig von Branche, Rechtsform und Unternehmens-
größe möglich ist.59
Der Prüfungsstandard will insbesondere den Wirtschaftsprüfern eine Handlungsvor-

schrift geben, wie solche Aufträge zu planen und durchzuführen sind. Daneben sind zu
beachtende Berufspflichten aufgeführt, notwendige Dokumentationserfordernisse be-
schrieben und Aussagen zur Berichterstattung enthalten. Abgerundet wird das Werk
durch zahlreiche Anwendungshinweise und sonstige Erläuterungen.
Im Vorfeld wurde bedeutenden Institutionen bzw. Fachspezialisten (z. B. Deutsches

Institut für Interne Revision e.V., Prof. Dr. Werner Gleißner, Risk Management Associ-
ation e.V.) die Möglichkeit eingeräumt, ihre Auffassung zu diesem Thema und dem Inhalt
des Prüfungsstandard niederzuschreiben und somit direkten Einfluss auf den nunmehr
endgültig veröffentlichten PS 981 auszuüben. Damit wird die Akzeptanz in die Nutzung
dieses Prüfungsstandard nochmals spürbar erhöht.
58 Institut der Wirtschaftsprüfer in Deutschland e.V.: IDW Prüfungsstandard: Die Prüfung des Ri-
sikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340, Stand 11.09.2000). Düssel-
dorf: IDW Verlag GmbH 2017, S. 1.
59 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft: EY Public Services Newsletter. Aus-
gabe 126. Berlin: o. V. 2016, S. 3.

21
8.2. Gegenstand, Ziel und Umfang der Prüfung
Als Gegenstand der Prüfung werden laut IDW die in der RMS-Beschreibung enthaltenen
Aussagen der gesetzlichen Vertreter zu den Grundelementen des Risikomanagement-
sytems sowie zur Angemessenheit, Implementierung und ggf. Wirksamkeit des RMS in
Übereinstimmung mit den angewandten RMS-Grundsätzen genannt.60 Im Ziel steht also
die Beurteilung, ob ausreichende Vorsorgemaßnahmen getroffen wurden, um wesentli-
che strategische und operative Risiken rechtzeitig zu identifizieren, zu bewerten, zu steu-
ern und zu überwachen. Dabei geht es nicht um eine Einschätzung zur Vollständigkeit
und wirtschaftlichen Sinnhaftigkeit der festgelegten Risiken oder der durchgeführten
Maßnahmen, auch nicht um ein Prüfungsurteil über den Fortbestand des geprüften Un-
ternehmens61, sondern darum, ob die unternehmensindividuellen Regelungen zum Risi-
komanagement insgesamt angemessen erscheinen.
Als RMS-Grundsätze werden allgemein anerkannte bzw. andere angemessene Rah-

menkonzepte oder vom Unternehmen selbst entwickelte Grundsätze für Risikomanage-
mentsysteme verstanden.62 Gemäß der Fachgruppe Risikomanagement des DIIR-Ar-
beitskreises „Interne Revision im Mittelstand“ existieren weltweit über 80 solcher Rah-
menwerke und Normen zum Risikomanagement, z. B. COSO Enterprise Risk Manage-
ment Framework (COSO ERM oder COSO II), ISO 31000: Guidelines for principles and
implementation of risk management, ONR 49000: Risikomanagement für Organisatio-
nen und Systeme, DRS 5: Risikoberichterstattung, IDW PS 340 etc.63, die angewandt
werden können.
Im Prüfungsstandard werden grundsätzlich zwei Arten unterschieden, die Angemessen-

heitsprüfung zu einem bestimmten Zeitpunkt und/oder die Wirksamkeitsprüfung wäh-
rend eines geprüften Zeitraums.
60 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 5ff.

61 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 3.
62 ibid., S. 5.

22
Der IDW Standard sieht grundsätzlich auch vor, prüfungsrelevante Teilbereiche – insbe-
sondere operative Risiken – abzugrenzen. Durch den Auftraggeber sind die zu prüfen-
den Teilbereiche nach einzelnen Risikoarten und/oder Unternehmensprozessen bzw.
Organisationseinheiten abzustecken (z. B. kategorisiert nach Risiken aus Unterneh-
mensfunktionen wie Beschaffung, Produktion, Absatz, Rechnungswesen/Finanzwesen,
Personal, IT-Betrieb oder im Hinblick auf Prozesse wie Kernprozesse, Hilfsprozesse,
Management64). Eine isolierte Prüfung in Bezug auf einzelne Grundelemente wird dage-
gen ausgeschlossen.65 Dies dürfte auch nicht mit dem Ursache-Wirkung-Prinzip bzw.
den Wechselwirkungen im Regelkreislauf des Risikomanagement-Prozesses konform
gehen.
Auch auf eine projektbegleitende Prüfung bei Einführung eines RMS wird hingewiesen,
weil derartige Prüfungen bislang nur sehr wenig in Anspruch genommen werden. Zu
dieser Erkenntnis kommt auch die Benchmarkstudie von Funk RMCE; Rödl & Partner;
Weissmann & Cie., denn gerade einmal 8 % der befragten Unternehmen greifen beim
Aufbau und der Optimierung ihres Risikomanagementsystems auf externe Berater zu-
rück. So werden positive Synergieeffekte nicht gehoben und externes Wissen bleibt un-
genutzt.66
Von daher ist es für KMU’s durchaus empfehlenswert/sinnvoll, den PS 981 bei der Im-
plementierung bzw. Verbesserung ihres Risikomanagementsystems zu nutzen, zumal
für derartige Unternehmen nur wenig geeignete Ansätze und Konzepte in der Fachlite-
ratur zu finden sind.67 Die Deloitte GmbH Wirtschaftsprüfungsgesellschaft hat noch ein-
mal die Vorteile/Nutzen eines geprüften und optimierten RMS sowie die entsprechenden
Prüfungsleistungen in einem Flyer ausführlich zusammengefasst (Auszug siehe An-
hang).68 Hierauf wird an dieser Stelle ergänzend verwiesen.
Der IDW Prüfungsstandard gibt detaillierte Ausgestaltungshinweise für ein Risikomana-

gementsystem, welche im Weiteren näher vorgestellt werden.

65 ibid., S. 25.
66 Funk RMCE; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: a. a. O., S. 7.
67 Gonschorek Torsten; Petzold, Christian: Risiken managen. In: Haubold AK., Gonschorek T.,
Gestring I., Sonntag R., von der Weth R. (eds): Managementkompetenzen im Mittelstand. Wies-
baden: Springer Gabler Verlag 2014, S. 52.
68 Deloitte GmbH Wirtschaftsprüfungsgesellschaft: Prüfung des Risikomanagementsystems. Ber-
lin: o. V. 01/2017, S. 6.
23
8.3. Einrichtung eines RMS nach IDW 981
Der ganzheitliche Aufbau eines effizienten Risikomanagementsystems nach IDW PS

981 umfasst drei Dimensionen – Zielkategorien, Unternehmensprozesse und Unterneh-
mensorganisation.69
In Abhängigkeit von den festgelegten Zielen des Risikomanagementsystems sowie von

Art, Umfang und Komplexität der Geschäftstätigkeit eines Unternehmens sollte ein RMS
im Sinne des Prüfungsstandards folgende Grundelemente aufweisen, die miteinander in
Wechselwirkung stehen und in die Geschäftsabläufe eingebunden sein sollen70:
Abbildung 6: Grundelemente eines RMS nach PS 98171
69 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft: a. a. O., S. 4.

70 FGS Flick Gocke Schaumburg GmbH Wirtschaftsprüfungsgesellschaft: Accounting Update.
Bonn: o. V. 01/2016, S. 11.
71 Deloitte GmbH Wirtschaftsprüfungsgesellschaft: a. a. O., S. 4.
24
Dabei richten sich die definierten Zielkategorien sowohl auf strategische als auch auf
operative Risiken der Geschäftsorganisation, d. h. aus grundlegenden/langfristigen aber
auch aus alltäglichen/kurzfristigen Entscheidungen resultierend. Besonders die strategi-
schen Risiken sind in ihrer Wichtigkeit für die Beständigkeit/Stabilität eines Unterneh-
mens relevant, dennoch können operative Einzelrisiken gleichfalls eine Bestandsgefähr-
dung auslösen und dürfen daher keinesfalls vernachlässigt werden.
Da eine derartige RMS-Prüfung stets sämtliche Grundelemente des Risikomanagement-

systems umfasst72, sind schlussfolgernd auch alle Segmente im Unternehmen vorzuhal-
ten und einzubinden. Sollten also KMU‘s sich bei der Einrichtung bzw. Verbesserung
ihres Risikomanagementsystems am PS 981 anlehnen oder sich nach diesem Standard
prüfen lassen wollen, dann müssen sie zwingend über alle dargestellten Grundelemente
verfügen.
Zudem resultiert aus dem geschilderten Prüfungsgegenstand das Erfordernis, die jewei-
ligen Regelungen zum Risikomanagement im Unternehmen schriftlich zu fixieren und zu
dokumentieren und nicht wie in kleineren Unternehmen oftmals üblich, nur einzelne Do-
kumente und Richtlinien zu sammeln.73
„Die RMS-Beschreibung stellt die Konzeption des RMS und die implementierten Rege-
lungen des RMS in einer für die Adressaten verständlichen Art und Weise dar.“ 74
Dies ist eine wesentliche Prüfungsvoraussetzung und hat den Vorteil, dass sich das Un-
ternehmen – explizit der gesetzliche Vertreter – dazu intensiv mit dem Risikomanage-
ment-Prozess (siehe nachfolgende Abbildung) und seinen Bestandteilen auseinander
setzen muss. Die genaue Prozessausgestaltung und der Umfang der jeweiligen Ele-
mente sind natürlich in einem angemessenen Rahmen zur Unternehmensgröße und
Komplexität anzupassen. Dies kann demzufolge in kleinen und mittleren Unternehmen
stark variieren, zumal KMU’s, wie bereits geschildert, sehr divergent sind.

73 Ebner Stolz Mönning Bachem Wirtschaftsprüfer Steuerberater Rechtsanwälte Partnerschaft
mbB. Online im Internet: https://www.ebnerstolz.de/de/impressum-4908.html (Stand 21.07.2017)
25
Abbildung 7: Risikomanagement-Prozess75
Der IDW geht ferner davon aus, dass die internen Verfahrensbeschreibungen jedoch
nicht eine umfassende Prozessbeschreibung mit integriert werden.76 Damit wird das
Grundverständnis für hauseigene und externe Leser deutlich verbessert und gleichfalls
ein grober Überblick geschaffen. KMU’s müssen insofern grundlegende Ausführungen
zur Ausgestaltung und der Funktionsweise des Risikomanagementsystems (u. a Risiko-
bezug, Kontrollmaßnahmen, Verantwortlichkeiten) treffen.77
Im Weiteren folgen nunmehr detaillierte Informationen zu den Grundelementen lt. IDW

und entsprechende Umsetzungshinweise für KMU‘s. Vorangestellt wird jedoch, dass es
sich inhaltlich nicht um neu definierte Bestandteile eines RMS handelt, sondern diese an
die bereits aufgezählten Rahmenkonzepte angelehnt, hier jedoch verständlich zusam-
mengefasst wurden und damit als einheitliche Orientierungsgröße und möglicher Leitfa-
den bei der Implementierung von Risikomanagementsystemen dienen können. Speziell
den Risikosteuerungsmaßnahmen wird hier eine besondere Bedeutung beigemessen.
Sofern für das Verständnis nötig, wurden ergänzende Hinweise aus weiteren Literatur-
quellen mit angeführt.

77 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 13. Und 41.
26
8.3.1. Risikokultur
Zunächst ist die unternehmensindividuelle Risikokultur festzulegen, also die grundsätz-

liche Einstellung eines Unternehmens, wie es mit Risiken (vs. Chancen) umgehen
möchte, zu definieren. Hier findet das Risikomanagementsystem seinen eigentlichen Ur-
sprung. Nach Ehrmann sind folgende Elemente bestimmend:
 Visionen
 Unternehmenskultur und –philosophie
 Strategien
 Ziele78
Die Visionen und die Unternehmensphilosophie stellen hierbei die übergeordneten Ziel-
vorstellungen dar, Strategien und Ziele sind dagegen bereits die Basis für konkrete Un-
ternehmensentscheidungen.79 Da sich in allen operativen und strategischen Bereichen
entsprechende Risikopotenziale finden80, ist somit im gesamten Unternehmen das ge-
wünschte Risikobewusstsein auszubilden. Hierbei handelt es sich jedoch um einen suk-
zessiven Lernprozess, der sich erst im Laufe der Zeit einstellt wird.
Der Prüfungsstandard verweist u. a. auf folgende, die Risikokultur beeinflussende, Merk-

male:
 Vorgaben der Unternehmensleitung in Form von Verhaltungsgrundsätzen

 Förderung eines umfassenden Risikobewusstseins sowie einer offenen Kommu-
nikation von Risikoentwicklungen
 Differenzierung der Risikobereitschaft unter Berücksichtigung der Erwartungen
und Rahmenbedingungen
 Regelungen zur Zusammenarbeit von Unternehmensleitung und Aufsichtsgre-
mien
 Verknüpfung mit Anreiz-, Leistungsbeurteilungs- und Mitarbeiterentwicklungs-
systemen81

79 ibid., S. 30.
80 Preißner, Andreas: Praxiswissen Controlling. Grundlage Werkzeuge Anwendungen. 3., erwei-
terte Auflage, Wien: Carl Hanser Verlag Münschen 2003, S. 359.

27
Angewandt auf KMU’s sollte die Geschäftsleitung daher zunächst allgemeine risikopoli-
tische Grundsätze für die Unternehmensführung festlegen, strategische Grundaussagen
treffen und dort bereits ihre generelle Risikoeinstellung (z. B. risikoavers, risikoneutral
oder risikofreudig, ggf. differenziert nach Funktionsbereichen, Risikokonzentrationen…)
zum Ausdruck bringen. Über grobe Zielvorgaben, Schwellenwerte und Aufgabendelega-
tionen muss das Risikoverständnis im Gesamthaus integriert/platziert werden. Die Ver-
haltensweisen der Führungskräfte haben sich wie die der übrigen Mitarbeiter hieran zu
orientieren; auch die Unternehmensführung berücksichtigt die vorgegebenen Prinzipien
im Rahmen ihrer jeweiligen Entscheidungen und übernimmt so angemessen Risikover-
antwortung (vs. Ergebnis/Sicherheit). Unerwünschte Zuwiderhandlungen werden ent-
sprechend sanktioniert.82
Der offene Umgang mit Risikoinformationen bzw. deren Austausch ist über sämtliche
Bereiche sicherzustellen. Dies ist bei größeren Unternehmen in der Regel deutlich
schwieriger durch die höhere Anzahl an Mitarbeitern und Unternehmensbereichen. Für
die Entwicklung eines gleichgerichteten Risikobewusstseins in KMU‘s ist die Kommuni-
kation jedoch primär wichtig und daher entsprechend zu fördern.
8.3.2. Ziele des RMS
Die Ziele des RMS sind aufbauend auf der v. g. Risikokultur unternehmensseitig in Form
einer entsprechenden Risikostrategie zu formulieren. Dabei ist festzulegen, in welchem
Ausmaß unter Berücksichtigung der Risikotragfähigkeit des Unternehmens Risiken ein-
gegangen werden sollen.83
Dazu muss das Unternehmen seinen eigenen „Risikoappetit“ und die „Risikotoleranz“
bestimmen.84 Auf Unternehmensleiterebene ist insofern festzulegen, ob und in welchem
Umfang Risiken zur Zielerreichung eingegangen werden können und welche Spielräume
(Abweichungen) vertretbar erscheinen. Bekanntermaßen muss man aber Risiken einge-
hen, um überhaupt Chancen nutzen zu können. Das Risikoausmaß ist jedoch unterneh-
mensindividuell verschieden und von diversen Faktoren abhängig.

84 ibid., S. 8.
28
U. a. spielen die Unternehmerpersönlichkeit in Verbindung mit dem Leitbild, dem Alter

und der Erfahrung eines Unternehmens, seine finanzielle Ausstattung/wirtschaftliche
Lage sowie die Branche eine entscheidende Rolle. Wie bereits erwähnt, sind Familien-
unternehmen hier zumeist risikovermeidender, was sich in der Strategie wiederfinden
sollte.
Der IDW Standard stellt ferner heraus, dass die Risikopolitik im Unternehmen zu kom-
munizieren ist, um die definierten Ziele für den jeweiligen Unternehmensbereich zu mes-
sen.
„Die Ziele des RMS werden […] auf die jeweiligen Hierarchieebenen heruntergebrochen,
bspw. in Form einer quantitativen Risikostrategie mit Limits bei Finanzrisiken im Treasury
oder durch Kopplung an Budgetbegrenzungen und schrittweise Freigaben bei Investitio-
nen oder Entwicklungsprojekten.“85
Damit sollen alle Mitarbeiter bezüglich der unternehmensspezifischen Risikoausrichtung

informiert, sensibilisiert und gleichfalls „mit ins Boot geholt“ werden. Dies ist für ein funk-
tionierendes Risikomanagement ebenso wichtig wie notwendig. Demzufolge sind auch
in kleineren und mittleren Unternehmen die RMS-Ziele schriftlich und für jedermann ver-
ständlich zu formulieren.
Entscheidend für ein wirksames RMS ist aber auch das Vorleben durch die verantwort-
lichen Führungskräfte und die Geschäftsleitung, gerade in mittelständischen, eigentü-
mergeführten Unternehmen.86 Zugleich kommt hiermit die Unternehmensführung ihren
gesetzlich verankerten Sorgfaltspflichten nach. Es nützt also nichts, wenn der „Chef“
nicht vollständig hinter seinem Risikomanagement steht und seine Vorbildwirkung nicht
entsprechend ausübt.
8.3.3. Organisation des RMS
Hierunter werden vor allem eine transparente und eindeutige Aufbau- sowie eine klar
definierte Ablauforganisation verstanden.87

29
Im Prüfungsstandard sind dafür folgende Eigenschaften an die RMS-Organisation auf-

geführt, die es im Unternehmen zu berücksichtigen gilt:
 Festlegung von Rollen und Verantwortlichkeiten für die Koordination und Steue-
rung
 Definition von Aufgaben, der organisatorischen Einordnung und der Berichtsli-
nien
 Festlegung der Ablauforganisation, insbesondere für die Risikoerkennung, Risi-
kosteuerung, Kommunikation und Überwachung
 Einsatz technischer Hilfsmittel88
Im Zusammenhang mit den v. g. Rollen/Verantwortlichkeiten bezieht sich der PS 981 auf

das „Three-lines-of-Defense Modell“, also auf die Schaffung mehrerer Instanzen für ein
systematisches Risikomanagement. Dies stellt jedoch kein Dogma dar.
Abbildung 8: three-lines-of-defense-modell89

89 Bild angelehnt an FERMA/ECIIA: Guidance on the 8th EU Company Law Directive, article 41.
In: Rödl & Partner. Online im Internet:
http://www.roedl.de/themen/kapitalmarktorientierte-unternehmen/three-lines-of-defense-modell
(Stand 21.07.2017)
30
Während die erste „Verteidigungslinie“ auf Fachbereichsebene die Verantwortung für die
Beurteilung, Steuerung, Überwachung und Reduktion der Risiken trägt, dient die zweite
Instanz der Steuerung und Überwachung der Risikomanagementfunktion der ersten Li-
nie sowie dem Reporting an die Unternehmensleitung. Die dritte Verteidigungslinie wird
von der Internen Revision als objektive und unabhängige Prüfungsstelle wahrgenommen
und möglicherweise noch durch Externe wie z. B. Abschlussprüfer und Aufsichtsbehör-
den als sogenannte vierte Verteidigungslinie ergänzt90 (siehe auch Kapitel 7).
Ob jedoch in kleineren KMU’s auf Grund der geringeren Komplexität alle drei Abteilun-
gen separat vorhanden sein müssen, ist unternehmensindividuell abzuwägen. Möglich-
erweise können Überwachungs- und Prüfungsaufgaben auch zentral zusammengefasst
oder extern vergeben werden, wenn beispielsweise keine Interne Revision oder Con-
trolllingabteilung als solche vorgehalten werden. Grundsätzlich empfiehlt sich aber, um
den unterschiedlichen Funktionen gerecht zu werden, eine entsprechende Aufgaben-
trennung. Innerhalb der jeweiligen Bereiche ist dabei zu gewährleisten, dass keine mit-
einander unverträglichen Tätigkeiten durch ein und denselben Mitarbeiter ausgeführt
werden.91 Für KMU’s ohne eigene Interne Revision wäre eine angemessene Beschrei-
bung (Darstellung der Arbeitsabläufe in einem detaillierten Organigramm92), wer, wie und
wie oft die Systeme überwacht, wünschenswert.93 Eine Integration in bereits bestehende
Strukturen und Prozesse verringert den administrativen Aufwand und begünstigt die Re-
aktionsfähigkeit94, was gerade in kleineren Unternehmen nicht zu unterschätzen ist.
Bezüglich der Ablauforganisation ist diese in Form von Handbüchern und Regelwerken
zu dokumentieren und zu kommunizieren.95 Es sind folglich geeignete Geschäftspro-
zesse für die Risikobearbeitung zu bestimmen, welche insbesondere durch die zweite
Verteidigungslinie vorgegeben werden. Nach Gleißner ist die Entwicklung/Nutzung ge-
eigneter Kennzahlen sowie Verfahren dabei eine zentrale Aufgabe des Risikocontrol-
lings.96
90 Hämmerle, Matthias. Online im Internet:

https://www.3grc.de/risikomanagement/three-lines-of-defense-modell/ (Stand 21.07.2017)
91 Keitsch, Detlef: a. a. O., S. 55.
92 ibid., S. 55.
93 Klein, Martin; Schmidt, Christina: a. a. O., S. 84.
94 Bartelt, Stephan; Wieben, Hans-Jürgen: Ganzheitliches Risikomanagment nach ISO 31000 im
mittelständischen Maschinen- und Anlagenbau. In: Controller-Magazin, Jg. 2017, Nr. 1. Freiburg:
VVW Verlag für ControllingWissen AG, S. 19.
96 Gleißner, Werner: Grundlagen des Risikomanagements im Unternehmen. München: Verlag
Franz Vahlen GmbH 2008, S. 205.

31
Durch die explizite Benennung einer IT-Unterstützung durch den IDW wird die Notwen-
digkeit zu technischem Fortschritt und Digitalisierung in Unternehmen besonders her-
ausgestellt. Die Umsetzung von Risikomanagement mit Hilfe von spezialisierten Soft-
ware-Lösungen findet nämlich bislang in KMU’s nur unzureichend statt, weshalb die
Funktionalität und Wirksamkeit des RMS in Frage gestellt werden.97
Abbildung 9: Softwaretechnische RMS-Umsetzung98
Diesbezüglich besteht also noch Handlungsbedarf, auch für KMU’s die bereits ein Risi-
komanagementsystem eingeführt haben. Die vom Deutschen Sparkassen- und Girover-
band alljährlich herausgegebene „Diagnose Mittelstand“ 2017 bestätigt, dass in einigen
Bereichen durchaus noch Defizite bestehen und die Digitalisierungsanstrengungen nach
Unternehmensgröße und Branche sehr unterschiedlich sind.99
Neben den technischen Hilfsmitteln ist gleichfalls sicherzustellen, dass die Verantwor-
tungsträger die notwendigen persönlichen und fachlichen Voraussetzungen erfüllen und
ausreichende Ressourcen zur Verfügung stehen.100 In KMU’s sind also das diesbezüg-
liche Know-how und die RMS-Kompetenzen zu verbessern sowie entsprechende Mitar-
beiterkapazitäten zu schaffen. Dem Kostenargument stehen die bereits benannten Effi-
zienz- und Effektivitätssteigerungspotenziale eines wirksam genutzten Risikomanage-
ments nivellierend entgegen (61 % der befragten Unternehmen stellten keinen erhöhten
Bürokratieaufwand/Kostenfaktor fest101).
99 Sparkassen-Finanzgruppe Deutsche Sparkassen- und Giroverband: Diagnose Mittelstand
2017. Berlin: o. V., S. 39.

100 BDO AG Wirtschaftsprüfungsgesellschaft: Rechnungslegung & Prüfung. Düsseldorf: o. V.
2/2016, S. 11.
32
8.3.4. Risikoidentifikation
„Die Risikoidentifikation umfasst die regelmäßige, systematische Analyse von internen

und externen Entwicklungen und Ereignissen, die zu negativen oder positiven Abwei-
chungen von den festgelegten Zielen des RMS führen können.“ 102
Durch die Worte „regelmäßig“ und „systematisch“ wird in Anlehnung an den Regelkreis-
lauf eine kontinuierliche und strukturierte Betrachtung verstanden. Risikomanagement
ist insofern kein in sich abgeschlossener Prozess, sondern muss gelebt, ständig weiter-
entwickelt und wiederholt werden.
Nur die vollständige (richtige und frühzeitige103) Kenntnisnahme aller unternehmensre-

levanten Risiken inkl. deren Ursachen verhilft zu einem effizienten RMS, wenngleich na-
türlich den bestandsgefährdenden Ereignissen eine höhere Bedeutung zukommt. Um
alle risikorelevanten Entwicklungen eines Unternehmens erkennen zu können, sind Ku-
mulationseffekte von Einzelrisiken zu beachten und eine ganzheitliche Beurteilungsper-
spektive erforderlich. Allem voraus steht zunächst die Aufnahme des Ist-Zustandes.104
Fehler, die in dieser Phase gemacht werden, zeigen sich zumeist erst, wenn ein nicht
erkanntes Risiko tatsächlich eintritt und Schaden verursacht.105 Von daher ist der Pro-
zessschritt „Risiken identifizieren“ von zentraler Bedeutung.
Es bieten sich – wie in der nachstehenden Übersicht dargestellt (ohne Gewähr auf Voll-
ständigkeit) eine Vielzahl von Methoden und Instrumente zur Risikoidentifikation an, wo-
bei der Prüfungsstandard hier keine besonders geeigneten Verfahren benennt und die
Entscheidung deshalb dem Unternehmen selbst überlässt:

103 BDO AG Wirtschaftsprüfungsgesellschaft. Online im Internet:
https://www.bdo.de/de-de/einblicke/newsletter/frc-aktuell-juli-2016/idw-eps-981-grundsatze-ord-
nungsmassiger-prufung-vo (Stand 21.07.2017)
104 Krömer, Bernhard: a. a. O., S. 24.
105 Strohmeier, Georg: Ganzheitliches Risikomanagement in Industrieunternehmen. Grundlagen,
Gestaltungsmodell und praktische Anwendung. 1. Auflage, Wiesbaden: Deutscher Universitäts-

Verlag/GWV Fachverlage GmbH 2007, S. 49.
33
Methoden Instrumente
•Umweldanalyse •Checklisten
•Marktanalyse •Entscheidungsbaumanalysen
•Konkurrentenanalyse •Entscheidungstabellentechnik
•Branchenanalyse •Flow-Chart-Analyse
•Potenzialanalyse •Fehlermöglichkeits- und
•Stärken-Schwächen-Analyse Einflussanalyse
•Chancen-Risiken-Analyse •Brainstorming
•Lückenanalyse •Brainwriting
•Portfolioanalyse •Szenario
•Kennzahlenanalyse •Delphi-Methode
•Frühwarnsysteme
Abbildung 10: Methoden und Instrumente zur Risikoidentifikation106
Bei strategischen Risiken eignen sich wegen der Einmaligkeit und dem Fehlen von his-
torischen Daten vor allem Szenarioanalysen, wohingegen operationelle Risiken auch
durch mathematische Verfahren wie Value-at-Risk oder Cash-Flow-at-Risk gut identifi-
ziert werden können.107 Externe Risiken lassen sich durch die gezielte Suche in mehr
oder weniger allgemein zugänglichen Quellen (u. a. Branchenverbänden, Wirtschafts-
förderungsgesellschaften, Kammern etc.) erkennen, dies ist bei internen Risiken leider
nicht so einfach möglich. Noch dazu kommt hier der ungewollte Effekt der „Betriebsblind-
heit“. Abhilfe könnte die Einschaltung eines fremden Moderators unter Einbindung von
Mitarbeitern aus sämtlichen Hierarchieebenen schaffen.108
Neben themen- und branchenspezifischen Risikokatalogen legt der PS 981 insbeson-

dere auf die systematische Analyse von Frühwarnindikatoren und Kennzahlen (u. a. vo-
rausschauende Indikatoren und Prognosewerte, Aufdeckung von Schadensfällen,
Trends) wert, um möglichst frühzeitig kritische Entwicklungen feststellen zu können.109
Dabei sollten sowohl die internen als auch die externen Risikoquellen bzw. qualitative
und quantitative Risiken vorzugsweise strukturiert nach beispielsweise Risikoarten, Un-
ternehmensbereichen, Geschäftsprozessen, Beeinflussbarkeit, Bedrohung110 etc. be-
stimmt werden.
106 Eigene Darstellung, angelehnt an: Ehrmann, Prof. Dr. Harald: a. a. O., S. 88-118.
107 Meyer, Ralf: a. a. O., S. 48ff.
108 Kaack, Dr. Jürgen: Einführung von Risikomanagement in mittelständischen Unternehmen. In:
M’Blogschrift 06’06. Zorneding: MILA PR und Verlag GmbH 2006, S. 11.

110 Müller, Prof. Dr. Stefan. Online im Internet:
https://www.controlling-wiki.com/de/index.php/Risikomanagementsystem_(RMS)
(Stand 21.07.2017)
34
Nicht jede Methode/jedes Instrument eignet sich aber für alle Unternehmen (so haben
beispielsweise EDV-Risiken in einem Bauunternehmen geringere Auswirkungen als bei
reinen Technologieunternehmen), für KMU’s müssen daher die richtigen Verfahren ge-
wählt und ggf. den speziellen Besonderheiten angepasst werden. Gerade mittelständi-
sche Unternehmen dürfen hinsichtlich der Analysewerkzeuge nicht mit zu komplexen
Modellen überfrachtet werden111.
Nützlich könnte in diesem Zusammenhang die Beantwortung der nachfolgenden Fragen

sein, die sich teilweise aus der Risikokultur und den –zielen ableiten lassen. Gerade für
kleinere KMU’s stellt dies eine sehr vereinfachte Herangehensweise bei der Ermittlung
der für sie relevanten, den Fortbestand gefährdenden Risiken aus der Sichtweise der
Unternehmensleitung dar.
„Mit welchen Produkten/Produktgruppen, mit welchen Kunden/Kundengruppen, in wel-

chen regionalen Märkten und über welche Vertriebswege erzielt das Unternehmen
gestern, heute und morgen welche Ergebnisse, und welche Ursachen hat diese Entwick-
lung? Womit verdiene ich mein Geld und womit verliere ich eventuell sogar Geld und
warum ist das so?“112
Neben dem Top-Down-Ansatz (von oben nach unten) sollte jedoch auch durch die ope-
rativ tätigen Fachbereiche eine Risikoanalyse (Bottom-Up – von unten nach oben) erfol-
gen113, weil dies ggf. bessere oder genauere Ergebnisse liefert. Besonders eignet sich
hierfür u. a. das Brainstorming, bei dem sowohl die Mitarbeiter als auch die Geschäfts-
leitung die durch sie erkannten Risiken benennen. Im ersten Schritt wird noch keine
Wertung der einzelnen Risiken vorgenommen, es steht lediglich der Findungsprozess
im Vordergrund.114 Erst nach der eigentlichen Bestandsaufnahme erfolgt dann die Struk-
turierung und Relevanzabschätzung115, vorzugsweise wieder in Form einer Gruppenent-
scheidung.116
112 Schuppener, Jörg; Tillmann, Winfried: a. a. O., S. 3ff.
114 Lorenz, Heike. Online im Internet:
http://das-unternehmerhandbuch.de/2013/02/20/risikomanagement-fuer-kleine-unterneh-
men/#Phase_1_Risikoanalyse (Stand 21.07.2017)
115 Gleißner, Werner: a. a. O., S. 58.
116 Barodte, Berthold; Montagne, Eric; Boutellier, Roman: Risikomanagement für kleine und mitt-
lere Unternehmen. Angepasster Risikomanagementprozess als Brücke zwischen Theorie und

Praxis. In: Der Schweizer Treuhänder, Jg. 2008, Nr. 3, S.136.
35
Auch die Nutzung von einfachen Checklisten, Fragebögen, Beobachtungen u. ä. em-

pfiehlt sich bei KMU‘s. Interessant und nützlich zur Erstellung eines Risikoinventars
könnte z. B. der Gefährdungskatalog des Bundesamtes für Sicherheit und Informations-
technik (BSI) sein, der verschiedene Risikoszenarien benennt und beschreibt117 oder
aber auch die Musterliste des DIIR118. In der Literatur finden sich in diesem Zusammen-
hang allerhand hilfreiche Ansatzpunkte, auf die KMU’s kostenfrei zurückgreifen können.
Bei den an der „Quelle“ sitzenden Mitarbeitern sollte dann auch ein mögliches Frühwarn-
system angesiedelt werden. Mithilfe von individuellen Frühwarnindikatoren (etwa Kon-
junktur- oder Einkaufsindizes…) sollen Risiken/Veränderungen so zeitnah festgestellt
werden, dass noch Gegensteuerungsmaßnahmen zur Abwendung des Risikoeintritts
bzw. zur Reduzierung des Schadensausmaßes angestoßen werden können.119 Ein sol-
ches Frühwarnsystem wird durch die explizite Benennung im PS 981 indirekt verlangt.
Die o. g. Kennzahlenanalyse basiert auf aussagefähigem Zahlenmaterial des Unterneh-

mens selbst. In diesem Punkt bestehen aus Praxissicht häufig noch Defizite in KMU’s,
sei es bei der Erstellung und Nutzung unterjähriger betriebswirtschaftlicher Auswertun-
gen und Plan/Ist-Abgleichen, der Bestimmung und Ermittlung wesentlicher Kennzif-
fern/Laufzeitbänder und Auslastungen oder der ineffektiven Anwendung technischer
Systeme. Dies ist auch mit Blick auf die Dokumentationserfordernisse wichtig und sollte
daher zwingend optimiert werden. Oftmals stehen gerade bei kleineren Unternehmen
nicht die kaufmännischen, sondern eher die technischen Fähigkeiten im Vordergrund.
Heutzutage sind jedoch betriebswirtschaftliche Kenntnisse unverzichtbar und müssen
daher ständig verbessert und aktualisiert werden.
117 Bachmann, Andreas: Checkliste Risikomanagement für KMU. Online im Internet:

https://blog.adacor.com/leitfaden-betriebliches-risikomanagement_1517.html
(Stand 21.07.2017)


36
8.3.5. Risikobewertung
Neben der Identifikation der Risiken stellt vermutlich der nächste Prozessschritt, die Ri-
sikobewertung, für viele Unternehmen die schwierigste Aufgabenstellung dar, denn nicht
alle erkannten Risiken lassen sich mittels zahlenmäßiger Methoden messen und müs-
sen daher teilweise subjektiv eingeschätzt werden. Dies führt mitunter zu erheblichen
Bewertungsschwierigkeiten oder –spielräumen. Der Prüfungsstandard fordert hier, dass
Risiken hinsichtlich ihrer Ursache-Wirkungs-Zusammenhänge systematisch untersucht
und im Hinblick auf ihre Eintrittswahrscheinlichkeit und Auswirkungen nach Schadens-
höhe/Eintrittshäufigkeit beurteilt werden.120 Eine Risikomessung ist nach Ehrmann näm-
lich nur dann möglich, wenn diese Faktoren bekannt sind.121
Auch hierfür stehen verschiedene Instrumentarien zur Verfügung. Je nach Risikoart und
Situation des Unternehmens können quantitative (z. B. Statistische Risikoindizes, Kor-
relationen) und/oder hybride Techniken (u. a. Szenario-Analyse, Risk Map) eingesetzt
werden. Die Letztgenannten eignen sich insbesondere für KMU’s bei schwer messbaren
Risiken.122 Die angewandten Bewertungsverfahren und –kriterien sind dabei eindeutig
zu definieren, zu dokumentieren und müssen geeignet sein, die Bedeutung und den Wir-
kungsgrad von Risikosteuerungsmaßnahmen einzuschätzen.123
Eine pragmatische Herangehensweise für die Risikobewertung stellt beispielsweise die

sogenannte „Risk Map“ (Risikoportfolio) dar, bei der die beiden Merkmale Schadens-
höhe und Eintrittswahrscheinlichkeit in einer zweidimensionalen Matrix dargestellt124 und
gleichzeitig durch eine entsprechende Skalierung deren jeweilige Ausprägung (Priorität)
bewertet werden. Hieran lässt sich eine Präferenzordnung der zu bearbeitenden Risiken
schnell ablesen.125

122 Becker, Dr. Stefan; Neyer, Bastian. Online im Internet:
https://www.qz-online.de/qualitaets-management/qm-basics/massnahmen/risikomanage-
ment/artikel/risikomanagement-fuer-kmu-1247373.html?survey_1247373.current-step=1&ar-
ticle.page=3&_req_id=91500841616853:9A020EF0C2168C636428AD582BBFAFEEB2D03345
(Stand 21.07.2017)
123 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 9. Und 40.
124 Becker, Dr. Stefan; Neyer, Bastian. Online im Internet:
https://www.qz-online.de/qualitaets-management/qm-basics/massnahmen/risikomanage-
ment/artikel/risikomanagement-fuer-kmu-1247373.html?survey_1247373.current-step=1&ar-
ticle.page=3&_req_id=91500841616853:9A020EF0C2168C636428AD582BBFAFEEB2D03345
(Stand 21.07.2017)
125 Preißner, Andreas: a. a. O., S. 357.
37
Die v. g. Einschätzung basiert auf einer Art Relevanzskala, womit sich recht einfach die
Schadensklasse auch für nicht genau messbare Risiken ermitteln und darstellen lässt.
Im folgenden Beispiel wurde die Eintrittswahrscheinlich in unwahrscheinlich, möglich
oder wahrscheinlich und die Schadenshöhe in gering, mittel und groß eingeteilt.
Abbildung 11: Aufbau eines Risikoportfolios126
Der Handlungsbedarf nimmt mit der Entfernung zum Koordinatenursprung zu und ist
oben rechts mit der Kombination hoch/wahrscheinlich am größten. Bei Risiken, die in
diesem Bereich angesiedelt sind, besteht der größte Handlungsbedarf mit der vermutlich
bedrohlichsten Auswirkung auf das Unternehmen.
Die Eintrittswahrscheinlichkeit soll in Anlehnung an den Prüfungsstandard entweder

qualitativ (z. B. hoch, mittel, niedrig), quantitativ (beispielsweise in Prozentwerten, Band-
breiten) sowie durch Angabe der Häufigkeit bezogen auf einen Zeitraum bestimmt wer-
den. Die Höhe der Zielabweichungen kann über Szenarien wie best case/ worst case
ermittelt, nicht objektiv nachvollziehbare Risiken u. a. über Bandbreitenzuordnungen
oder Klassifizierungen bewertet werden, Verfahren zur Risikosimulation sind gleichfalls
sachgerecht einzusetzen.127 Der PS 981 gibt insofern konkrete Hilfestellungen, was die
anzuwendende Systematik betrifft und bezieht gleichfalls zukunftsblickende Simulations-
verfahren mit ein.
126 Schumacher, Gerd. Online im Internet:

https://gerdschumacher.wordpress.com/2013/11/15/erfolgskriterium-risikomanagement-im-pro-
jekt/ (Stand 21.07.2017)
38
Zu beachten ist ferner, dass existenzbedrohende Risiken trotz geringer Eintrittswahr-

scheinlichkeit eine andere Behandlung erfordern als geringere Risiken mit höherer Ein-
trittswahrscheinlichkeit.128 Außerdem bestehen zwischen einzelnen Risiken entspre-
chende Abhängigkeiten (Interdependenzen), sodass sich die Auswirkungen entweder
noch verstärken oder gegeneinander aufheben/verringern. Das gleichzeitige Auftreten
mehrerer vermeidlich schwächerer Risiken kann ebenso bestandsgefährdend für ein Un-
ternehmen sein. Daher sollten bei der Gesamtbetrachtung die Risiken in aggregierter
Form (nicht einfach nur addiert) analysiert und berücksichtigt werden.129 Dies wird mo-
mentan in Unternehmen noch zu wenig angewandt.130
Als Verfahren bieten sich zum Beispiel das „Quadrieren der Einzelwerte (und anschlie-
ßende Wurzelberechnung)“ sowie die „Monte-Carlo-Simulation“ an.131
„Bei der Risikoaggregation werden mittels Simulation die durch Wahrscheinlichkeitsver-

teilungen beschriebenen Risiken in den Kontext der Unternehmensplanung gestellt, d. h.
es wird jeweils aufgezeigt, welches Risiko an welcher Position der Planung (Erfolgspla-
nung) zu Abweichungen führen kann. […] kann dann eine große repräsentative Anzahl
möglicher risikobedingter Zukunftsszenarien berechnet und analysiert werden. Damit
sind Rückschlüsse auf den Gesamtrisikoumfang, die Planungssicherung und die realisti-
sche Bandbreite, z. B. des Unternehmensergebnisses, möglich.“132
Jedoch ist die letztgenannte Methode für den Einsatz in KMU’s aufgrund ihrer Komple-
xität nur in größeren Unternehmen geeignet.133 Die Verwendung des bereits erwähnten
Risikoinventars durch Fortschreibung aus der Risikoidentifikation wäre dagegen eine für
KMU’s viel einfachere Variante. Hierzu bietet sich ein standardisierter Erfassungsbogen
an, der übersichtlich die Einzelrisiken in Tabellenform enthält und damit trotzdem den
Blick aufs Ganze ermöglicht.134
128 Müller, Prof. Dr. Stefan. Online im Internet:

(Stand 21.07.2017)
Hier bleibt der Prüfungsstandard übrigens hinter den Empfehlungen der befragten Fach-
spezialisten zurück, die keine Wahlmöglichkeit bei der Anwendung von Simulationsver-
fahren, sondern eine wesentliche Pflicht darin sehen.
131 Henschel, Thomas; Heinze, Ilka: a. a. O., S.109.
132 Gleißner, Dr. Werner. Online im Internet:
https://www.controlling-wiki.com/de/index.php/Monte-Carlo-Simulation (Stand 21.07.2017)

133 Henschel, Thomas; Heinze, Ilka: a. a. O., S.111.
134 ibid., S.111.
39
8.3.6. Risikosteuerung
„Auf der Grundlage der identifizierten und bewerteten Risiken trifft die Unternehmenslei-
tung Entscheidungen über Maßnahmen zur Risikosteuerung (Risikovermeidung, Risiko-
reduktion, Risikoteilung bzw. –transfer sowie Risikoakzeptanz). Als Bezugsrahmen die-
nen die festgelegten Ziele des RMS.“135
Da die RMS-Ziele aus der jeweiligen Unternehmensstrategie abgeleitet sind, orientieren

sich folglich die Steuerungsmaßnahmen daran ebenso. Abhängig vom eigenen Risiko-
appetit und der Risikotoleranz muss also ein Unternehmen für sich festlegen, welche
Risikobewältigungsstrategie für die wesentlichen Einzelrisiken eingesetzt wird.
Während bei der „Vermeidung“ gewisse Risiken von vornherein nicht eingegangen wer-
den, gilt es durch die anderen Maßnahmen die Risiken bestmöglich zu reduzieren, d. h.
die Schadenshöhe zu begrenzen und/oder die Eintrittswahrscheinlichkeit zu mindern.
Eine hohe Bedeutung kommt dabei auch dem Transfer auf Dritte – speziell der Versi-
cherung – zu.136 Risikoakzeptanz bedeutet in diesem Kontext die eigene Übernahme
von Risiken (selbst tragen), was unter dem Blickwinkel, entsprechende Chancen nicht
gänzlich aufzugeben oder mangels besserer Alternativen gleichfalls in Frage kommt.
Gerade für auftretende Risiken im Kerngeschäft eines Unternehmens ist es unumgäng-
lich, dass diese in einem bewussten Rahmen eingegangen und toleriert werden, um die
hieraus resultierenden Ertragspotenziale entsprechend nutzen zu können.
KMU’s sollten in Abhängigkeit von ihrer eigenen Risikosituation und der Risikotragfähig-
keit dabei einen sinnvollen Strategiemix festlegen und durch passende Steuerungsmaß-
nahmen konkretisieren137, welche unternehmensindividuell zugeschnitten und auf die je-
weiligen Eigenheiten abgestellt sind.
Im Rahmen einer Risikobewältigungsmatrix können Unternehmen dann die für einzelne

Risikoarten definierten Strategien relativ leicht zusammenfassen, wie nachfolgendes
Beispiel anschaulich zeigt:

137 Gonschorek Torsten; Petzold, Christian: a. a. O., S. 62.
40
Abbildung 12: Bewältigungsmatrix138
Ferner ist festzulegen, ob die Überwachung der Risikosteuerungsmaßnahmen dezentral

oder zentral erfolgen soll.139 Aus Sicht des Prüfungsstandards gibt es hierzu keine Prä-
ferenzen; dies fällt also in das Organisationsermessen der Geschäftsleitung. Dabei spielt
wiederum die Unternehmensgröße bzw. der Komplexitätsgrad eine entscheidende
Rolle. Empirischen Studien zufolge werden wichtige Risikomanagement-Funktionen zu-
meist dezentral ausgeübt.140 Auf Grund begrenzter Ressourcen (finanziell und personell)
dürfte die Einrichtung einer separaten Risikomanagementabteilung in KMU’s jedoch oft-
mals nicht umsetzbar sein.141 Hier gilt es also, die Vor- und Nachteile individuell abzu-
wägen.
Es ist jedoch unbedingt sicherzustellen, dass die involvierten Mitarbeiter wiederrum an-
gemessen und regelmäßig weitergebildet werden142, um die risikospezifischen Qualifi-
kationen zu verbessern.

141 Gonschorek Torsten; Petzold, Christian: a. a. O., S. 56.
41
8.3.7. Risikokommunikation
Auf Basis eines standardisierten Prozesses sowie konkreter Zuständigkeiten soll ein an-
gemessener Informationsfluss im Risikomanagementsystem (und damit im Gesamt-
haus) gewährleistet werden. Dies bedeutet die Festlegung von Periodizitäten, Schwel-
lenwerten, Berichtsformaten, Eilmeldungen sowie die Sammlung, Prüfung und Aktuali-
sierung entscheidungsrelevanter Informationen.143
Aus dem Prüfungsstandard ergeben sich folgende Umsetzungsempfehlungen:
 Kommunikation der RMS-Regelungen bzw. von relevanten Risikobereichen

 Festlegung der Berichtspflichten und –wege (z. B. Terminvorgaben, Berichtsfor-
mate und Kommunikationswege mittels RMS-Handbücher o. ä.)
 Informationssicherstellung144
Eine gute Informationspolitik ist für das Risikomanagement existenziell wichtig, weil da-
mit die notwendigen Mitteilungen/Erkenntnisse - möglichst vorgefiltert - den entspre-
chenden Adressaten zugeleitet werden können. Dazu sind in KMU’s entsprechende
Kommunikationsmaßnahmen umzusetzen.
Laut Prüfungsstandard kann die Darstellung der Risikosituation in einem regelmäßigen

Risikobericht in standardisierter Form mit beispielsweise Clusterung der Risiken nach
ihrer Wesentlichkeit (Priorisierung) erfolgen.145 Sogenannte ad hoc-Risikomeldungen
treten bei besonders schwerwiegenden Ereignissen (z. B. Totalausfall einer Großforde-
rung) in Kraft, sind hochpriorisiert zu behandeln und direkt an die Geschäftsleitung zu
richten. Sie erfordern mitunter Sofortmaßnahmen und sind daher zwingend in jedes Ri-
sikomanagement zu integrieren.
In Anlehnung an einen Bericht in der Zeitschrift „Die Wohnungswirtschaft 06/2015“ könn-

ten KMU’s als Anhaltspunkte für eine angemessene Risikokommunikation dabei fol-
gende Kernpunkte dienen:

42
 Etablierung der Berichtserstattung auf unterschiedlichen Unternehmensebenen

 Berücksichtigung aller wesentlichen Risiken
 Beurteilung der Gesamtrisikosituation anhand des Reportings
 Einbeziehung der relevanten Bereiche in das Berichtswesen
 Beurteilung der Toprisiken und deren Umgang
 Existenz eines unterjährigen Reportings
 Aktualisierung des Risikoinventars146
Wichtig ist zudem, die Bereitschaft der verantwortlichen Stellen als wesentliche Voraus-
setzung für eine gelungene Risikokommunikation z. B. durch Schulungsmaßnahmen zu
fördern.147
8.3.8. Überwachung und Verbesserung des RMS
Das letzte zu implementierende Element widmet sich den Kontrollhandlungen zum Risi-
komanagementsystem mit dem Ziel der stetigen Weiterentwicklung und Optimierung. So
spricht sich der PS 981 sowohl für prozessintegrierte als auch prozessunabhängige
Überwachungsmaßnahmen aus, deren Ergebnisse dann in geeigneter Form berichtet
und ausgewertet werden, um Systemmängel zu beseitigen bzw. die Ausgestaltung wei-
ter zu verbessern.148
Prozessbegleitende Kontrollen sind nach dem Prüfungsstandard in einer Risikorichtlinie

bzw. dem Risikohandbuch oder einer Verfahrensanweisung der jeweiligen Organisati-
onseinheit schriftlich zu fixieren und nachvollziehbar anhand von z. B. Protokollen,
Checklisten zu dokumentieren.149 Dabei sind alle Unternehmensbereiche zu berücksich-
tigen. Hiermit soll sichergestellt werden, dass entsprechende Prüfungstätigkeiten von
den verantwortlichen Mitarbeitern fortlaufend und in Eigenverantwortung durchgeführt
und entsprechende Ergebnisse nachweislich festgehalten werden.
146 Gebhardt, Christian: Das Risikomanagementsystem als wesentlicher Bestandteil der Corpo-
rate Governance. In: Die Wohnungswirtschaft, Jg. 2015, Nr. 6, S. 69
43
Diese Überwachungsmaßnahmen richten sich auf den gesamten Risikomanagement-

Prozess, insbesondere darauf, ob die definierten Risikovorgaben erreicht wurden.150
Hierzu dienen u. a. Abweichungsanalysen, insbesondere dergestalt, ob definierte Limits,
Kriterien oder Kennzahlen im Zeitverlauf nicht überschritten wurden.151 Ein Großteil der
Kontrollen wird hierbei auch durch das Controlling – sofern eingerichtet – wahrgenom-
men.
Als geeignetes Controllinginstrument in KMU‘s wird nach herrschender Meinung auch

die Balanced Scorecard angesehen152, weil hierdurch nicht nur eine reine Ausrichtung
auf Finanzkennzahlen und kurzfristige Ergebnisziele verfolgt wird.153 Vielmehr werden
auch nicht monetäre Zielgrößen berücksichtigt, so beispielsweise die Kundenzufrieden-
heit154 (vs. Reputationsrisiken).
Abbildung 13: Perspektiven der Balanced Scorecard155

151 Trauboth, Jörg Helmut. Online im Internet:
http://www.risikomanagement.info/Risikomanagement-und-das-Gesetz-zur-Kontrolle-und-Trans-
parenz-im-Unternehme.309.0.html (Stand 21.07.2017)
153 Wöhe, Dr. Dr. h.c. mult. Günter; Döring, Dr. Ulrich: Einführung in die Allgemeine Betriebswirt-
schaftslehre. 25., überarbeitete und aktualisierte Auflage. München: Verlag Franz Vahlen GmbH,
S. 203.
154 ibid. S. 203
155 Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Balanced Sco-
recard, online im Internet:

44
Die prozessunabhängige Überwachung erfolgt – wie schon geschildert – hauptsächlich

durch die Interne Revision und ist auf die Funktionalität des RMS sowie dessen Wirk-
samkeit gerichtet. Bei der Prüfung sollten unbedingt diese Aspekte berücksichtigt wer-
den (Vgl. Henschel/Heinze S. 120):
 Vollständige Erfassung aller Risikofelder

 Eignung der eingerichteten Regelungen zur Risikoerfassung/–kommunikation
 Angemessenheit und kontinuierliche Anwendung der Risikosteuerungsmaßnah-
men vor dem Hintergrund der gewählten Risikostrategie und der RMS-Ziele
 Beabsichtigte Umgehungen eingerichteter Prozesse und Kontrollen156
Nur mit Hilfe von ausreichenden Kontrollmaßnahmen kann letztendlich die Effektivität
und Aktualität des Risikomanagementsystems dauerhaft sichergestellt werden.
http://wirtschaftslexikon.gabler.de/Archiv/1856/balanced-scorecard-v7.html (Stand 21.07.2017)

45
9. Fazit
Für kleine und mittlere Unternehmen, die größtenteils nicht unter die gesetzlichen Anfor-
derungserfordernisse zur Implementierung eines Risikomanagementsystems fallen, gibt
es heutzutage allerdings wirtschaftliche Beweggründe und Interessenlagen, derartige
Systeme dennoch einzurichten. Dazu zählt neben Kostensenkungspotenzialen, verbes-
serten Zugängen auf Kredit- und Kapitalmärkten sowie einer allgemeinen Chancenopti-
mierung vordergründig die Existenzsicherung.
Trotz vielfältiger Literaturhinweise, Normen und Standards zum Thema Risikomanage-

ment gibt es kein allgemeingültiges Konzept, wie ein solches Risikomanagementsystem
„richtig“ auszugestalten ist. Vielmehr liegt dies im jeweiligen Organisationsermessen der
Geschäftsleitung. Gerade für KMU’s ist das Risikomanagement auf ihre Besonderheiten
wie Branche, Unternehmensgröße und Komplexität anzupassen, da die finanziellen und
personellen Ressourcen nicht unbegrenzt zur Verfügung stehen und einige Methoden
aufgrund des Umfangs/Schweregrads teilweise unangemessen erscheinen.
Der IDW hat mit der Veröffentlichung des Prüfungsstandard: Grundsätze ordnungsmä-
ßiger Prüfung von Risikomanagementsystemen nunmehr primär für Wirtschaftsprüfer
eine Prüfungsvorschrift herausgegeben, wie freiwillige RMS-Prüfungen durchzuführen
sind. Derartige Prüfungen von Risikomanagementsystemen sind nicht nur für Aufsichts-
räte oder Vorstände nützlich zum objektivierten Nachweis der ermessensfehlerfreien
Ausübung der Organisations- und Sorgfaltspflichten157, sondern können auch für kleine
und mittlere Unternehmen durchaus einen Mehrwert besitzen. Einerseits als positives
„Aushängeschild“ und Abgrenzungsmerkmal gegenüber anderen Marktteilnehmern und
Stakeholdern, andererseits als Ansatzpunkt zur Optimierung bereits eingeführter Risiko-
managementsysteme mit dem Ziel der Steigerung von Effektivität- und Effizienz genutzt
werden.
Um jedoch eine solche Prüfung überhaupt bestehen zu können, sind nach Meinung des
Standardherausgebers zwingend 8 Grundelemente in das betriebliche Risikomanage-
mentsystem zu integrieren, die sich gegenseitig beeinflussen.

46
Zu den einzelnen Zielkategorien werden zudem Erläuterungen gegeben, was darunter

im Detail zu verstehen ist und welche Merkmale beim ganzheitlichen Aufbau eines sol-
chen Risikomanagementsystems zu berücksichtigen sind. Diese sind – gestützt auf be-
reits anerkannte Rahmenkonzepte wie COSO Enterprise Risk Management Framework
zusammenfassend folgende:
 Risikokultur
Förderung der Einstellung und des Verhaltens aller Mitarbeiter des Unterneh-
mens mit Risiken
 Ziele des RMS
Formulierung einer Risikostrategie unter Berücksichtigung des eigenen Risiko-
appetits und der Risikotoleranz
 Organisation des RMS
Schaffung einer angemessenen Aufbau- und Ablauforganisation durch Definition
von Rollen und Zuständigkeiten
 Risikoidentifikation
Bestimmung der relevanten Risiken und deren Ursachen unter Zuhilfenahme von
beispielsweise Frühwarnindikatoren
 Risikobewertung
Abschätzung der Risiken mittels quantitativer, qualitativer und aggregierter Ver-
fahren
 Risikosteuerung
Festlegung von geeigneten Bewältigungsmaßnahmen wie Risikovermeidung, Ri-
sikoreduktion, Risikoteilung und Risikoakzeptanz
 Risikokommunikation
Benennung von Berichtspflichten und –wegen zur adressatengerechten Risikoin-
formation
 Überwachung und Verbesserung des RMS
Durchführung prozessintegrierter und prozessunabhängiger Kontrollhandlungen
mit dem Ziel der RMS-Weiterentwicklung158
158Vgl. KPMG AG Wirtschaftsprüfungsgesellschaft. Online im Internet:

https://www.idw.de/blob/97460/.../down-symposion-drsc-praesentationen-data.pdf
(Stand 21.07.2017)
47
Inhaltlich handelt es sich zwar nicht um neue Erkenntnisse, der Prüfungsstandard fasst
jedoch verständlich und übersichtlich auch für kleine und mittlere Unternehmen mit zu-
meist begrenztem Methodenwissen die wesentlichen Bestandteile eines Risikomanage-
mentsystems, deren Aufgaben und anzuwendenden Instrumentarien etc. zusammen.
Damit kann der PS 981 durchaus als Handlungsleitfaden und Hilfestellung bei der Im-
plementierung/Verbesserung eines auf das jeweilige Unternehmen zugeschnittenen Ri-
sikomanagementsystems angesehen werden. Es bleibt jedoch nicht aus, sich zusätzli-
ches Wissen insbesondere zu den einzusetzenden Verfahren anzueignen. In diesem
Zusammenhang sind keine detaillierten Aussagen getroffen worden, weil der jeweilige
Methoden- und Instrumenteneinsatz unternehmensindividuell recht unterschiedlich ist.
Von besonderer Bedeutung ist das entlang des gesamten Risikomanagement-Prozes-

ses aus Verständnis- und Nachweisgründen verlangte Schriftformerfordernis, was im
Umkehrschluss zwangsläufig zu einem verstärkten Auseinandersetzen von KMU’s und
deren Geschäftsführung mit den Inhalten der Risikomanagement-Bausteine führt und
erhöhte Dokumentationspflichten bedingt. Einzuschließen ist gleichfalls ein umfassen-
des Berichtswesen über sämtliche Unternehmensbereiche mit der Absicht, u. a. die zu-
künftigen Planungen und strategischen Ausrichtungen im Management mit zu unterstüt-
zen.
Auch den einzusetzenden Hilfsmitteln wie entsprechender Technik, Personal und Zeit
kommt eine wesentliche Rolle bei der Einrichtung von Risikomanagementsystemen zu,
so wird mehrfach durch den Prüfungsstandard auf die IT-Ausstattung und Schulungs-
notwendigkeit der verantwortlichen Mitarbeiter hingewiesen. Einschlägige Sachkennt-
nisse und Fertigkeiten sowie individuelle Unternehmenskenntnisse gehören ebenso wie
definierte Mitarbeiterbefugnisse und Kompetenzlimitierungen zu den wichtigen Erfolgs-
faktoren.
Abschließend ist zu konstatieren, dass nach PS 981 eingerichtete Risikomanagement-

systeme in kleinen und mittleren Unternehmen durchaus geeignet erscheinen, bei ziel-
gerichteter Anwendung, einer Insolvenzgefährdung entgegenzusteuern und damit den
Fortbestand sinnvoll zu unterstützen.
48
Anhang
Anlage 1: Deloitte GmbH Wirtschaftsprüfungsgesellschaft
49
Literaturverzeichnis
Aktiengesetz vom 6. September 1965 (BGBl. I S. 1089), das zuletzt durch Artikel 24 Absatz 16
des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1693) geändert worden ist
BDO AG Wirtschaftsprüfungsgesellschaft: Rechnungslegung & Prüfung. Düsseldorf: o. V. 2/2016
Barodte, Berthold; Montagne, Eric; Boutellier, Roman: Risikomanagement für kleine und mittlere
Unternehmen. Angepasster Risikomanagementprozess als Brücke zwischen Theorie
und Praxis. In: Der Schweizer Treuhänder, Jg. 2008, Nr. 3
Bartelt, Stephan; Wieben, Hans-Jürgen: Ganzheitliches Risikomanagment nach ISO 31000 im

mittelständischen Maschinen- und Anlagenbau. In: Controller-Magazin, Jg. 2017, Nr. 1.
Freiburg: VVW Verlag für ControllingWissen AG
Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Erläuterungen zu den MaRisk in der

Fassung vom 14.12.2012. o. O. 2012
Deloitte GmbH Wirtschaftsprüfungsgesellschaft: Prüfung des Risikomanagementsystems. Berlin:

o. V. 01/2017
Deutscher Bundestag: Entwurf eines Gesetzes zur Kontrolle und Transparenz im Unternehmens-
bereich (KonTraG) mit Begründung und Vorblatt. Bonn: Bundesanzeiger Verlagsgesell-
schaft mbH 1998
Ehrmann, Prof. Dr. Harald: Risikomanagement in Unternehmen. 2. Aktualisierte und erheblich

überarbeitete Auflage 2012, Herne: NWB Verlag GmbH & Co. KG 2005
Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft: EY Public Services Newsletter. Ausgabe

126. Berlin: o. V. 2016
FGS Flick Gocke Schaumburg GmbH Wirtschaftsprüfungsgesellschaft: Accounting Update.

Bonn: o. V. 01/2016
Funk RMCE GmbH; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: Risikomanage-
ment im Mittelstand. Exklusive Benchmarkstudie zu Stand und Perspektiven des Risiko-
managements in deutschen (Familien-)Unternehmen. Hamburg: April 2011
Gebhardt, Christian: Das Risikomanagementsystem als wesentlicher Bestandteil der Corporate

Governance. In: Die Wohnungswirtschaft, Jg. 2015, Nr. 6
Gleißner, Werner: Grundlagen des Risikomanagements im Unternehmen. München: Verlag

Franz Vahlen GmbH 2008
Gonschorek Torsten; Petzold Christian: Risiken managen. In: Haubold AK., Gonschorek T.,
Gestring I., Sonntag R., von der Weth R. (eds): Managementkompetenzen im Mittelstand.
Wiesbaden: Springer Gabler Verlag 2014
Handelsgesetzbuch in der im Bundesgesetzblatt Teil III, Gliederungsnummer 4100-1, veröffent-

lichten bereinigten Fassung, das zuletzt durch Artikel 10 des Gesetzes vom 5. Juli 2017
Henschel, Thomas; Heinze, Ilka: Governance, Risk und Compliance. Praxisleitfaden für gute
Unternehmensführung. Berlin: Erich Schmidt Verlag GmbH & Co. KG 2016
Immerschitt, Wolfgang; Stumpf, Marcus: Employer Branding für KMU. Der Mittelstand als attrati-
ver Arbeitgeber: Gabler Verlag 2014
50
Institut der Wirtschaftsprüfer in Deutschland e.V.: IDW Prüfungsstandard: Grundsätze ordnungs-

mäßiger Prüfung von Risikomanagementsystemen (IDW PS 981, Stand 03.03.2017).
Düsseldorf: IDW Verlag GmbH 2017
Institut für Mittelstandsförderung: Unternehmensgrößenstatistik. Bonn: März 2012
Kaack, Dr. Jürgen: Einführung von Risikomanagement in mittelständischen Unternehmen. In:

M’Blogschrift 06’06. Zorneding: MILA PR und Verlag GmbH 2006
Keitsch, Detlef: Risikomanagement. Ulm: Schäffer-Poeschel Verlag für Wirtschaft · Steuern ·

Recht GmbH & Co. KG 2000
KfW Bankengruppe: Merkblatt KMU-Definition. Frankfurt Stand 09/2016
Klein, Martin; Schmidt, Christina: Prüfung und Publizität von Risikomanagementsystemen bei mit-
telständischen Kapitalgesellschaften. Empfehlungen für eine angemessene Berichter-
stattung vor dem Hintergrund erweiterter Offenlegungsvorschriften. In: Zeitschrift für Cor-
porate Governance, Jg. 2011, Nr. 2. Berlin: Erich Schmidt Verlag, S. 85ff.
Krömer, Bernhard: Aufbau und Ablauf des Risikomanagements. Teil A: Umsetzung von Compli-
ance-Erfordernissen gem. §91 Abs.2 AktG in der Unternehmenspraxis. In: Zeitschrift für
Corporate Governance, Jg. 2017, Nr. 2. Berlin: Erich Schmidt Verlag
Meyer, Ralf: Die Entwicklung des betriebswirtschaftlichen Risiko- und Chancenmanagements. In:
Risikomanagement in der Unternehmensführung. Wertgenerierung durch chancen- und
kompetenzorientiertes Management. Weinheim: John Wiley & Sons 2008
Preißner, Andreas: Praxiswissen Controlling. Grundlage Werkzeuge Anwendungen. 3., erwei-

terte Auflage, Wien: Carl Hanser Verlag Münschen 2003
Schuppener, Jörg; Tillmann, Winfried: KonTraG – Die möglichen Auswirkungen auf das Kredit-
geschäft. Dortmund: o. V.
Sparkassen-Finanzgruppe Deutsche Sparkassen- und Giroverband: Diagnose Mittelstand 2017.

Berlin: o. V.
Strohmeier, Georg: Ganzheitliches Risikomanagement in Industrieunternehmen. Grundlagen,

Gestaltungsmodell und praktische Anwendung. 1. Auflage, Wiesbaden: Deutscher Uni-
versitäts-Verlag/GWV Fachverlage GmbH 2007
Wöhe, Dr. Dr. h.c. mult. Günter; Döring, Dr. Ulrich: Einführung in die Allgemeine Betriebswirt-
schaftslehre. 25., überarbeitete und aktualisierte Auflage. München: Verlag Franz Vahlen
GmbH
Internetquellen
Bachmann, Andreas: Checkliste Risikomanagement für KMU. Online im Internet:
https://blog.adacor.com/leitfaden-betriebliches-risikomanagement_1517.html
BDO AG Wirtschaftsprüfungsgesellschaft. Online im Internet:

https://www.bdo.de/de-de/einblicke/newsletter/frc-aktuell-juli-2016/idw-eps-981-grundsatze-ord-
nungsmassiger-prufung-vo
Bibliographisches Institut GmbH. Online im Internet:

http://www.duden.de/rechtschreibung/Risiko

http://www.duden.de/suchen/dudenonline/ex%20ante
51

http://www.duden.de/suchen/dudenonline/ex%20post
Deutsches Rechnungslegungs Standards Committee e.V.. Online im Internet:

https://www.drsc.de/profil/
DIIR - Deutsches Institut für Interne Revision e.V.: Hinweise zur Prüfung des Risikomanagement-
systems. Praxisleitfaden zum DIIR Revisionsstandard Nr. 2. Online im Internet:
http://www.diir.de
DIIR - Deutsches Institut für Interne Revision e.V.: Online-Revisionshandbuch für die Interne Re-
vision in Kreditinstituten. Online im Internet:
http://www.diir.de
Ebner Stolz Mönning Bachem Wirtschaftsprüfer Steuerberater Rechtsanwälte Partnerschaft

mbB. Online im Internet: https://www.ebnerstolz.de/de/impressum-4908.html
Future Value Group. Online im Internet:

https://www.idw.de/blob/.../down-idweps981-gleissner-berger-angermueller-data.pdf
Gleißner, Dr. Werner. Online im Internet:

https://www.controlling-wiki.com/de/index.php/Monte-Carlo-Simulation
Hämmerle, Matthias. Online im Internet:

https://www.3grc.de/risikomanagement/three-lines-of-defense-modell/
Haufe-Lexware GmbH & Co. KG. Online im Internet:

https://www.haufe.de/controlling/controllerpraxis/controller-magazin-032017-risikomanag-
ment_112_410376.html
Institut der Wirtschaftsprüfer in Deutschland e.V.. Online im Internet:

https://www.idw.de/idw/ueber-uns/Kurzportrait
Instituts der Wirtschaftsprüfer in Deutschland e.V.. Online im Internet:

http://www.wirtschaftsprüfer.de/Wirtschaftsprueferberuf
Institut für Mittelstandsförderung, Bonn. Online im Internet:

http://www.ifm-bonn.org/definitionen/kmu-definition-des-ifm-bonn/
KPMG AG Wirtschaftsprüfungsgesellschaft. Online im Internet:

https://www.idw.de/blob/97460/.../down-symposion-drsc-praesentationen-data.pdf
Lorenz, Heike. Online im Internet:

http://das-unternehmerhandbuch.de/2013/02/20/risikomanagement-fuer-kleine-unterneh-
men/#Phase_1_Risikoanalyse
Müller, Prof. Dr. Stefan. Online im Internet:

Recklies, Dagmar. Online im Internet:

http://managementportal.de/Ressources/KMU
Regierungskommission Deutscher Corporate Governance Kodex. Online im Internet:

http://www.dcgk.de/de/kodex/aktuelle-fassung/praeambel.html
Richard Boorberg Verlag GmbH & Co KG. Online im Internet:

http://www.sicherheitsmelder.de/xhtml/articleview.jsf;jsessio-
nid=56AF34A95DA84C80385267A2E852D314.BoorbergSolrAppLive?id=193B38BBA66B.htm
52
RiskNET GmbH – The Risk Management Network. Online im Internet:

https://www.risknet.de/wissen/risk-management-prozess/
Rödl & Partner. Online im Internet:
http://www.roedl.de/themen/kapitalmarktorientierte-unternehmen/three-lines-of-defense-modell
Schumacher, Gerd. Online im Internet:

https://gerdschumacher.wordpress.com/2013/11/15/erfolgskriterium-risikomanagement-im-pro-
jekt/
Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Abschlussprüfer,

online im Internet: http://wirtschaftslexikon.gabler.de/Archiv/58188/abschlusspruefer-v8.html
Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Balanced Score-

card, online im Internet: http://wirtschaftslexikon.gabler.de/Archiv/1856/balanced-scorecard-
v7.html
Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Institut der Wirt-
schaftsprüfer in Deutschland e.V. (IDW), online im Internet:
http://wirtschaftslexikon.gabler.de/Archiv/57524/institut-der-wirtschaftspruefer-in-deutschland-e-
v-idw-v7.html
Springer Fachmedien Wiesbaden GmbH. Online im Internet:

https://www.springerprofessional.de/controlling/fehlendes-controlling-ist-die-haeufigste-insolven-
zursache/6601998
Regierungskommission Deutscher Corporate Governance Kodex. Online im Internet:

http://www.dcgk.de/de/kodex/aktuelle-fassung/praeambel.html
Staatliches Bundesamt, Wiesbaden. Online im Internet:

werk/KleineMittlereUnternehmenMittelstand/KMUBegriffserlaeuterung.html

werk/KleineMittlereUnternehmenMittelstand/KleineMittlereUnternehmenMittelstand.html

https://www.destatis.de/DE/ZahlenFakten/Indikatoren/LangeReihen/Insolvenzen/lrins01.html

https://www.destatis.de/DE/ZahlenFakten/GesamtwirtschaftUmwelt/UnternehmenHandwerk/In-
solvenzen/Insolvenzen.html
Trauboth, Jörg Helmut. Online im Internet:

http://www.risikomanagement.info/Risikomanagement-und-das-Gesetz-zur-Kontrolle-und-Trans-
parenz-im-Unternehme.309.0.html
Verband der Vereine Creditreform e.V.. Online im Internet:

https://www.creditreform.de/nc/aktuelles/news-list/details/news-detail/insolvenzen-in-deutsch-
land-jahr-2016-3303.html
Wirtschaftsprüferkammer Körperschaft des öffentlichen Rechts. Online im Internet:

http://www.wpk.de/oeffentlichkeit/wirtschaftspruefer/
53
Eidesstattliche Versicherung
Eidesstattliche Erklärung
Hiermit erkläre ich an Eides statt, dass ich die vorliegende Bachelor-Arbeit selbstständig
und nur unter Zuhilfenahme der ausgewiesenen Hilfsmittel angefertigt habe. Sämtliche
Stellen der Arbeit, die im Wortlaut oder dem Sinn nach anderen gedruckten oder im
Internet verfügbaren Werken entnommen sind, habe ich durch genaue Quellenangaben
kenntlich gemacht.
Diese Bachelor-Arbeit wurde in keinem anderen Studiengang als Prüfungsleistung ver-

wendet.
Neubrandenburg, 29.07.2017 Kister, Jana

Bachelorarbeit Kister 2017

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Bachelorarbeit Kister 2017

Hochgeladen von

Copyright:

Verfügbare Formate

Fachbereich Agrarwirtschaft und Lebensmittelwissenschaften

Prüfung und Ausgestaltung von Risikomanagement-

Datum der Abgabe: 29.07.2017

Verzeichnis aufgeführter Gesetze........................................................................................... VI

1. Problemstellung und Abgrenzung ....................................................................................... 1

4. Kleine und mittlere Unternehmen ........................................................................................ 3

5. Risiko und Risikomanagement ............................................................................................ 6

6. Rechtliche Grundlagen des Risikomanagements ........................................................... 10

7.1. (Risiko)-Controlling ....................................................................................................... 15

7.2. Interne Revision ............................................................................................................ 16

7.3. Wirtschaftsprüfer ........................................................................................................... 18

8. Prüfungsstandard PS 981 (Stand 03.03.2017) ............................................................... 19

8.1. Eckpunkte des PS 981................................................................................................. 20

8.2. Gegenstand, Ziel und Umfang der Prüfung .............................................................. 21

8.3. Einrichtung eines RMS nach IDW 981 ...................................................................... 23

8.3.1. Risikokultur ............................................................................................................. 26

8.3.2. Ziele des RMS........................................................................................................ 27

8.3.3. Organisation des RMS.......................................................................................... 28

8.3.5. Risikobewertung .................................................................................................... 36

8.3.6. Risikosteuerung ..................................................................................................... 39

8.3.7. Risikokommunikation ............................................................................................ 41

8.3.8. Überwachung und Verbesserung des RMS ...................................................... 42

Eidesstattliche Versicherung .................................................................................................. 53

Verzeichnis aufgeführter Gesetze

1. Problemstellung und Abgrenzung

Obwohl in zahlreichen Gesetzen und Verordnungen wie beispielsweise dem Aktienge-

Unerkannte oder ungenügend berücksichtigte Risiken können dabei verheerende Fol-

1 Staatliches Bundesamt, Wiesbaden. Online im Internet:

Mithilfe des gerade verabschiedeten IDW Prüfungsstandard „Grundsätze ordnungsmä-

Einer groben Darstellung der wesentlichen Rechtsnormen bezüglich der Implementie-

5Haufe-Lexware GmbH & Co. KG. Online im Internet:

4. Kleine und mittlere Unternehmen

- Kleinstunternehmen: < 10 Mitarbeiter und

- Kleine Unternehmen: < 50 Mitarbeiter und

- Mittlere Unternehmen: < 250 Mitarbeiter und

- Kleinstunternehmen: < 10 Mitarbeiter und

- Kleine Unternehmen: < 50 Mitarbeiter und

- Mittlere Unternehmen: < 500 Mitarbeiter und

6KfW Bankengruppe: Merkblatt KMU-Definition. Frankfurt Stand 09/2016, S.1.

Größenklasse Beschäftigte Jahresumsatz

Hieraus wird deutlich ersichtlich, dass es keine einheitlichen Unterscheidungskriterien

8 Staatliches Bundesamt, Wiesbaden. Online im Internet:

Neben den zuvor genannten quantitativen Gliederungsmöglichkeiten sind KMU‘s aber

http://managementportal.de/Ressources/KMU (Stand 21.07.2017)

5. Risiko und Risikomanagement

Im Duden wird dem Wort Risiko folgende Bedeutung beigemessen:

Abbildung 2: Risiko als positive und negative Zielabweichung 16

14 Bibliographisches Institut GmbH. Online im Internet:

In: Risikomanagement in der Unternehmensführung. Wertgenerierung durch chancen- und kom-

https://www.risknet.de/wissen/risk-management-prozess/ (Stand 21.07.2017)

So könnte beispielsweise anstatt der üblicherweise kalkulierten Rohgewinnmarge eines

Wettbewerbs- und Marktumfeldrisiken

Reputations- und Imagerisiken Risiken aus Rohstoffpreisschwankungen

Risiken aus Währungskursschwankungen

Hierauf gilt es sich im Rahmen eines angemessenen Risikomanagement-(systems) ein-

Risikomanagement – strukturierter Umgang mit Risiken (i. S. v. positiven und negativen

Risikomanagementsystem – Gesamtheit der Regelungen, die einen strukturierten Um-

18 Henschel, Thomas; Heinze, Ilka: a. a. O., S. 85

nungsmäßiger Prüfung von Risikomanagementsystemen (IDW PS 981, Stand 03.03.2017). Düs-

Die wesentlichsten nationalen Verordnungen sollen im nächsten Kapital vorgestellt wer-

6. Rechtliche Grundlagen des Risikomanagements

In 1998 wurde das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Das KonTraG bewirkte Änderungen/Ergänzungen von insgesamt 10 Gesetzen/Verord-