Bedeutung des Risikomanagements und der Risikomanagement-Norm ISO 31000 am Beispiel von KMU

Inhaltsverzeichnis

Abkürzungsverzeichnis

1. Einleitung

2. Definitionen
2.1 Risiko und Risikomanagement
2.2 Risikomanagement-Norm ISO 31000

3. Bedeutung des Risikomanagements für KMU
3.1 Definition KMU
3.2 Besonderheiten und Bedeutung eines Risikomanagements für KMU
3.3 Anforderungen eines Risikomanagements für KMU
3.4 Wirtschaftlichkeitsbetrachtung vor dem Hintergrund eines KMU

4. Fazit

Literatur- und Quellenverzeichnis

Anhang A: Struktur der ONR 49000-Serie

Anhang B: Risikomanagement als Top-Down-Ansatz

Anhang C: KMU-Anteile 2009 in Deutschland

Anhang D: Fragen und Antworten zur Norm ISO 31000

Anhang E: Internetquellennachweise

Abbildung 1: Das Risikomanagement-System nach ISO 31000

Abbildung 2: Struktur der ONR 49000-Serie

Abbildung 3: Risikomanagement als Top-Down-Ansatz

Abbildung 4: KMU-Anteile 2009 in Deutschland

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

BilReG Bilanzrechtsreformgesetz

IDW Institut der Wirtschaftsprüfer in Deutschland

IfM Institut für Mittelstandsforschung

ISO International Standards Organization

KMU kleine und mittlere Unternehmen

KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

ONR Österreichisches Normungsinstitut Regelwerk

1 Einleitung

„Nichts ist so erschreckend, wie nicht wissen und doch handeln.“

Johann Wolfgang von Goethe

Bereits Goethe implizierte in seinem Sprichwort, wie fatal es sein kann, zu handeln ohne weder Ziele noch Risiken zu kennen oder zu bedenken. Das Risiko-management eines Unternehmens baut auf diesem Gedanken auf und hat sich in Großunternehmen bereits etabliert. Aber auch für kleine und mittelständische Unternehmen (KMU) gewinnt das Risikomanagement zunehmend an Bedeutung und stellt ein betriebswirtschaftliches Instrument zur Risikobewältigung dar.^[1]

Aufgrund Ihrer Heterogenität und Vielfalt werden KMU häufig als tragende Säule der Wirtschaft bezeichnet. Jedoch sind auch sie in allen Lebensphasen Risiken ausgesetzt, die zu einer Minderung des Unternehmenserfolges und je nach Ausprägung mittel- bis langfristig zur Existenzbedrohung des Unternehmens führen können.^[2]

Ein weltweit abgestütztes Regelwerk, das eine verbindliche Leitlinie für das Risikomanagement darstellt, wurde am 15. November 2009 veröffentlicht. Es handelt sich hierbei um die internationale Norm ISO 31000 „Risk management - Principles and guidelines“.^[3] Sie soll nicht nur großen Organisationen helfen, die Spezialisierung des Risikomanagements zu bewältigen sondern vermehrt auch KMU. Denn spätestens seit den enormen internationalen wirtschaftlichen Verflechtungen tangieren die daraus resultierende Probleme nicht mehr nur international agierende Konzerne, sondern in zunehmenden Maße auch KMU.^[4]

In dieser Seminararbeit werden in Kapitel 2 die Begriffe Risiko und Risiko-management erklärt und auf Bedeutung des Risikomanagements im Rahmen der Risikomanagement-Norm ISO 31000 eingegangen. Nachfolgend werden in Kapitel 3 die Bedeutung und die Anforderungen des Risikomanagemets in KMU erläutert und mit einer Wirtschaftlichkeitsbetrachtung abgerundet. Die herausge-arbeiteten Aspekte werden in Kapitel 4 in einem Fazit nochmals zusammengefasst.

2 Definitionen

2.1 Risiko und Risikomanagement

In der Literatur existiert keine einheitliche Definition für den Risikobegriff. Dies gilt sowohl für die wissenschaftliche Diskussion als auch für den allgemeinen Sprachgebrauch. In der Alltagssprache wird dieser Begriff meist für Gefahren verwendet, die negative Ereignisse auslösen können, wie z. B. Erdbeben, Feuer oder Sturm.^[5]

Gemäß dem dreidimensionalen Risiko-Würfel von Ströder können Risiken in drei Hauptkriterien gegliedert werden. Zum einen ist das der „Entstehungsort“ mit internen und externen Risiken, zum anderen der „Wirkungshorizont“ mit operativen und strategischen Risiken und als drittes der „Auswirkungsbereich“ mit Leitungs- und Organisationsrisiken, Leistungswirtschaftliche, Absatzwirtschaftliche und Finanzwirtschaftliche Risiken sowie Rahmenbedingungsrisiken.^[6]

Betriebswirtschaftlich wird das Risiko im Prüfungsstandard des IDW als negative Abweichung von einem Planwert definiert.^[7] Da sich Planungen auf die Zukunft beziehen, ist bei jeder Planung die Unsicherheit über die Zukunft ein entschei-dendes Problem.^[8] Neben dem Risiko beinhaltet die Unsicherheit auch die Ungewissheit. Während bei Entscheidungen unter Ungewissheit die Eintrittswahrscheinlichkeiten für denkbare zukünftige Umweltzustände nicht bekannt sind, sind diese bei Entscheidungen unter Risiko hingegen bekannt.^[9] Somit ist eine Gefahr für ein Unternehmen ungewiss, solange sie nicht wahrgenommen und eingeschätzt wird. Die Ungewissheit unterscheidet sich vom Risiko folglich durch die bewusste Wahrnehmung und Eintrittswahrscheinlichkeit.^[10]

Risiken sind nur in direktem Zusammenhang mit einer Unternehmensplanung zu interpretieren. Mögliche Abweichungen vom geplanten Zielwert stellen sowohl negative (Gefahren) als auch positive Abweichungen (Chancen) dar.^[11]

Im KonTraG^[12] wird der Fall einer positiven Zielabweichung nicht behandelt bzw. abgedeckt. Zu wirtschaftlichen Unternehmensgefahren führen hier nur negative Abweichungen des tatsächlichen Ergebnisses vom erwarteten Ergebnis. Ökonomisch sinnvoll ist es, neben den Risiken auch auf die Chancen einzugehen. Mit dem BilReG^[13] wurde hierauf inzwischen Bezug genommen. Zudem ist es wichtig, die gegenseitige Kompensation von positiven und negativen Abweichungen u. a. bei der Risikoaggregation zur Berechnung des Gesamtrisikoumfangs zu berücksichtigen.^[14]

Als Teilkonzept ist das Risikomanagement im strategischen Management einzugliedern.^[15] Zum einen übernimmt es die Funktion, Transparenz über die Risikosituation zu schaffen und zum anderen soll es das Chancen-Risiko-Profil eines Unternehmens optimieren.^[16]

Ferner dient das Risikomanagement als Führungsinstrument. Dies ist dann funktional, wenn bei der Festlegung der Risikomanagement-Ziele die Geschäfts-führung die höchste Instanz darstellt und von dort die Kommunikation der risiko-politischen Entscheidungen erfolgt. Durch den aufbauorganisatorischen Rahmen wird die Risikomanagement-Organisation definiert. Damit eine praktische Um-setzung in die betrieblichen Prozesse erfolgen kann ist es bedeutend,^[17] die Mitarbeiter hinsichtlich ihres Risikobewusstseins zu sensibilisieren,^[18] dass das Risikomanagement gelebt und Teil der Unternehmenskultur wird.^[19]

Ein betriebswirtschaftliches Risikomanagement muss sich an den Unternehmens-zielen und an der Unternehmensstrategie orientieren.^[20] Es soll sicherstellen, dass die sich permanent ändernde und wandelnde Risikosituation aufgezeigt, erfasst und in regelmäßigen Abständen neu bewertet wird.^[21]

Bestehende und potenzielle Risiken werden mit einem systematischen und regelmäßig durchgeführten Risikomanagement aufgezeigt, eingeschätzt und handhabbar gemacht.^[22] Damit Gegenmaßnahmen eingeleitet werden können, müssen die Ergebnisse der Unternehmensführung kommuniziert werden. Die einzelnen Aspekte des Risikomanagements lassen sich in einem Gesamtprozess des Risiko-managements zusammenfassen.^[23] Dieser besteht aus fünf grundsätzlichen Kernaufgaben: Setzen der Unternehmensziele, Risikoidentifikation, Risikoanalyse und -bewertung, Risikoaggregation sowie Risikobewältigung. Diese werden auch als „Risikomanagementprozess im engeren Sinn“ bezeichnet werden.^[24]

Die Rückkopplung der Schritte wird dabei im Wesentlichen durch das Risiko-Controlling bewirkt.^[25] Durch das Risikomanagement können somit Entscheidungsprozesse verbessert werden.^[26]

Die für ein zielorientiertes Unternehmen primären Ziele eines erfolgreichen Risikomanagement sind u. a. eine nachhaltige Erhöhung des Unternehmenswertes, die Sicherung der Unternehmensziele, die Sicherung des künftigen Erfolgs des Unternehmens, die Optimierung der Risikokosten und soziale Ziele aus der gesellschaftlichen Verantwortung des Unternehmens.^[27] Wird eines oder mehrere dieser Ziele verfehlt, so ist ein Unternehmen in seiner Existenz gefährdet.^[28]

2.2 Risikomanagement-Norm ISO 31000

Ein weltweit gültiger Standard zum Thema Risikomanagement gilt seit Ende November 2008: Die internationale Norm „ISO 31000 Risiko Management - Principles and Guidelines on Implementation“. Am 15. November 2009 wurde diese Norm zusammen mit der überarbeiteten ISO IEC Guide „Risk Management – Vocabulary – Guidelines for Use in Standards“ bekannt gemacht.^[29]

„Der Geltung- und Anwendungsbereich … wird wie folgt beschrieben: <<Dieser internationale Standard stellt Grundsätze und generische Richtlinien für die Umsetzung des Risikomanagements zur Verfügung. Er kann für alle öffentlichen, privaten und gemeinschaftlichen Unternehmen, Vereinigungen, Gruppen oder Individuen angewendet werden.>>“^[30] Dabei steht es den genannten Gruppen frei, die Norm ISO 31000 anzuwenden.^[31]

Ziel der ISO 31000 ist es, einen Risikomanagement-Ansatz zu bieten, der eine Art Dachfunktion übernehmen soll. Somit können alle andere Standards und Normen darunter platziert werden. Sie ist nicht auf eine Zertifizierung ausgerichtet, sondern ist als Leitfaden zu betrachten.^[32]

Ferner sollen zwei Hauptziele aller Organisationen gesichert werden. Zum einen die Gewissheit der zukünftigen Entwicklung und zum anderen die Sicherheit der zukünftigen Integrität eines Unternehmens. Nach den Grundlagen und Leitlinien der ISO 31000 können dabei alle Risiken gemanagt werden. Sowohl operative und nicht-operative, als auch materielle bzw. nicht-materielle und finanzielle bzw. nicht-finanzielle Risiken.^[33]

Inhaltlich ist die ISO 31000 auf zwei Entstehungselemente maßgeblich zurück-zuführen. Zum einen führen die branchenspezifischen Standards zum Bedürfnis, die allgemeinen Grundlagen und Grundsätze des Risikomanagements zu harmonisieren und zu vereinheitlichen. Beispiele hierfür sind u. a. die ISO 27001:2005 (Information Technology, Security techniques – Information security management systems – Requirements) oder die ISO/IEC Guide 73:2002 (Risk management – Vocabulary). Zum anderen bestehen Standards, welche Management-Systeme^[34] beschreiben. Die Standardfamilie ISO 9000ff (Qualitätsmanagement-Systeme) gehört zu der bekanntesten Serie. Die Norm ISO 9001:2008 (Qualitätsmanagement-Systeme, Anforderungen) ist hierbei besonders weit verbreitet.^[35]

Durch die Vereinigung der beiden Aspekte in der ISO 31000 ist ein branchen-übergreifender Standard zum Risikomanagement entstanden. Dieser enthält gleichzeitig einen systematischen Ansatz und umfasst damit die Eigenschaften eines Risikomanagement-Systems.^[36]

In der ISO 31000 sind drei spezifische Merkmale zu betrachten. Zum einen handelt es sich um einen umfassenden Top-down-Ansatz. Zum anderen stellt das Risikomanagement eine umfassende Führungsaufgabe mit einem gegebenen Regelkreis dar und wird nicht nur als Prozess betrachtet. Weiterhin handelt es sich bei der ISO 31000 um eine allgemein gehaltene Basis-Norm, die versucht, die unter-schiedlichen Risiken eines Unternehmens zu berücksichtigen.^[37]

Risikomanagement nach ISO 31000 als Top-down-Ansatz

Bisher existierte eine große Anzahl an sektorspezifischen Risikomanagement-Normen. Sie bezogen sich jeweils auf ein Teilgebiet, wie z. B. finanzielles Reporting (Internes Kontrollsystem), Informationstechnologien oder technische Systeme (Maschinen- oder Produktsicherheit). Hingegen versucht die ISO 31000 in einem ganzheitlichen Top-down-Ansatz wesentliche Risiken einer Organisation und deren Bewältigung zu erfassen.^[38]

[...]

^[1] Vgl. Mehrmann (2004), S. 40; vgl. Holland-Letz (2008), S. 1.

^[2] Vgl. Dingert (2007), S. 13.

^[3] Vgl. Brühwiler (2011), S. 17.

^[4] Vgl. Stiefl (2010), S1

^[5] Vgl. Helten/Bittl/Liebwein (2000), S. 161.

^[6] Vgl. Ströder (2008), S. 235.

^[7] Vgl. Gleißner/Lienhard/Ströder (2004), S. 12.

^[8] Vgl. Gleißner (2001), S. 121.

^[9] Vgl. Gleißner (2008), S. 8.

^[10] Vgl. Münzel/Jenny (2005), S. 28.

^[11] Vgl. Gleißner/Romeike (2005), S. 27.

^[12] „Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichtet seit dem 1. Mai 1998 Vorstände börsennotierter Unternehmen zur Einrichtung eines Überwachungssystems, um Risiken frühzeitig zu erkennen. § 91 Abs. 2 AktG sieht vor, dass „der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten hat, damit der Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“.“ [Gleißner/Romeike (2005), S. 393.]

^[13] Durch das Bilanzrechtsreformgesetz (BilReG) vom 04.12.2004 wurden die Vorschriften zum Lagebericht neu gefasst und hinsichtlich des Risikomanagements erweitert. Im Lagebericht sind voraussichtliche Entwicklungen mit ihren wesentlichen Chancen und Risiken zu erläutern und zu beurteilen. Zudem müssen Regelungen zur Risikoberichtserstattung für Finanzinstrumente aufgenommen werden. [Vgl. Krahe (2010), S.8; vgl. Henke (2009), S.59].

^[14] Vgl. Gleißner (2008), S. 8.

^[15] Vgl. Brühwiler (2007), S. 29.ff.

^[16] Vgl. Gleißner/Lienhard/Ströder (2004), S. 14.

^[17] Vgl. Romeike (2003), S. 150; vgl. Romeike (2007), S. 161.

^[18] Vgl. Ströder (2008), S. 142.

^[19] Vgl. Ahrendts/Marton (2008), S. 13 f; vgl. Gleißner (2008), S. 35 ff.

^[20] Vgl. Beinert (2003), S. 26.

^[21] Vgl. Gleißner/Lienhard/Ströder (2004), S. 14.

^[22] Vgl. Rosenkranz/Missler-Behr (2005), S. 41.

^[23] Vgl. Ströder (2008), S. 145 f.

^[24] Vgl. Gleißner/Lienhard/Ströder (2004), S. 16.

^[25] Vgl. Rosenkranz/Missler-Behr (2005), S. 41.

^[26] Vgl. Brühwiler (2007), S. 34.

^[27] Vgl. Romeike (2007), S. 161.

^[28] Vgl. Romeike (2003), S. 150.

^[29] Vgl. Brühwiler (2009), S. 24.

^[30] Brühwiler (2008), S. 26.

^[31] Vgl. Brühwiler (2008), S. 27.

^[32] Vgl. Kuhn (2006), S. 9.

^[33] Vgl. Meier (2011), S. 93f.

^[34] Ein Management-System stellt eine in sich selbst abgeschlossenes Systematik zur Kontrolle und Steuerung von Organisationen dar [Brühwiler/Romeike 2010 S. 83] und wird von der Norm ISO 9000 als „System zum Festlegen von Politik und Zielen sowie zum Erreichen dieser Ziele“ beschrieben [ISO 9000: 2005, Ziff. 3.2.2].

^[35] Vgl. Brühwiler / Romeike (2010), S. 82.

^[36] Vgl. Brühwiler / Romeike (2010), S. 83.

^[37] Vgl. Brühwiler (2009), S. 24.

^[38] Vgl. ebenda.