Für Kanzleien und Berater

Der Baustein, der Ihnen fehlt

Sie beraten Ihre Mandanten zur Krisenfrüherkennung nach §1 StaRUG. Die finanzielle Seite decken Sie ab — Liquiditätsplanung, Ertragsüberwachung, Frühwarnindikatoren. Aber was ist mit den digitalen Abhängigkeiten?

Wir liefern den digitalen Risikobaustein — als Ergänzung zu Ihrer Arbeit, nicht als Konkurrenz.

Warum das Thema auf Ihrem Tisch liegt

Mit dem IDW S 16 hat das Institut der Wirtschaftsprüfer die Anforderungen an die Krisenfrüherkennung nach §1 StaRUG konkretisiert. Der Standard beschreibt einen fortlaufenden Kreislauf aus Risikoidentifikation, -bewertung, -steuerung, -kommunikation und -überwachung.

Die finanzwirtschaftliche Seite — integrierte Planung, Soll-Ist-Abgleich, Liquiditätsvorschau — liegt in Ihrer Kompetenz. Aber der IDW S 16 verlangt ein Risikoinventar, das über finanzielle Kennzahlen hinausgeht. Fortbestandsgefährdende Entwicklungen können, so der Standard, auch betrieblichen Ursprungs sein. Das gilt ebenso für digitale Lieferanten und Dienstleister.

Genau hier entsteht eine Lücke: Welche Software hält die Geschäftsprozesse Ihres Mandanten am Laufen? Was passiert, wenn ein Cloud-Dienst ausfällt, ein Anbieter die Konditionen ändert oder der eine Mitarbeiter fehlt, der als einziger das System kennt? Diese Fragen können Sie nicht bewerten — und das muss auch nicht Ihre Aufgabe sein.

Digitale Abhängigkeiten sind betriebliche Risiken

Studien zur digitalen Souveränität zeigen, dass ein Großteil von Unternehmen die Reduktion von Abhängigkeiten in der IT-Lieferkette als zentralen Treiber betrachten. Nicht nur, um Resilienz in Krisensituationen zu stärken. Es betrifft jede GmbH, die ihre Buchhaltung in der Cloud führt, ihre Aufträge über eine Branchensoftware abwickelt oder ihre Kommunikation über einen einzelnen Anbieter laufen lässt.

Die IT-Landschaft vieler Unternehmen gilt als gewachsen und somit hochkomplex und schwer veränderbar. Bei kleinen Unternehmen ist die Komplexität oft geringer, aber die Transparenz ebenso: Niemand hat aufgeschrieben, welche Software wofür genutzt wird, wo die Daten liegen, was passiert, wenn ein Dienst wegfällt.

Für Ihre Mandanten bedeutet das: Die Buchhaltungssoftware, das E-Mail-System, das Warenwirtschaftsprogramm — all das sind Abhängigkeiten, die bei einem Ausfall unmittelbar die Handlungsfähigkeit und damit die Ertragslage treffen. Eine Woche ohne Rechnungsstellung, ein Monat ohne Zugriff auf Kundendaten, ein Quartal mit einem erzwungenen Anbieterwechsel — das sind Szenarien mit messbaren finanziellen Folgen.

Dokumentierte Risikoabwägung als Schutzraum

Sie kennen das Prinzip aus Ihrer eigenen Beratungspraxis: Die Business Judgment Rule schützt unternehmerische Entscheidungen — aber nur dann, wenn sie auf angemessener Informationsgrundlage getroffen wurden. Wer Risiken nicht kennt, kann sich im Haftungsfall nicht darauf berufen, eine informierte Entscheidung getroffen zu haben.

Für den digitalen Bereich heißt das konkret: Es geht nicht darum, jedes Risiko zu eliminieren. Das wäre weder wirtschaftlich noch praktikabel. Es geht darum, die wesentlichen digitalen Abhängigkeiten zu kennen, zu dokumentieren und eine bewusste Abwägung zu treffen — welche Risiken akzeptiert werden, welche Gegenmaßnahmen sinnvoll sind und wer im Ernstfall was tut.

Allein die Tatsache, dass ein Geschäftsführer seine digitalen Risiken dokumentiert hat und eine begründete Entscheidung zum Umgang damit vorlegen kann, verändert die Ausgangslage im Haftungsfall grundlegend. Das ist kein Papiertiger — das ist ein Steuerungsinstrument, das gleichzeitig als Nachweis dient.

Mehr als Compliance — ein echtes Steuerungsinstrument

Viele Mandanten befürchten bei diesem Thema bürokratischen Aufwand ohne Nutzen. Das Gegenteil ist der Fall. Unternehmen berichten, dass die Auseinandersetzung mit digitalen Abhängigkeiten zu Transparenz geführt hat, die konkrete Einsparungen ermöglichte — etwa durch die Konsolidierung von Lizenzen, das Aufdecken redundanter Software oder die Neuverhandlung von Verträgen.

Für den kleinen Mittelstand ist der Effekt oft noch unmittelbarer: Der Geschäftsführer einer 20-Personen-Firma, der zum ersten Mal schwarz auf weiß sieht, welche acht Programme sein Betrieb nutzt, wer für welches System zuständig ist und was passiert, wenn eines davon ausfällt — dieser Geschäftsführer trifft anschließend bessere Entscheidungen. Nicht weil er muss, sondern weil er zum ersten Mal die Grundlage dafür hat.

Das Ergebnis unserer Arbeit ist deshalb bewusst kein Gutachten und kein Audit-Report. Es ist ein lesbares, verständliches Dokument, das dem Geschäftsführer als Entscheidungsgrundlage dient — und bei Bedarf in die Dokumentation des StaRUG-Frühwarnsystems integriert werden kann.

Was wir konkret liefern

Wie die Zusammenarbeit funktioniert

Kein Parallelmandat. Keine Überschneidung mit Ihrer Arbeit. Ein klar abgegrenzter Baustein, der eine klar abgegrenzte Lücke füllt.

Optional führen wir den BSI Cyber-Risiko-Check nach DIN SPEC 27076 als Bestandteil durch — falls Ihr Mandant den Bericht gegenüber Geschäftspartnern, Versicherungen oder in einer Lieferkette benötigt.

Was dabei herauskommt

Wer wir sind

cyrinox IT begleitet kleine und mittelständische Unternehmen dabei, ihre digitalen Abhängigkeiten zu verstehen und sich pragmatisch auf den Ernstfall vorzubereiten. Unsere Geschäftsführerin, Diplom-Informatikerin, ist seit den 90ern in der digitalen Welt zuhause — und kennt Systeme von damals wie von heute.

Wir sind beim BSI als qualifizierte Dienstleisterin für den Cyber-Risiko-Check nach DIN SPEC 27076 gelistet. Unsere Arbeit ist pragmatisch, verständlich und auf den Betrieb zugeschnitten — kein Enterprise-Framework, kein Pen-Testing, kein Dauerauftrag. Ein abgeschlossenes Projekt mit einem Ergebnis, das in der Hand liegt.