Fachbereich Agrarwirtschaft und Lebensmittelwissenschaften

Prüfung und Ausgestaltung von Risikomanagement-

systemen bei kleinen und mittleren Unternehmen

Bachelor-Thesis

Studiengang Angewandte Betriebswirtschaftslehre

vorgelegt von

Kister, Jana

Datum der Abgabe: 29.07.2017

Betreuer: Prof. Dr. Thomas Henschel

Betreuer: Prof. Dr. Theodor Fock

II

Inhaltsverzeichnis

Abbildungsverzeichnis .............................................................................................................. IV

Abkürzungsverzeichnis .............................................................................................................. V

Verzeichnis aufgeführter Gesetze ........................................................................................... VI

1. Problemstellung und Abgrenzung ....................................................................................... 1

2. Zielsetzung .............................................................................................................................. 2

3. Vorgehensweise ..................................................................................................................... 2

4. Kleine und mittlere Unternehmen ........................................................................................ 3

5. Risiko und Risikomanagement ............................................................................................ 6

6. Rechtliche Grundlagen des Risikomanagements ........................................................... 10

7. Prüfungsorgane .................................................................................................................... 15

7.1. (Risiko)-Controlling ....................................................................................................... 15

7.2. Interne Revision ............................................................................................................ 16

7.3. Wirtschaftsprüfer ........................................................................................................... 18

8. Prüfungsstandard PS 981 (Stand 03.03.2017) ............................................................... 19

8.1. Eckpunkte des PS 981 ................................................................................................. 20

8.2. Gegenstand, Ziel und Umfang der Prüfung .............................................................. 21

8.3. Einrichtung eines RMS nach IDW 981 ...................................................................... 23

8.3.1. Risikokultur ............................................................................................................. 26

8.3.2. Ziele des RMS........................................................................................................ 27

8.3.3. Organisation des RMS .......................................................................................... 28

8.3.4. Risikoidentifikation ................................................................................................. 32

8.3.5. Risikobewertung .................................................................................................... 36

8.3.6. Risikosteuerung ..................................................................................................... 39

8.3.7. Risikokommunikation ............................................................................................ 41

8.3.8. Überwachung und Verbesserung des RMS ...................................................... 42

9. Fazit ........................................................................................................................................ 45

III

Anhang ....................................................................................................................................... 48

Literaturverzeichnis .................................................................................................................. 49

Eidesstattliche Versicherung .................................................................................................. 53

IV

Abbildungsverzeichnis

Abbildung 1: kleine und mittlere Unternehmen ...................................................................... 4

Abbildung 2: Risiko als positive und negative Zielabweichung ........................................... 6

Abbildung 3: Top-14-Risiken .................................................................................................... 7

Abbildung 4: Rechtsformstruktur der Unternehmen 2009 in Deutschland ...................... 13

Abbildung 5: Aufgaben der Internen Revision in Bezug auf das Risikomanagement ... 17

Abbildung 6: Grundelemente eines RMS nach PS 981 ..................................................... 23

Abbildung 7: Risikomanagement-Prozess ............................................................................ 25

Abbildung 8: three-lines-of-defense-modell .......................................................................... 29

Abbildung 9: Softwaretechnische RMS-Umsetzung ........................................................... 31

Abbildung 10: Methoden und Instrumente zur Risikoidentifikation ................................... 33

Abbildung 11: Aufbau eines Risikoportfolios ........................................................................ 37

Abbildung 12: Bewältigungsmatrix ......................................................................................... 40

Abbildung 13: Perspektiven der Balanced Scorecard ........................................................ 43

V

Abkürzungsverzeichnis

ABI. Amtsblatt der Europäischen Gemeinschaften

Abs. Absatz

ad hoc unverzüglich

AG Aktiengesellschaft

Cie. Company

BilMoG Bilanzrechtsmodernisierungsgesetz

BSI Bundesamtes für Sicherheit und Informationstechnik

COSO Committee of Sponsoring Organizations of the Treadway Commission

DCGK Deutsche Corporate Governance – Kodex

DIIR Deutsches Institut für Interne Revision e.V.

DRS Deutscher Rechnungslegungs Standard

DRSC Deutsche Rechnungslegungs Standards Committee e.V.

EU Europäische Union

e.V. eingetragener Verein

ggf. gegebenenfalls

GmbH Gesellschaft mit beschränkter Haftung

IDW Institut für Wirtschaftsprüfer in Deutschland e.V.

IfM Institut für Mittelstandsförderung

inkl. inklusive

IR Interne Revision

i.S.v. im Sinne von

IT Informationstechnik

KfW Kreditanstalt für Wiederaufbau

KG Kommanditgesellschaft

KMU kleine und mittlere Unternehmen

KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

lt. laut

MaRisk Mindestanforderungen an das Risikomanagement

ONR Norm vom Austrian Standards Institute

PS Prüfungsstandard

RMS Risikomanagementsystem

vs. versus

WP Wirtschaftsprüfer

VI

Verzeichnis aufgeführter Gesetze

AktG Aktiengesetz vom 6. September 1965 (BGBl. I S. 1089), das zuletzt durch

Artikel 24 Absatz 16 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1693)

geändert worden ist

GmbHG Gesetz betreffend die Gesellschaften mit beschränkter Haftung in der im

Bundesgesetzblatt Teil III, Gliederungsnummer 4123-1, veröffentlichten

bereinigten Fassung, das durch Artikel 10 des Gesetzes vom 17. Juli 2017

(BGBl. I S. 2446) geändert worden ist

HGB Handelsgesetzbuch in der im Bundesgesetzblatt Teil III, Gliederungsnum-

mer 4100-1, veröffentlichten bereinigten Fassung, das zuletzt durch Arti-

kel 10 des Gesetzes vom 5. Juli 2017 (BGBl. I S. 2208) geändert worden

ist

1

1. Problemstellung und Abgrenzung

Obwohl in zahlreichen Gesetzen und Verordnungen wie beispielsweise dem Aktienge-

setz (AktG) die Einrichtung von Überwachungssystemen gefordert wird, fehlen konkrete

Vorschriften, welche detaillierten Instrumente und Maßnahmen zur Erfüllung dieser Vor-

gaben im Detail zu ergreifen sind. Der Umfang, die Ausgestaltung sowie die Prüfung des

Risikomanagements sind den Unternehmen selbst überlassen und bedingen je nach Ri-

sikobewusstsein unterschiedliche Ausprägungen.

Unerkannte oder ungenügend berücksichtigte Risiken können dabei verheerende Fol-

gen haben, schlimmstenfalls sogar die Insolvenz bedeuten. In 2016 waren insgesamt

21.518 Unternehmensinsolvenzen zu verzeichnen. Zwar ist ein rückläufiger Trend er-

kennbar (Vgl. 2010: 31.998, 2003: 39.320)1, dennoch scheitern noch immer sehr viele

Unternehmen und damit einhergehend sind hohe Forderungsverluste verbunden. Bei bis

2015 beendeten Insolvenzverfahren erhielten Gläubiger lediglich 2,2 % ihrer Forderun-

gen zurück; im Umkehrschluss resultierten hieraus Verluste von schätzungsweise 9,5

Mrd. €.2 Aus der Insolvenzstatistik 2016 ist zu entnehmen, dass 99,7 % aller Unterneh-

mensinsolvenzen dabei auf Kleinstunternehmen bzw. kleine und mittlere Unternehmen

entfallen.3 Die Ursachen für eine Insolvenz sind sehr verschieden und oft nicht nur durch

äußere Faktoren hervorgerufen. Springer-Autor (Springer Gabler Verlag: Die 7 häufigs-

ten Insolvenzgründe erkennen und vermeiden – Wie KMU nachhaltig erfolgreich bleiben)

und Experte Jürgen Staab hat in einem diesbezüglichen Interview in 2015 berichtet, dass

fehlendes Controlling die häufigste Insolvenzursache ist.4

1 Staatliches Bundesamt, Wiesbaden. Online im Internet: https://www.destatis.de/DE/ZahlenFakten/Indikatoren/LangeReihen/Insolvenzen/lrins01.html (Stand 21.07.2017) 2 Staatliches Bundesamt, Wiesbaden. Online im Internet: https://www.destatis.de/DE/ZahlenFakten/GesamtwirtschaftUmwelt/UnternehmenHandwerk/In-solvenzen/Insolvenzen.html (Stand 21.07.2017) 3 Verband der Vereine Creditreform e.V.. Online im Internet: https://www.creditreform.de/nc/aktuelles/news-list/details/news-detail/insolvenzen-in-deutsch-land-jahr-2016-3303.html (Stand 21.07.2017) 4 Springer Fachmedien Wiesbaden GmbH. Online im Internet: https://www.springerprofessional.de/controlling/fehlendes-controlling-ist-die-haeufigste-insolven-zursache/6601998 (Stand 21.07.2017)

2

Und hier setzt auch das Risikomanagement an, denn das Managen von Risiken ist eine

unverzichtbare Teildisziplin des Controllings5 und wesentliche Aufgabe der Geschäfts-

führung. Nur wem es in diesem Zusammenhang gelingt, umzudenken und sich mit den

Methoden/Werkzeugen der Risikobewältigung zu beschäftigen, kann nachhaltig den

sich ständig verändernden Marktbedingungen standhalten und damit ein Überleben si-

chern.

2. Zielsetzung

Mithilfe des gerade verabschiedeten IDW Prüfungsstandard „Grundsätze ordnungsmä-

ßiger Prüfung von Risikomanagementsystemen“ (IDW PS 981, Stand: 03.03.2017) soll

nunmehr insbesondere kleinen und mittleren Unternehmen eine Hilfestellung gegeben

werden, welche notwendigen Grundelemente zu einem funktionsfähigen Risikomanage-

mentsystem (RMS) gehören sollten. Damit können diese eine (freiwillige) externe Prü-

fung ihres eingerichteten Risikomanagementsystems künftig ebenso bestehen und so-

mit die Glaubwürdigkeit in ihre Unternehmensinformation verbessern, was nicht zuletzt

durch finanzierende Banken und sonstige Stakeholder zunehmend gefordert wird.

3. Vorgehensweise

Einer groben Darstellung der wesentlichen Rechtsnormen bezüglich der Implementie-

rung von Risikomanagementsystemen und deren Bedeutung/praktische Anwendung für

kleine und mittlere Unternehmen folgt eine Gegenüberstellung wichtiger Prüfungsorgane

und deren Aufgaben. Hierzu wurden diverse Recherchen in elektronischen Netzwerken

durchgeführt sowie umfangreiche Literatur studiert. Im Anschluss daran wird der PS 981

als möglicher Leitfaden für die Ausrichtung von Risikomanagementsystemen vorgestellt

und hieraus notwendige Bestandteile für eine einheitliche RMS-Ausgestaltung hergelei-

tet. Im Fokus steht speziell die v. g. Unternehmensgruppe, die im nächsten Kapitel ge-

nauer vorgestellt wird.

5 Haufe-Lexware GmbH & Co. KG. Online im Internet: https://www.haufe.de/controlling/controllerpraxis/controller-magazin-032017-risikomanag-ment_112_410376.html (Stand 21.07.2017)

3

4. Kleine und mittlere Unternehmen

Für kleine und mittlere Unternehmen, kurz KMU genannt, gibt es keine einheitliche Le-

galdefinition, weder in Deutschland noch international betrachtet. So orientiert sich die

Kreditanstalt für Wiederaufbau (KfW) als größte Förderbank Deutschlands an der Emp-

fehlung der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunterneh-

men sowie der kleinen und mittleren Unternehmen ABl. der EU L 124/36 vom 20.05.2003

und clustert KMU‘s wie folgt:

- Kleinstunternehmen: < 10 Mitarbeiter und

Jahresumsatz oder Jahresbilanzsumme ≤ 2 Mio. €

- Kleine Unternehmen: < 50 Mitarbeiter und

Jahresumsatz oder Jahresbilanzsumme ≤ 10 Mio. €

- Mittlere Unternehmen: < 250 Mitarbeiter und

Jahresumsatz ≤ 50 Mio. € oder Jahresbilanzsumme ≤ 43 Mio. €

Daneben dürfen max. 24,99 % der Stimmrechte oder des Kapitals direkt oder indirekt

von einer oder mehreren öffentlichen Stellen oder Körperschaften des öffentlichen

Rechts einzeln oder gemeinsam kontrolliert werden.6

Das Institut für Mittelstandsförderung (IfM) grenzt KMU’s seit 2016 hingegen so ab:

- Kleinstunternehmen: < 10 Mitarbeiter und

Jahresumsatz ≤ 2 Mio. €

- Kleine Unternehmen: < 50 Mitarbeiter und

Jahresumsatz ≤ 10 Mio. €

- Mittlere Unternehmen: < 500 Mitarbeiter und

Jahresumsatz ≤ 50 Mio. €7

6 KfW Bankengruppe: Merkblatt KMU-Definition. Frankfurt Stand 09/2016, S.1. 7 Institut für Mittelstandsförderung, Bonn. Online im Internet: http://www.ifm-bonn.org/definitionen/kmu-definition-des-ifm-bonn/ (Stand 21.07.2017)

4

Das Statistische Bundesamt Wiesbaden unterteilt sein Datenmaterial über kleine und

mittlere Unternehmen wie in der EU-Empfehlung 2003/361/EG nach Umsatz- und Be-

schäftigtengrößenklassen so:

Größenklasse Beschäftigte Jahresumsatz

Kleinstunternehmen bis 9 und bis 2 Mill. EUR

Kleine Unternehmen bis 49 und bis 10 Mill. EUR

Mittlere Unternehmen bis 249 und bis 50 Mill. EUR

Großunternehmen über 249 oder über 50 Mill. EUR

Abbildung 1: kleine und mittlere Unternehmen8

Gemäß § 267 Handelsgesetzbuch (HGB) gelten dagegen seit dem Inkrafttreten des Bi-

lanzrechtsmodernisierungsgesetzes (BilMoG) nachfolgende Schwellenwerte:

„(1) Kleine Kapitalgesellschaften sind solche, die mindestens zwei der drei nachstehen-

den Merkmale nicht überschreiten:

1. 6 000 000 Euro Bilanzsumme.

2. 12 000 000 Euro Umsatzerlöse in den zwölf Monaten vor dem Abschlußstichtag.

3. Im Jahresdurchschnitt fünfzig Arbeitnehmer.

(2) Mittelgroße Kapitalgesellschaften sind solche, die mindestens zwei der drei in Absatz

1 bezeichneten Merkmale überschreiten und jeweils mindestens zwei der drei nach-

stehenden Merkmale nicht überschreiten:

1. 20 000 000 Euro Bilanzsumme.

2. 40 000 000 Euro Umsatzerlöse in den zwölf Monaten vor dem Abschlußstichtag.

3. Im Jahresdurchschnitt zweihundertfünfzig Arbeitnehmer...“9

Hieraus wird deutlich ersichtlich, dass es keine einheitlichen Unterscheidungskriterien

für KMU‘s in der deutschen Praxis gibt; die Orientierung erfolgt jedoch vordergründig an

zahlenmäßigen Bezugsgrößen.

8 Staatliches Bundesamt, Wiesbaden. Online im Internet: https://www.destatis.de/DE/ZahlenFakten/GesamtwirtschaftUmwelt/UnternehmenHand-werk/KleineMittlereUnternehmenMittelstand/KMUBegriffserlaeuterung.html (Stand 21.07.2017) 9 Handelsgesetzbuch in der im Bundesgesetzblatt Teil III, Gliederungsnummer 4100-1, veröffent- lichten bereinigten Fassung, das zuletzt durch Artikel 10 des Gesetzes vom 5. Juli 2017 (BGBl. I S. 2208) geändert worden ist

5

Neben den zuvor genannten quantitativen Gliederungsmöglichkeiten sind KMU‘s aber

noch durch andere Wesensmerkmale gekennzeichnet. So weisen diese spezifische Or-

ganisations-, Führungs- und Ressourcencharakteristika auf.10 Zumeist wird eine enge

Verbindung zwischen Unternehmen und Eigentümer unterstellt; sie befinden sich oft-

mals in Familienhand bzw. Privateigentum einzelner Personen.11 Aus diesem persönli-

chen Einfluss eines KMU-Unternehmers resultiert ein zum angestellten Manager bzw.

Geschäftsführer in Großunternehmen unterschiedliches Entscheidungs- und Risikover-

halten. Häufig sind Familienunternehmen risikovermeidender und zeichnen sich durch

ein geringeres betriebswirtschaftliches Methodenwissen ab.12

Egal, welche KMU-Definition letztendlich Verwendung findet, es handelt sich um die zah-

lenmäßig stärkste Unternehmensgruppe in Deutschland (Vgl. Abbildung 3, S. 12, Recht-

formstruktur der Unternehmen 2009 in Deutschland) mit großer volkswirtschaftlicher Be-

deutung. Um die Wichtigkeit der KMU’s zu unterstreichen, hier noch ein paar Fakten/

Schlagzeilen des Statistischen Bundesamtes:

Mit 2,5 Millionen zählte 2014 die überwiegende Mehrheit (99,3 %) der Unterneh-

men zu den kleinen und mittleren Unternehmen.

Von den 27,8 Millionen Beschäftigten arbeiteten rd. 61 % in KMU’s.

Im Bau- und Gastgewerbe wurden ca. 85 % des Umsatzes durch kleine und mitt-

lere Unternehmen generiert.

Knapp 20 % der Exporte entfielen auf KMU‘s.13

Erfolgreiche KMU’s sind somit wesentliche Treiber für Wirtschaftswachstum und Wohl-

stand in Deutschland. Schlussfolgernd hat somit die Sicherung des Fortbestandes der-

artiger Unternehmungen hohe Priorität. Der Risikobewältigung kommt hierbei eine zent-

rale Aufgabe zu.

10 Immerschitt, Wolfgang; Stumpf, Marcus: Employer Branding für KMU. Der Mittelstand als at-traktiver Arbeitgeber: Gabler Verlag 2014, S. 20. 11 Recklies, Dagmar. Online im Internet: http://managementportal.de/Ressources/KMU (Stand 21.07.2017) 12 Henschel, Thomas; Heinze, Ilka: Governance, Risk und Compliance. Praxisleitfaden für gute Unternehmensführung. Berlin: Erich Schmidt Verlag GmbH & Co. KG 2016, S. 35. 13 Staatliches Bundesamt, Wiesbaden. Online im Internet: https://www.destatis.de/DE/ZahlenFakten/GesamtwirtschaftUmwelt/UnternehmenHand-werk/KleineMittlereUnternehmenMittelstand/KleineMittlereUnternehmenMittelstand.html (Stand 21.07.2017)

6

5. Risiko und Risikomanagement

Im Duden wird dem Wort Risiko folgende Bedeutung beigemessen:

„möglicher negativer Ausgang bei einer Unternehmung, mit dem Nachteile, Verlust,

Schäden verbunden sind…“

Der Risikobegriff leitet sich aus dem italienischen „ris(i)co ab; seine Herkunft ist jedoch

unbekannt.14 In der Literatur finden sich sehr viele, unterschiedliche Risiko-Definitionen

und Herleitungen. Auch in der Betriebswirtschaft fällt es schwer, sich auf eine einheitliche

Begriffsbestimmung zu verständigen. So werden beispielsweise unterschieden in enge

und weite Risiken, operative und strategische Risiken, versicherbare und nicht versicher-

bare Risiken oder primäre und sekundäre Risiken. Genauer betrachtet, erstreckt sich

das Risiko eigentlich nicht nur auf die negativen Auswirkungen einer Entscheidung, son-

dern beinhaltet vielmehr auch die Chance auf eine positive Abweichung des Ergebnisses

vom Erwartungswert.15

Abbildung 2: Risiko als positive und negative Zielabweichung16

14 Bibliographisches Institut GmbH. Online im Internet: http://www.duden.de/rechtschreibung/Risiko (Stand 21.07.2017) 15 Meyer, Ralf: Die Entwicklung des betriebswirtschaftlichen Risiko- und Chancenmanagements. In: Risikomanagement in der Unternehmensführung. Wertgenerierung durch chancen- und kom-petenzorientiertes Management. Weinheim: John Wiley & Sons 2008, S. 25. 16 RiskNET GmbH – The Risk Management Network. Online im Internet: https://www.risknet.de/wissen/risk-management-prozess/ (Stand 21.07.2017)

7

Unternehmerisches Handeln ist unweigerlich mit dem Eingehen von Risiken verbunden,

woraus sich hoffentlich Ertragschancen ergeben. Die jeweiligen Risiken sind verschie-

denartig, intern und extern beeinflusst und in ihrer Bedeutung eher subjektiv zu bewer-

ten.

So könnte beispielsweise anstatt der üblicherweise kalkulierten Rohgewinnmarge eines

zusätzlichen Auftrags auch ein Verlustgeschäft werden, wenn ggf. nicht rechtzeitig oder

qualitativ ansprechend geliefert werden kann (Vertragsstrafen, Einbehalte…), Material-

kosten unerwartet steigen oder vielleicht teurere Fremdleistungen aus Kapazitätsgrün-

den benötigt würden. Je nach Unternehmens- bzw. Auftragsgröße haben solche negati-

ven Einflüsse unterschiedlich starke Auswirkungen, möglicherweise sogar existenz-

bedrohende Ausmaße.

Auch die in letzter Zeit häufig vorkommenden Cyberangriffe, beispielsweise auf die Deut-

sche Bahn AG, in deren Folge zahlreiche Anzeigetafeln und Ticketautomaten entspre-

chende Funktionsstörungen aufwiesen, haben gezeigt, welchen Risiken sich heutzutage

Unternehmen stellen müssen. Nicht selten treten dabei mehrere Risiken parallel zuei-

nander auf und verstärken die Problematik noch.

Abbildung 3: Top-14-Risiken17

17 Eigene Darstellung, angelehnt an: Funk RMCE GmbH; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: Risikomanagement im Mittelstand. Exklusive Benchmarkstudie zu Stand und Perspektiven des Risikomanagements in deutschen (Familien-)Unternehmen. Hamburg: Ap-ril 2011, S. 23.

Wettbewerbs- und Marktumfeldrisiken

Reputations- und Imagerisiken

Liquiditätsrisiken

IT-Ausfallrisiken

Risiken aus konjunkturellen Schwankungen

Risiken aus Rohstoffpreisschwankungen

Risiken aus Produkthaftung

Regulatorische Risiken

Personalmarktrisiken

Risiken aus Compliance-Verstößen

Kapitalbeschaffungsrisiken

Risiken aus Währungskursschwankungen

Risiken aus Produktpiraterie und -plagiaten

8

Hierauf gilt es sich im Rahmen eines angemessenen Risikomanagement-(systems) ein-

zustellen und vorzubereiten. Als Risikomanagement können alle Maßnahmen verstan-

den werden, die sich mit dem Erkennen, dem Bewerten, dem Steuern und dem Überwa-

chen von (latenten) Risiken beschäftigen. Nach Henschel/Heinze ist dessen Ziel, die

bereits bestehenden und die künftig entstehenden Risiken so zu steuern und zu regeln,

dass der Wert eines Unternehmens durch die Verringerung von Risiken bei weiter be-

stehenden Ertragschancen gesteigert werden kann. Die Risikoposition eines Unterneh-

mens als Gesamtheit der eingegangen Risiken sollte dessen Risikotragfähigkeit nicht

übersteigen, d. h. Verluste können aus eigener Kraft getragen werden, ohne in Insolvenz

zu geraten.18

Oberstes Ziel ist also primär die Existenzsicherung, insbesondere durch Stärkung der

Eigenkapitalausstattung (als wesentliches Kriterium für die Ermittlung der Risikotragfä-

higkeit). Im Weiteren wird aber auch die Verbesserung des Unternehmenswertes durch

beispielsweise Imagegewinn, Liquiditätsoptimierung oder auch Ratingverbesserung an-

gestrebt. Daneben gilt als Sonderziel, eine Minimierung der Risikokosten zu erreichen.19

Für die Zwecke des nachfolgend näher betrachteten IDW Prüfungsstandard gelten im

Übrigen folgende Begriffsdefinitionen als Grundlage, wobei auch hier die Chancen mit

einbezogen werden:

„Risiken – mögliche künftige Entwicklungen oder Ereignisse, die zu einer für das Unter-

nehmen negativen (Risiko im engeren Sinne) oder positiven (Chance) Zielabweichung

führen können.

Risikomanagement – strukturierter Umgang mit Risiken (i. S. v. positiven und negativen

Zielabweichungen) im Unternehmen.

Risikomanagementsystem – Gesamtheit der Regelungen, die einen strukturierten Um-

gang mit Risiken (i. S. v. positiven und negativen Zielabweichungen) im Unternehmen

sichergestellt.20

18 Henschel, Thomas; Heinze, Ilka: a. a. O., S. 85 19 Ehrmann, Prof. Dr. Harald: Risikomanagement in Unternehmen. 2. Aktualisierte und erheblich überarbeitete Auflage 2012, Herne: NWB Verlag GmbH & Co. KG 2005, S. 28. 20 Institut der Wirtschaftsprüfer in Deutschland e.V.: IDW Prüfungsstandard: Grundsätze ord-nungsmäßiger Prüfung von Risikomanagementsystemen (IDW PS 981, Stand 03.03.2017). Düs-seldorf: IDW Verlag GmbH 2017, S. 5.

9

Der Gesetzgeber ist in den letzten Jahren durch die Verabschiedung zahlreicher Rechts-

normen auf die Notwendigkeit zur Einrichtung eines angemessenen Risikomanage-

ments eingegangen und hat damit deren Bedeutung nochmal unterstrichen.

Die wesentlichsten nationalen Verordnungen sollen im nächsten Kapital vorgestellt wer-

den.

10

6. Rechtliche Grundlagen des Risikomanagements

In 1998 wurde das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

(KonTraG) als sogenanntes Artikelgesetz in Kraft gesetzt. Es ist Resultat großer Firmen-

zusammenbrüche und Unternehmenskrisen (z. B. Dr. Jürgen Schneider AG), die zu ei-

ner massiven Kritik am Risikomanagement in deutschen Firmen geführt haben.21 Aber

auch die zunehmende Internationalisierung der Kapitalmärkte und eine steigende Glo-

balisierung der Aktionärsstrukturen forderten erweiterte Auskunftspflichten und stärkere

Kontrollmöglichkeiten.22

Das KonTraG bewirkte Änderungen/Ergänzungen von insgesamt 10 Gesetzen/Verord-

nungen. So wurden neue Paragraphen aufgenommen oder bestehende Rechtsnormen

modifiziert, z. B. im Aktiengesetz, Handelsgesetz, Publizitätsgesetz und GmbH-Gesetz.

In § 91 Abs. 2 AktG ist seither geregelt:

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungs-

system einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen

früh erkannt werden.“23

Hiermit wird die Geschäftsleitung von Aktiengesellschaften (AG) zwingend verpflichtet,

sich mit dem Thema Risikomanagement und der Einrichtung entsprechender Systeme,

u. a. auch einer Internen Revision, auseinander zu setzen. Die interne Überwachung soll

dabei so frühzeitig Entwicklungen erkennen, dass noch geeignete Maßnahmen zur Si-

cherung des Fortbestandes der Gesellschaft ergriffen werden können.24 Die Vorstands-

mitglieder haben hierbei die Sorgfalt eines ordentlichen und gewissenhaften Geschäfts-

leiters anzuwenden.25

21 Richard Boorberg Verlag GmbH & Co KG. Online im Internet: http://www.sicherheitsmelder.de/xhtml/articleview.jsf;jsessio-nid=56AF34A95DA84C80385267A2E852D314.BoorbergSolrAppLive?id=193B38BBA66B.htm (Stand 21.07.2017) 22 Schuppener, Jörg; Tillmann, Winfried: KonTraG – Die möglichen Auswirkungen auf das Kredit-geschäft. Dortmund: o. V., S. 1. 23 Aktiengesetz vom 6. September 1965 (BGBl. I S. 1089), das zuletzt durch Artikel 24 Absatz 16 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1693) geändert worden ist 24 Deutscher Bundestag: Entwurf eines Gesetzes zur Kontrolle und Transparenz im Unterneh-mensbereich (KonTraG) mit Begründung und Vorblatt. Bonn: Bundesanzeiger Verlagsgesell-schaft mbH 1998, S. 15. 25 Aktiengesetz: a. a. O., § 93 Abs. 1

11

Aus dem § 43 GmbHG wird eine entsprechende Ausstrahlungswirkung dieser Regelung

auf die GmbH hergeleitet sowie in der Gesetzesbegründung zum KonTraG ebenfalls

ausdrücklich erwähnt.

Für Kapitalgesellschaften gilt lt. § 289 Abs. 1 HGB, dass im Lagebericht die voraussicht-

liche Entwicklung mit ihren wesentlichen Chancen und Risiken zu beurteilen und zu er-

läutern ist.26 Ähnliche Ausführungen für die GmbH sind Bestandteil des § 317 Abs. 2

HGB, sofern diese einen Lagebericht verpflichtend aufstellen müssen. Dies betrifft inso-

fern mittelgroße und große Gesellschaften sowie Mischformen (z. B. GmbH & Co. KG).

§ 317 Abs. 4 HGB verlangt für börsennotierte Aktiengesellschaften zudem eine Prüfung

dahingehend, ob das zuvor geforderte Überwachungssystem auch seine Aufgaben er-

füllen kann.27 Diese Prüfungen sind durch einen Abschlussprüfer vorzunehmen, der ent-

gegen der ursprünglichen Regelung nunmehr durch den Aufsichtsrat bestellt werden

muss.28 Damit werden die Rechte und Pflichten des Aufsichtsrates ausgeweitet und de-

ren Kontrollfunktion deutlich gestärkt.

Neben den v. g. gesetzlichen Anforderungen zum Risikomanagementsystem (RMS) ent-

halten aber auch die Basler Eigenkapitalvereinbarungen, das BilMoG, der Deutsche Cor-

porate Governance – Kodex (DCGK) sowie die Mindestanforderungen an das Risikoma-

nagement (MaRisk) entsprechende Ausführungen zum Risikomanagement. Während

sich die Eigenkapital- und Liquiditätsvorschriften aus Basel wie die MaRisk insbesondere

der Bankenlandschaft widmen, richten sich der DCGK und das BilMoG wiederum an

Unternehmen in Form von AG‘s.

Allerdings haben die Vorschriften aus Basel II + III indirekt auch Auswirkungen auf Un-

ternehmen und deren Kreditbeschaffung, nämlich über das ermittelte Rating im Rahmen

der notwendigen Bonitätsprüfung. Laut Ehrmann ergibt sich ein positives Rating (damit

verbunden u. a. geringere Zinsaufschläge und höhere Wahrscheinlichkeiten auf Kredit-

gewährung), wenn in einem Unternehmen ein funktionierendes Risikomanagement vor-

liegt.29 Außerdem verbessert sich dadurch auch die Außenwirkung im Marktumfeld im

Zusammenspiel mit anderen Geschäftspartnern.

26 Handelsgesetzbuch: a. a. O. 27 Handelsgesetzbuch: a. a. O. 28 Aktiengesetz: a. a. O., § 111 Abs. 2 29 Ehrmann, Prof. Dr. Harald: a. a. O., S. 57.

12

Gemäß Punkt 4.1.4. des DCGK hat der Vorstand für ein angemessenes Risikomanage-

ment und Risikocontrolling zu sorgen. Der Kodex will damit die Transparenz, Nachvoll-

ziehbarkeit und das Vertrauen in die Leitung und Überwachung deutscher börsennotier-

ter Gesellschaften fördern.30 Der Gesetzgeber verpflichtet derartige Gesellschaften so-

gar, jährlich eine Erklärung zum Corporate Governance Kodex (Regelwerk zur Förde-

rung einer guten und verantwortungsvollen Unternehmensführung31) abzugeben und zu

veröffentlichen.32

Aus dem BilMoG resultieren u. a. die in § 107 Abs. 3 AktG festgelegten Überwachungs-

pflichten für Aufsichtsräte, welche sich ebenfalls mit der Wirksamkeit des Risikomana-

gementsystems befassen sollen.33 Ferner haben bestimmte Kapitalgesellschaften im La-

gebericht die wesentlichen Merkmale des internen Kontroll- und des Risikomanagement-

systems im Hinblick auf den Rechnungslegungsprozess zu beschreiben.34

Ergänzt werden die dargestellten Anforderungen noch durch Regelungen des Deutsche

Rechnungslegungs Standards Committee e.V. (DRSC), z. B. mittels DRS 20 zum Kon-

zernlagebericht. Der Verein ist der nationale Standardsetzer auf dem Gebiet der Kon-

zernrechnungslegung in Deutschland und als privates Rechnungslegungsgremium im

Sinne von § 342 HGB anerkannt35 und legitimiert.

Es kann somit festgestellt werden, dass der wachsenden Bedeutung des Risikomana-

gements durch diverse Gesetze, Verordnungen und sonstige Vereinbarungen entspre-

chend Rechnung getragen wurde.

Leider enthalten diese keine konkreten Umsetzungsvorschläge, so dass die Handha-

bung der Risiken sowie der Aufbau und die Gestaltung eines Risikomanagementsys-

tems relativ große Gestaltungsspielräume zulassen.36

30 Regierungskommission Deutscher Corporate Governance Kodex. Online im Internet: http://www.dcgk.de/de/kodex/aktuelle-fassung/praeambel.html (Stand 21.07.2017) 31 Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Deutscher Cor-porate Governance Kodex, Online im Internet: http://wirtschaftslexikon.gabler.de/Archiv/18161/deutscher-corporate-governance-kodex-v7.html (Stand 21.07.2017) 32 Aktiengesetz: a. a. O. 33 Aktiengesetz: a. a. O. 34 Handelsgesetzbuch: a. a. O., § 289 Abs. 4 35 Deutsches Rechnungslegungs Standards Committee e.V.. Online im Internet: https://www.drsc.de/profil/ (Stand 21.07.2017) 36 Ehrmann, Prof. Dr. Harald: a. a. O., S. 39.

13

Dieses unternehmensindividuelle Ermessen scheint mit Blick auf die Gesetzesbegrün-

dung zum KonTraG aber so gewollt zu sein (je nach Bedarf, Größe oder Branche37),

birgt jedoch grundsätzlich die Gefahr von möglichen Fehlinterpretationen und Unvoll-

ständigkeiten.

Trotzdem für zahlreiche Vorschriften von Aktiengesellschaften eine Ausstrahlungswir-

kung auf andere Gesellschaftsformen unterstellt werden kann, so gelten die aufgeführ-

ten Regelungen für KMU‘s teilweise nur mit Erleichterungen (u. a. Verzicht auf den La-

gebericht, Verkürzung der Bilanz).

Die Struktur der Unternehmen 2009 in Deutschland zeigt, dass viele KMU’s sich in

Rechtsformen bzw. Größenklassen bewegen, die eigentlich keine gesetzliche Einrich-

tung derartiger Systeme erfordern:

Abbildung 4: Rechtsformstruktur der Unternehmen 2009 in Deutschland38

37 Deutscher Bundestag: Entwurf eines Gesetzes zur Kontrolle und Transparenz im Unterneh-mensbereich (KonTraG) mit Begründung und Vorblatt. Bonn: Bundesanzeiger Verlagsgesell-schaft mbH 1998, S. 15. 38 Institut für Mittelstandsförderung: Unternehmensgrößenstatistik. Bonn: März 2012, S. 62.

14

Nichtsdestotrotz dürfte vor dem Hintergrund des rasanten unternehmerischen Wandels,

der Notwendigkeit zur Anpassungsfähigkeit und den damit verbundenen Gefahren (vs.

Chancen) auch für KMU’s der Bedarf, ja sogar die Pflicht geboten sein, sich mit Risiko-

managementaufgaben intensiver zu beschäftigen. Hier besteht nach einer Benchmark-

studie zu Stand und Perspektiven des Risikomanagements in deutschen (Familien)-Un-

ternehmen noch erheblicher Nachholbedarf, zumal eigentlich die Vorteile auf der Hand

liegen.

„Von einer professionellen Steuerung von Risiken würde der Mittelstand gleich dreifach

profitieren. Zum einen ergeben sich durch ein integriertes Risikomanagement erhebliche

Synergieeffekte, über die Kosten gesenkt werden können. Zweitens erleichtert der Nach-

weis eines funktionierenden Risikomanagements die Kreditfinanzierung. Und drittens

entspricht das Unternehmen damit den gesetzlichen Anforderungen, die im Bereich der

Risikovorsorge laufend verschärft werden.“39

In diesem Zusammenhang wird abschließend auch noch auf den Governance Kodex für

Familienunternehmen als Leitlinie für die verantwortungsvolle Führung von Familienun-

ternehmen und Unternehmerfamilien verwiesen, der auf derartige Unternehmen zuge-

schnittene Empfehlungen, wie u. a. die Errichtung eines umfassenden RMS, enthält.40

Bevor im Kapitel 8 der IDW Prüfungsstandard PS 981 näher vorgestellt wird, folgt zu-

nächst ein kurzer Überblick über die gängigen Prüfungsorgane und ihre Tätigkeiten im

Rahmen des Risikomanagements. Dies ist insofern von Belang, weil dadurch der Zu-

sammenhang zum PS 981 hergestellt und gleichfalls die Einbettung der Kontrollgremien

in die Aufbau- und Ablauforganisation von Unternehmen beschrieben wird.

39 Funk RMCE GmbH; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: a. a. O., S. 5. 40 Krömer, Bernhard: Aufbau und Ablauf des Risikomanagements. Teil A: Umsetzung von Com-pliance-Erfordernissen gem. §91 Abs.2 AktG in der Unternehmenspraxis. In: Zeitschrift für Cor-porate Governance, Jg. 2017, Nr. 2. Berlin: Erich Schmidt Verlag, S. 71.

15

7. Prüfungsorgane

Neben den bereits benannten gesetzlichen Anforderungen in § 317 HGB Gegenstand

und Umfang der Prüfung finden entsprechende RMS-Kontrollhandlungen vor allem auf-

grund unternehmensindividueller Regelungen statt.

Dabei lassen sich die jeweiligen Prüfungsorgane zum Beispiel nach Art der Unterneh-

menszugehörigkeit unterscheiden. Zu den internen Prüfungsstellen gehören neben den

speziellen Fachabteilungen/dem (Risiko)-Controlling hauptsächlich die Interne Revision

sowie der Aufsichtsrat. Externe Kontrollhandlungen werden im Wesentlichen durch Ab-

schlussprüfer oder externe Revisoren durchgeführt.

Im Weiteren werden nun einzelne Prüfungsorgane nach Prüfungsumfang, Prüfungszeit-

punkt und den Prüfungsgrundlagen charakterisiert.

7.1. (Risiko)-Controlling

Das Risikocontrolling ist für die Überwachung und Kommunikation der Risiken entlang

aller operativer Bereiche und Stäbe zuständig und orientiert sich dabei an den Unterneh-

menszielen inkl. enthaltener Risikokomponenten.41 Es trägt im Risikomanagement-Pro-

zess hauptsächlich durch Soll/Ist-Vergleiche betriebswirtschaftlicher Kennzahlen zur In-

formationsgewinnung bei und ist wesentlich eingebunden in die Steuerung und Kontrolle

der Risiken.42 Dabei wird fortlaufend untersucht, ob die unternehmensseitigen Planun-

gen, Ziele und Anweisungen erfüllt und eingehalten werden oder ggf. einer Überarbei-

tung bedürfen.

Zudem werden bestimmte Prüfungstätigkeiten bereits auf Abteilungsebene wahrgenom-

men, vorzugsweise prozessbezogene Kontrollen im Rahmen der operativen Abläufe.43

Hierfür zeichnet sich das Controlling durch die Festlegung von entsprechenden Rege-

lungen mit verantwortlich.

41 Meyer, Ralf: a. a. O., S. 48. 42 Keitsch, Detlef: Risikomanagement. Ulm: Schäffer-Poeschel Verlag für Wirtschaft · Steuern · Recht GmbH & Co. KG 2000, S. 75. 43 Henschel, Thomas; Heinze, Ilka: a. a. O., S. 120.

16

In diesem Zusammenhang auftretende Abweichungen, z. B. Strategieverstöße, stellen

entsprechende Informationsimpulse an die nächsthöheren Instanzen dar.44

Die jeweiligen Tätigkeiten orientieren sich vorrangig an hauseigenen Arbeitsanweisun-

gen, Risikohandbüchern, Strategien und Konzepten, wobei gesetzliche Normen – soweit

anzuwenden – selbstverständlich Berücksichtigung finden sollten.

7.2. Interne Revision

Die Interne Revision (IR) ist der Geschäftsleitung direkt unterstellt und dieser berichts-

pflichtig. Im Bereich der Risikokontrolle werden risikoorientiert und prozessunabhängig

die Wirksamkeit und Angemessenheit des RMS im Allgemeinen und des internen Kon-

trollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten

und Prozesse geprüft und beurteilt.45 Die Prüfungshandlungen zur Zweckmäßigkeit um-

fassen sowohl Aufbau- als auch Funktionsprüfungen, sie finden regelmäßig aber auch

in unregelmäßigen Zeitabständen statt. Ermittelte Schwachstellen werden an die Ge-

schäftsführung kommuniziert und lösen im Allgemeinen einen Anpassungsvorgang aus.

Das Online-Revisionshandbuch vom DIIR Arbeitskreis beschreibt die notwendige Ver-

änderung von klassischen Prüfungshandlungen „ex post“ (im Nachhinein46) einer Inter-

nen Revision zu verstärkt präventiven „ex ante“ (im Voraus47) Prüfungsleistungen, um

dadurch frühzeitig Risiken, Mängel und Verbesserungspotenziale identifizieren zu kön-

nen.48 Der Blickwinkel der Revisoren muss sich also künftig anpassen.

Die einzelnen Tätigkeiten der Internen Revision in Bezug auf das Risikomanagement

werden in der nachfolgenden Grafik abgebildet. Die im Fächer rechts aufgeführten Ar-

beiten - sofern im Mittelstand möglich – sollten nicht durch die IR ausgeführt werden.49

44 Henschel, Thomas; Heinze, Ilka: a. a. O., S. 121. 45 Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Erläuterungen zu den MaRisk in der Fassung vom 14.12.2012. o. O. 2012, S. 20. 46 Bibliographisches Institut GmbH. Online im Internet: http://www.duden.de/suchen/dudenonline/ex%20post (Stand 21.07.2017) 47 Bibliographisches Institut GmbH. Online im Internet: http://www.duden.de/suchen/dudenonline/ex%20ante (Stand 21.07.2017) 48 DIIR - Deutsches Institut für Interne Revision e.V.: Online-Revisionshandbuch für die Interne Revision in Kreditinstituten. Online im Internet: http://www.diir.de (Stand 21.07.2017) 49 DIIR - Deutsches Institut für Interne Revision e.V.: Hinweise zur Prüfung des Risikomanage-mentsystems. Praxisleitfaden zum DIIR Revisionsstandard Nr. 2. Online im Internet:

17

Abbildung 5: Aufgaben der Internen Revision in Bezug auf das Risikomanagement50

Die Einrichtung einer solchen Institution ist nicht zwingend vorgeschrieben, oftmals fin-

den sich gerade bei kleineren Unternehmen keine separaten Revisionseinheiten. In die-

sem Fall sind die entsprechenden Überwachungsvorgänge dann durch andere geeig-

nete Personen im Unternehmen – ggf. auch durch die Geschäftsleitung selbst – zu ge-

währleisten oder auch mittels Outsourcing dieser Tätigkeiten an externe Sachverstän-

dige zu übertragen.51

Für die IR zählen neben gesetzlichen Bestimmungen insbesondere anerkannte Berufs-

standards, u. a. DIIR-Revisionsstandard Nr. 2, DRSC-Verlautbarungen, IDW Prüfungs-

standards zu den entscheidenden Arbeitsgrundlagen.

http://www.diir.de (Stand 21.07.2017) 50 Institute of Internal Auditors. In: DIIR - Deutsches Institut für Interne Revision e.V.: Hinweise zur Prüfung des Risikomanagementsystems. Praxisleitfaden zum DIIR Revisionsstandard Nr. 2. Online im Internet: http://www.diir.de (Stand 21.07.2017) 51 Klein, Martin; Schmidt, Christina: Prüfung und Publizität von Risikomanagementsystemen bei mittelständischen Kapitalgesellschaften. Empfehlungen für eine angemessene Berichterstattung vor dem Hintergrund erweiterter Offenlegungsvorschriften. In: Zeitschrift für Corporate Gover-nance, Jg. 2011, Nr. 2. Berlin: Erich Schmidt Verlag, S. 85ff.

18

7.3. Wirtschaftsprüfer

Neben der originären Prüfung von Jahres- und Konzernabschlüssen (nachträglich) prüft

ein Wirtschaftsprüfer (WP) heutzutage auch die Kreditwürdigkeit, die Wirtschaftlichkeit

oder Kontroll- und IT-Systeme von Unternehmen.52 Damit gehen die WP-Tätigkeiten weit

über die eigentliche Buchführungsprüfung hinaus.

Spätestens seit dem Inkrafttreten des KonTraG müssen Wirtschaftsprüfer, um an sie

gestellte Anforderungen der Risikoeinschätzung und deren Auswirkungen auf das jewei-

lige Unternehmen beurteilen zu können, zusätzlich über unternehmerische Denkansätze

und Branchenkenntnisse verfügen.53 Nur so können die gesetzlich vorgeschriebenen

Lagebeurteilungen vorgenommen werden. Hierzu sind im Übrigen nur bestimmte Per-

sonen/-gruppen mit Vorbehaltsaufgaben (z. B. Wirtschaftsprüfungsgesellschaften, be-

sondere Prüfungsverbände, vereidigte Buchprüfer) berechtigt.54

Das Prüfungsurteil im Jahres- bzw. Konzernabschluss erstreckt sich auf:

Einhaltung der gesetzlichen Vorschriften, der Grundsätze ordnungsmäßiger

Buchführung sowie der Bestimmungen im Gesellschaftsvertrag/der Satzung

Vermittlung ein den tatsächlichen Verhältnissen entsprechendes Bild der Vermö-

gens-, Finanz- und Ertragslage des Unternehmens

Darstellung der Chancen und Risiken der künftigen Entwicklung im Lagebericht55

Dazu muss der WP diverse Gesetze und Rechtsverordnungen beachten. Seine Arbeit

lehnt sich zumeist an den gültigen Prüfungsstandards des IDW an.

Das nächste Kapitel widmet sich sehr umfangreich dem neuen IDW Prüfungsstandard:

Grundsätze ordnungsmäßiger Prüfung von Risikomanagementsystemen.

52 Instituts der Wirtschaftsprüfer in Deutschland e.V.. Online im Internet: http://www.wirtschaftsprüfer.de/Wirtschaftsprueferberuf (Stand 25.07.2017) 53 Keitsch, Detlef: Risikomanagement. Ulm: Schäffer-Poeschel Verlag für Wirtschaft · Steuern · Recht GmbH & Co. KG 2000, S. 104. 54 Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Abschlussprüfer, online im Internet: http://wirtschaftslexikon.gabler.de/Archiv/58188/abschlusspruefer-v8.html (Stand 25.07.2017) 55 Wirtschaftsprüferkammer Körperschaft des öffentlichen Rechts. Online im Internet: http://www.wpk.de/oeffentlichkeit/wirtschaftspruefer/ (Stand 25.07.2017)

19

8. Prüfungsstandard PS 981 (Stand 03.03.2017)

Vor kurzem hat der Hauptfachausschuss des Institut für Wirtschaftsprüfer in Deutsch-

land e.V. (IDW) mehrere Standards verabschiedet, u. a.

PS 981

Grundsätze ordnungsmäßiger Prüfung von Risikomanagementsystemen

PS 982

Grundsätze ordnungsmäßiger Prüfung des internen Kontrollsystems des inter-

nen und externen Berichtswesens

PS 983

Grundsätze ordnungsmäßiger Prüfung von Internen Revisionssystemen,

um damit die verschiedenen Teile eines Corporate Governance-Systems in Unterneh-

men zu prüfen.

Der IDW ist eine Fachorganisation der Wirtschaftsprüfer und –prüfungsgesellschaften.

Zu seinen vordergründigen Aufgaben gehört die Förderung der Fachgebiete des Wirt-

schaftsprüfers. Neben beratenden Tätigkeiten für den Berufsstand werden Prüfungs-

standards erstellt, die die Auffassung zu fachlichen Fragen darstellen und zur Entwick-

lung beitragen sollen.56 Diese sind zwar grundsätzlich nicht rechtlich bindend, genießen

jedoch einen entsprechenden Bekanntheitsgrad und Akzeptanz, nicht zuletzt auch durch

die hohen Mitgliederzahlen (rd. 13.000 Wirtschaftsprüfer und Wirtschaftsprüfungsgesell-

schaften, damit etwa 82% aller deutschen Wirtschaftsprüfer57). In der Praxis wird in den

durch Steuerberater und Wirtschaftsprüfer aufgestellten Jahresabschlüssen regelmäßig

Bezug genommen auf zugrunde gelegte IDW Prüfungsstandards.

56 Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Institut der Wirt-schaftsprüfer in Deutschland e.V. (IDW), online im Internet: http://wirtschaftslexikon.gabler.de/Archiv/57524/institut-der-wirtschaftspruefer-in-deutschland-e-v-idw-v7.html (Stand 21.07.2017) 57 Institut der Wirtschaftsprüfer in Deutschland e.V.. Online im Internet: https://www.idw.de/idw/ueber-uns/Kurzportrait (Stand 21.07.2017)

20

8.1. Eckpunkte des PS 981

Anders als der IDW Standard 340: Die Prüfung des Risikofrüherkennungssystems nach

§ 317 Abs. 4 HGB befasst sich der PS 981 mit der freiwilligen Prüfung von Risikoma-

nagementsystemen (nicht nur des Teilaspektes der Früherkennung58) und findet dem-

zufolge keine Verwendung bei gesetzlich angeordneten Prüfungen. Der IDW unter-

streicht hiermit indirekt die Bedeutung zur Implementierung von Risikomanagementsys-

temen auch bei nicht prüfungspflichtigen Gesellschaften und schließt die Maßnahmen

zur Risikobewältigung gleich mit ein.

Damit dürften KMU’s zur potenziellen Zielgruppe derartiger Prüfungshandlungen gehö-

ren, zumal eine Anwendung unabhängig von Branche, Rechtsform und Unternehmens-

größe möglich ist.59

Der Prüfungsstandard will insbesondere den Wirtschaftsprüfern eine Handlungsvor-

schrift geben, wie solche Aufträge zu planen und durchzuführen sind. Daneben sind zu

beachtende Berufspflichten aufgeführt, notwendige Dokumentationserfordernisse be-

schrieben und Aussagen zur Berichterstattung enthalten. Abgerundet wird das Werk

durch zahlreiche Anwendungshinweise und sonstige Erläuterungen.

Im Vorfeld wurde bedeutenden Institutionen bzw. Fachspezialisten (z. B. Deutsches

Institut für Interne Revision e.V., Prof. Dr. Werner Gleißner, Risk Management Associ-

ation e.V.) die Möglichkeit eingeräumt, ihre Auffassung zu diesem Thema und dem Inhalt

des Prüfungsstandard niederzuschreiben und somit direkten Einfluss auf den nunmehr

endgültig veröffentlichten PS 981 auszuüben. Damit wird die Akzeptanz in die Nutzung

dieses Prüfungsstandard nochmals spürbar erhöht.

58 Institut der Wirtschaftsprüfer in Deutschland e.V.: IDW Prüfungsstandard: Die Prüfung des Ri-sikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340, Stand 11.09.2000). Düssel-dorf: IDW Verlag GmbH 2017, S. 1. 59 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft: EY Public Services Newsletter. Aus-gabe 126. Berlin: o. V. 2016, S. 3.

21

8.2. Gegenstand, Ziel und Umfang der Prüfung

Als Gegenstand der Prüfung werden laut IDW die in der RMS-Beschreibung enthaltenen

Aussagen der gesetzlichen Vertreter zu den Grundelementen des Risikomanagement-

sytems sowie zur Angemessenheit, Implementierung und ggf. Wirksamkeit des RMS in

Übereinstimmung mit den angewandten RMS-Grundsätzen genannt.60 Im Ziel steht also

die Beurteilung, ob ausreichende Vorsorgemaßnahmen getroffen wurden, um wesentli-

che strategische und operative Risiken rechtzeitig zu identifizieren, zu bewerten, zu steu-

ern und zu überwachen. Dabei geht es nicht um eine Einschätzung zur Vollständigkeit

und wirtschaftlichen Sinnhaftigkeit der festgelegten Risiken oder der durchgeführten

Maßnahmen, auch nicht um ein Prüfungsurteil über den Fortbestand des geprüften Un-

ternehmens61, sondern darum, ob die unternehmensindividuellen Regelungen zum Risi-

komanagement insgesamt angemessen erscheinen.

Als RMS-Grundsätze werden allgemein anerkannte bzw. andere angemessene Rah-

menkonzepte oder vom Unternehmen selbst entwickelte Grundsätze für Risikomanage-

mentsysteme verstanden.62 Gemäß der Fachgruppe Risikomanagement des DIIR-Ar-

beitskreises „Interne Revision im Mittelstand“ existieren weltweit über 80 solcher Rah-

menwerke und Normen zum Risikomanagement, z. B. COSO Enterprise Risk Manage-

ment Framework (COSO ERM oder COSO II), ISO 31000: Guidelines for principles and

implementation of risk management, ONR 49000: Risikomanagement für Organisatio-

nen und Systeme, DRS 5: Risikoberichterstattung, IDW PS 340 etc.63, die angewandt

werden können.

Im Prüfungsstandard werden grundsätzlich zwei Arten unterschieden, die Angemessen-

heitsprüfung zu einem bestimmten Zeitpunkt und/oder die Wirksamkeitsprüfung wäh-

rend eines geprüften Zeitraums.

60 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 5ff. 61 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 3. 62 ibid., S. 5. 63 DIIR - Deutsches Institut für Interne Revision e.V.: Hinweise zur Prüfung des Risikomanage-mentsystems. Praxisleitfaden zum DIIR Revisionsstandard Nr. 2. Online im Internet: http://www.diir.de (Stand 21.07.2017)

22

Der IDW Standard sieht grundsätzlich auch vor, prüfungsrelevante Teilbereiche – insbe-

sondere operative Risiken – abzugrenzen. Durch den Auftraggeber sind die zu prüfen-

den Teilbereiche nach einzelnen Risikoarten und/oder Unternehmensprozessen bzw.

Organisationseinheiten abzustecken (z. B. kategorisiert nach Risiken aus Unterneh-

mensfunktionen wie Beschaffung, Produktion, Absatz, Rechnungswesen/Finanzwesen,

Personal, IT-Betrieb oder im Hinblick auf Prozesse wie Kernprozesse, Hilfsprozesse,

Management64). Eine isolierte Prüfung in Bezug auf einzelne Grundelemente wird dage-

gen ausgeschlossen.65 Dies dürfte auch nicht mit dem Ursache-Wirkung-Prinzip bzw.

den Wechselwirkungen im Regelkreislauf des Risikomanagement-Prozesses konform

gehen.

Auch auf eine projektbegleitende Prüfung bei Einführung eines RMS wird hingewiesen,

weil derartige Prüfungen bislang nur sehr wenig in Anspruch genommen werden. Zu

dieser Erkenntnis kommt auch die Benchmarkstudie von Funk RMCE; Rödl & Partner;

Weissmann & Cie., denn gerade einmal 8 % der befragten Unternehmen greifen beim

Aufbau und der Optimierung ihres Risikomanagementsystems auf externe Berater zu-

rück. So werden positive Synergieeffekte nicht gehoben und externes Wissen bleibt un-

genutzt.66

Von daher ist es für KMU’s durchaus empfehlenswert/sinnvoll, den PS 981 bei der Im-

plementierung bzw. Verbesserung ihres Risikomanagementsystems zu nutzen, zumal

für derartige Unternehmen nur wenig geeignete Ansätze und Konzepte in der Fachlite-

ratur zu finden sind.67 Die Deloitte GmbH Wirtschaftsprüfungsgesellschaft hat noch ein-

mal die Vorteile/Nutzen eines geprüften und optimierten RMS sowie die entsprechenden

Prüfungsleistungen in einem Flyer ausführlich zusammengefasst (Auszug siehe An-

hang).68 Hierauf wird an dieser Stelle ergänzend verwiesen.

Der IDW Prüfungsstandard gibt detaillierte Ausgestaltungshinweise für ein Risikomana-

gementsystem, welche im Weiteren näher vorgestellt werden.

64 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 4. 65 ibid., S. 25. 66 Funk RMCE; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: a. a. O., S. 7. 67 Gonschorek Torsten; Petzold, Christian: Risiken managen. In: Haubold AK., Gonschorek T., Gestring I., Sonntag R., von der Weth R. (eds): Managementkompetenzen im Mittelstand. Wies-baden: Springer Gabler Verlag 2014, S. 52. 68 Deloitte GmbH Wirtschaftsprüfungsgesellschaft: Prüfung des Risikomanagementsystems. Ber-lin: o. V. 01/2017, S. 6.

23

8.3. Einrichtung eines RMS nach IDW 981

Der ganzheitliche Aufbau eines effizienten Risikomanagementsystems nach IDW PS

981 umfasst drei Dimensionen – Zielkategorien, Unternehmensprozesse und Unterneh-

mensorganisation.69

In Abhängigkeit von den festgelegten Zielen des Risikomanagementsystems sowie von

Art, Umfang und Komplexität der Geschäftstätigkeit eines Unternehmens sollte ein RMS

im Sinne des Prüfungsstandards folgende Grundelemente aufweisen, die miteinander in

Wechselwirkung stehen und in die Geschäftsabläufe eingebunden sein sollen70:

Abbildung 6: Grundelemente eines RMS nach PS 98171

69 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft: a. a. O., S. 4. 70 FGS Flick Gocke Schaumburg GmbH Wirtschaftsprüfungsgesellschaft: Accounting Update. Bonn: o. V. 01/2016, S. 11. 71 Deloitte GmbH Wirtschaftsprüfungsgesellschaft: a. a. O., S. 4.

24

Dabei richten sich die definierten Zielkategorien sowohl auf strategische als auch auf

operative Risiken der Geschäftsorganisation, d. h. aus grundlegenden/langfristigen aber

auch aus alltäglichen/kurzfristigen Entscheidungen resultierend. Besonders die strategi-

schen Risiken sind in ihrer Wichtigkeit für die Beständigkeit/Stabilität eines Unterneh-

mens relevant, dennoch können operative Einzelrisiken gleichfalls eine Bestandsgefähr-

dung auslösen und dürfen daher keinesfalls vernachlässigt werden.

Da eine derartige RMS-Prüfung stets sämtliche Grundelemente des Risikomanagement-

systems umfasst72, sind schlussfolgernd auch alle Segmente im Unternehmen vorzuhal-

ten und einzubinden. Sollten also KMU‘s sich bei der Einrichtung bzw. Verbesserung

ihres Risikomanagementsystems am PS 981 anlehnen oder sich nach diesem Standard

prüfen lassen wollen, dann müssen sie zwingend über alle dargestellten Grundelemente

verfügen.

Zudem resultiert aus dem geschilderten Prüfungsgegenstand das Erfordernis, die jewei-

ligen Regelungen zum Risikomanagement im Unternehmen schriftlich zu fixieren und zu

dokumentieren und nicht wie in kleineren Unternehmen oftmals üblich, nur einzelne Do-

kumente und Richtlinien zu sammeln.73

„Die RMS-Beschreibung stellt die Konzeption des RMS und die implementierten Rege-

lungen des RMS in einer für die Adressaten verständlichen Art und Weise dar.“74

Dies ist eine wesentliche Prüfungsvoraussetzung und hat den Vorteil, dass sich das Un-

ternehmen – explizit der gesetzliche Vertreter – dazu intensiv mit dem Risikomanage-

ment-Prozess (siehe nachfolgende Abbildung) und seinen Bestandteilen auseinander

setzen muss. Die genaue Prozessausgestaltung und der Umfang der jeweiligen Ele-

mente sind natürlich in einem angemessenen Rahmen zur Unternehmensgröße und

Komplexität anzupassen. Dies kann demzufolge in kleinen und mittleren Unternehmen

stark variieren, zumal KMU’s, wie bereits geschildert, sehr divergent sind.

72 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 3. 73 Ebner Stolz Mönning Bachem Wirtschaftsprüfer Steuerberater Rechtsanwälte Partnerschaft mbB. Online im Internet: https://www.ebnerstolz.de/de/impressum-4908.html (Stand 21.07.2017) 74 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 26.

25

Abbildung 7: Risikomanagement-Prozess75

Der IDW geht ferner davon aus, dass die internen Verfahrensbeschreibungen jedoch

nicht eine umfassende Prozessbeschreibung mit integriert werden.76 Damit wird das

Grundverständnis für hauseigene und externe Leser deutlich verbessert und gleichfalls

ein grober Überblick geschaffen. KMU’s müssen insofern grundlegende Ausführungen

zur Ausgestaltung und der Funktionsweise des Risikomanagementsystems (u. a Risiko-

bezug, Kontrollmaßnahmen, Verantwortlichkeiten) treffen.77

Im Weiteren folgen nunmehr detaillierte Informationen zu den Grundelementen lt. IDW

und entsprechende Umsetzungshinweise für KMU‘s. Vorangestellt wird jedoch, dass es

sich inhaltlich nicht um neu definierte Bestandteile eines RMS handelt, sondern diese an

die bereits aufgezählten Rahmenkonzepte angelehnt, hier jedoch verständlich zusam-

mengefasst wurden und damit als einheitliche Orientierungsgröße und möglicher Leitfa-

den bei der Implementierung von Risikomanagementsystemen dienen können. Speziell

den Risikosteuerungsmaßnahmen wird hier eine besondere Bedeutung beigemessen.

Sofern für das Verständnis nötig, wurden ergänzende Hinweise aus weiteren Literatur-

quellen mit angeführt.

75 RiskNET GmbH – The Risk Management Network. Online im Internet: https://www.risknet.de/wissen/risk-management-prozess/ (Stand 21.07.2017) 76 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 26. 77 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 13. Und 41.

26

8.3.1. Risikokultur

Zunächst ist die unternehmensindividuelle Risikokultur festzulegen, also die grundsätz-

liche Einstellung eines Unternehmens, wie es mit Risiken (vs. Chancen) umgehen

möchte, zu definieren. Hier findet das Risikomanagementsystem seinen eigentlichen Ur-

sprung. Nach Ehrmann sind folgende Elemente bestimmend:

Visionen

Unternehmenskultur und –philosophie

Strategien

Ziele78

Die Visionen und die Unternehmensphilosophie stellen hierbei die übergeordneten Ziel-

vorstellungen dar, Strategien und Ziele sind dagegen bereits die Basis für konkrete Un-

ternehmensentscheidungen.79 Da sich in allen operativen und strategischen Bereichen

entsprechende Risikopotenziale finden80, ist somit im gesamten Unternehmen das ge-

wünschte Risikobewusstsein auszubilden. Hierbei handelt es sich jedoch um einen suk-

zessiven Lernprozess, der sich erst im Laufe der Zeit einstellt wird.

Der Prüfungsstandard verweist u. a. auf folgende, die Risikokultur beeinflussende, Merk-

male:

Vorgaben der Unternehmensleitung in Form von Verhaltungsgrundsätzen

Förderung eines umfassenden Risikobewusstseins sowie einer offenen Kommu-

nikation von Risikoentwicklungen

Differenzierung der Risikobereitschaft unter Berücksichtigung der Erwartungen

und Rahmenbedingungen

Regelungen zur Zusammenarbeit von Unternehmensleitung und Aufsichtsgre-

mien

Verknüpfung mit Anreiz-, Leistungsbeurteilungs- und Mitarbeiterentwicklungs-

systemen81

78 Ehrmann, Prof. Dr. Harald: a. a. O., S. 29. 79 ibid., S. 30. 80 Preißner, Andreas: Praxiswissen Controlling. Grundlage Werkzeuge Anwendungen. 3., erwei- terte Auflage, Wien: Carl Hanser Verlag Münschen 2003, S. 359. 81 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 28.

27

Angewandt auf KMU’s sollte die Geschäftsleitung daher zunächst allgemeine risikopoli-

tische Grundsätze für die Unternehmensführung festlegen, strategische Grundaussagen

treffen und dort bereits ihre generelle Risikoeinstellung (z. B. risikoavers, risikoneutral

oder risikofreudig, ggf. differenziert nach Funktionsbereichen, Risikokonzentrationen…)

zum Ausdruck bringen. Über grobe Zielvorgaben, Schwellenwerte und Aufgabendelega-

tionen muss das Risikoverständnis im Gesamthaus integriert/platziert werden. Die Ver-

haltensweisen der Führungskräfte haben sich wie die der übrigen Mitarbeiter hieran zu

orientieren; auch die Unternehmensführung berücksichtigt die vorgegebenen Prinzipien

im Rahmen ihrer jeweiligen Entscheidungen und übernimmt so angemessen Risikover-

antwortung (vs. Ergebnis/Sicherheit). Unerwünschte Zuwiderhandlungen werden ent-

sprechend sanktioniert.82

Der offene Umgang mit Risikoinformationen bzw. deren Austausch ist über sämtliche

Bereiche sicherzustellen. Dies ist bei größeren Unternehmen in der Regel deutlich

schwieriger durch die höhere Anzahl an Mitarbeitern und Unternehmensbereichen. Für

die Entwicklung eines gleichgerichteten Risikobewusstseins in KMU‘s ist die Kommuni-

kation jedoch primär wichtig und daher entsprechend zu fördern.

8.3.2. Ziele des RMS

Die Ziele des RMS sind aufbauend auf der v. g. Risikokultur unternehmensseitig in Form

einer entsprechenden Risikostrategie zu formulieren. Dabei ist festzulegen, in welchem

Ausmaß unter Berücksichtigung der Risikotragfähigkeit des Unternehmens Risiken ein-

gegangen werden sollen.83

Dazu muss das Unternehmen seinen eigenen „Risikoappetit“ und die „Risikotoleranz“

bestimmen.84 Auf Unternehmensleiterebene ist insofern festzulegen, ob und in welchem

Umfang Risiken zur Zielerreichung eingegangen werden können und welche Spielräume

(Abweichungen) vertretbar erscheinen. Bekanntermaßen muss man aber Risiken einge-

hen, um überhaupt Chancen nutzen zu können. Das Risikoausmaß ist jedoch unterneh-

mensindividuell verschieden und von diversen Faktoren abhängig.

82 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 28. 83 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 8. 84 ibid., S. 8.

28

U. a. spielen die Unternehmerpersönlichkeit in Verbindung mit dem Leitbild, dem Alter

und der Erfahrung eines Unternehmens, seine finanzielle Ausstattung/wirtschaftliche

Lage sowie die Branche eine entscheidende Rolle. Wie bereits erwähnt, sind Familien-

unternehmen hier zumeist risikovermeidender, was sich in der Strategie wiederfinden

sollte.

Der IDW Standard stellt ferner heraus, dass die Risikopolitik im Unternehmen zu kom-

munizieren ist, um die definierten Ziele für den jeweiligen Unternehmensbereich zu mes-

sen.

„Die Ziele des RMS werden […] auf die jeweiligen Hierarchieebenen heruntergebrochen,

bspw. in Form einer quantitativen Risikostrategie mit Limits bei Finanzrisiken im Treasury

oder durch Kopplung an Budgetbegrenzungen und schrittweise Freigaben bei Investitio-

nen oder Entwicklungsprojekten.“85

Damit sollen alle Mitarbeiter bezüglich der unternehmensspezifischen Risikoausrichtung

informiert, sensibilisiert und gleichfalls „mit ins Boot geholt“ werden. Dies ist für ein funk-

tionierendes Risikomanagement ebenso wichtig wie notwendig. Demzufolge sind auch

in kleineren und mittleren Unternehmen die RMS-Ziele schriftlich und für jedermann ver-

ständlich zu formulieren.

Entscheidend für ein wirksames RMS ist aber auch das Vorleben durch die verantwort-

lichen Führungskräfte und die Geschäftsleitung, gerade in mittelständischen, eigentü-

mergeführten Unternehmen.86 Zugleich kommt hiermit die Unternehmensführung ihren

gesetzlich verankerten Sorgfaltspflichten nach. Es nützt also nichts, wenn der „Chef“

nicht vollständig hinter seinem Risikomanagement steht und seine Vorbildwirkung nicht

entsprechend ausübt.

8.3.3. Organisation des RMS

Hierunter werden vor allem eine transparente und eindeutige Aufbau- sowie eine klar

definierte Ablauforganisation verstanden.87

85 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 28ff. 86 Funk RMCE; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: a. a. O., S. 18. 87 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 8.

29

Im Prüfungsstandard sind dafür folgende Eigenschaften an die RMS-Organisation auf-

geführt, die es im Unternehmen zu berücksichtigen gilt:

Festlegung von Rollen und Verantwortlichkeiten für die Koordination und Steue-

rung

Definition von Aufgaben, der organisatorischen Einordnung und der Berichtsli-

nien

Festlegung der Ablauforganisation, insbesondere für die Risikoerkennung, Risi-

kosteuerung, Kommunikation und Überwachung

Einsatz technischer Hilfsmittel88

Im Zusammenhang mit den v. g. Rollen/Verantwortlichkeiten bezieht sich der PS 981 auf

das „Three-lines-of-Defense Modell“, also auf die Schaffung mehrerer Instanzen für ein

systematisches Risikomanagement. Dies stellt jedoch kein Dogma dar.

Abbildung 8: three-lines-of-defense-modell89

88 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 29. 89 Bild angelehnt an FERMA/ECIIA: Guidance on the 8th EU Company Law Directive, article 41. In: Rödl & Partner. Online im Internet: http://www.roedl.de/themen/kapitalmarktorientierte-unternehmen/three-lines-of-defense-modell (Stand 21.07.2017)

30

Während die erste „Verteidigungslinie“ auf Fachbereichsebene die Verantwortung für die

Beurteilung, Steuerung, Überwachung und Reduktion der Risiken trägt, dient die zweite

Instanz der Steuerung und Überwachung der Risikomanagementfunktion der ersten Li-

nie sowie dem Reporting an die Unternehmensleitung. Die dritte Verteidigungslinie wird

von der Internen Revision als objektive und unabhängige Prüfungsstelle wahrgenommen

und möglicherweise noch durch Externe wie z. B. Abschlussprüfer und Aufsichtsbehör-

den als sogenannte vierte Verteidigungslinie ergänzt90 (siehe auch Kapitel 7).

Ob jedoch in kleineren KMU’s auf Grund der geringeren Komplexität alle drei Abteilun-

gen separat vorhanden sein müssen, ist unternehmensindividuell abzuwägen. Möglich-

erweise können Überwachungs- und Prüfungsaufgaben auch zentral zusammengefasst

oder extern vergeben werden, wenn beispielsweise keine Interne Revision oder Con-

trolllingabteilung als solche vorgehalten werden. Grundsätzlich empfiehlt sich aber, um

den unterschiedlichen Funktionen gerecht zu werden, eine entsprechende Aufgaben-

trennung. Innerhalb der jeweiligen Bereiche ist dabei zu gewährleisten, dass keine mit-

einander unverträglichen Tätigkeiten durch ein und denselben Mitarbeiter ausgeführt

werden.91 Für KMU’s ohne eigene Interne Revision wäre eine angemessene Beschrei-

bung (Darstellung der Arbeitsabläufe in einem detaillierten Organigramm92), wer, wie und

wie oft die Systeme überwacht, wünschenswert.93 Eine Integration in bereits bestehende

Strukturen und Prozesse verringert den administrativen Aufwand und begünstigt die Re-

aktionsfähigkeit94, was gerade in kleineren Unternehmen nicht zu unterschätzen ist.

Bezüglich der Ablauforganisation ist diese in Form von Handbüchern und Regelwerken

zu dokumentieren und zu kommunizieren.95 Es sind folglich geeignete Geschäftspro-

zesse für die Risikobearbeitung zu bestimmen, welche insbesondere durch die zweite

Verteidigungslinie vorgegeben werden. Nach Gleißner ist die Entwicklung/Nutzung ge-

eigneter Kennzahlen sowie Verfahren dabei eine zentrale Aufgabe des Risikocontrol-

lings.96

90 Hämmerle, Matthias. Online im Internet: https://www.3grc.de/risikomanagement/three-lines-of-defense-modell/ (Stand 21.07.2017) 91 Keitsch, Detlef: a. a. O., S. 55. 92 ibid., S. 55. 93 Klein, Martin; Schmidt, Christina: a. a. O., S. 84. 94 Bartelt, Stephan; Wieben, Hans-Jürgen: Ganzheitliches Risikomanagment nach ISO 31000 im mittelständischen Maschinen- und Anlagenbau. In: Controller-Magazin, Jg. 2017, Nr. 1. Freiburg: VVW Verlag für ControllingWissen AG, S. 19. 95 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 29. 96 Gleißner, Werner: Grundlagen des Risikomanagements im Unternehmen. München: Verlag Franz Vahlen GmbH 2008, S. 205.

31

Durch die explizite Benennung einer IT-Unterstützung durch den IDW wird die Notwen-

digkeit zu technischem Fortschritt und Digitalisierung in Unternehmen besonders her-

ausgestellt. Die Umsetzung von Risikomanagement mit Hilfe von spezialisierten Soft-

ware-Lösungen findet nämlich bislang in KMU’s nur unzureichend statt, weshalb die

Funktionalität und Wirksamkeit des RMS in Frage gestellt werden.97

Abbildung 9: Softwaretechnische RMS-Umsetzung98

Diesbezüglich besteht also noch Handlungsbedarf, auch für KMU’s die bereits ein Risi-

komanagementsystem eingeführt haben. Die vom Deutschen Sparkassen- und Girover-

band alljährlich herausgegebene „Diagnose Mittelstand“ 2017 bestätigt, dass in einigen

Bereichen durchaus noch Defizite bestehen und die Digitalisierungsanstrengungen nach

Unternehmensgröße und Branche sehr unterschiedlich sind.99

Neben den technischen Hilfsmitteln ist gleichfalls sicherzustellen, dass die Verantwor-

tungsträger die notwendigen persönlichen und fachlichen Voraussetzungen erfüllen und

ausreichende Ressourcen zur Verfügung stehen.100 In KMU’s sind also das diesbezüg-

liche Know-how und die RMS-Kompetenzen zu verbessern sowie entsprechende Mitar-

beiterkapazitäten zu schaffen. Dem Kostenargument stehen die bereits benannten Effi-

zienz- und Effektivitätssteigerungspotenziale eines wirksam genutzten Risikomanage-

ments nivellierend entgegen (61 % der befragten Unternehmen stellten keinen erhöhten

Bürokratieaufwand/Kostenfaktor fest101).

97 Funk RMCE; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: a. a. O., S. 31. 98 Funk RMCE; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: a. a. O., S. 31. 99 Sparkassen-Finanzgruppe Deutsche Sparkassen- und Giroverband: Diagnose Mittelstand 2017. Berlin: o. V., S. 39. 100 BDO AG Wirtschaftsprüfungsgesellschaft: Rechnungslegung & Prüfung. Düsseldorf: o. V. 2/2016, S. 11. 101 Funk RMCE; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: a. a. O., S. 21.

32

8.3.4. Risikoidentifikation

„Die Risikoidentifikation umfasst die regelmäßige, systematische Analyse von internen

und externen Entwicklungen und Ereignissen, die zu negativen oder positiven Abwei-

chungen von den festgelegten Zielen des RMS führen können.“102

Durch die Worte „regelmäßig“ und „systematisch“ wird in Anlehnung an den Regelkreis-

lauf eine kontinuierliche und strukturierte Betrachtung verstanden. Risikomanagement

ist insofern kein in sich abgeschlossener Prozess, sondern muss gelebt, ständig weiter-

entwickelt und wiederholt werden.

Nur die vollständige (richtige und frühzeitige103) Kenntnisnahme aller unternehmensre-

levanten Risiken inkl. deren Ursachen verhilft zu einem effizienten RMS, wenngleich na-

türlich den bestandsgefährdenden Ereignissen eine höhere Bedeutung zukommt. Um

alle risikorelevanten Entwicklungen eines Unternehmens erkennen zu können, sind Ku-

mulationseffekte von Einzelrisiken zu beachten und eine ganzheitliche Beurteilungsper-

spektive erforderlich. Allem voraus steht zunächst die Aufnahme des Ist-Zustandes.104

Fehler, die in dieser Phase gemacht werden, zeigen sich zumeist erst, wenn ein nicht

erkanntes Risiko tatsächlich eintritt und Schaden verursacht.105 Von daher ist der Pro-

zessschritt „Risiken identifizieren“ von zentraler Bedeutung.

Es bieten sich – wie in der nachstehenden Übersicht dargestellt (ohne Gewähr auf Voll-

ständigkeit) eine Vielzahl von Methoden und Instrumente zur Risikoidentifikation an, wo-

bei der Prüfungsstandard hier keine besonders geeigneten Verfahren benennt und die

Entscheidung deshalb dem Unternehmen selbst überlässt:

102 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 8ff. 103 BDO AG Wirtschaftsprüfungsgesellschaft. Online im Internet: https://www.bdo.de/de-de/einblicke/newsletter/frc-aktuell-juli-2016/idw-eps-981-grundsatze-ord-nungsmassiger-prufung-vo (Stand 21.07.2017) 104 Krömer, Bernhard: a. a. O., S. 24. 105 Strohmeier, Georg: Ganzheitliches Risikomanagement in Industrieunternehmen. Grundlagen, Gestaltungsmodell und praktische Anwendung. 1. Auflage, Wiesbaden: Deutscher Universitäts-Verlag/GWV Fachverlage GmbH 2007, S. 49.

33

Abbildung 10: Methoden und Instrumente zur Risikoidentifikation106

Bei strategischen Risiken eignen sich wegen der Einmaligkeit und dem Fehlen von his-

torischen Daten vor allem Szenarioanalysen, wohingegen operationelle Risiken auch

durch mathematische Verfahren wie Value-at-Risk oder Cash-Flow-at-Risk gut identifi-

ziert werden können.107 Externe Risiken lassen sich durch die gezielte Suche in mehr

oder weniger allgemein zugänglichen Quellen (u. a. Branchenverbänden, Wirtschafts-

förderungsgesellschaften, Kammern etc.) erkennen, dies ist bei internen Risiken leider

nicht so einfach möglich. Noch dazu kommt hier der ungewollte Effekt der „Betriebsblind-

heit“. Abhilfe könnte die Einschaltung eines fremden Moderators unter Einbindung von

Mitarbeitern aus sämtlichen Hierarchieebenen schaffen.108

Neben themen- und branchenspezifischen Risikokatalogen legt der PS 981 insbeson-

dere auf die systematische Analyse von Frühwarnindikatoren und Kennzahlen (u. a. vo-

rausschauende Indikatoren und Prognosewerte, Aufdeckung von Schadensfällen,

Trends) wert, um möglichst frühzeitig kritische Entwicklungen feststellen zu können.109

Dabei sollten sowohl die internen als auch die externen Risikoquellen bzw. qualitative

und quantitative Risiken vorzugsweise strukturiert nach beispielsweise Risikoarten, Un-

ternehmensbereichen, Geschäftsprozessen, Beeinflussbarkeit, Bedrohung110 etc. be-

stimmt werden.

106 Eigene Darstellung, angelehnt an: Ehrmann, Prof. Dr. Harald: a. a. O., S. 88-118. 107 Meyer, Ralf: a. a. O., S. 48ff. 108 Kaack, Dr. Jürgen: Einführung von Risikomanagement in mittelständischen Unternehmen. In: M’Blogschrift 06’06. Zorneding: MILA PR und Verlag GmbH 2006, S. 11. 109 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 30. 110 Müller, Prof. Dr. Stefan. Online im Internet: https://www.controlling-wiki.com/de/index.php/Risikomanagementsystem_(RMS) (Stand 21.07.2017)

Methoden

•Umweldanalyse

•Marktanalyse

•Konkurrentenanalyse

•Branchenanalyse

•Potenzialanalyse

•Stärken-Schwächen-Analyse

•Chancen-Risiken-Analyse

•Lückenanalyse

•Portfolioanalyse

•Kennzahlenanalyse

Instrumente

•Checklisten

•Entscheidungsbaumanalysen

•Entscheidungstabellentechnik

•Flow-Chart-Analyse

•Fehlermöglichkeits- und Einflussanalyse

•Brainstorming

•Brainwriting

•Szenario

•Delphi-Methode

•Frühwarnsysteme

34

Nicht jede Methode/jedes Instrument eignet sich aber für alle Unternehmen (so haben

beispielsweise EDV-Risiken in einem Bauunternehmen geringere Auswirkungen als bei

reinen Technologieunternehmen), für KMU’s müssen daher die richtigen Verfahren ge-

wählt und ggf. den speziellen Besonderheiten angepasst werden. Gerade mittelständi-

sche Unternehmen dürfen hinsichtlich der Analysewerkzeuge nicht mit zu komplexen

Modellen überfrachtet werden111.

Nützlich könnte in diesem Zusammenhang die Beantwortung der nachfolgenden Fragen

sein, die sich teilweise aus der Risikokultur und den –zielen ableiten lassen. Gerade für

kleinere KMU’s stellt dies eine sehr vereinfachte Herangehensweise bei der Ermittlung

der für sie relevanten, den Fortbestand gefährdenden Risiken aus der Sichtweise der

Unternehmensleitung dar.

„Mit welchen Produkten/Produktgruppen, mit welchen Kunden/Kundengruppen, in wel-

chen regionalen Märkten und über welche Vertriebswege erzielt das Unternehmen

gestern, heute und morgen welche Ergebnisse, und welche Ursachen hat diese Entwick-

lung? Womit verdiene ich mein Geld und womit verliere ich eventuell sogar Geld und

warum ist das so?“112

Neben dem Top-Down-Ansatz (von oben nach unten) sollte jedoch auch durch die ope-

rativ tätigen Fachbereiche eine Risikoanalyse (Bottom-Up – von unten nach oben) erfol-

gen113, weil dies ggf. bessere oder genauere Ergebnisse liefert. Besonders eignet sich

hierfür u. a. das Brainstorming, bei dem sowohl die Mitarbeiter als auch die Geschäfts-

leitung die durch sie erkannten Risiken benennen. Im ersten Schritt wird noch keine

Wertung der einzelnen Risiken vorgenommen, es steht lediglich der Findungsprozess

im Vordergrund.114 Erst nach der eigentlichen Bestandsaufnahme erfolgt dann die Struk-

turierung und Relevanzabschätzung115, vorzugsweise wieder in Form einer Gruppenent-

scheidung.116

111 Funk RMCE; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: a. a. O., S. 25. 112 Schuppener, Jörg; Tillmann, Winfried: a. a. O., S. 3ff. 113 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 30. 114 Lorenz, Heike. Online im Internet: http://das-unternehmerhandbuch.de/2013/02/20/risikomanagement-fuer-kleine-unterneh-men/#Phase_1_Risikoanalyse (Stand 21.07.2017) 115 Gleißner, Werner: a. a. O., S. 58. 116 Barodte, Berthold; Montagne, Eric; Boutellier, Roman: Risikomanagement für kleine und mitt-lere Unternehmen. Angepasster Risikomanagementprozess als Brücke zwischen Theorie und Praxis. In: Der Schweizer Treuhänder, Jg. 2008, Nr. 3, S.136.

35

Auch die Nutzung von einfachen Checklisten, Fragebögen, Beobachtungen u. ä. em-

pfiehlt sich bei KMU‘s. Interessant und nützlich zur Erstellung eines Risikoinventars

könnte z. B. der Gefährdungskatalog des Bundesamtes für Sicherheit und Informations-

technik (BSI) sein, der verschiedene Risikoszenarien benennt und beschreibt117 oder

aber auch die Musterliste des DIIR118. In der Literatur finden sich in diesem Zusammen-

hang allerhand hilfreiche Ansatzpunkte, auf die KMU’s kostenfrei zurückgreifen können.

Bei den an der „Quelle“ sitzenden Mitarbeitern sollte dann auch ein mögliches Frühwarn-

system angesiedelt werden. Mithilfe von individuellen Frühwarnindikatoren (etwa Kon-

junktur- oder Einkaufsindizes…) sollen Risiken/Veränderungen so zeitnah festgestellt

werden, dass noch Gegensteuerungsmaßnahmen zur Abwendung des Risikoeintritts

bzw. zur Reduzierung des Schadensausmaßes angestoßen werden können.119 Ein sol-

ches Frühwarnsystem wird durch die explizite Benennung im PS 981 indirekt verlangt.

Die o. g. Kennzahlenanalyse basiert auf aussagefähigem Zahlenmaterial des Unterneh-

mens selbst. In diesem Punkt bestehen aus Praxissicht häufig noch Defizite in KMU’s,

sei es bei der Erstellung und Nutzung unterjähriger betriebswirtschaftlicher Auswertun-

gen und Plan/Ist-Abgleichen, der Bestimmung und Ermittlung wesentlicher Kennzif-

fern/Laufzeitbänder und Auslastungen oder der ineffektiven Anwendung technischer

Systeme. Dies ist auch mit Blick auf die Dokumentationserfordernisse wichtig und sollte

daher zwingend optimiert werden. Oftmals stehen gerade bei kleineren Unternehmen

nicht die kaufmännischen, sondern eher die technischen Fähigkeiten im Vordergrund.

Heutzutage sind jedoch betriebswirtschaftliche Kenntnisse unverzichtbar und müssen

daher ständig verbessert und aktualisiert werden.

117 Bachmann, Andreas: Checkliste Risikomanagement für KMU. Online im Internet: https://blog.adacor.com/leitfaden-betriebliches-risikomanagement_1517.html (Stand 21.07.2017) 118 DIIR - Deutsches Institut für Interne Revision e.V.: Hinweise zur Prüfung des Risikomanage-mentsystems. Praxisleitfaden zum DIIR Revisionsstandard Nr. 2. Online im Internet: http://www.diir.de (Stand 21.07.2017) 119 RiskNET GmbH – The Risk Management Network. Online im Internet: https://www.risknet.de/wissen/risk-management-prozess/ (Stand 21.07.2017)

36

8.3.5. Risikobewertung

Neben der Identifikation der Risiken stellt vermutlich der nächste Prozessschritt, die Ri-

sikobewertung, für viele Unternehmen die schwierigste Aufgabenstellung dar, denn nicht

alle erkannten Risiken lassen sich mittels zahlenmäßiger Methoden messen und müs-

sen daher teilweise subjektiv eingeschätzt werden. Dies führt mitunter zu erheblichen

Bewertungsschwierigkeiten oder –spielräumen. Der Prüfungsstandard fordert hier, dass

Risiken hinsichtlich ihrer Ursache-Wirkungs-Zusammenhänge systematisch untersucht

und im Hinblick auf ihre Eintrittswahrscheinlichkeit und Auswirkungen nach Schadens-

höhe/Eintrittshäufigkeit beurteilt werden.120 Eine Risikomessung ist nach Ehrmann näm-

lich nur dann möglich, wenn diese Faktoren bekannt sind.121

Auch hierfür stehen verschiedene Instrumentarien zur Verfügung. Je nach Risikoart und

Situation des Unternehmens können quantitative (z. B. Statistische Risikoindizes, Kor-

relationen) und/oder hybride Techniken (u. a. Szenario-Analyse, Risk Map) eingesetzt

werden. Die Letztgenannten eignen sich insbesondere für KMU’s bei schwer messbaren

Risiken.122 Die angewandten Bewertungsverfahren und –kriterien sind dabei eindeutig

zu definieren, zu dokumentieren und müssen geeignet sein, die Bedeutung und den Wir-

kungsgrad von Risikosteuerungsmaßnahmen einzuschätzen.123

Eine pragmatische Herangehensweise für die Risikobewertung stellt beispielsweise die

sogenannte „Risk Map“ (Risikoportfolio) dar, bei der die beiden Merkmale Schadens-

höhe und Eintrittswahrscheinlichkeit in einer zweidimensionalen Matrix dargestellt124 und

gleichzeitig durch eine entsprechende Skalierung deren jeweilige Ausprägung (Priorität)

bewertet werden. Hieran lässt sich eine Präferenzordnung der zu bearbeitenden Risiken

schnell ablesen.125

120 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 9. 121 Ehrmann, Prof. Dr. Harald: a. a. O., S. 126. 122 Becker, Dr. Stefan; Neyer, Bastian. Online im Internet: https://www.qz-online.de/qualitaets-management/qm-basics/massnahmen/risikomanage-ment/artikel/risikomanagement-fuer-kmu-1247373.html?survey_1247373.current-step=1&ar-ticle.page=3&_req_id=91500841616853:9A020EF0C2168C636428AD582BBFAFEEB2D03345 (Stand 21.07.2017) 123 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 9. Und 40. 124 Becker, Dr. Stefan; Neyer, Bastian. Online im Internet: https://www.qz-online.de/qualitaets-management/qm-basics/massnahmen/risikomanage-ment/artikel/risikomanagement-fuer-kmu-1247373.html?survey_1247373.current-step=1&ar-ticle.page=3&_req_id=91500841616853:9A020EF0C2168C636428AD582BBFAFEEB2D03345 (Stand 21.07.2017) 125 Preißner, Andreas: a. a. O., S. 357.

37

Die v. g. Einschätzung basiert auf einer Art Relevanzskala, womit sich recht einfach die

Schadensklasse auch für nicht genau messbare Risiken ermitteln und darstellen lässt.

Im folgenden Beispiel wurde die Eintrittswahrscheinlich in unwahrscheinlich, möglich

oder wahrscheinlich und die Schadenshöhe in gering, mittel und groß eingeteilt.

Abbildung 11: Aufbau eines Risikoportfolios126

Der Handlungsbedarf nimmt mit der Entfernung zum Koordinatenursprung zu und ist

oben rechts mit der Kombination hoch/wahrscheinlich am größten. Bei Risiken, die in

diesem Bereich angesiedelt sind, besteht der größte Handlungsbedarf mit der vermutlich

bedrohlichsten Auswirkung auf das Unternehmen.

Die Eintrittswahrscheinlichkeit soll in Anlehnung an den Prüfungsstandard entweder

qualitativ (z. B. hoch, mittel, niedrig), quantitativ (beispielsweise in Prozentwerten, Band-

breiten) sowie durch Angabe der Häufigkeit bezogen auf einen Zeitraum bestimmt wer-

den. Die Höhe der Zielabweichungen kann über Szenarien wie best case/ worst case

ermittelt, nicht objektiv nachvollziehbare Risiken u. a. über Bandbreitenzuordnungen

oder Klassifizierungen bewertet werden, Verfahren zur Risikosimulation sind gleichfalls

sachgerecht einzusetzen.127 Der PS 981 gibt insofern konkrete Hilfestellungen, was die

anzuwendende Systematik betrifft und bezieht gleichfalls zukunftsblickende Simulations-

verfahren mit ein.

126 Schumacher, Gerd. Online im Internet: https://gerdschumacher.wordpress.com/2013/11/15/erfolgskriterium-risikomanagement-im-pro-jekt/ (Stand 21.07.2017) 127 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 30.

38

Zu beachten ist ferner, dass existenzbedrohende Risiken trotz geringer Eintrittswahr-

scheinlichkeit eine andere Behandlung erfordern als geringere Risiken mit höherer Ein-

trittswahrscheinlichkeit.128 Außerdem bestehen zwischen einzelnen Risiken entspre-

chende Abhängigkeiten (Interdependenzen), sodass sich die Auswirkungen entweder

noch verstärken oder gegeneinander aufheben/verringern. Das gleichzeitige Auftreten

mehrerer vermeidlich schwächerer Risiken kann ebenso bestandsgefährdend für ein Un-

ternehmen sein. Daher sollten bei der Gesamtbetrachtung die Risiken in aggregierter

Form (nicht einfach nur addiert) analysiert und berücksichtigt werden.129 Dies wird mo-

mentan in Unternehmen noch zu wenig angewandt.130

Als Verfahren bieten sich zum Beispiel das „Quadrieren der Einzelwerte (und anschlie-

ßende Wurzelberechnung)“ sowie die „Monte-Carlo-Simulation“ an.131

„Bei der Risikoaggregation werden mittels Simulation die durch Wahrscheinlichkeitsver-

teilungen beschriebenen Risiken in den Kontext der Unternehmensplanung gestellt, d. h.

es wird jeweils aufgezeigt, welches Risiko an welcher Position der Planung (Erfolgspla-

nung) zu Abweichungen führen kann. […] kann dann eine große repräsentative Anzahl

möglicher risikobedingter Zukunftsszenarien berechnet und analysiert werden. Damit

sind Rückschlüsse auf den Gesamtrisikoumfang, die Planungssicherung und die realisti-

sche Bandbreite, z. B. des Unternehmensergebnisses, möglich.“132

Jedoch ist die letztgenannte Methode für den Einsatz in KMU’s aufgrund ihrer Komple-

xität nur in größeren Unternehmen geeignet.133 Die Verwendung des bereits erwähnten

Risikoinventars durch Fortschreibung aus der Risikoidentifikation wäre dagegen eine für

KMU’s viel einfachere Variante. Hierzu bietet sich ein standardisierter Erfassungsbogen

an, der übersichtlich die Einzelrisiken in Tabellenform enthält und damit trotzdem den

Blick aufs Ganze ermöglicht.134

128 Müller, Prof. Dr. Stefan. Online im Internet: https://www.controlling-wiki.com/de/index.php/Risikomanagementsystem_(RMS) (Stand 21.07.2017) 129 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 9. Hier bleibt der Prüfungsstandard übrigens hinter den Empfehlungen der befragten Fach-spezialisten zurück, die keine Wahlmöglichkeit bei der Anwendung von Simulationsver-fahren, sondern eine wesentliche Pflicht darin sehen. 130 Funk RMCE; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: a. a. O., S. 25. 131 Henschel, Thomas; Heinze, Ilka: a. a. O., S.109. 132 Gleißner, Dr. Werner. Online im Internet: https://www.controlling-wiki.com/de/index.php/Monte-Carlo-Simulation (Stand 21.07.2017) 133 Henschel, Thomas; Heinze, Ilka: a. a. O., S.111. 134 ibid., S.111.

39

8.3.6. Risikosteuerung

„Auf der Grundlage der identifizierten und bewerteten Risiken trifft die Unternehmenslei-

tung Entscheidungen über Maßnahmen zur Risikosteuerung (Risikovermeidung, Risiko-

reduktion, Risikoteilung bzw. –transfer sowie Risikoakzeptanz). Als Bezugsrahmen die-

nen die festgelegten Ziele des RMS.“135

Da die RMS-Ziele aus der jeweiligen Unternehmensstrategie abgeleitet sind, orientieren

sich folglich die Steuerungsmaßnahmen daran ebenso. Abhängig vom eigenen Risiko-

appetit und der Risikotoleranz muss also ein Unternehmen für sich festlegen, welche

Risikobewältigungsstrategie für die wesentlichen Einzelrisiken eingesetzt wird.

Während bei der „Vermeidung“ gewisse Risiken von vornherein nicht eingegangen wer-

den, gilt es durch die anderen Maßnahmen die Risiken bestmöglich zu reduzieren, d. h.

die Schadenshöhe zu begrenzen und/oder die Eintrittswahrscheinlichkeit zu mindern.

Eine hohe Bedeutung kommt dabei auch dem Transfer auf Dritte – speziell der Versi-

cherung – zu.136 Risikoakzeptanz bedeutet in diesem Kontext die eigene Übernahme

von Risiken (selbst tragen), was unter dem Blickwinkel, entsprechende Chancen nicht

gänzlich aufzugeben oder mangels besserer Alternativen gleichfalls in Frage kommt.

Gerade für auftretende Risiken im Kerngeschäft eines Unternehmens ist es unumgäng-

lich, dass diese in einem bewussten Rahmen eingegangen und toleriert werden, um die

hieraus resultierenden Ertragspotenziale entsprechend nutzen zu können.

KMU’s sollten in Abhängigkeit von ihrer eigenen Risikosituation und der Risikotragfähig-

keit dabei einen sinnvollen Strategiemix festlegen und durch passende Steuerungsmaß-

nahmen konkretisieren137, welche unternehmensindividuell zugeschnitten und auf die je-

weiligen Eigenheiten abgestellt sind.

Im Rahmen einer Risikobewältigungsmatrix können Unternehmen dann die für einzelne

Risikoarten definierten Strategien relativ leicht zusammenfassen, wie nachfolgendes

Beispiel anschaulich zeigt:

135 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 9. 136 Gleißner, Werner: a. a. O., S. 159. 137 Gonschorek Torsten; Petzold, Christian: a. a. O., S. 62.

40

Abbildung 12: Bewältigungsmatrix138

Ferner ist festzulegen, ob die Überwachung der Risikosteuerungsmaßnahmen dezentral

oder zentral erfolgen soll.139 Aus Sicht des Prüfungsstandards gibt es hierzu keine Prä-

ferenzen; dies fällt also in das Organisationsermessen der Geschäftsleitung. Dabei spielt

wiederum die Unternehmensgröße bzw. der Komplexitätsgrad eine entscheidende

Rolle. Empirischen Studien zufolge werden wichtige Risikomanagement-Funktionen zu-

meist dezentral ausgeübt.140 Auf Grund begrenzter Ressourcen (finanziell und personell)

dürfte die Einrichtung einer separaten Risikomanagementabteilung in KMU’s jedoch oft-

mals nicht umsetzbar sein.141 Hier gilt es also, die Vor- und Nachteile individuell abzu-

wägen.

Es ist jedoch unbedingt sicherzustellen, dass die involvierten Mitarbeiter wiederrum an-

gemessen und regelmäßig weitergebildet werden142, um die risikospezifischen Qualifi-

kationen zu verbessern.

138 Gleißner, Werner: a. a. O., S. 161. 139 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 31. 140 Henschel, Thomas; Heinze, Ilka: a. a. O., S. 86. 141 Gonschorek Torsten; Petzold, Christian: a. a. O., S. 56. 142 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 31.

41

8.3.7. Risikokommunikation

Auf Basis eines standardisierten Prozesses sowie konkreter Zuständigkeiten soll ein an-

gemessener Informationsfluss im Risikomanagementsystem (und damit im Gesamt-

haus) gewährleistet werden. Dies bedeutet die Festlegung von Periodizitäten, Schwel-

lenwerten, Berichtsformaten, Eilmeldungen sowie die Sammlung, Prüfung und Aktuali-

sierung entscheidungsrelevanter Informationen.143

Aus dem Prüfungsstandard ergeben sich folgende Umsetzungsempfehlungen:

Kommunikation der RMS-Regelungen bzw. von relevanten Risikobereichen

Festlegung der Berichtspflichten und –wege (z. B. Terminvorgaben, Berichtsfor-

mate und Kommunikationswege mittels RMS-Handbücher o. ä.)

Informationssicherstellung144

Eine gute Informationspolitik ist für das Risikomanagement existenziell wichtig, weil da-

mit die notwendigen Mitteilungen/Erkenntnisse - möglichst vorgefiltert - den entspre-

chenden Adressaten zugeleitet werden können. Dazu sind in KMU’s entsprechende

Kommunikationsmaßnahmen umzusetzen.

Laut Prüfungsstandard kann die Darstellung der Risikosituation in einem regelmäßigen

Risikobericht in standardisierter Form mit beispielsweise Clusterung der Risiken nach

ihrer Wesentlichkeit (Priorisierung) erfolgen.145 Sogenannte ad hoc-Risikomeldungen

treten bei besonders schwerwiegenden Ereignissen (z. B. Totalausfall einer Großforde-

rung) in Kraft, sind hochpriorisiert zu behandeln und direkt an die Geschäftsleitung zu

richten. Sie erfordern mitunter Sofortmaßnahmen und sind daher zwingend in jedes Ri-

sikomanagement zu integrieren.

In Anlehnung an einen Bericht in der Zeitschrift „Die Wohnungswirtschaft 06/2015“ könn-

ten KMU’s als Anhaltspunkte für eine angemessene Risikokommunikation dabei fol-

gende Kernpunkte dienen:

143 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 9. 144 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 31. 145 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 31.

42

Etablierung der Berichtserstattung auf unterschiedlichen Unternehmensebenen

Berücksichtigung aller wesentlichen Risiken

Beurteilung der Gesamtrisikosituation anhand des Reportings

Einbeziehung der relevanten Bereiche in das Berichtswesen

Beurteilung der Toprisiken und deren Umgang

Existenz eines unterjährigen Reportings

Aktualisierung des Risikoinventars146

Wichtig ist zudem, die Bereitschaft der verantwortlichen Stellen als wesentliche Voraus-

setzung für eine gelungene Risikokommunikation z. B. durch Schulungsmaßnahmen zu

fördern.147

8.3.8. Überwachung und Verbesserung des RMS

Das letzte zu implementierende Element widmet sich den Kontrollhandlungen zum Risi-

komanagementsystem mit dem Ziel der stetigen Weiterentwicklung und Optimierung. So

spricht sich der PS 981 sowohl für prozessintegrierte als auch prozessunabhängige

Überwachungsmaßnahmen aus, deren Ergebnisse dann in geeigneter Form berichtet

und ausgewertet werden, um Systemmängel zu beseitigen bzw. die Ausgestaltung wei-

ter zu verbessern.148

Prozessbegleitende Kontrollen sind nach dem Prüfungsstandard in einer Risikorichtlinie

bzw. dem Risikohandbuch oder einer Verfahrensanweisung der jeweiligen Organisati-

onseinheit schriftlich zu fixieren und nachvollziehbar anhand von z. B. Protokollen,

Checklisten zu dokumentieren.149 Dabei sind alle Unternehmensbereiche zu berücksich-

tigen. Hiermit soll sichergestellt werden, dass entsprechende Prüfungstätigkeiten von

den verantwortlichen Mitarbeitern fortlaufend und in Eigenverantwortung durchgeführt

und entsprechende Ergebnisse nachweislich festgehalten werden.

146 Gebhardt, Christian: Das Risikomanagementsystem als wesentlicher Bestandteil der Corpo-rate Governance. In: Die Wohnungswirtschaft, Jg. 2015, Nr. 6, S. 69 147 Gleißner, Werner: a. a. O., S. 199. 148 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 9. 149 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 32.

43

Diese Überwachungsmaßnahmen richten sich auf den gesamten Risikomanagement-

Prozess, insbesondere darauf, ob die definierten Risikovorgaben erreicht wurden.150

Hierzu dienen u. a. Abweichungsanalysen, insbesondere dergestalt, ob definierte Limits,

Kriterien oder Kennzahlen im Zeitverlauf nicht überschritten wurden.151 Ein Großteil der

Kontrollen wird hierbei auch durch das Controlling – sofern eingerichtet – wahrgenom-

men.

Als geeignetes Controllinginstrument in KMU‘s wird nach herrschender Meinung auch

die Balanced Scorecard angesehen152, weil hierdurch nicht nur eine reine Ausrichtung

auf Finanzkennzahlen und kurzfristige Ergebnisziele verfolgt wird.153 Vielmehr werden

auch nicht monetäre Zielgrößen berücksichtigt, so beispielsweise die Kundenzufrieden-

heit154 (vs. Reputationsrisiken).

Abbildung 13: Perspektiven der Balanced Scorecard155

150 Ehrmann, Prof. Dr. Harald: a. a. O., S. 205. 151 Trauboth, Jörg Helmut. Online im Internet: http://www.risikomanagement.info/Risikomanagement-und-das-Gesetz-zur-Kontrolle-und-Trans-parenz-im-Unternehme.309.0.html (Stand 21.07.2017) 152 Henschel, Thomas; Heinze, Ilka: a. a. O., S. 116. 153 Wöhe, Dr. Dr. h.c. mult. Günter; Döring, Dr. Ulrich: Einführung in die Allgemeine Betriebswirt-schaftslehre. 25., überarbeitete und aktualisierte Auflage. München: Verlag Franz Vahlen GmbH, S. 203. 154 ibid. S. 203 155 Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Balanced Sco-recard, online im Internet:

44

Die prozessunabhängige Überwachung erfolgt – wie schon geschildert – hauptsächlich

durch die Interne Revision und ist auf die Funktionalität des RMS sowie dessen Wirk-

samkeit gerichtet. Bei der Prüfung sollten unbedingt diese Aspekte berücksichtigt wer-

den (Vgl. Henschel/Heinze S. 120):

Vollständige Erfassung aller Risikofelder

Eignung der eingerichteten Regelungen zur Risikoerfassung/–kommunikation

Angemessenheit und kontinuierliche Anwendung der Risikosteuerungsmaßnah-

men vor dem Hintergrund der gewählten Risikostrategie und der RMS-Ziele

Beabsichtigte Umgehungen eingerichteter Prozesse und Kontrollen156

Nur mit Hilfe von ausreichenden Kontrollmaßnahmen kann letztendlich die Effektivität

und Aktualität des Risikomanagementsystems dauerhaft sichergestellt werden.

http://wirtschaftslexikon.gabler.de/Archiv/1856/balanced-scorecard-v7.html (Stand 21.07.2017) 156 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 32.

45

9. Fazit

Für kleine und mittlere Unternehmen, die größtenteils nicht unter die gesetzlichen Anfor-

derungserfordernisse zur Implementierung eines Risikomanagementsystems fallen, gibt

es heutzutage allerdings wirtschaftliche Beweggründe und Interessenlagen, derartige

Systeme dennoch einzurichten. Dazu zählt neben Kostensenkungspotenzialen, verbes-

serten Zugängen auf Kredit- und Kapitalmärkten sowie einer allgemeinen Chancenopti-

mierung vordergründig die Existenzsicherung.

Trotz vielfältiger Literaturhinweise, Normen und Standards zum Thema Risikomanage-

ment gibt es kein allgemeingültiges Konzept, wie ein solches Risikomanagementsystem

„richtig“ auszugestalten ist. Vielmehr liegt dies im jeweiligen Organisationsermessen der

Geschäftsleitung. Gerade für KMU’s ist das Risikomanagement auf ihre Besonderheiten

wie Branche, Unternehmensgröße und Komplexität anzupassen, da die finanziellen und

personellen Ressourcen nicht unbegrenzt zur Verfügung stehen und einige Methoden

aufgrund des Umfangs/Schweregrads teilweise unangemessen erscheinen.

Der IDW hat mit der Veröffentlichung des Prüfungsstandard: Grundsätze ordnungsmä-

ßiger Prüfung von Risikomanagementsystemen nunmehr primär für Wirtschaftsprüfer

eine Prüfungsvorschrift herausgegeben, wie freiwillige RMS-Prüfungen durchzuführen

sind. Derartige Prüfungen von Risikomanagementsystemen sind nicht nur für Aufsichts-

räte oder Vorstände nützlich zum objektivierten Nachweis der ermessensfehlerfreien

Ausübung der Organisations- und Sorgfaltspflichten157, sondern können auch für kleine

und mittlere Unternehmen durchaus einen Mehrwert besitzen. Einerseits als positives

„Aushängeschild“ und Abgrenzungsmerkmal gegenüber anderen Marktteilnehmern und

Stakeholdern, andererseits als Ansatzpunkt zur Optimierung bereits eingeführter Risiko-

managementsysteme mit dem Ziel der Steigerung von Effektivität- und Effizienz genutzt

werden.

Um jedoch eine solche Prüfung überhaupt bestehen zu können, sind nach Meinung des

Standardherausgebers zwingend 8 Grundelemente in das betriebliche Risikomanage-

mentsystem zu integrieren, die sich gegenseitig beeinflussen.

157 Institut der Wirtschaftsprüfer in Deutschland e.V.: a. a. O., S. 3.

46

Zu den einzelnen Zielkategorien werden zudem Erläuterungen gegeben, was darunter

im Detail zu verstehen ist und welche Merkmale beim ganzheitlichen Aufbau eines sol-

chen Risikomanagementsystems zu berücksichtigen sind. Diese sind – gestützt auf be-

reits anerkannte Rahmenkonzepte wie COSO Enterprise Risk Management Framework

zusammenfassend folgende:

Risikokultur

Förderung der Einstellung und des Verhaltens aller Mitarbeiter des Unterneh-

mens mit Risiken

Ziele des RMS

Formulierung einer Risikostrategie unter Berücksichtigung des eigenen Risiko-

appetits und der Risikotoleranz

Organisation des RMS

Schaffung einer angemessenen Aufbau- und Ablauforganisation durch Definition

von Rollen und Zuständigkeiten

Risikoidentifikation

Bestimmung der relevanten Risiken und deren Ursachen unter Zuhilfenahme von

beispielsweise Frühwarnindikatoren

Risikobewertung

Abschätzung der Risiken mittels quantitativer, qualitativer und aggregierter Ver-

fahren

Risikosteuerung

Festlegung von geeigneten Bewältigungsmaßnahmen wie Risikovermeidung, Ri-

sikoreduktion, Risikoteilung und Risikoakzeptanz

Risikokommunikation

Benennung von Berichtspflichten und –wegen zur adressatengerechten Risikoin-

formation

Überwachung und Verbesserung des RMS

Durchführung prozessintegrierter und prozessunabhängiger Kontrollhandlungen

mit dem Ziel der RMS-Weiterentwicklung158

158 Vgl. KPMG AG Wirtschaftsprüfungsgesellschaft. Online im Internet: https://www.idw.de/blob/97460/.../down-symposion-drsc-praesentationen-data.pdf (Stand 21.07.2017)

47

Inhaltlich handelt es sich zwar nicht um neue Erkenntnisse, der Prüfungsstandard fasst

jedoch verständlich und übersichtlich auch für kleine und mittlere Unternehmen mit zu-

meist begrenztem Methodenwissen die wesentlichen Bestandteile eines Risikomanage-

mentsystems, deren Aufgaben und anzuwendenden Instrumentarien etc. zusammen.

Damit kann der PS 981 durchaus als Handlungsleitfaden und Hilfestellung bei der Im-

plementierung/Verbesserung eines auf das jeweilige Unternehmen zugeschnittenen Ri-

sikomanagementsystems angesehen werden. Es bleibt jedoch nicht aus, sich zusätzli-

ches Wissen insbesondere zu den einzusetzenden Verfahren anzueignen. In diesem

Zusammenhang sind keine detaillierten Aussagen getroffen worden, weil der jeweilige

Methoden- und Instrumenteneinsatz unternehmensindividuell recht unterschiedlich ist.

Von besonderer Bedeutung ist das entlang des gesamten Risikomanagement-Prozes-

ses aus Verständnis- und Nachweisgründen verlangte Schriftformerfordernis, was im

Umkehrschluss zwangsläufig zu einem verstärkten Auseinandersetzen von KMU’s und

deren Geschäftsführung mit den Inhalten der Risikomanagement-Bausteine führt und

erhöhte Dokumentationspflichten bedingt. Einzuschließen ist gleichfalls ein umfassen-

des Berichtswesen über sämtliche Unternehmensbereiche mit der Absicht, u. a. die zu-

künftigen Planungen und strategischen Ausrichtungen im Management mit zu unterstüt-

zen.

Auch den einzusetzenden Hilfsmitteln wie entsprechender Technik, Personal und Zeit

kommt eine wesentliche Rolle bei der Einrichtung von Risikomanagementsystemen zu,

so wird mehrfach durch den Prüfungsstandard auf die IT-Ausstattung und Schulungs-

notwendigkeit der verantwortlichen Mitarbeiter hingewiesen. Einschlägige Sachkennt-

nisse und Fertigkeiten sowie individuelle Unternehmenskenntnisse gehören ebenso wie

definierte Mitarbeiterbefugnisse und Kompetenzlimitierungen zu den wichtigen Erfolgs-

faktoren.

Abschließend ist zu konstatieren, dass nach PS 981 eingerichtete Risikomanagement-

systeme in kleinen und mittleren Unternehmen durchaus geeignet erscheinen, bei ziel-

gerichteter Anwendung, einer Insolvenzgefährdung entgegenzusteuern und damit den

Fortbestand sinnvoll zu unterstützen.

48

Anhang

Anlage 1: Deloitte GmbH Wirtschaftsprüfungsgesellschaft

49

Literaturverzeichnis

Aktiengesetz vom 6. September 1965 (BGBl. I S. 1089), das zuletzt durch Artikel 24 Absatz 16 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1693) geändert worden ist

BDO AG Wirtschaftsprüfungsgesellschaft: Rechnungslegung & Prüfung. Düsseldorf: o. V. 2/2016 Barodte, Berthold; Montagne, Eric; Boutellier, Roman: Risikomanagement für kleine und mittlere

Unternehmen. Angepasster Risikomanagementprozess als Brücke zwischen Theorie und Praxis. In: Der Schweizer Treuhänder, Jg. 2008, Nr. 3

Bartelt, Stephan; Wieben, Hans-Jürgen: Ganzheitliches Risikomanagment nach ISO 31000 im

mittelständischen Maschinen- und Anlagenbau. In: Controller-Magazin, Jg. 2017, Nr. 1. Freiburg: VVW Verlag für ControllingWissen AG

Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Erläuterungen zu den MaRisk in der

Fassung vom 14.12.2012. o. O. 2012 Deloitte GmbH Wirtschaftsprüfungsgesellschaft: Prüfung des Risikomanagementsystems. Berlin:

o. V. 01/2017 Deutscher Bundestag: Entwurf eines Gesetzes zur Kontrolle und Transparenz im Unternehmens-

bereich (KonTraG) mit Begründung und Vorblatt. Bonn: Bundesanzeiger Verlagsgesell-schaft mbH 1998

Ehrmann, Prof. Dr. Harald: Risikomanagement in Unternehmen. 2. Aktualisierte und erheblich

überarbeitete Auflage 2012, Herne: NWB Verlag GmbH & Co. KG 2005 Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft: EY Public Services Newsletter. Ausgabe

126. Berlin: o. V. 2016 FGS Flick Gocke Schaumburg GmbH Wirtschaftsprüfungsgesellschaft: Accounting Update.

Bonn: o. V. 01/2016 Funk RMCE GmbH; Rödl & Partner GmbH; Weissman & Cie. GmbH & Co. KG: Risikomanage-

ment im Mittelstand. Exklusive Benchmarkstudie zu Stand und Perspektiven des Risiko-managements in deutschen (Familien-)Unternehmen. Hamburg: April 2011

Gebhardt, Christian: Das Risikomanagementsystem als wesentlicher Bestandteil der Corporate

Governance. In: Die Wohnungswirtschaft, Jg. 2015, Nr. 6 Gleißner, Werner: Grundlagen des Risikomanagements im Unternehmen. München: Verlag

Franz Vahlen GmbH 2008 Gonschorek Torsten; Petzold Christian: Risiken managen. In: Haubold AK., Gonschorek T.,

Gestring I., Sonntag R., von der Weth R. (eds): Managementkompetenzen im Mittelstand. Wiesbaden: Springer Gabler Verlag 2014

Handelsgesetzbuch in der im Bundesgesetzblatt Teil III, Gliederungsnummer 4100-1, veröffent-

lichten bereinigten Fassung, das zuletzt durch Artikel 10 des Gesetzes vom 5. Juli 2017 (BGBl. I S. 2208) geändert worden ist

Henschel, Thomas; Heinze, Ilka: Governance, Risk und Compliance. Praxisleitfaden für gute

Unternehmensführung. Berlin: Erich Schmidt Verlag GmbH & Co. KG 2016 Immerschitt, Wolfgang; Stumpf, Marcus: Employer Branding für KMU. Der Mittelstand als attrati-

ver Arbeitgeber: Gabler Verlag 2014

50

Institut der Wirtschaftsprüfer in Deutschland e.V.: IDW Prüfungsstandard: Grundsätze ordnungs- mäßiger Prüfung von Risikomanagementsystemen (IDW PS 981, Stand 03.03.2017). Düsseldorf: IDW Verlag GmbH 2017

Institut für Mittelstandsförderung: Unternehmensgrößenstatistik. Bonn: März 2012 Kaack, Dr. Jürgen: Einführung von Risikomanagement in mittelständischen Unternehmen. In:

M’Blogschrift 06’06. Zorneding: MILA PR und Verlag GmbH 2006 Keitsch, Detlef: Risikomanagement. Ulm: Schäffer-Poeschel Verlag für Wirtschaft · Steuern ·

Recht GmbH & Co. KG 2000 KfW Bankengruppe: Merkblatt KMU-Definition. Frankfurt Stand 09/2016 Klein, Martin; Schmidt, Christina: Prüfung und Publizität von Risikomanagementsystemen bei mit-

telständischen Kapitalgesellschaften. Empfehlungen für eine angemessene Berichter-stattung vor dem Hintergrund erweiterter Offenlegungsvorschriften. In: Zeitschrift für Cor-porate Governance, Jg. 2011, Nr. 2. Berlin: Erich Schmidt Verlag, S. 85ff.

Krömer, Bernhard: Aufbau und Ablauf des Risikomanagements. Teil A: Umsetzung von Compli-

ance-Erfordernissen gem. §91 Abs.2 AktG in der Unternehmenspraxis. In: Zeitschrift für Corporate Governance, Jg. 2017, Nr. 2. Berlin: Erich Schmidt Verlag

Meyer, Ralf: Die Entwicklung des betriebswirtschaftlichen Risiko- und Chancenmanagements. In: Risikomanagement in der Unternehmensführung. Wertgenerierung durch chancen- und kompetenzorientiertes Management. Weinheim: John Wiley & Sons 2008

Preißner, Andreas: Praxiswissen Controlling. Grundlage Werkzeuge Anwendungen. 3., erwei-

terte Auflage, Wien: Carl Hanser Verlag Münschen 2003 Schuppener, Jörg; Tillmann, Winfried: KonTraG – Die möglichen Auswirkungen auf das Kredit-

geschäft. Dortmund: o. V. Sparkassen-Finanzgruppe Deutsche Sparkassen- und Giroverband: Diagnose Mittelstand 2017.

Berlin: o. V. Strohmeier, Georg: Ganzheitliches Risikomanagement in Industrieunternehmen. Grundlagen,

Gestaltungsmodell und praktische Anwendung. 1. Auflage, Wiesbaden: Deutscher Uni-versitäts-Verlag/GWV Fachverlage GmbH 2007

Wöhe, Dr. Dr. h.c. mult. Günter; Döring, Dr. Ulrich: Einführung in die Allgemeine Betriebswirt-

schaftslehre. 25., überarbeitete und aktualisierte Auflage. München: Verlag Franz Vahlen GmbH

Internetquellen Bachmann, Andreas: Checkliste Risikomanagement für KMU. Online im Internet: https://blog.adacor.com/leitfaden-betriebliches-risikomanagement_1517.html BDO AG Wirtschaftsprüfungsgesellschaft. Online im Internet: https://www.bdo.de/de-de/einblicke/newsletter/frc-aktuell-juli-2016/idw-eps-981-grundsatze-ord-nungsmassiger-prufung-vo Bibliographisches Institut GmbH. Online im Internet: http://www.duden.de/rechtschreibung/Risiko Bibliographisches Institut GmbH. Online im Internet: http://www.duden.de/suchen/dudenonline/ex%20ante

51

Bibliographisches Institut GmbH. Online im Internet: http://www.duden.de/suchen/dudenonline/ex%20post Deutsches Rechnungslegungs Standards Committee e.V.. Online im Internet: https://www.drsc.de/profil/ DIIR - Deutsches Institut für Interne Revision e.V.: Hinweise zur Prüfung des Risikomanagement-systems. Praxisleitfaden zum DIIR Revisionsstandard Nr. 2. Online im Internet: http://www.diir.de DIIR - Deutsches Institut für Interne Revision e.V.: Online-Revisionshandbuch für die Interne Re-vision in Kreditinstituten. Online im Internet: http://www.diir.de Ebner Stolz Mönning Bachem Wirtschaftsprüfer Steuerberater Rechtsanwälte Partnerschaft mbB. Online im Internet: https://www.ebnerstolz.de/de/impressum-4908.html Future Value Group. Online im Internet: https://www.idw.de/blob/.../down-idweps981-gleissner-berger-angermueller-data.pdf Gleißner, Dr. Werner. Online im Internet: https://www.controlling-wiki.com/de/index.php/Monte-Carlo-Simulation Hämmerle, Matthias. Online im Internet: https://www.3grc.de/risikomanagement/three-lines-of-defense-modell/ Haufe-Lexware GmbH & Co. KG. Online im Internet: https://www.haufe.de/controlling/controllerpraxis/controller-magazin-032017-risikomanag-ment_112_410376.html Institut der Wirtschaftsprüfer in Deutschland e.V.. Online im Internet: https://www.idw.de/idw/ueber-uns/Kurzportrait Instituts der Wirtschaftsprüfer in Deutschland e.V.. Online im Internet: http://www.wirtschaftsprüfer.de/Wirtschaftsprueferberuf Institut für Mittelstandsförderung, Bonn. Online im Internet: http://www.ifm-bonn.org/definitionen/kmu-definition-des-ifm-bonn/ KPMG AG Wirtschaftsprüfungsgesellschaft. Online im Internet: https://www.idw.de/blob/97460/.../down-symposion-drsc-praesentationen-data.pdf Lorenz, Heike. Online im Internet: http://das-unternehmerhandbuch.de/2013/02/20/risikomanagement-fuer-kleine-unterneh-men/#Phase_1_Risikoanalyse Müller, Prof. Dr. Stefan. Online im Internet: https://www.controlling-wiki.com/de/index.php/Risikomanagementsystem_(RMS) Recklies, Dagmar. Online im Internet: http://managementportal.de/Ressources/KMU Regierungskommission Deutscher Corporate Governance Kodex. Online im Internet: http://www.dcgk.de/de/kodex/aktuelle-fassung/praeambel.html Richard Boorberg Verlag GmbH & Co KG. Online im Internet: http://www.sicherheitsmelder.de/xhtml/articleview.jsf;jsessio-nid=56AF34A95DA84C80385267A2E852D314.BoorbergSolrAppLive?id=193B38BBA66B.htm

52

RiskNET GmbH – The Risk Management Network. Online im Internet: https://www.risknet.de/wissen/risk-management-prozess/ Rödl & Partner. Online im Internet: http://www.roedl.de/themen/kapitalmarktorientierte-unternehmen/three-lines-of-defense-modell Schumacher, Gerd. Online im Internet: https://gerdschumacher.wordpress.com/2013/11/15/erfolgskriterium-risikomanagement-im-pro-jekt/ Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Abschlussprüfer, online im Internet: http://wirtschaftslexikon.gabler.de/Archiv/58188/abschlusspruefer-v8.html Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Balanced Score-card, online im Internet: http://wirtschaftslexikon.gabler.de/Archiv/1856/balanced-scorecard-v7.html Springer Gabler Verlag (Herausgeber), Gabler Wirtschaftslexikon, Stichwort: Institut der Wirt-schaftsprüfer in Deutschland e.V. (IDW), online im Internet: http://wirtschaftslexikon.gabler.de/Archiv/57524/institut-der-wirtschaftspruefer-in-deutschland-e-v-idw-v7.html Springer Fachmedien Wiesbaden GmbH. Online im Internet: https://www.springerprofessional.de/controlling/fehlendes-controlling-ist-die-haeufigste-insolven-zursache/6601998 Regierungskommission Deutscher Corporate Governance Kodex. Online im Internet: http://www.dcgk.de/de/kodex/aktuelle-fassung/praeambel.html Staatliches Bundesamt, Wiesbaden. Online im Internet: https://www.destatis.de/DE/ZahlenFakten/GesamtwirtschaftUmwelt/UnternehmenHand-werk/KleineMittlereUnternehmenMittelstand/KMUBegriffserlaeuterung.html Staatliches Bundesamt, Wiesbaden. Online im Internet: https://www.destatis.de/DE/ZahlenFakten/GesamtwirtschaftUmwelt/UnternehmenHand-werk/KleineMittlereUnternehmenMittelstand/KleineMittlereUnternehmenMittelstand.html Staatliches Bundesamt, Wiesbaden. Online im Internet: https://www.destatis.de/DE/ZahlenFakten/Indikatoren/LangeReihen/Insolvenzen/lrins01.html Staatliches Bundesamt, Wiesbaden. Online im Internet: https://www.destatis.de/DE/ZahlenFakten/GesamtwirtschaftUmwelt/UnternehmenHandwerk/In-solvenzen/Insolvenzen.html Trauboth, Jörg Helmut. Online im Internet: http://www.risikomanagement.info/Risikomanagement-und-das-Gesetz-zur-Kontrolle-und-Trans-parenz-im-Unternehme.309.0.html Verband der Vereine Creditreform e.V.. Online im Internet: https://www.creditreform.de/nc/aktuelles/news-list/details/news-detail/insolvenzen-in-deutsch-land-jahr-2016-3303.html

Wirtschaftsprüferkammer Körperschaft des öffentlichen Rechts. Online im Internet: http://www.wpk.de/oeffentlichkeit/wirtschaftspruefer/

53

Eidesstattliche Versicherung

Eidesstattliche Erklärung

Hiermit erkläre ich an Eides statt, dass ich die vorliegende Bachelor-Arbeit selbstständig

und nur unter Zuhilfenahme der ausgewiesenen Hilfsmittel angefertigt habe. Sämtliche

Stellen der Arbeit, die im Wortlaut oder dem Sinn nach anderen gedruckten oder im

Internet verfügbaren Werken entnommen sind, habe ich durch genaue Quellenangaben

kenntlich gemacht.

Diese Bachelor-Arbeit wurde in keinem anderen Studiengang als Prüfungsleistung ver-

wendet.

Neubrandenburg, 29.07.2017 Kister, Jana