Risikomanagement in der Unternehmenspraxis
Jede
unternehmerische Entscheidung birgt grundsätzlich Risiken in
sich. Ein wirksames Risikomanagementsystem ist daher die
Grundlage einer jeden Unternehmenssicherung.
Risiken können
sowohl intern als auch extern begründet sein. Manche sind
unbedeutend, andere können Existenz bedrohend sein. Manche
Risiken haben kurzfristige Auswirkungen, andere entfalten
ihre negative Wirkung erst nach einem längeren Zeitraum.
Alle Risiken haben – trotz ihrer Unterschiedlichkeit – eines
gemeinsam: Sie müssen rechtzeitig erkannt und identifiziert
werden, um ihrer negativen Wirkung entgegen zu treten.
Um mit den
vielfältigen Risiken und ihren sehr unterschiedlichen
potenziellen Auswirkungen richtig umzugehen, bedarf es daher
eines Systems, mit dem alle internen und externen Risiken
regelmäßig und systematisch identifiziert, erfasst und
bewertet werden. Die anschließende Priorisierung ergibt sich
aus der Kombination der möglichen Schadenshöhe und der
Eintrittswahrscheinlichkeit des Schadens.
Externe und interne Risiken
Externe Risiken
ergeben sich für das Unternehmen durch Faktoren, die nicht
unmittelbar beeinflusst werden können, wie z. B.
Veränderungen bei Markt, Wettbewerb und Konjunktur sowie
technologischer und rechtlicher Bedingungen. Die jüngste
Wirtschaftskrise hat dies deutlich gezeigt: Zwei Jahre
danach kämpfen noch viele Unternehmen mit deren
Auswirkungen.
Auch Veränderungen
der rechtlichen und steuerlichen Umfeldbedingungen zählen zu
den externen Risiken, wie die geplanten Abgaben auf
Flugtickets oder die Brennelemente-Steuer zeigen.
Interne Risiken sind steuerbar
Im Unterschied zu
den externen Risiken sind die internen Risiken durch
operative Entscheidungen und Handlungen des Unternehmens
direkt beeinflussbar und steuerbar. Interne Risiken
resultieren aus der Leistungserstellung inklusiv
Beschaffung, aus dem finanzwirtschaftlichen Bereich, aus dem
Personalwesen, aus der Organisation (Aufbau- und
Ablauforganisation) und der Leitung des Unternehmens.
Gefahrenquellen können hier z. B. sein:
-
geringe
Auslastung bzw. hohe Ausfallwahrscheinlichkeit
(Personal, Technik)
-
Datenverlust
(durch Zerstörung oder Manipulation)
-
Vertragsrisiken (z. B. mit Lieferanten)
-
Management,
Organisations- und Prozessrisiken
-
fehlende
Produktinnovation
-
nicht
marktgerechte Preispolitik
Daneben spielen
finanzwirtschaftliche Risiken wie beispielsweise
Zahlungsausfälle oder Zinserhöhungen (etwa durch ein
schlechteres Rating nach Basel II) eine nicht unwesentliche
Rolle bei der Gesamtrisikobetrachtung eines Unternehmens.
Speziell bei
inhabergeführten Unternehmen stellt die nicht geregelte
Unternehmernachfolge ein mögliches Risiko für die
Fortführung dar. Gerade in Deutschland gehört die
Unternehmensnachfolge im Mittelstand immer noch zu den am
stärksten vernachlässigten Bereichen.
Selbst internen
Risiken kann im Unternehmen nicht immer wirksam begegnet
werden. Häufig fehlen die erforderlichen Ressourcen, um die
notwendigen Gegenmaßnahmen zu planen und umzusetzen. Daher
ist es von elementarer Bedeutung, dass der
Risikomanagementprozess und der Planungsprozess aufeinander
abgestimmt werden, denn beide Prozesse ergänzen sich
gegenseitig und sind verzahnt zu behandeln.
Risikomanagementsysteme müssen nicht teuer sein
Die Einführung
eines wirksamen Risikomanagementsystems wird – speziell bei
kleineren Unternehmen – häufig vernachlässigt. Zum einen
fehlt intern vielerorts das methodische Know-how, um ein
solches System aufzubauen, zum anderen herrscht die irrige
Meinung vor, dass Aufbau, Implementierung und Unterhalt
eines solchen Systems sehr teuer ist. Dabei zeigt die
Erfahrung, dass oft mit einigen wenigen Maßnahmen die
Risiken im Unternehmen schnell beherrschbar sind.
Identifizierte
Risiken bewerten
Aus der
unternehmerischen Praxis wissen wir, dass nicht jedes
mögliche Risiko auch nennenswerte Folgen hat, die das
Unternehmen gefährden. Insoweit bedarf es bei der Bewertung
der Risiken einer Kategorisierung nach den Kriterien der
Eintrittswahrscheinlichkeit und des möglichen Schadens.
Die Bewertung
sollte nach einem für das Unternehmen einheitlichen System
(z. B. mit 3 bis 4 Stufen je Kriterium) erfolgen. Die
Eintrittswahrscheinlichkeit kann beispielsweise mit den
Stufen "gering“, "mittel“, "hoch“ und "sehr hoch“
kategorisiert werden, der mögliche Schaden entsprechend,
wobei beim Schaden zwischen materiellem Schaden (Geld) und
immateriellem Schaden (Image) zu unterscheiden ist. In der
Regel führt jedoch ein immaterieller Schaden am Ende stets
zu einem bezifferbaren materiellen Schaden.
Die einzelnen
Stufen sind jeweils mit Kennziffern zu hinterlegen, wie etwa
definierte Geldbeträge bei den einzelnen Schadenstufen. Dies
erfolgt für jedes Unternehmen individuell, für ein
Kleinstunternehmen kann der Betrag von 10.000 € bereits eine
existenzielle Gefährdung darstellen, während ein großer
Mittelständler einen Millionenbetrag relativ leicht
verschmerzen kann.
Abbildung: Risikobewertungsmatrix unterschiedlichen Risiken
Eine geeignete Form der grafischen Darstellung stellt die
sog. Risikobewertungsmatrix dar. Risiken mit hoher
Eintrittswahrscheinlichkeit und hohem Schadenpotenzial sind
mit höchster Priorität zu beobachten und mit Notfallplänen
abzudecken. Für Risiken mit geringer
Eintrittswahrscheinlichkeit und geringem Schadenpotenzial
genügt in der Regel ein laufendes Monitoring.
Aufgrund der
Unterschiedlichkeit von Unternehmen können vergleichbare
Risiken völlig unterschiedliche Auswirkungen haben, weshalb
sich eine solchen Risikobewertungsmatrix auch nicht
verallgemeinern lässt.
Risikoportfolio gewichten und Gegenmaßnahmen festlegen
Gemäß der Färbung
im Risikoportfolio werden die Risiken in Kategorien von
"hoch“ = rot bis "gering“ = grün eingeteilt. Bei der
Erarbeitung von Gegenmaßnahmen sind zunächst Risiken der
Kategorie "hoch“ zu betrachten, da davon auszugehen ist,
dass diese – aufgrund der hohen Eintrittswahrscheinlichkeit
– auch als dringlich zu werten sind.
Für die
verschiedenen Risiken sind dann vorsorglich Maßnahmen zu
definieren, damit die negativen Auswirkungen auf das
Unternehmen möglichst begrenzt bleiben. Eine vollständige
Vermeidung wird allerdings nur selten möglich sein. Manche
Risiken lassen sich überhaupt nicht oder nur in sehr
geringem Maße beeinflussen, wie z. B. der Eintritt eines
neuen Wettbewerbers oder Gesetzesänderungen. Für diese
Risiken gilt grundsätzlich bei der Erstellung der Planung
ein „Worst-Case-Szenario“, d. h. es ist vom „Schlimmsten“
auszugehen, um vorbereitet zu sein.
Die
Risikobewertung sowie die Ableitung geeigneter Maßnahmen
sollten grundsätzlich Teil der strategischen
Unternehmensplanung sein.
Aufbau und
Implementierung
Zahlreiche
gesetzliche Bestimmungen im Aktienrecht, HGB sowie im Gesetz
zur Kontrolle und Transparenz im Unternehmensbereich
(KonTraG) fordern ein betriebliches Risikomanagementsystem.
§ 91 Abs. 1 AktG verlangt "geeignete Maßnahmen zu treffen,
insbesondere ein Überwachungs-System einzurichten, damit den
Fortbestand der Gesellschaft gefährdende Entwicklungen
frühzeitig erkannt werden“. Auch das HGB fordert in § 317
Abs. 4 HGB "für ein angemessenes Risikomanagement und eine
interne Revision Sorge zu tragen“.
Aufbau des
Risikomanagementsystems
Grundlage eines
Risikomanagementsystems ist die Festlegung der
unternehmensspezifischen risikopolitischen Grundsätze, durch
die das Risikobewusstsein aller Mitarbeiter geschärft wird.
Diese sind zu dokumentieren und zu kommunizieren. Dabei ist
sicherzustellen, dass ein einheitliches Verständnis im
Unternehmen herrscht.
Je nach Größe des
Unternehmens gibt es einen eigenen „Risk-Management-Bereich“
oder die Aufgaben werden in Fach- und Personalunion mit
einer anderen Abteilung (z. B. Controlling) wahrgenommen.
Auf jeden Fall ist ein verantwortlicher "Risikomanager“ zu
bestimmen. Von dort aus erfolgen Aufbau und Implementierung
des Risikomanagementsystems sowie die laufende Beratung der
Risikoverantwortlichen sowie die Risikoberichterstattung.
Darüber hinaus
erfolgt dort auch die kontinuierliche Weiterentwicklung des
Risikomanagementsystems (Aufnahme und Bewertung neuer
Risiken) nebst Dokumentation, wie es auch bei
Qualitätsmanagementsystemen üblich ist.
Die operative
Umsetzung des Risikomanagements erfolgt in den
Unternehmensbereichen. Die „Risk-Owner“ tragen im
Wesentlichen die Verantwortung für eine funktionierende
Umsetzung durch Identifikation und schnelle Kommunikation
von Risikosachverhalten in ihrem Bereich.
Ablauf des
Risikomanagementprozesses
Zentrales Element
des Risikomanagementsystems ist der Risikomanagementprozess,
der einen sich wiederholenden Regelkreis darstellt, der auf
der definierten Risikostrategie und den darin festgelegten
Grundsätzen und Zielen basiert und jährlich aktualisiert
werden muss.
Phase 1:
Beschreibung der Risiken
In dieser Phase
werden die Risiken mittels risikoorientierten Analysen der
betrieblichen Prozesse und Funktionsbereiche ermittelt und
beschrieben. Dies erfolgt in der Regel durch Befragungen der
Führungskräfte und Mitarbeiter (Risk-Owner) und durch
Auswertungen einschlägiger Unterlagen. Das Ergebnis dieser
Phase ist ein Risikokatalog für alle betroffenen
Unternehmensbereiche, der eine möglichst detaillierte
Beschreibung der Risiken enthält.
Phase 2:
Quantifizierung und Bewertung der Risiken
In Phase 2 erfolgt
die Quantifizierung der Risiken in
Eintrittswahrscheinlichkeit und Schadensauswirkung. Können
Risiken wertmäßig nicht exakt beziffert werden, sind sie zu
schätzen (in diesem Fall sind die Prämissen und Annahmen der
Schätzung zu dokumentieren).
Die Verknüpfung
von Schadenseintrittswahrscheinlichkeit und
Schadensauswirkung ergibt das eigentliche Risikoausmaß.
Quantifizierte und geschätzte Risiken werden anschließend
einer Einteilung in Klassen unterzogen (z. B. in leichte,
mittlere oder Existenz gefährdende Risiken).
Die ermittelten
Werte der klassifizierten Risiken haben keine
Allgemeingültigkeit, sondern sind unternehmensspezifisch in
ihren Auswirkungen. Allerdings haben Existenz gefährdende
Risiken bei allen Unternehmen eines gemeinsam: Eine
Unternehmensfortführung ist bei Realisierung dieser Risiken
als unwahrscheinlich anzusehen.
Phase 3:
Risikosteuerung und Risikokontrolle sowie Berichtswesen
Die Phase 3 des
Risikomanagementprozesses beinhaltet die Überwachung und
Kontrolle des Prozesses als Ganzem sowie der abgeleiteten
Gegenmaßnahmen. Dies erfolgt mittels Instrumenten interner
Kontrollsysteme und der Entwicklung eines betrieblichen
Frühwarnsystems. Der Risikomanager hat dabei die Aufgabe,
diese Instrumente aufzubauen und zu koordinieren.
Der
Risikomanagementprozess erfolgt in der Regel top-down, d.h.
von der Geschäftsführung über den Risikomanager bis zu den
operativen Bereichen (Risk-Owner). Vorgaben sind von der
Geschäftsführung anzuweisen und von den nachgelagerten
Stellen umzusetzen. Die Berichterstattung dagegen läuft
meist von unten nach oben (bottom-up), indem die
Informationen vom Risk-Owner (operative Einheit) über den
Risikomanager bis hin zur Geschäftsführung verdichtet
werden.
Dieser Prozess ist
kontinuierlich im Unternehmen anzuwenden, um neue Risiken zu
erkennen und diesen wirksam zu begegnen.
Über den
Autor
Eckart Achauer, Jurist, Dipl.-Betriebswirt, MBA, ist – nach
langjähriger international ausgerichteter Tätigkeit in
verschiedenen leitenden Funktionen bei einem Schweizer
Versicherungskonzern – seit Mitte der Neunziger Jahre als
Managementberater und Interimsmanager tätig.
Seine
thematischen Schwerpunkte sind Organisations- und
Prozessoptimierung, Risiko-, Qualitäts- und
Projektmanagement sowie die Sanierung/ Restrukturierung von
Unternehmen. Sein Branchenfokus liegt auf der
Energiewirtschaft, dem Handel und dem Dienstleistungssektor.
Zu seinen Kunden zählen Unternehmen des Mittelstands im In-
und Ausland sowie Dax-30-Unternehmen in Deutschland.
Im Rahmen
seiner Fortbildung hat sich Eckart Achauer zum European
Quality Manager und EFQM-Assessor qualifiziert. 2008 folgte
die Ausbildung zum Mediator mit Schwerpunkt
Wirtschaftsmediation.
Er ist
Geschäftsführer der AGAMON Consulting GmbH, Berlin. |