Wirecard-Serie – Risikomanagementsysteme

Risiken im Unternehmen managen

Im letzten Teil unserer Beitragsserie zum Wirecard-Skandal wollen wir das Thema des betrieblichen Risikomanagements beleuchten. Danach gehen wir zu einem abschließenden Fazit über. Im Folgenden bieten wir Ihnen einen Überblick über den Begriff des „Risikomanagementsystems“. Damit wollen wir Ihnen Anstöße für die Nutzung dieses Wissens in Ihrem Unternehmen geben.

Risikomanagementsystem (RMS)

Unter einem Risikomanagementsystem werden die Regelungen verstanden, die einen strukturierten Umgang mit Risiken (im Sinne von positiven und negativen Zielabweichungen) im Unternehmen sicherstellen.

Wie schon den Themen „Compliance Management System“ und „Internes Kontrollsystem“ kommt es auch beim Risikomanagement entscheidend auf die Kultur und die Vorgaben der Unternehmensleitung an.

Darüber hinaus ist es besonders wichtig, überhaupt die möglichen Risiken zu kennen (Identifizierung), ihre Auswirkungen abschätzen zu können (Bewertung) und ihre Eintrittswahrscheinlichkeiten zu beurteilen.

So können einzelne Risiken äußerst selten vorkommen, bei ihrem Eintritt aber existenzgefährdend sein. Eine solche Entwicklung zeigt die aktuelle Corona-Pandemie. Soweit möglich sollten im Rahmen der Steuerung Risiken vermieden, verhindert oder überwälzt (Versicherungsschutz z. B. für Feuer/Überflutung) werden. Ihre Auswirkungen sollten vorausschauend vermindert werden (z. B. durch Notfallpläne, Datensicherungen).

Andere Risiken kommen vielleicht relativ häufig vor, haben aber weniger gravierende Auswirkungen. Im Rahmen der Steuerung können diese auf ein verträgliches Maß reduziert werden (z. B. durch das IKS). Alternativ können sie innerhalb kalkulierter Budgets oder Limite eingeplant werden oder durch gezielte Maßnahmen verringert oder überwälzt werden (z. B. Warenkreditversicherungen).

Risiken identifizieren

Zur Identifizierung und Bewertung von Risiken kann ein relativ einfaches Hilfsmittel zur Veranschaulichung dienen, die sog. Risikomatrix.

Ziel der weiteren Prozessschritte im Risikomanagementsystem muss es dann sein, die „roten Risiken“ zu vermeiden oder absichern zu können.

Risikoinventur

  • Wie risikobereit bin ich als Unternehmer grundsätzlich? 
  • Gehe ich bewusst höhere Risiken ein, um größere Chancen wahrnehmen zu können? Oder möchte ich die Risiken möglichst gut kalkulieren können und bin mit geringeren Chancen und Margen zufrieden?
  • Könnte mein Unternehmen auch größere Risiken verkraften oder bin ich z. B. mit Blick auf die Kreditwürdigkeit bzw. aufgrund von Ratinganforderungen von Banken auf ein möglichst stabiles Geschäft angewiesen?
  • Wann haben wir im Unternehmen zuletzt eine systematische Inventur möglicher Risiken vorgenommen? Dies können z. B. sein:
    • Strategische Risiken (neue Technologien, Digitalisierung, falsche Markteinschätzungen)
    • Risiken am Lieferantenmarkt (Ausfall wichtiger Lieferanten, Preisanhebungen o. ä.)
    • Risiken am Absatzmarkt (Forderungsausfälle, Wechsel zur Konkurrenz, Preisdruck, Haftungsrisiken etc.)
    • Personelle Risiken (Kündigung wichtiger Mitarbeiter, Nachwuchsgewinnung, falsche Personalstruktur, aktuell: Pandemie-Auswirkungen etc.)
    • Finanzwirtschaftliche Risiken, z. B. Währungsrisiken oder Zinsrisiken
    • Liquiditätsrisiken (Vorfinanzierung von Aufträgen, lange Zahlungsziele von wichtigen Kunden, Anschlussfinanzierung auslaufender Kreditlinien, hohe Vorrats- und/oder Forderungsbestände …)
    • IT-Risiken (Datenverluste, Hackerangriffe, Systemausfälle)
    • Risiken aus menschlichem Fehlverhalten (bewusst/kriminell oder versehentlich)
    • Elementarschäden, Extremwetterereignisse etc.
    • Längere Ausfälle bei Strom, Telekommunikation/Mobilfunk
    • Steuerliche Risiken
    • Rechtliche Risiken
    • Reputationsrisiken (z. B. negative Presse, Gerüchteküche …)
  • Welche Risiken könnten unser Unternehmen in der Existenz gefährden?
  • Welche Risiken können versichert werden?
  • Wie hoch sind die Versicherungskosten? Wird regelmäßig, z. B. jährlich, ein Versicherungs-Check durchgeführt?
  • Welche Risiken können durch Kontrollen oder IT-Systeme vermieden oder reduziert werden?
  • Wie stabil ist unsere Hausbankverbindung?
  • Machen Zinssicherungsgeschäfte (z. B. Swaps) oder Währungssicherungsgeschäfte (z. B. Devisentermingeschäfte) für uns Sinn und kenne ich die Funktionsweise und Risiken der Instrumente? Von wem könnten wir uns bei Bedarf beraten lassen?
  • Wie können wir die Personalgewinnung verbessern? (z. B. Kontakte zu Schulen, Praktika, persönliche Netzwerke etc.)
  • Haben wir kompetente IT-Berater?
  • Haben wir eine Notfallplanung?

Fazit

Nach allem, was aus der Presseberichterstattung bekannt ist, wurde der Wirecard-Skandal durch eine auf den Gründer und Vorstandsvorsitzenden fokussierte Unternehmenskultur, durch „Großmannssucht“, eine ungesunde Fehlerkultur, einen zwielichtigen stellvertretenden Vorstandsvorsitzenden und vermutlich durch nicht unerhebliche kriminelle Energie verursacht.

 

Die skizzierten Systeme zur Unternehmensführung, Compliance, Internen Kontrolle und zum Risikomanagement haben alle eines gemeinsam: Sie stehen und fallen mit der Unternehmensleitung und der von ihr geprägten Unternehmenskultur.

Auch bei kleinen oder mittelständischen Unternehmen haben diese vermeintlich nur für Großkonzerne vorgesehenen Systeme faktisch nicht unerhebliche Bedeutung. Die operative Umsetzung kann aber deutlich pragmatischer, weniger formalisiert und mit erheblich geringerem Dokumentationsaufwand erfolgen. Ein Internes Kontrollsystem befindet sich im Zweifel im Kopf des Unternehmers; die Frage ist nur, wie er dann gewährleistet, dass seine Mitarbeiter dies auch in seinem Sinne umsetzen.

Wir beraten unsere Mandanten gerne bei der individuellen Überprüfung, ob und welche Maßnahmen zum Umgang mit Fehlern, Risiken und gesetzlichen Vorgaben sinnvoll erscheinen und wie diese umgesetzt werden könnten. Wie diese Regelungen dann bezeichnet werden, ist dabei zweitrangig. Die exemplarisch hervorgehobenen Fragenlisten sollen deshalb nur eine erste Anregung für eine Sensibilisierung sein.

Wirtschaftsprüfung

Lernen Sie die Bandbreite unserer Leistungen in der Wirtschaftsprüfung kennen und nehmen Sie Kontakt zu uns auf. Wir freuen uns auf Sie.