Ereignet sich im Verein Außerplanmäßiges, sind Vorstand, Angestellte und Mitglieder häufig nicht ausreichend vorbereitet. Dabei können schon alltägliche Ereignisse wie ein Wasserrohrbruch, der Ausfall der Telefonanlage oder der Einbruch in das Vereinsgebäude zu erheblichen organisatorischen oder sogar wirtschaftlichen Problemen führen.
Vereine sind daher gut beraten, vorhandene Risiken frühzeitig zu identifizieren, diese zu beurteilen und entsprechende Vorsorgemaßnahmen zu treffen. Für den Fall der Fälle hilft ein Ablaufplan den Beteiligten, das Richtige zu tun. Ein funktionierendes Risikomanagement kann den Vereinsvorstand zudem vor Regressansprüchen schützen.
Externe Risiken
Es gibt Ereignisse mit negativer Auswirkung auf den Verein, auf die der Vorstand keinen Einfluss hat, sogenannte „externe Risiken“.
Beispiele: Der Ausfall von Telefon- oder Stromnetz oder des Internets, Störungen in der Wasserversorgung, Straßensperrungen aufgrund unvorhergesehener Baumaßnahmen, Naturereignisse usw.
Zu den externen Risiken zählen aber auch Veränderungen der rechtlichen oder wirtschaftlichen Rahmenbedingungen, wie z. B. nicht bemerkte Änderungen im Gemeinnützigkeits- oder Arbeitsrecht bzw. sonstiger rechtlicher Rahmenbedingungen.
Interne Risiken
Mit dem Begriff der internen Risiken werden alle Umstände oder Ereignisse zusammengefasst, bei denen die Ursache im Verein selbst zu suchen ist bzw. denen mit internen Maßnahmen wirksam begegnet werden kann.
Beispiele: Eine fehlende Firewall ermöglicht es Unbefugten, auf das IT-System zuzugreifen; die unvollständige Abrechnung erbrachter Leistungen oder auch Einbrüche und Diebstähle, die auf unzureichende Sicherungsmaßnahmen zurückzuführen sind.
Ein existenzbedrohendes Risiko kann auch darin bestehen, dass aus Unkenntnis steuerliche Vorschriften nicht beachtet werden und dadurch der Entzug der Gemeinnützigkeit droht. Daneben gehören zu den internen Risiken alle, die sich aus der operativen Tätigkeit des Vereins selbst ergeben, also Haftungs- und Regressansprüche von Vereinsmitgliedern oder Kunden sowie Probleme und Engpässe bei Lieferanten und natürlich Forderungsausfälle.
Risiken erkennen und bewerten
Im ersten Schritt müssen bestehende Risiken erkannt werden. Der Unterpunkt “Beispiele möglicher Risiken” hilft dabei, kein Szenario zu vergessen. Anschließend ist eine individuelle Bewertung des Risikos vorzunehmen, um die Notwendigkeit und den Umfang vorbeugender Maßnahmen zu bestimmen. Kriterien sind hierbei einerseits die Wahrscheinlichkeit des Eintritts und andererseits die Auswirkungen. Tritt ein Risiko mit geringer Wahrscheinlichkeit ein, hat dann aber eine große Auswirkung auf den Verein, wird dieses ähnlich bewertet wie ein Ereignis, das mit hoher Wahrscheinlichkeit eintritt, aber wenig Auswirkung auf den laufenden Betrieb hat.
Am einfachsten ist die Beurteilung eines Risikos, wenn sowohl die Wahrscheinlichkeit als auch die Auswirkungen mit Zahlen bewertet und die Werte addiert werden. Je höher das so errechnete Risikopotenzial ist, desto höher ist auch der Handlungsbedarf.
Beispiel: Ein Verein bewertet die Eintrittswahrscheinlichkeit eines Stromausfalls im Vereinsgebäude auf einer Skala von 1 (unwahrscheinlich) bis 5 (sehr wahrscheinlich) mit einer 1. Die Auswirkungen schätzt der Verein auf einer Skala von 1 (ganz geringer Auswirkung) bis zu 5 (große Auswirkungen auf den Verein) ebenfalls mit einer 1 ein. Dies ergibt zusammengezählt eine Risikobewertung von 2.
Anders fällt die Bewertung beispielsweise beim Entzugs der Gemeinnützigkeit aus. Die Wahrscheinlichkeit mag ebenfalls niedrig sein (Wert 1), dafür wären die Auswirkungen massiv und sind mit einer 5 zu bewerten. In der Risikobewertung erreicht dieses Szenario den addierten Wert 6. Je nach Risikobereitschaft ist dann zu entscheiden, ab welcher Stufe der Risikobewertung eine oder mehrere Vorsorgemaßnahmen zu treffen sind.
Gegenmaßnahmen und Vermeidungsstrategien
Beispiele: Der Einsatz einer Firewall und eine Mitarbeitenden-Schulung können das IT-System eines Vereins effektiv absichern. Andere Risiken können beispielsweise durch den Abschluss entsprechender Versicherungen minimiert werden.
Es gilt also, einerseits die Wahrscheinlichkeit des Eintrittes der Szenarien wesentlich zu verringern und andererseits den Schaden bei Eintritt so gering wie möglich zu halten. Hierzu zählen auch klare Handlungsempfehlungen für die Verantwortlichen im Verein, sodass eine schnelle Reaktion möglich ist.
Beispiele möglicher Risiken
Allgemeine Risiken:
(1) Ausfall
- der Internetverbindung
- des Stromnetzes
- von Telefon und Internet
- der Wasserversorgung
(2) Fehlender Versicherungsschutz für allgemeine oder spezifische Risiken
(Vereins- und Veranstaltungshaftpflicht)
(3) Schäden am Vereinsgebäude/in den Räumen der Geschäftsstelle durch
- Feuer, Wasser/Leitungswasser
- Unwetter (Hagel, Sturm)
- Vandalismus
- Ausfall der Heizung (auch an arbeitsfreien Tagen!
- Unfälle auf dem Vereinsgelände wegen der Verletzung von Verkehrssicherungspflichten
Nichtbeachtung von Vorschriften:
- Vorgeschriebene Hygienemaßnahmen werden nicht beachtet.
- Lohnsteuer und Sozialversicherung werden bei der Auszahlung von Löhnen falsch berechnet.
- Freie Mitarbeiter gelten sozialversicherungsrechtlich als Arbeitnehmer (Scheinselbständigkeit).
- Die Umsatzsteuer wird unzutreffend ermittelt.
- Steuerliche Vorschriften zur Gemeinnützigkeit werden nicht beachtet.
- Spendenquittungen werden fehlerhaft ausgestellt.
- Vorgeschriebene Meldungen zum Vereinsregister, Transparenzregister usw. unterbleiben.
- Vorschriften zum Datenschutz werden nicht hinreichend beachtet.
Risiken durch kriminelle Handlungen:
- Hackerangriffe auf die Homepage/EDV
- Einbruch, Diebstahl, Vandalismus
- Unterschlagung/Veruntreuung durch Mitarbeitende/Mitglieder
- kriminelles Verhalten von Geschäftspartnerinnen oder -partnern
- vorsätzliche Verletzung von Verschwiegenheitspflichten durch Mitarbeitende
Verlust von Know-how im Verein:
- durch mangelnde Dokumentation wichtiger Vorgänge
- durch (unerwartete) Kündigung von Mitgliedern oder Mitarbeitenden
- durch fehlende Archivierung