Bedeutung des Risk Management in der Industrie für die Revision

Die Prüfungsstandards (PS 315, Beurteilung der Risiken und Verstehen der Einheit) verlangen für die Vorbereitung von Abschlussprüfungen (ordentliche und eingeschränkte Revisionen), dass der Abschlussprüfer ein Verständnis des Unternehmens und des Umfelds erarbeitet. Hierzu zählen das interne Kontrollsystem, die Risiken wesentlicher Falschdarstellungen und mögliche Reaktionen hierzu. In diesem Zusammenhang kann die Existenz von Risk-Management-Ansätzen von Interesse sein, die in die Planung der Abschlussprüfung einbezogen werden können, um ein besseres Verständnis über das Unternehmen und mögliche Risiken für eine Fehlaussage zu erarbeiten.

Die Verbreitung von Risk-Management-Ansätzen divergiert in der Industrie stark. Viele kleine und mittlere Industrieunternehmen in der Schweiz wähnen sich in trügerischer Sicherheit. Sie erfüllen die gesetzlichen und branchenspezifischen Grundlagen zum Thema Risikomanagement, vergessen aber, dass ein umfassendes und unternehmensweites Risikomanagement nicht nur die Sicherung der Unternehmensziele garantiert, sondern damit auch die Erhöhung des Unternehmenswerts möglich wird. Eine Masterthesis an der Fachhochschule St. Gallen kommt zu dem Schluss, dass der Nutzen eines adäquaten Risikomanagements in der Praxis vielfach unterschätzt wird und lediglich dazu dient, die gesetzlichen Anforderungen zu erfüllen.¹

Das wirtschaftliche Umfeld in der Schweiz befindet sich gerade in den letzten Monaten wieder sehr stark im Wandel. Mit dem Wegfall der Eurountergrenze oder der Annahme der Masseneinwanderungsinitiative wurde vielen Industrieunternehmen in der Schweiz wieder einmal vor Augen geführt, dass sie sich in einem sehr schnelllebigen und ungewissen Umfeld bewegen.² Neben den bereits erwähnten, politisch motivierten Herausforderungen gibt es für die Industrieunternehmen auch andere, branchenspezifischere Schwierigkeiten. So entstehen beispielsweise bei grenzüberschreitenden Aktivitäten teilweise grosse Länderrisiken.Die Verkürzung der Produktlebenszyklen und die Individualisierung der Nachfrage können steigende Investitionen in Forschung und Entwicklung notwendig machen. Eine zunehmende Komplexität von Produktionssystemen kann einen negativen Einfluss auf die Störanfälligkeit haben.³ Dies sind nur einige wenige Entwicklungen, mit denen sich Industrieunternehmen in den letzten Jahren verstärkt auseinandersetzen müssen. Der Gesetzgeber hat die Problematik erkannt und bereits vor sieben Jahren darauf reagiert. Seit 2008 ist Risikomanagement deshalb für viele Schweizer Unternehmen zur gesetzlichen Pflicht geworden.⁴ Das schweizerische Obligationenrecht gibt nur knappe Vorschriften und Vorgaben zum Thema Risk Management. In dieser etwas schwammigen Formulierung liegt jedoch genau das Problem. Ein systematisches Risikomanagement wird nämlich gemäss mehreren Studien vielfach nicht betrieben. So hat beispielsweise eine österreichische Studie bei mittelständischen Unternehmen ergeben, dass Risikomanagement, wenn überhaupt, in den Bereichen Rechnungswesen bzw. Finanzen und Controlling betrieben wird.⁵

Es scheint, als fehle es bei vielen Unternehmen an Kenntnissen der verschiedenen branchenübergreifenden Risikomanagement-Normen und -Rahmenkonzepte. Diese wurden von grossen Organisationen wie ISO speziell entwickelt und sollen den Unternehmen bei der Implementierung eines adäquaten Risikomanagements einen Leitfaden darstellen. In der Theorie sind diverse Konzepte zu finden, die für die Industriebranche anwendbar sind. Die bekanntesten Normen und Standards sind hierbei der ISO Guide 73 Risk Management, der «COSO-Würfel», der ONR 49000 des österreichischen Normierungsinstituts oder auch die ISO 31000 Guidelines on Principles and Implementation of Risk Management. Für die Industrie werden in der Theorie vor allem die beiden zuletzt erwähnten Standards empfohlen. Dies deshalb, da sie das Risikomanagement in das Managementsystem der Unternehmen einfliessen lassen.⁶

Auch zum im Risikomanagement zentralen Risikomanagement-Prozess in der Industrie gibt es viele theoretische Ansätze und Implementierungshilfen. Dabei differieren die Prozessphasen für die Industriebranche je nach Bedürfnissen in den Detaillierungsgraden. Meist lauten die groben Teilschritte jedoch Risikoidentifikation, Risikobewertung, Risikosteuerung und Risikokontrolle.⁷ Für den ersten Prozessschritt empfehlen sich der Aufbau eines geeigneten Frühwarnsystems und eine ganzheitliche Sichtweise auf verschiedene potenzielle Risikoquellen. Ein Frühwarnsystem soll den Unternehmen erlauben, vor dem Eintreten eines Risikos geeignete Massnahmen ergreifen zu können. In diesem Prozessschritt sollte es das Ziel sein, «den Fortbestand der Gesellschaft gefährdende Entwicklungen» frühzeitig zu erkennen. Das bedeutet, dass eine möglichst vollständige Erfassung aller Risikoquellen, Schadensursachen und Störpotenziale angestrebt werden sollte und kein Ressortdenken angebracht ist.⁸ Dieser erste Teilschritt ist sodann gemäss vielen Autoren der wichtigste Prozessschritt im Risikomanagementprozess. Er sollte deshalb fortlaufend durchlaufen werden und mit verschiedenen Identifikationsmethoden wie Interviews, Fragenkatalogen, Fehlermöglichkeits- und Einflussanalysen oder auch Brainstormings durchgeführt werden. Als Ergebnis der Risikoidentifikation sollten geeignete Risikokategorien in einem sogenannten Risikoinventar dargestellt werden. Ein solches kann beispielsweise als übergeordnete Kategorien «Finanzrisiken» und «operationelle Risiken» enthalten. Untergeordnet könnten die «operationellen Risiken» beispielsweise in «operative» (organisatorische, HR-Risiken, Prozessrisiken usw.) und «strategische Risiken» im Detaillierungsgrad verfeinert werden.⁹ Es sollte aber für jedes Unternehmen eine individualisierte Lösung bzw. Auflistung angestrebt werden. Der nachfolgende Prozessschritt der Risikobewertung sollte mindestens die Bewertung der Risiken nach Eintretenswahrscheinlichkeit und Tragweite beinhalten. Dies kann entweder mit qualitativen oder quantitativen Methoden gemacht werden. Als qualitative Methoden können beispielsweise Interviews oder Workshops genannt werden. Quantitative Methoden sind gemäss Theorie bei ausreichender Datenqualität vorzuziehen. Solche könnten beispielsweise Sensitivitäts- oder Szenarioanalysen sein. Sind die Risiken bewertet, werden sie in ein Risikoportfolio bzw. eine Risikomatrix eingetragen. Abschliessend müssen die nicht tolerierbaren Risiken mit geeigneten Massnahmen gesteuert, fortlaufend kontrolliert und bewältigt werden. Es bleibt festzuhalten, dass diese Ausführungen lediglich einen groben Abriss über die sehr umfangreich vorhandene Literatur zum Thema Risikomanagement in der Industrie darstellen.¹⁰

Doch was von der Theorie wenden Industrieunternehmen kleinerer und mittlerer Grösse in der Praxis auch an? Die in der Masterthesis befragten Unternehmen stammen aus den verschiedensten Bereichen der Industrie (Kunststoffproduktion, Maschinenbau, Stahlverarbeitung, Getränkeproduktion usw.). Die Interviewpartner waren dabei durchgehend Mitglieder der Geschäftsleitung und somit verantwortlich für die Thematik. Als Erstes ist aufgefallen, dass nur wenige Betriebe einen ihrer Meinung nach direkt messbaren Nutzen aus dem Risikomanagement ziehen. Da verwundert es kaum, dass das Management der Risiken für viele Betriebe eher als ein Muss angesehen wird. Einige Unternehmen gehen gar noch weiter und geben als einziges Ziel des Risikomanagements an, die gesetzlichen Grundlagen gemäss Obligationenrecht einhalten zu wollen. Hinzu kommt, dass einige Unternehmen das Gesetz gar nicht kannten oder angaben, dass die Revision des Obligationenrechts nur geringen Einfluss auf ihr Risikomanagement hatte, da ihnen Zeit und Geld dafür fehlt. Unternehmen kleiner oder mittlerer Grösse beschränken sich beim Risikomanagement meist auf das Erheben eines rudimentären Risikoinventars, die darauffolgende Bewertung und die Einordnung in eine Risikomatrix. Von Aktivitäten zur Steuerung oder gar einer Kontrolle der identifizierten Risiken war vielfach keine Rede.

Angesprochen auf die Risikomanagement-Standards bzw. -Normen gab lediglich ein Unternehmen an, mit einem solchen zu arbeiten. Diese seien schlicht zu kompliziert anzuwenden oder zu abstrakt auf eine Branche gerichtet. Dass kein branchenweit verbreiteter Leitfaden vorhanden ist, führt zwangsläufig zu weiteren Unklarheiten. So treten auch bei der Risikomanagement-Organisation oft Schwächen zutage. Vielfach wird das Risikomanagement in der Praxis in einem Top-down-Ansatz bearbeitet. Dies impliziert einerseits, dass sich hauptsächlich die Geschäftsleitung damit beschäftigt und andererseits wichtige Inputs fehlen können, die nur bottom-up in Erfahrung gebracht werden können. Zudem denken viele Unternehmen, eine intuitive und spontane Erfassung der Risiken reiche für ihren Betrieb aus. Für den Prozessschritt der Risikobewertung wendet von den befragten Unternehmen kein Einziges wahrscheinlichkeitstheoretisch basierte Methoden an, um ihre Risiken zu bewerten. Viel eher schätzen die verantwortlichen Personen subjektiv die Tragweite sowie die Eintretenswahrscheinlichkeit ein. Dabei können auch Erfahrungswerte aus vergangenen Erhebungsperioden zur Anwendung kommen. Beide Methoden sind jedoch objektiv betrachtet im Genauigkeitsgrad als mässig zu bewerten.

Hinzu kommt, dass viele Unternehmen das Risikomanagement mit der Bewertung der Risiken als erledigt erachten. Nur wenige Betriebe geben an, über eine über das ganze Unternehmen gültige Risikobewältigungsstrategie zu verfügen. Wenn möglich, wünschen sich die meisten Befragten eine Risikovermeidungsstrategie. Im Widerspruch dazu verfügen aber weniger als die Hälfte der Unternehmen über ein Hedging der Währungsrisiken, was sich gerade in jüngster Vergangenheit katastrophal auf die Finanzen auswirken kann.

Die abschliessenden Fragen in den Interviews beschäftigten sich mit möglichen Zukunftstrends im Risikomanagement. Viele Betriebe geben dabei als Antwort, dass sie mit steigenden IT-Risiken rechnen und im Zuge der zunehmenden Vernetzung und Abhängigkeiten davon ausgehen, dass das Risikomanagement an Wichtigkeit gewinnen wird. Man könne nur so auf möglichst viele Eventualitäten aufmerksam werden.

Als Fazit bleibt, dass sich viele Unternehmen der Wichtigkeit eines systematischen Risikomanagements noch immer nicht bewusst sind, wodurch sie der Thematik auch nur wenig Aufmerksamkeit widmen. Aus der Vielzahl möglicher theoretischer Implementierungsformen ist für die Praxis kein eindeutiger Rahmen entstanden, wonach die Betriebe das Risikomanagement adäquat einführen könnten. Dies wiederum ergibt ein unscharfes Vorgehen. Die schwammigen Massnahmen des Gesetzgebers verleiten die Unternehmen lediglich dazu, Risiken grob zu erfassen und in einer Matrix einzuordnen. Die wichtigen Schritte der Massnahmenergreifung und der Massnahmenkontrolle werden vom Gesetz nicht behandelt und somit in der Praxis vielfach vernachlässigt oder ganz weggelassen. Die Einsicht kommt dann oft zu spät. Die teilweise kompliziert anzuwendenden Erfassungs- und Bewertungsmethoden können sich aufgrund verschiedener Faktoren wie beispielsweise Ressourcenknappheit und Kostenfragen nicht in der Praxis durchsetzen.

Trotz dieser Situation gibt es aber viele Unternehmen, die sich eine Optimierung ihrer Risikokosten wünschen und auch bereit wären, ein systematisches Risikomanagement einzuführen. Dies aber nur unter der Prämisse, dass allgemeingültige sowie praxisnahe Erfolgsfaktoren und aus ihnen abgeleitete Leitfäden bzw. Hilfsmittel zur Verfügung stehen. Die heute vorhandenen Standards und Leitfäden sind dazu nur bedingt praxistauglich und vielfach zu kompliziert.

Es scheint in der Praxis Bedarf für ein geeignetes Risikomanagement-Modell zu geben. Die vielfach zu abstrakte Theorie lässt sich aber für die meisten kleineren und mittleren Unternehmen nicht anwenden. Es stellt sich daher die Frage, welche Erfolgsfaktoren insbesondere bei KMU für die zielführende Implementation eines Risk-Management-Ansatzes zu berücksichtigen sind.

Als Erstes sollten die Unternehmen darauf achten, dass das Verständnis für die Wichtigkeit eines guten Risikomanagements unbedingt im eigenen Unternehmen verankert sein muss. Dies ist eine eindeutige Managementaufgabe und muss von oben her gelebt werden. Dies wiederum erfordert eine gute Kommunikation im Betrieb. Als Zweites soll das Risikomanagement praxisorientiert und vor allem einfach implementiert werden können. Ist ein Betrieb etwas grösser, bringt eine homogene Organisation dabei grosse Vorteile und spart Ressourcen. Für die Industrie empfiehlt sich gerade aufgrund der knappen Ressourcen eine Massnahmenorientierung für das Risikomanagement. Dabei sollten sich die Betriebe für ihre Analysen die Unterstützung vom Qualitätsmanagement, wenn vorhanden, vom internen Kontrollsystem und natürlich vom Controlling ableiten. Das mühsame und kostspielige Einführen einer Risikomanagementinformationssoftware kann vielfach weggelassen werden, da jährliche physische Risikomanagement-Reporte als Basis für die kommenden Jahre ausreichen.

Am allerwichtigsten ist aber, dass die Unternehmen erkennen, dass das Thema Risikomanagement aufgrund steigender Komplexität in verschiedensten Bereichen an Wichtigkeit gewinnen wird und daher dringend angepackt werden sollte. Für die Abschlussprüfung ist ein vorhandenes Risk Management zur Planung der Abschlussprüfung von Nutzen und für die möglichen Hinweise für das interne Kontrollsystem. Generell kann die Schlussfolgerung gezogen werden, dass nach Unternehmensgrösse, nach Branche und nach Komplexität des Geschäftsmodells die Existenz eines vorgelebten Risk Management Hinweise für mögliche Reduktionen des Prüfungsrisikos geben kann.

• Branchen-Report-Deutschland, Industriebranche im Fokus [elektronische Version], Commerzbank AG, 2012, 4, S. 3.
• Boutellier, R. Montagne, E. & Barodte, B., Die Risiken für KMU – und wie sie damit umgehen können, New Management, 2007, Nr. 11, S. 43 – 46.
• Brünger, C., Erfolgreiches Risikomanagement mit COSO ERM, Berlin, 2009.
• Brühwiler, B., Risikomanagement als Führungsaufgabe – unter Berücksichtigung der neusten internationalen Standardisierung, Bern, 2007.
• Fiege, S., Risikomanagement- und Überwachungssystem nach KonTraG, Dissertation, Universität Berlin, Wiesbaden, 2006.
• Romeike, F., Erfolgsfaktor Risikomanagement, in: Finke R. (Hrsg.), Chance für Industrie und Handel, Methoden, Beispiele, Checklisten, Wiesbaden, 2003, S. 16 – 296.
• Thuermann, C. & Ebner, G., Risikomanagement im österreichischen Mittelstand – Verbreitung, Bedeutung und zukünftige Erwartungen, Graz, 2012.