5 Tipps zur finanziellen Risikobewertung in KMU

Daniel Christen - 15.04.2022
Risiken bewerten

Symbolbild: Risiken beeinflussen (Quelle: eternalcreative, iStock)

Risiko und Unsicherheit wachsen: Krieg in der Ukraine, Lieferketten stocken, Energie wird massiv teurer, Kunden zögern. Was sind die finanziellen Risiken für ein KMU und wie bewertet man diese?


 

Autoren:  Daniel V. Christen, Anouk Marazzi

 


Risiken liegen in der Natur der Unternehmertätigkeit und sind nicht zu unterschätzen. Risiken treten oft ohne Vorwarnung und an unerwarteten Orten auf. Aber wie geht finanzielle Risikobewertung in KMU?

Das ist Teil 1 einer dreiteiligen Serie zu Risikobewertung und Risikomassnahmen für KMU.

Teil 2 widmet sich Risikomassnahmen im Rahmen eines Internen Kontrollsystems IKS.

Teil 3 widmet sich der Risikovorsorge mit Rückstellungen, die sogar von den Steuern abziehbar sind.

 

Risikoidentifikation

Was sind die Hauptrisiken Ihres Unternehmens? Konzentrieren Sie sich auf die Top-Risiken, um diese mit den zur Verfügung stehenden Ressourcen und mit maximalem Erfolg abzudecken.

Tipp 1: Machen Sie eine SWOT-Analyse. Das schafft Verständnis eines Risikomanagements im Unternehmen und zeigt die Verknüpfung der relevanten – internen und von aussen auf Ihr Unternehmen wirkenden – Problemfelder mit den unternehmenseigenen Zielen.

SWOT Analyse

Abbildung 1: SWOT Analyse

Risikoanalyse

Aus der SWOT-Analyse ergeben sich eine ganze Reihe von Risiken für Ihr Unternehmen. Alle Bedrohungen, die Sie in der SWOT-Analyse auflisten sind in der Regel Risiken. Ebenfalls können Schwächen auch Risiken sein, insbesondere dort, wo diese auf Bedrohungen von aussen treffen.

Tipp 2: Listen Sie alle Risiken für Ihr Unternehmen auf. Überlegen Sie, welchen Einfluss das Eintreffen jedes einzelnen Risikos auf die Firmenfinanzen hätte. Wie hoch würden diese Risiken zu Buche schlagen, falls diese eintreffen würden? Klassifizieren Sie die Risiken in Kategorien von unwesentlich bis erhebliche finanzielle Konsequenzen. Können Sie für jede Kategorie auch ein Schadenssumme nennen, welche eintretende Risiken dieser Kategorie typischerweise überschreiten? Ist ein Risiko finanziell tragbar bzw. unwesentlich, so wird es von den Risikoeignern akzeptiert. Ist ein Risiko finanziell nicht tragbar bzw. erheblich, müssen geeignete und wirksame Massnahmen ergriffen werden.

Schadenpotenzial

Abbildung 2: Schadenpotenzial

Risikobewertung

Wie wahrscheinlich ist das Eintreffen der Risiken für Ihr Unternehmen?

Tipp 3: Listen Sie alle Risiken nochmals auf und überlegen Sie, wie gross die Eintrittswahrscheinlichkeit ist, dass der Risikosachverhalt tatsächlich eintrifft. Gruppieren Sie die Risiken in Kategorien von unwahrscheinlich bis fast sicher.

Eintrittswahrscheinlichkeit

Abbildung 3: Eintrittswahrscheinlichkeit

Risikomatrix

Um die Tragweite des unerwünschten Risikosachverhalts herauszufinden, müssen Sie die wichtigsten Risiken nach ihrem potenziellen Schaden und dessen Eintrittswahrscheinlichkeit unterteilen.

Tipp 4: Listen Sie alle Risiken auf und machen Sie sich Gedanken über die Eintrittswahrscheinlichkeit des Risikosachverhalts und deren finanzielle Tragweite bzw. Schadens. Es gibt 25 verschiedene Kombinationsmöglichkeiten. Unten links finden sich harmlose, oben rechts dramatische Risiken.

Risikomatrix

Abbildung 4: Risikomatrix

Risikomassnahmen

Jedes KMU sollte sich auf Risiken vorbereiten. Für Risiken welche als zu inakzeptabel oder zu hoch für Ihr Unternehmen bewertet werden, sollten Sie geeignete Massnahmen zur Risikominimierung prüfen. Dazu sind wirksame Kontrollen Ihrer Prozesse notwendig.

Für bestehende finanzielle Geschäftsrisiken können im Jahresabschluss Rückstellungen gebildet werden. Zukünftige Schäden werden so nicht mehr vollumfänglich dem Gewinn des Geschäftsjahres ihres Eintretens belastet. Solche Rückstellungen «glätten» die zeitliche Distanz zwischen Bildung der Rückstellung und dem Eintreten des Schadens.

Welche geeignete und wirksame Massnahmen ergriffen werden müssen, ist von Betrieb zu Betrieb unterschiedlich. Für Grossunternehmungen ist das dazu geeignet Instrument das Interne Kontrollsystem (IKS) von Gesetzes wegen obligatorisch: Die Mittelstandstreuhandfirma BDO definiert ein KMU-taugliches IKS wie folgt: «Unter IKS versteht man die Gesamtheit der internen Kontrollmassnahmen, die dazu beitragen, wichtige betriebliche Arbeitsabläufe im Unternehmen zu überwachen. Hierbei stehen das Erreichen der Unternehmensziele, das Sicherstellen von sicheren Prozessen sowie das Aufdecken oder Verhindern von Fehlern und Unregelmässigkeiten im Zentrum. Als Minimalanforderung muss die Unternehmensleitung sicherstellen, dass jene Prozesse dokumentiert und im Betrieb umgesetzt sind, die letztlich in die finanzielle Berichterstattung einfliessen

Tipp 5: Egal welche konkreten Risikomassnahmen Sie ergreifen, diese bedürfen der wirksamen Kontrolle. Wenn Sie für Risiken Massnahmen definieren, können Sie für eintretende Schäden in der Zukunft Rückstellungen im Jahresabschluss bilden. Aus steuerlicher Betrachtung erlauben Gesetzgeber und zuständige Behörden geschäftsmässig klar und spezifisch begründete Rückstellungen als gewinnmindernden, steuerabzugsfähigen Aufwand.

 

Fallbeispiel: Cyberangriffe

Die Corona-Pandemie hat einen Digitalisierungs- und Homeoffice-Schub mit sich gebracht. Das Risiko angegriffen zu werden, steigt mit der Digitalisierung des Geschäfts. Genau diese Risiken werden von den KMU nach wie vor unterschätzt. Opfer eines Cyberangriffs wie zum Beispiel u.a. Datendiebstahl oder absichtliche herbeigeführte Überlastung des Netzes etc. können der Unternehmung nebst dem Reputationsschaden einen erheblichen finanziellen Schaden verursachen, welcher rasch eine existenzielle Summe für ein KMU beinhaltet.

Wie ist das finanzielle Risiko eines solchen Cyberangriffs zu bewerten? 

Tipp 1 SWOT-Analyse:

Betriebsunterbrüche in Folge eines Cyberangriffs können von ausserhalb (Datendiebstahl, Datenerpressung) oder innerhalb (ungenügend geschützte IT-Systeme, menschliches Versagen) herbeigeführt werden.

Tipp 2 Schadenpotenzial:

Ein Betriebsunterbruch wird spürbare Auswirkungen auf den Umsatz und den Gewinn Ihrer Unternehmung haben und die Mehrkosten können schnell immens werden. Nebst dem monetären Schaden kostet es aber auch Zeit und Nerven, um die IT-Systeme wieder zum Laufen zu bringen. Und es kann Reputationsschaden entstehen.

Tipp 3 Eintrittswahrscheinlichkeit:

Eine Kombination der einzelnen Risikofaktoren kann vielleicht dazu führen, dass Sie jederzeit mit einem möglichen Betriebsunterbruch infolge Cyber-Angriffs rechnen müssen.

Tipp 4 Risikomatrix:

Ein erhebliches Schadenpotenzial (z.B. Datendiebstahl in Kombination mit einer Erpressung) bei einer jederzeit möglichen Eintrittswahrscheinlichkeit ist keine angenehme Risikokombination. Die Ampel der Risikomatrix steht auf rot. Ihre Unternehmung muss in so einem Fall über einen Notfallplan mit geeigneten Massnahmen verfügen, um das Risiko zu minimieren.

 Tipp 5 Risikomassnahmen und IKS:

Ein IT-Risiko kann zum Beispiel durch eine präventive Schulung der Mitarbeiter (Phishing-E-Mails) und ein wirksames Sicherheitskonzept (Sicherstellung der Geschäftsfortführung) minimiert werden. Zudem ist ein geeigneter Versicherungsschutz für Cyberrisiken notwendig, welcher einerseits die finanziellen Risiken abdeckt und andererseits im Falle eines Schadens Ihr Unternehmen bei der Schadenbehebung unterstützt.

 

Fazit

Risiken liegen in der Natur der Unternehmertätigkeit und sind nicht zu unterschätzen. Risiken treten oft ohne Vorwarnung und an unerwarteten Orten auf. Wer hätte mit stockenden Lieferketten oder einem Krieg in Europa gerechnet? Widmen Sie deshalb der Risikobewertung genügend Zeit und Energie.

 

Teil 2 dieser Artikelserie geht auf Risikomassnahmen im Rahmen eines IKS ein.

Teil 3 dieser Serie enthält alles über Risikovorsorge mit Rückstellungen, die von der Stezer absetzbar sind.

 

 

Risiken und Massnahmen dagegen können Finanzierungsbedarf auslösen. Buchen Sie am besten Ihr kostenloses Erstgespräch mit einem unserer Experten.

 

Quellen:

Risikomanagement System bei KMU, seco:

https://www.kmu.admin.ch/kmu/de/home/praktisches-wissen/finanzielles/risikomanagement/wie-fuehrt-man-ein-risikomanagementsystem-ein/risikoidentifikation-und-risikobewertung.html