Risikoorientierte Steuerung und Kontrolle im KMU

Unternehmen werden im heutigen dynamischen Marktumfeld mit vielschichtigen Risiken konfrontiert. Die Steuerung und Kontrolle dieser Risiken ist für KMU aufgrund deren spezifischer Charakteristika besonders herausfordernd. So stehen nur beschränkt finanzielle Mittel zur Verfügung und die Personalressourcen sind meist begrenzt. Auch eine durchgängige Funktionentrennung lässt sich nicht oder nur eingeschränkt umsetzen. Eine dominante Unternehmer-Persönlichkeit kann ferner dazu führen, dass sensible und riskante Aktivitäten nur bei einer Person angesiedelt sind. Schliesslich werden unternehmensinterne Regelungen oft nur informell gelebt und nicht oder nur teilweise dokumentiert.

Handlungsebenen mit Hebelwirkung
Um diesen Herausforderungen zu begegnen, bieten sich unabhängig vom Tätigkeitsgebiet drei Handlungsfelder an, welche die Basis für eine risikoorientierte Steuerung und Kontrolle bilden können.

• Risikobewusstsein: In einem ersten Schritt gilt es, das Risikound Kontrollbewusstsein von Mitarbeitenden und Führungskräften positiv zu beeinflussen. Vielfach sind verantwortliche Personen aus KMU in ihrem Fachbereich stark in die operativen Prozesse eingebunden. Dadurch entwickeln die Führungskräfte zwar rasch ein Bauchgefühl für Risiken und Unsicherheiten in ihrem Bereich. Aufgrund der erwähnten Eigenheiten von KMU fehlt es in mancher Hinsicht aber an der Aufmerksamkeit für das rechtzeitige Erfassen von veränderten Rahmenbedingungen und für eine angemessene unternehmensweite Risikokultur.
• Expertenwissen: Erfolgskritisches Expertenwissen in KMU konzentriert sich in der Regel auf wenige Schlüsselpositionen. Weitere Mitarbeitende haben angesichts der knappen Personalressourcen ein relativ breites Aufgabenspektrum zu bewältigen. Die Vielfalt der Aufgaben führt dazu, dass die Mitarbeitenden Kompetenzen in unterschiedlichen Teilbereichen aufbauen. Diese Wissensbreite stellt einen massgeblichen Faktor für die wirtschaftliche Leistungsfähigkeit von KMU dar. Gegenteilig führt das Generalistentum dazu, dass in bestimmten Themengebieten oder Prozessen zu wenig Expertenwissen vorhanden ist. Mitunter fehlt dieses Wissen dann auch für die systematische Risikoanalyse innerhalb der einzelnen Bereiche.
• IT-Kenntnisse: Moderne IT-Anwendungssysteme (ERP- oder Finanz-Software) bieten zahlreiche Möglichkeiten, um Geschäfts- und Supportprozesse zu steuern und zu kontrollieren. Mithilfe von immer umfangreicheren präventiven Steuerungsund Kontrollfunktionen lassen sich Risiken durch den gezielten Einsatz der Software minimieren. In der KMU-Praxis werden solche Funktionen – wie ein Forschungsprojekt der Hochschule Luzern zeigt (siehe Box) – nur partiell genutzt. Häufig fokussieren sich KMU auf wenige zentrale Funktionen, die unnötigerweise durch weitere Applikationen ergänzt werden. Die Ursachen dafür liegen zum einen im fehlenden betriebswirtschaftlichen und technischen Know-how, zum anderen spielt die Beratung des IT-Dienstleisters eine entscheidende Rolle.

Anwendungsbeispiel Lohnabrechnung
Aufgrund des repetitiven Prozesscharakters gehören die Erstellung von Lohnabrechnungen sowie die Auszahlung und Verbuchung zu den Routinetätigkeiten eines Unternehmens. Aus Prozesssicht können Schwierigkeiten auftreten, wenn sich die abrechnungsrelevanten Daten ändern oder bei jeder Durchführung die verarbeiteten Datensätze geprüft werden müssen. Im Rahmen einer fundierten Risikoanalyse lassen sich im Lohnabrechnungsprozess grundsätzlich die folgenden Gefahren identifizieren (vgl. Hunziker, Dietiker, Schiltz & Gwerder, 2015, S. 152-156):

• Stammdaten im Lohnsystem sind oder werden nicht korrekt erfasst oder bearbeitet
• Lohn- und Spesenzahlungen erfolgen unvollständig, falsch (Empfänger, Betrag, Konto) oder an fiktive oder ausgetretene
• Mitarbeitende
• Lohnabzüge und/oder -zulagen werden nicht, nicht vollständig oder in falscher Höhe berechnet und beglichen
• Auszahlungssumme und Lohnsumme gemäss Lohnbuchhaltung stimmen nicht überein
• Lohn- oder Spesenzahlungen erfolgen ohne Genehmigung
• Leistungsboni/Provisionen werden falsch berechnet oder nicht genehmigt

Die Auflistung verdeutlicht die Tatsache, dass die finanziellen Risiken in diesem Prozess als verhältnismässig hoch einzustufen sind. Anhand der oben erwähnten Handlungsfelder bieten sich die folgenden Ansätze an, um die Risiken auf ein tragbares Mass zu reduzieren.

Auf der Handlungsebene Risikobewusstsein werden der allgemeine Umgang mit und die Sensibilität gegenüber Risiken gefördert, so auch in Bezug auf den Lohnabrechnungsprozess. Schriftliche Vorgaben in Form eines verpflichtenden Verhaltenskodex oder prozessspezifische Richtlinien stellen eine erste Massnahme dar, um das Bewusstsein bei Mitarbeitenden und Führungskräften zu erhöhen. Auf der informellen Ebene können sich eine Vorbildrolle, ein proaktiver Führungsstil sowie die Befolgung von Verhaltensregeln seitens der Unternehmensführung positiv auf das Risikoverhalten auswirken. Weiter sollten die wichtigsten Risiken regelmässig im Führungsgremium thematisiert, gesteuert und schliesslich kommuniziert werden

Durch das Beiziehen von Expertenwissen können auf der zweiten Handlungsebene unkorrekte Lohnabrechnungen oder mangelhafte Kontrollaktivitäten vermieden werden. Je nach Ausgestaltung der eigenen Organisation lässt sich externe Unterstützung für einzelne Fragestellungen (z. B. bei Gesetzesänderung) oder in Form einer gänzlichen Auslagerung an ein Treuhandunternehmen abrufen. Darüber hinaus verfügen Anbieter von IT-Anwendungssystemen in den meisten Fällen über das relevante betriebswirtschaftliche Wissen, um Prozesse und Geschäftsvorfälle mit den jeweiligen Produkten abzubilden. Schliesslich ist es ebenso denkbar, das Expertenwissen in Form von Weiterbildungen gezielt aufzubauen. Die Investition in diese Massnahmen rechtfertigt in der Regel die Kosten, die die Behebung von eingetretenen Risiken verursachen würde.

Die Massnahmen auf der dritten Handlungsebene zielen darauf ab, die IT-Kenntnisse bezüglich Funktionsumfang und Nutzen von IT-Anwendungen zu steigern und damit Risiken unnötiger Schnittstellen zu verringern. Im Rahmen des Lohnabrechnungsprozesses unterstützen zudem die in Abb. 1 ersichtlichen ITFunktionen die Risikominimierung.

Um sich für die passenden Massnahmen entscheiden zu können, müssen die im Prozess eingebundenen Mitarbeitenden Kenntnisse über die IT-Funktionen haben. Dieses Wissen kann durch IT-affine Mitarbeitende selbst oder bspw. in Form von Schulungsbesuchen aufgebaut werden. Andernfalls stellen auch IT-Berater oder Produktanbieter das nötige Wissen bereit, um die implementierte Softwarelösung optimal nutzen zu können.

Fazit
In vielen KMU fehlt eine systematische Steuerung und Kontrolle von Risiken. Zusätzlich findet der informelle Umgang mit Risiken häufig nur beim Geschäftsführer oder der obersten Leitungsebene statt. Anhand des aufgezeigten Lohnabrechnungsprozesses wird klar, dass dadurch etliche Risiken unerkannt bleiben, die ein erhebliches Gefahrenpotenzial für KMU darstellen. Mit einfach umzusetzenden Massnahmen innerhalb der drei Handlungsfelder können jedoch Voraussetzungen für eine risikoorientierte Steuerung und Kontrolle geschaffen werden.