Kanzlei Nickert //images.kanzleinickert.de/nickert-logo-fb.jpg KANZLEI NICKERT | Rechtsanwälte und Steuerberater, Offenburg, kompetent in Rechts-, Steuerberatung, Finanz-, Lohnbuchhaltung, spezialisiert auf Branchen Bau, Handel und Industrie. info@kanzlei-nickert.de
Rammersweierstraße 120 77654 Offenburg

kanzlei nickert logo

Freitag, 11 Februar 2022 08:26

Risikomanagement für kleine und mittlere Unternehmen (KMU)

Das Risikobewusstsein in kleinen und mittleren Unternehmen (KMU) wächst, denn Risiko-management dient der Unternehmenssicherung. Das Risikomanagement sollte nicht nur, sondern muss ein integrierter Bestandteil von Geschäftsleiter-Entscheidungen sein, da das Risiko selbst ein integrierter Bestandteil des Managements ist.

Unternehmensstabilisierungs- und –restrukturierungsgesetz (StaRUG)

Mit dem Unternehmensstabilisierungs- und –restrukturierungsgesetz (StaRUG) gibt es seit 1.1.2021 einen neuen gesetzlichen Rahmen, der die Anforderungen an ein Krisen- und Risikofrüherkennungssystem präzisiert und erweitert. Die Verpflichtung der Vorhaltung eines solchen Krisen- und Risikofrüherkennungssystem trifft alle haftungsbeschränkte Rechtsträger. Die geforderte Früherkennung bestandsgefährdender Entwicklungen erfordert dabei eine Risikoanalyse und Risikoaggregation.

Ziel des Risikomanagements

Ziel des Risikomanagements für KMU Unternehmen ist es, Krisen möglichst früh zu erkennen und so den Geschäftsleitungsorganen die Möglichkeit zu geben, rechtzeitig Maßnahmen zur Vermeidung und Bewältigung existenzgefährdender Entwicklungen einzuleiten und umzusetzen.

Das StaRUG ist nicht nur relevant für Unternehmen in der Krise, sondern für alle Unternehmen, weil es auch Anforderungen an die Krisenfrüherkennung und damit das Risikomanagement formuliert. Verletzungen dieser Pflichten implizieren Haftungsrisiken für Geschäftsleitungsorgane.

Relativierung für KMU durch die Gesetzesbegründung

Zur Frage nach der Ausgestaltung eines Risikomanagementsystems gibt das Gesetz keine konkreten Hinweise. In der Gesetzesbegründung wird jedoch darauf hingewiesen, dass die konkrete Ausformung und Reichweite von der Größe, Branche, Struktur und auch der Rechtsform des jeweiligen Unternehmens abhängt. Ferner stellt die Begründung klar, dass es sich bei kleineren Unternehmen verbietet, übermäßige Organisationspflichten zu statuieren.

Damit ist klar, dass ein Risikomanagementsystem für KMU deutlich einfacher gehalten sein kann. Die Geschäftsleiter sollen aber für die Krisenfrüherkennung gehalten sein, als Mindestanforderung die Verhältnisse des Unternehmensträgers und die Entwicklungen, die für die Tätigkeit des Unternehmensträgers relevant sind, laufend daraufhin zu beobachten und zu überprüfen, ob sie das Potenzial haben, bei ungehindertem Fortgang den Fortbestand des Unternehmens zu gefährden.

Zum Krisenmanagement verweist die Gesetzesbegründung auf die Business Judgment Rule (BJR). Danach steht den Geschäftsleitern hinsichtlich der Auswahl der zu treffenden Gegenmaßnahmen und deren Durchführung ein Beurteilungsspielraum zu, der ihnen nach Maßgabe der spezialgesetzlichen Regelungen für Maßnahmen der Geschäftsführung zuzubilligen ist.

Das wohl entscheidende Kriterium der BJM ist das Abstellen von unternehmerischen Entscheidungen auf der Grundlage angemessener Information. Von der Angemessenheit einer Information darf dann ausgegangen werden, wenn der Einschätzung eines vernünftig urteilenden Geschäftsleiters zur Folge die Verbesserung der Informationsqualität den dafür erforderlichen Aufwand an Zeit bzw. Geld nicht mehr rechtfertigt.

Risikomanagementsystem ist von KMU einzuführen

Die Frage, ob ein Risikomanagementsystem auch von KMU einzuführen ist, bejaht das Gesetz unmissverständlich. Bei der Frage, wie das Risikomanagementsystem auszugestalten ist, bleibt es jedoch unkonkret. Es hat sich aber an den Gegebenheiten des Unternehmens auszurichten und dabei den allgemeinen Anforderungen der BJR zu genügen.

Handlungsempfehlung

Viele mittelständische Unternehmen sind bisher nicht in der Lage, mögliche bestandsgefährdende Entwicklungen aus Kombinationseffekten von Risiken, die das Rating oder Covenants bedrohen, zu erkennen. Es fehlt insbesondere an einem an sich einfach implementierbaren Verfahren für die Risikoaggregation. Hier besteht Handlungsbedarf.

Ein wöchentlicher Jour fix kann dazu genutzt werden, um ein spezifisches Risiko-Managementsystem aufzubauen. Hierbei sollten die Ansprüche zunächst nicht zu hoch gesetzt werden. Es ist besser, mit einer einfachen Lösung anzufangen und das System kontinuierlich zu verbessern. Wichtig ist kurzfristig eine Aktenlage zu schaffen, mit der dokumentieren werden kann, dass sich die Geschäftsleiter mit folgenden Fragen beschäftigen:

Identifikation von Risiken

Welche Risiken haben das Potenzial, den Fortbestand des Unternehmens zu gefährden?

Bewertung von Risiken

Wie hoch wird das Schadenspotenzial der einzelnen identifizierten Risiken eingeschätzt?

Steuerung von Risiken

Wie gehen wird mit den Risiken umgegangen? Wie sehen die konkreten Maßnahmen zur Risikosteuerung aus (z. B. Vermeiden/Vermindern/Transferieren/Akzeptieren)?

Regelmäßige Überwachung von Risiken

Wie wird die Wirksamkeit der Maßnahmen gemessen und wann und wie oft werden diese bewertet?

Bericht der Risiken

Die Risikosituation ist ferner übersichtlich darzustellen und die Wirksamkeit der Maßnahmen ist darin aufzuzeigen!

Mittelbare Pflicht aus § 1 StaRUG zur integrierten Unternehmensplanung

Das Risikofrüherkennungssystem basiert auf der Risikoaggregation und der Unternehmensplanung, da die Risikotragfähigkeit nur im Kontext der Unternehmensplanung (Erfolgs-, Vermögens- und Liquiditätsplanung) beurteilt werden kann. Die Unternehmensplanung sollte für mindestens zwei Jahre erstellt werden. Ein Risikomanagement ohne eine integrierte Unternehmensplanung kann grundsätzlich nicht den Anforderungen des § 1 Abs. 1 StaRUG gerecht werden. Vorgeschrieben ist die Überwachung von Entwicklungen (d. h. Risiken), die den Fortbestand der juristischen Person gefährden. Die Beurteilung einer Bestandsgefährdung kann per se nur durch eine Gegenüberstellung von Risikoexposition und Risikotragfähigkeit erfolgen, wie sie sich aus einer integrierten Unternehmensplanung ergibt. Aus diesem Grund ist von einer mittelbaren Verpflichtung aller haftungsbeschränkter Rechtsträger auszugehen, eine integrierte Unternehmensplanung zu erstellen.
Die Aggregation von Risiken im Kontext der Unternehmensplanung erfordert den Einsatz von Simulationsverfahren (Monte-Carlo-Simulation)

Ergänzend zur Implementierung geeigneter Verfahren für Risikoanalyse und Risikoaggregation besteht sicherlich für KMU auch die Möglichkeit einer „Outsourcing-Lösung“.

Möglich ist aber auch ein Krisenfrüherkennungssystem zu implementieren und die Risikoaggregation (Monte-Carlo-Simulation) selbst durchzuführen. Für eine solche Risikosimulation stehen mittlerweile einfach nutzbare und kostenlose Simulationstools speziell für mittelständische Unternehmen zur Verfügung. Damit können auch kleinere Unternehmen eine Risikoaggregation in wenigen Arbeitsstunden umsetzen.

Fazit

Risiken sind Teil des unternehmerischen Alltags, wie auch generell Teil des Lebens. Beim Risikomanagement geht es daher nicht darum, Risiken vollständig zu vermeiden. Viel wichtiger ist, dass man sich als Unternehmen möglicher Risiken bewusst wird, einschätzen kann wie wahrscheinlich sie sind und welche potenziellen Ausmaße diese nach sich ziehen und dann festlegt, wie damit umgegangen wird.

Autoreninfo

kuma-testMatthias Kühne

Rechtsanwalt, Betriebswirt (IWW), Fachanwalt für Insolvenzrecht, CVA (Certified Valuation Anlalyst EACVA)

lifr-testFrank Lienhard

Rechtsanwalt, Fachanwalt für Steuerrecht, Fachanwalt für Handels- und Gesellschaftsrecht, CVA (Certified Valuation Analyst EACVA)

Wir verwenden zum Teilen der Inhalte sogenannte "Shariff"-Schaltflächen. Mit Shariff können Sie Social Media nutzen, ohne Ihre Privatsphäre unnötig aufs Spiel zu setzen. Das c't-Projekt Shariff ersetzt die üblichen Share-Buttons der Social Networks und schützt Ihr Surf-Verhalten vor neugierigen Blicken. Weitere Informationen zu Shariff finden Sie unter https://www.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html.

HINWEIS

Falls Sie über den Beitrag hinausgehende Fragen haben, stehen wir Ihnen gerne zur Verfügung. Allerdings weisen wir Sie darauf hin, dass wir diese individuelle Leistung nach dem Rechtsdienstleistungsgesetz auch abrechnen.

Alle Angaben sind sorgfältig geprüft. Durch Gesetzgebung, Rechtsprechung und Verordnungen sowie Zeitablauf ergeben sich zwangsläufig Änderungen. Bitte haben Sie Verständnis dafür, dass wir für die Richtigkeit und Vollständigkeit des Inhalts keine Haftung übernehmen.

Diese Webseite verwendet Cookies. Indem Sie unsere Webseite nutzen, stimmen Sie der Verwendung von Cookies zu. Mehr erfahren ...