Die Durchführung einer gesetzlichen Risikobeurteilung bzw. der Aufbau eines internen Kontrollsystems ist alleinige Aufgabe des Verwaltungsrats und ist nicht delegierbar; der Verwaltungsrat haftet dafür persönlich. Kleineren und mittleren Unternehmen fehlen jedoch meistens die Erfahrung und die Kompetenz, das oft endlose Thema Corporate Risk Management pragmatisch abzuwickeln: Die gängigen Ansätze der Theorie sind dafür entweder nicht praktikabel, sprengen die Möglichkeiten und Mittel oder sie sind schlichtweg wirkungslos. Zudem sind die vorherrschenden Risiken nur sehr beschränkt bekannt und es kann oft nur schlecht eingeschätzt werden, welche Auswirkungen diese Risiken im Endeffekt auf das eigene Unternehmen haben.