Nützliches Risikomanagement für KMU: Woran es scheitert

Risiko Management ist ein Thema, mit dem sich Verwaltungsräte und Geschäftsleitungsmitglieder zwingend auseinandersetzen müssen. In vielen Firmen wird Risiko Management nur als notwendige, aber letztlich unnütze Erfüllung der gesetzlichen Anforderungen gesehen. Aber spätestens seit auch am WEF in Davos Risiken diskutiert werden, die die Weltwirtschaft bedrohen, setzen sich die Manager und die Medien mehr oder weniger intensiv damit auseinander. Dabei handelt es sich um ein komplex verknüpftes Netzwerk von Gefahren und Bedrohungen wie Fachkräftemangel, Demografische Veränderungen, Kapitalungleichgewicht, Finanzvolatilität, Energiewende, Energieknappheit, Wasserknappheit, Erderwärmung und Migration [1, 2], um nur einige zu nennen. Es ist verständlich, dass Manager wissen wollen, inwiefern diese Tendenzen ihre unternehmerischen Aktivitäten beeinflussen.

Gesetzliche und branchenverbindliche Vorschriften

Das Gesetz schreibt vor (Art. 961 OR), dass für bestimmte juristische Formen (börsenkotierte AG) ab einer gewissen Unternehmensgrösse (40 Mio. CHF Umsatz/> 250 Mitarbeiter) ein Risikomanagement vorhanden sein muss. [3] Die Existenz und das Funktionieren muss neu im Lagebericht des Jahresberichtes bestätigt werden. Mehrere branchenspezifische Regelwerke werden als anerkannte Standards zur Rechnungslegung bezeichnet (IFRS for SMEs/Swiss GAAP FER/ IPSAS), aber auch Empfehlungen für Corporate Gouvernance geben vor, wie das Reporting zu erfolgen hat.

Der Verwaltungsrat ist also unter Umständen auch gesetzlich verpflichtet, ein funktionierendes Risikomanagement zu implementieren und nachzuweisen.

Die Umsetzung geschieht in der Regel durch Implementieren eines allgemein anerkannten Risikomanagement- Standards (COSO ERM, ISO 31 000, ONR 49 000ff) und den entsprechenden Prozessen. Diese Prozesse werden anschliessend 1-mal jährlich von einer Revisionsgesellschaft überprüft und die Existenz dieser Prozesse im Revisionsbericht bestätigt. Im Rahmen dieser Prozesse erhalten das Risiko-Komitee des Verwaltungsrates und die Geschäftsleitung in der Regel 1 bis maximal 4-mal pro Jahr einen Bericht mit den grössten unternehmensrelevanten Risiken.

Alle sprechen von Risikomanagement …

Diverse weltweite und gross angelegte Studien der Big 4, unter anderem der Deloitte [4] und PwC [5], aber auch von Versicherungen [6], zeigen, dass eine deutliche Mehrheit der befragten Manager Risikomanagement als wichtig bezeichnen. Zudem wollen fast alle zukünftig in die Optimierung des Risikomanagements investieren. Interessanterweise beziehen jedoch nur noch etwa ein Drittel der Manager konkrete Informationen des Risikomanagements in ihre Entscheide ein. Sie entscheiden nach wie vor aus dem Bauch heraus.

…aber nur wenige nutzen es!

Was sind denn nun die hauptsächlichen Probleme, die ein KMU davon abhalten, ein Risikomanagement optimal zu nutzen. Sicher stehen drei wesentliche Gründe im Zentrum [7]:

1. Zu wenig Ressourcen («unsere Arbeitskräfte sind anderswo wichtiger»)

2. Zu wenig Wissen («Risikomanagement bedarf Spezialisten»)

3. Zu wenig Nutzenerwartung («Es ändert sich nichts, wenn ich die Risiken kenne»)

Unserer Ansicht nach führen nun genau die üblicherweise angewendeten Ansätze zur Lösung dieser drei akuten Probleme zu vielen kleineren Problemen, die dann einer optimalen Lösung für ein KMU im Wege stehen. Auf die erkannten wichtigsten Problemfelder wird im Folgenden kurz eingegangen. Sie umfassen (siehe dazu auch nebenstehende, Darstellung der generellen Problematik für KMU):

• Zu viele Experten: Auf dem Markt gibt es viele Spezialisten, jeder für sich ein Genie in seinem Fachgebiet. Aber Fachgebiete im Risikomanagement gibt es zuhauf (siehe Kasten). Da nun oft die finanziellen Ressourcen begrenzt sind und akute Problemstellungen eine schnelle, fachkompetente Lösung erfordern, setz man falsche Prioritäten.
• Eigensinniges Silodenken: Innerhalb der Organisation gibt es viele Bereiche, Abteilungen und Funktionen. Jede für sich hat unterschiedliche, individuelle Ansprüche an ein Risikomanagement. Bei fehlender Koordination setzt sich der Stärkere durch [8] (siehe Kasten).
•  Zu viele Standards: Es gibt viele Standards, welche nur in einzelnen Teilbereichen des Risikomanagements Anwendung finden und von den entsprechenden Experten eingesetzt werden. Zudem gibt es Standards und Regelwerke, die in den organisatorischen Bereichen vorgeschrieben oder üblich sind und deshalb bevorzugt werden (siehe Kasten). Die Unkenntnis von deren Notwendigkeit oder von übergeordneten Regelwerken und alternativen Möglichkeiten führt zu einer Verzettelung der verfügbaren Ressourcen. Zudem fehlt vor deren Umsetzung allzu häufig eine Kosten- Nutzen-Abschätzung.
•  Zu viele Prozesse: Getrieben durch die Bedürfnisse der einzelnen Funktionen und Bereiche sowie durch die Verwendung sehr spezialisierter Standards durch die zu Hilfe gerufenen Experten werden mehrere unabhängige, parallel laufende Risikomanagement Prozesse eingeführt, notabene für gleiche oder sehr ähnliche Abläufe. Dies führt zwangsläufig zu einem hohen Dokumentationsaufwand und bindet so Ressourcen. Ein zusätzlicher, negativer Aspekt ist, dass dadurch auch Innovationen massiv gehemmt werden können.
• Zu viele Tools: Es gibt mittlerweile eine unübersichtlich grosse Anzahl an Risikomanagementtools, von einfachen Checklisten bis zur spezifischen Software. Diese generieren wiederum diverse Berichtsformen. Die Experten einerseits empfehlen und implementieren oft pfannenfertige Methoden, die sie gut kennen und überall einsetzen. Die Funktionen und Bereiche andererseits kennen in der Regel nur die in ihrem Spezialgebiet gängigen Tools; diese decken dann auch vor allem deren unmittelbare Bedürfnisse ab. Dieser Umstand führt zu einer grossen Flut an Informationen und ist somit verantwortlich für eine stark begrenzte Übersicht. Die heute gängigen Risikomanagementtools erfüllen zwar die jeweiligen Anforderungen für jenes Spezialgebiet, für das sie entwickelt wurden, vorzüglich, ob sie jedoch für ein effizientes Unternehmensrisikomanagement optimal genutzt werden können, ist oftmals fraglich. Sie erfüllen häufig die Kriterien der Effizienz, der Vielfältigkeit und auch der Kommunikation nicht in dem Masse, wie es für ein KMU erforderlich wäre. [8]

Eine unbefriedigende Situation

Diese vielen sich überschneidenden und trotz allem voneinander abhängigen Problemfelder führen erfahrungsgemäss dazu, dass Risikomanagement zwar mit grossem Aufwand betrieben, aber als nicht nutzbringend bewertet wird. Damit werden die eigentlichen Vorteile nicht genutzt, welche sich aus einem angemessenen, effizienten und integralen Risikomanagement ergeben würden [9]. Was aber durchaus im Sinne eines KMU mit gutem Corporate Governance sein sollte.