Ganzheitliche Risikomanagement- und Compliancesysteme sind in mittelständischen Konzernunternehmen bislang relativ selten vorhanden. Die Gründe hierfür liegen darin, dass diese Konzepte zwar oft als Schlagworte benutzt, ihre Inhalte aber kaum implementiert werden. Die rechtliche und betriebswirtschaftliche Abgrenzung zwischen Risikomanagement und Compliance ist unscharf und die Methoden eignen sich prima facie nur für Großunternehmen. Darüber hinaus gibt es derzeit noch keine eindeutige Antwort auf die Frage, ob eine rechtliche Pflicht zur Einführung besteht. In der Konsequenz werden Unternehmensrisiken nicht systematisch identifiziert, bewertet und kontrolliert und daher unterschätzt. In dem vorliegenden Buch untersucht der Autor die Frage, ob Risikomanagement- und Compliancesysteme für mittelständische Konzernunternehmen erforderlich oder sinnvoll sind und wie nutzbringende Konzepte systematisch aufzubauen wären. Der erste Teil der Studie beantwortet die Frage, ob und nach welchen gesetzlichen Vorschriften eine Pflicht zur Implementierung eines Risikomanagement- bzw. Compliancesystems besteht. Sodann wird der Aufbau der einzelnen Komponenten dargestellt. Im praktischen Teil der Studie überträgt der Verfasser das Konzept auf ein international aufgestelltes, mittelständisches Konzernunternehmen in Form einer quantitativen und qualitativen Risikoidentifikation, -bewertung und Prävention in Bezug auf die prozesskritischen Unternehmensbereiche. Hierzu entwickelte er einen innovativen Risikoevaluationsbogen, der die jeweiligen Kernaspekte des Risikomanagements und der Compliance erstmalig zusammenführt, die inhärenten betriebswirtschaftlichen und rechtlichen Risiken messbar macht und darüber hinaus als zeitgemäßes Controllinginstrument eingesetzt werden kann. Auf dieser Grundlage wurden unternehmensinterne Befragungen in den Primärbereichen Verträge, Finanzen, Kunden, Personal und IT geführt und ausgewertet. Die Studie schließt mit einer Zusammenfassung und der Formulierung von Handlungsempfehlungen zur Einführung des integrierten Systems auf der Grundlage einer Balanced-Score-Card.

Textprobe: Risikobewältigung Im Anschluss an eine sorgfältige Risikoidentifikation und -bewertung werden Maßnahmen erarbeitet, um Risiken entsprechend ihrer Priorität zu bewältigen. Die dazu gängige Strategie enthält vier Schritte und lässt sich wie folgt abbilden (siehe Abbildung 6: Schritte zur Risikobewältigung). Die Maßnahmen variieren dabei je nach Art des Risikos und Strategie des betroffenen Unternehmens. Im Folgenden können daher nur generelle Lösungsansätze vorgestellt werden. Zu beachten ist, dass die Bewältigung eines Risikos in einer Interaktion mit anderen Risiken steht und zur Folge haben kann, dass diese sich erhöhen. Diesen Effekten kann durch eine Beschreibung dieser Wechselwirkung und abschließenden Aggregation der Risiken zu einem Gesamtrisiko Rechnung getragen werden. Für die Bewältigung ermittelter Chancen, oft als Kehrseite des Risikos, muss die obige Strategie entsprechend modifiziert werden: Strategische Schritte verfolgen hierbei das Ziel, das Potential der Chance nach dem Maximumprinzip auszubauen und zu realisieren. Risikovermeidung: In einem für das Unternehmen kritischen und damit existenzbedrohenden Messbereich, in dem Gefahren nicht reduziert werden können, wird auf die gefahrbegründenden Aktivitäten verzichtet. Dieser erste Schritt der Risikovermeidung wird anzuwenden sein, wenn Eintrittswahrscheinlichkeit und Schadenshöhe hoch sind. Wären sie gering, würde Risikovermeidung einer wettbewerbsschwachen Aversion gleichkommen – das Unternehmen liefe Gefahr, sich durch Nichtergreifung von Chancen trotz akzeptablen Risikos aus dem Markt zu manövrieren. Bei der Risikovermeidung kann auch ein strategischer Ansatz verfolgt werden, wie bspw. der Rückzug aus einem Geschäftsfeld oder die Einstellung eines Produktes aufgrund hoher Produkthaftungsgefahren. Risikoverminderung: Die auf der zweiten Stufe angesiedelte Risikoverminderung verfolgt die Eliminierung von Risikoquellen, indem sie die Parameter Eintrittswahrscheinlichkeit und / oder Schadenshöhe bearbeitet. Sie bietet sich für hohe, nicht aber kritische Bereiche innerhalb einer Risikomatrix an. Dazu können auszugsweise folgende Schutzmaßnahmen ins Feld geführt werden: Prozessimmanente Kontrollen wie das Vier-Augen-Prinzip, Zuweisung von Zugriffsberechtigungen in der IT, Substitution von fixen durch variable Kosten, Ausweichen auf zuverlässigere Lieferanten oder die Umstellung von manuellen auf automatisierte Prozesse, um Fehlerquoten zu senken. Diese Bewältigung findet also unternehmensintern in personeller, technischer und organisatorischer Hinsicht statt. Risikoübertragung: Während die ersten zwei Stufen als präventive und gestaltende Maßnahmen der Risikobewältigung anzusehen sind, bleibt die Risikoursache bei ihrer Übertragung uneingeschränkt bestehen. Insbesondere der Transfer auf Versicherungsmärkte, Kapitalmärkte und interne Wertschöpfungsstufen ist hier anzuführen. Realisiert sich das Risiko, trifft die Übernehmer in der Folge der Vermögensverlust. Die im Gegenzug anfallenden Prämien sind kalkulierbar. In der praktischen Anwendung ist dieses Instrument weit verbreitet, stellt aber zugleich einen erheblichen Kostenfaktor dar, der nur durch Selbstbeteiligungen reduziert werden kann. An dieser Stelle kann sich ein effektives RMS also auch kostenmindernd auswirken, wenn Risiken so weit verringert werden, dass der Bedarf, sich gegen sie zu versichern, entfällt. Als allgemeine Empfehlung zur Bedarfsanalyse bieten sich folgende Fragestellungen an: Welche Risiken müssen unabdingbar versichert werden? Welche Risikoelemente sind genau abgedeckt, wie weit geht der Versicherungsschutz? Welche Ausschlussklauseln sind in den Bedingungen vorgesehen? Welche Folgeschäden sind von dem Versicherungsschutz gedeckt? Weitere Transfermöglichkeiten ergeben sich aus Gewährleistungsausschlüssen, Leasing (Mietkauf), Factoring (Forderungsverkauf) oder dem Outsourcing (Ausgliedern von Unternehmensfeldern). Der aus der Warenwirtschaft bekannte, stets zu wahrende Sicherheitsbestand von Waren kann durch einen mit den Lieferanten abgeschlossenen Sicherheitsbestandsvertrag garantiert werden.

• Risikomanagement

• Compliance

• Mittelstand

• Konzern

• Unternehmensrisiko

• Risikoidentifikation

• Balanced-Score-Card

Kay Höft, Jahrgang 1981, studierte Jura an den Universitäten Bayreuth und Münster. Studienschwerpunkte: Gesellschaftsrecht, Wettbewerbsrecht, gewerblicher Rechtsschutz, Kartellrecht und das Zollrecht der WTO. Parallel absolvierte er eine dreijährige universitäre Fremdsprachenausbildung in Englisch. Sein Interesse für wirtschaftliche Zusammenhänge führte ihn nach Abschluss des Jurastudiums an die Fachhochschule Kiel, wo er den Studiengang Betriebswirtschaftslehre mit dem Titel Master of Arts abschloss. Im Anschluss durchlief der Autor das Rechtsreferendariat. Während seiner Studien arbeitete er als Legal Counsel in einem internationalen Konzernunternehmen. Seine Interessensschwerpunkte liegen auf den Gebieten des Vertragsrechts, der rechtlichen Compliance, dem Wirtschaftsrecht sowie dem Zoll- und Außenwirtschaftsrecht.