Mit Blick auf die Geschäftsleiter treffenden Pflichten sollte sich diese Krisenfrüherkennung auf einen Zeitraum von 24 Monaten erstrecken.
Hinweis: Mehr zu der durch das StaRuG kodifizierten Krisenfrüherkennung lesen Sie hier.
Doch wie sieht ein solches Risiko- und Krisenfrüherkennungssystem im Sinne von § 1 StaRUG für kleinere mittelständische Unternehmen idealerweise aus?
Bei der Ausgestaltung eines Risiko- und Krisenfrüherkennungssystems im Sinne des StaRUG sollte die Geschäftsführung insbesondere folgende Aspekte beachten:
- Entwicklungen, die den Fortbestand des Unternehmens gefährden könnten, müssen als solche erkannt werden
- Die Geschäftsführung muss zu der Einschätzung kommen, dass die Entwicklungen bestandsgefährdend sind
- Geeignete Maßnahmen, um die potentielle bestandsgefährdende Entwicklung zu vermeiden bzw. in ihrer Wirkung zu reduzieren, müssen von der Geschäftsführung eingeleitet werden.
Ein geeignetes Rahmenwerk für die Einrichtung eines solchen Risikomanagementsystems bietet der IDW PS 980. Um die oben dargestellten Aspekte, welche nach §1 StaRUG von der Geschäftsführung gefordert werden, abzudecken, sollten aus dem umfassenden Rahmenwerk des IDW PS 980 insbesondere die Elemente der Risikoidentifikation, der Risikobewertung sowie der Risikosteuerung in den Unternehmen systematisch und strukturiert umgesetzt werden.
Bei der Risikoidentifikation ist die kontinuierliche Beobachtung auffälliger Entwicklungen anhand bestimmter finanzieller Faktoren (z. B. sinkende Profitabilität) oder sonstiger allgemeiner Faktoren (z. B. sinkende Kundenzufriedenheit) von Bedeutung. Sobald eine Indikation vorliegt, dass die beobachtete Entwicklung im Unternehmen tatsächlich ein Risiko darstellt, sollte dieses in seinem Ursache-Wirkungszusammenhang analysiert und festgehalten werden. Dabei kann die Wirkung eines Risikos eben eine drohende Zahlungsunfähigkeit des Unternehmens sein. Die Ursachen dafür können jedoch vielfältig sein. Sie müssen als solche erkannt werden (z. B. Ausfall wesentlicher Kunden, Qualitätsprobleme etc.), um geeignete und wirkungsvolle Maßnahmen ergreifen zu können.
Die Risikobewertung setzt sich mit der Einordnung eines identifizierten Risikos in Bezug auf die Auswirkung auf das Unternehmen auseinander. Um beurteilen zu können, ob es sich in einem konkreten Fall um ein bestandsgefährdendes Risiko für das Unternehmen handelt, kann demnach von der Geschäftsführung bzw. den verantwortlichen Bereichen beispielsweise das identifizierte Risiko in seiner Eintrittswahrscheinlichkeit (d. h. wie wahrscheinlich ist es, dass es zu einer Bestandsgefährdung kommt) und seinem Schadensausmaß (d. h. mit welchen Umsatzeinbußen ist beispielsweise zu rechnen bzw. welche zusätzliche Kosten kommen auf das Unternehmen zu) beurteilt werden. Wie die konkrete Bewertung tatsächlich vorgenommen wird, d. h. ob ein qualitativer oder quantitativer Bewertungsansatz erfolgt, welche Cluster oder Bewertungskategorien bzw. anhand welcher Steuerungsgrößen (z. B. EBIT, Umsatz, etc.) die Bewertung vorgenommen wird, muss von dem Unternehmen vorgegeben werden. Wichtig aber ist, dass zumindest ein gewisser Rahmen für die Bewertung definiert und dokumentiert wird, um sicherzustellen, dass schlussendlich die identifizierten und bewerteten Risiken einigermaßen vergleichbar sind.
Die Risikosteuerung sieht das Identifizieren und Anstoßen von Maßnahmen vor, um Risiken und hier insbesondere solchen, die bestandsgefährdend sind, entgegen zu treten. Die Maßnahmen können darauf abzielen, die Eintrittswahrscheinlichkeit des Risikos (z. B. Ergreifen von Qualitätsmaßnahmen, Kundensicherungsprogramme etc.) und/oder das Schadensausmaß (z. B. Abwälzen des Schadens über Versicherungen, Factoring etc.) zu reduzieren. Dabei ist insbesondere wichtig, dass das Ergreifen von Maßnahmen nachvollziehbar dokumentiert und in den Gesamtkontext zu der Risikobewertung gesetzt wird.
Bei der Umsetzung der Systematik und der Vorgehensweise zu den oben dargestellten Aspekten der Risikoidentifikation, -bewertung und -steuerung, sind in der Regel drei wesentliche Schritte zu beachten:
- Konzeption: Festlegung des Rahmens und der Struktur für die Identifikation/Bewertung/Steuerung von Risiken, u. a. Zielbild, Dokumentation der Vorgehensweise, organisatorische Verankerung der Themen, Festlegung der Reportingstrukturen, Regelung der Schnittstellen (z. B. zur Planung, dem Controlling, der Revision etc.)
- Initiale Risikoaufnahme: Durchführung einer erstmaligen Erhebung und Bewertung von Risiken anhand des zuvor definierten und abgesteckten Rahmens und Festlegung der Steuerungsmaßnahmen, üblicherweise für eine Pilotgesellschaft bzw. für einen bestimmtem Geschäftsbereich. Bei Bedarf Anpassung der Methodik bzw. der Vorgehensweise anhand der Erfahrungen bzw. Rückmeldungen aus dem Piloten.
- Implementierung und Regelbetrieb: Ausrollen des Ansatzes in weitere Gesellschaften bzw. Geschäftsbereiche und Überführung in einen regelmäßigen Prozess der Identifikation / Bewertung und Steuerung sowie Schaffung von Möglichkeiten einer ad hoc Risikomeldung. Je nach Größe und Komplexität des Unternehmens Auswahl und Einsatz einer entsprechenden Risikomanagement Software um das Handling zu erleichtern bzw. zu digitalisieren.
