In Großunternehmen ist ein effektives institutionalisiertes Risikomanagement gang und gäbe, kleine und mittelständische Unternehmen hinken häufig noch deutlich hinterher. Die Unternehmensleiter sehen es eher als Aufgabe der operativen Bereiche, nicht als eine Aufgabe der Geschäftsführung an.
Jedoch betreffen die wesentlichen ökonomischen Herausforderungen und Veränderungen unserer Zeit alle Unternehmen: kurze Produktlebenszyklen, schwer prognostizierbare Veränderungen im Kaufverhalten der Kunden, steigende Wettbewerbsintensität und neue Player am Markt, welche mit disruptiven Ideen ganze Branchen bedrohen. Nur wer Märkte beobachtet, Analysen auswertet und Kunden befragt, kann Risiken und Chancen ausloten und strategische Anpassungen vornehmen.
Erkennen, beobachten und bewerten externer Risiken wie Kundenwünsche oder Marktentwicklung bilden die Grundlage jeder erfolgreichen Weiterentwicklung des Geschäftsfeldes mit seinen Services und Produkten. Entsprechende Frühwarnsysteme sind von entscheidender Bedeutung für die Zukunftssicherheit und Existenz eines Betriebes. Ein gutes Risikomanagementsystem sollte immer die individuellen Strukturen, Prozesse, den Betrieb und die Projekte des Unternehmens abbilden. Doch wie definiert sich Risikomanagement überhaupt und wie gestaltet sich der fortlaufende Prozess?
Risikomanagement - eine Definition
Jede unternehmerische Tätigkeit bedeutet ein Wagnis. Die Messung und Steuerung aller Risiken bezüglich der relevanten Themen, Prozesse und Systeme im Unternehmen wird als Risikomanagement bezeichnet. Hier geht es zusammengefasst um das planmäßige und systematische Identifizieren, Analysieren und Bewerten von Risiken in einer Organisation.
Es handelt sich jedoch um keinen abgeschlossenen Prozess, sondern um einen fortlaufenden, der immer wieder von Neuem beginnt. Mithilfe des Risikomanagements soll die Führungsebene Risiken, die den Erfolg oder Bestand der Organisation gefährden können, frühzeitig erkennen und bewältigen - und das bei gleichzeitiger Optimierung des Ertrages.
Diese Managementaufgaben sind Teil der Unternehmensführung. Ziel ist dabei aber nie die Eliminierung sämtlicher Risiken, da sonst auch erfolgsversprechende Chancen verpasst werden könnten. Es geht vielmehr darum, ein optimales Verhältnis zwischen Chancen und Risiken zu finden. Um die risikorelevanten Unternehmensbereiche identifizieren und systematisch erfassen zu können, ist die Implementierung eines Risikomanagements unabdingbar.
Neben dem im ganzen Unternehmen verankerten Prozess gibt es noch das Risikomanagement als Teildisziplin im Rahmen des Projektmanagements. Die Notwendigkeit eines Risikomanagements ergibt sich auch aus einer Reihe gesetzlicher Bestimmungen. Durch die Regelungen des 1998 in Kraft getretenen Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich ist die Bedeutung eines institutionalisierten Risikomanagements besonders hervorgehoben. So hat die Führungsebene nach § 91 II AktG "geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden". Diese Verpflichtung umfasst den Betrieb eines dazugehörigen entsprechenden Systems, das sich am allgemeinen Führungsprozess orientiert und in einzelne Phasen unterteilbar ist.
Wie läuft ein Risikomanagementprozess ab?
Über die gesamte Lebensdauer einer Organisation kommt der Risikomanagementprozess zur Anwendung und lässt eine Kultur der Risikolenkung entstehen. Für die praktische, nachhaltige Umsetzung ist es unerlässlich, dass der Risikomanagementprozess in der Organisation verankert ist, die notwendige Risikoaffinität bei den Mitarbeitern ausgebildet wird und sich Risikomanagement so zu einem Teil der Unternehmenskultur zu entwickeln. Der Prozess beschreibt einen dynamischen Vorgang, der sich in Teilprozesse aufspaltet. Grundsätzlich lassen sich die vier Phasen der Risikoidentifikation, -bewertung, -steuerung/-planung und -kontrolle unterscheiden.
Wie funktioniert die Risikoidentifikation?
Im ersten Schritt des Risikomanagementprozesses werden alle möglichen aktuellen sowie zukünftigen Risiken identifiziert und anschließend systematisiert. Diese Identifikation bildet die Grundlage für einen effektiven Umgang mit Risikopotenzialen. Ihr Ergebnis ist entscheidend für die folgenden Prozessschritte. Abhängig von den unternehmerischen Besonderheiten zeigen sich die Risikoarten und ihre jeweilige Bedeutung für die Existenz des Unternehmens. Zahlreiche Instrumente helfen, die Risiken zu identifizieren. Beispiel dafür sind:
Unternehmens- und Umweltanalysen,
Befragungen der Mitarbeiter,
Fehlerbaum- oder Flow-Chart-Analysen
Mithilfe einer abgestimmten Systematik lassen sich Risiken besser einordnen. Bei externen Risiken handelt es sich beispielsweise um Ereignisse oder Gegebenheiten, die außerhalb des Unternehmens ihren Ursprung haben, aber beim Auftreten Schäden anrichten können. Dies betrifft etwa Naturgewalten, wie mögliche Verluste durch Überflutung oder Erdbeben. Auch politische Gegebenheiten gehören zu dieser Kategorie. Hier stellt sich die Frage, in welchem Ausmaß das Unternehmen den Veränderungen politischer Rahmenbedingungen ausgesetzt ist.
Daneben gibt es leistungswirtschaftliche Risiken, die Gefahren innerhalb der gesamten Wertschöpfungskette beschreiben: in erster Linie durch den Herstellungsprozess von Gütern und Dienstleistungen und deren Nutzung an den Märkten. Finanzwirtschaftliche Risiken betreffen die Liquidität und Rentabilität des Unternehmens - hierzu gehören Verluste, die durch die Unsicherheit zukünftiger Zahlungsströme eintreten können. Sie lassen sich wiederum in Marktpreis-, Schuldnerbonität- und Liquiditätsrisiken aufteilen. Diese Risiken beschäftigen sich mit den möglichen negativen Entwicklungen der Marktpreise auf die Produkte des Unternehmens, dem Einhalten des Zahlungsziels seitens der Kunden und dem Finanzierungsspielraum des Betriebes.
Bei finanzwirtschaftlicher Betrachtung überlappen interne und externe Risiken. Aber auch aus der Unternehmensorganisation wie etwa aus der Corporate Governance können Gefahren entstehen. Um dauerhaften Erfolg zu gewährleisten, muss die Organisation so aufgebaut sein, dass die Umsetzung strategischer Entscheidungen schnell und effizient abläuft. Genauso wichtig hierbei: der Führungsstil. Die hiermit verbundenen Risiken können sich etwa in einer hohen Mitarbeiterfluktuation niederschlagen.
Genauso können Unsicherheiten aus der Unternehmenskultur oder der internen Kommunikation erwachsen. Ein wichtiger Anhaltspunkt hierbei ist, ob die Mitarbeiter sich genügend mit dem Unternehmen identifizieren und eine ausreichende Teamfähigkeit besitzen. Bei den beschriebenen Risiken handelt es sich allerdings nur um Beispiele, das Spektrum der Risikoarten ist wesentlich größer und gestaltet sich individuell von Unternehmen zu Unternehmen unterschiedlich.
Wozu dient die Risikoanalyse und -bewertung?
Nach der Identifizierung der Gefahren folgt im Risikomanagementprozess ihre Bewertung. Hierbei geht es darum, die Auswirkungen auf die Unternehmung möglichst genau abzuschätzen. Als Maßstäbe fungieren einerseits die Eintrittswahrscheinlichkeit und andererseits die mögliche Schadenshöhe sowie die Eintrittsnähe.
Eine realistische Einschätzung kann aber nur mit ausreichend Daten gelingen. Dabei kommen quantitative und qualitative Messverfahren zum Einsatz. Zu den quantitativen Ansätzen zählen die analytischen Herangehensweisen wie etwa die Value-at-Risk-Methode oder Simulationsverfahren, wie beispielsweise die Monte-Carlo-Simulation. Da mit diesen Methoden anhand von Vergangenheitsdaten Aussagen über die Zukunft getroffen werden, sollte die Auswahl der Herangehensweisen stets unter Berücksichtigung der unternehmerischen Besonderheiten sowie des Aufwand-Nutzen-Aspekts stattfinden.
Nicht direkt messbare Risiken lassen sich mit qualitativen Methoden wie etwa mithilfe von Scoring-Modellen erfassen. Nach der Risikobewertung erfolgen die Analyse der Ergebnisse sowie die Ableitung der Handlungsmaßnahmen. Die Analyse zeigt sich dabei stark abhängig von der Risikosensibilität des Unternehmens. Risiken können nach dem Schadensgrad in folgende Kategorien unterteilt werden:
Kritische Risiken, die den Fortbestand der Unternehmung gefährden können.
Wichtige Risiken, die zu kurzfristigen Kapitalmaßnahmen führen können, um die Geschäftstätigkeit aufrechtzuerhalten.
Weniger wichtige Risiken, die keine Maßnahmen erfordern und sich aus dem laufenden Geschäft heraus bewältigen lassen.
Häufig ergibt sich aus dem Zusammenspiel wenig wichtiger einzelner Risiken im Ergebnis ein kritisches Risiko, sodass andere Maßnahmen der Risikosteuerung erforderlich werden.
Was beinhaltet die Risikosteuerung und -strategie?
Im Risikomanagementprozess folgt nach der Bewertung der Risikopotenziale die Bestimmung der nötigen Handlungsmaßnahmen für jede Kategorie. Dieser Vorgang, auch als Risikosteuerung bezeichnet, beschäftigt sich mit der Fragestellung, welche Maßnahmen durchzuführen sind, um die analysierten Risiken zu steuern. Sechs verschiedene Behandlungen von Bedrohungen stehen dabei zur Verfügung: vermeiden, reduzieren, der Eventualfall, übertragen, akzeptieren oder teilen.
Um die Instrumente für eine erfolgreiche Risikosteuerung durchzuführen, muss eine Risikostrategie entwickelt werden. Die Risikomanagementstrategie leitet sich stets von der Unternehmensstrategie ab und beschreibt die Ziele und das Verfahren des Risikomanagements. Auch Rollen und Verantwortlichkeiten regelt die Strategie. Kernaufgabe sind außerdem die Definition von Werkzeugen, Techniken und die Anforderungen an das Berichtwesen. Darüber hinaus legt die Strategie auch die Risikotoleranzen und die Risikosensibilität beziehungsweise -bereitschaft fest.
Risikosensibilität beschreibt dabei die Bereitschaft einer Organisation, Risiken einzugehen und legt die Schwellwerte fest, aus denen sich ergibt, welche Auswirkungen als kritisch zu betrachten sind. Ziel jeder Risikostrategie ist es, jede Gefährdung des Business bzw. des Fortbestands des Unternehmens zu begrenzen und zu senken. Um ein Vermeiden der Bedrohung zu erreichen, sind immer Änderungen im Projekt und im Tagesgeschäft notwendig, wie etwa die Änderung eines Prozesses, der Umfangs eines Projektes, der Austausch eines Lieferanten oder die IT Sicherheitsmaßnahmen, sodass die potenzielle Gefahr nicht mehr besteht oder beim Eintritt eines Risikos nur geringe Auswirkungen zu befürchten sind.
Reduzieren lassen sich Risiken, indem proaktive Maßnahmen ergriffen werden, um die Wahrscheinlichkeit zu verringern, dass die Bedrohung eintritt oder um die Folgen eines eintretenden Ereignisses zu verringern. Beispielsweise kann durch Marktforschungen ermittelt werden, ob ein Produkt überhaupt Interesse bei potenziellen Käufern weckt. Die reaktive Form der Behandlung "Reduzieren" wird auch als Eventualplan bezeichnet. Hiermit lassen sich alle Maßnahmen beschreiben, die bei Eintreten des Risikos zu ergreifen sind, um die Auswirkungen zu verringern. Diese Behandlung hat allerdings keine Auswirkungen auf die Risikowahrscheinlichkeit.
Weiterhin ist auch das Übertragen eine mögliche Behandlung einer Bedrohung: Eine dritte Partei übernimmt in diesem Fall einen Teil der Verantwortung für die finanziellen Auswirkungen des Risikos. Dies kann etwa in Form einer Versicherungspolice oder bestimmter Vertragsklauseln geschehen. Hierbei handelt es sich um eine Form der Behandlung "Reduzieren", die aber nur die finanziellen Auswirkungen abfedern kann.
Eine eher passive Risikobehandlung ist die des Akzeptierens, auch als sogenannte Nulloption bezeichnet: Dabei wird bewusst die Entscheidung getroffen, das Risiko in Kauf zu nehmen. Dennoch steht die Bedrohung weiterhin unter Beobachtung, damit sichergestellt ist, dass dieses Risiko tragbar bleibt. Bei der sechsten Behandlung, der Risikoverteilung, kommt häufig ein "Gain-Pain-Sharing-Modell" zum Einsatz. Beide unternehmerisch-verknüpften Parteien teilen sich bis zu einem vorher vereinbarten Punkt Gewinn und auch mögliche Schäden.
Die Auswahl der Maßnahmen zur Risikostrategie richten sich nicht nur nach den identifizierten und bewerteten Risiken, sondern muss auch im Einklang mit der Unternehmenskultur stehen. Durch die unterschiedlichen Strategien lässt sich im besten Fall das Verhältnis von Chancen und Risiken aktiv ausgleichen. Um sicherzustellen, dass alle Risiken adäquat gemanaged werden, muss das Risikomanagementverfahren fortlaufend im Unternehmen kommuniziert und aktiv durchlaufen werden.
Implementieren eines Risikomanagementverfahrens
Die Implementierung eines Risikomanagementverfahrens bedeutet einerseits die Durchführung der freigegebenen Maßnahmen zur Eindämmung der Bedrohungen und andererseits die Überwachung der Effektivität dieser, sowie das Ergreifen von Korrekturmaßnahmen, sobald der Erfolg einer Maßnahme nicht mit den Erwartungen übereinstimmt. Eine turnusmäßige Risikokontrolle soll gewährleisten, dass die tatsächliche Risikosituation des Betriebes mit der vorausgesagten übereinstimmt.
Identifizierte Gefahren müssen kontinuierlich über den ganzen Risikomanagementprozess hinweg überwacht werden, um etwaige Veränderungen berücksichtigen zu können. Damit dies effektiv kontrolliert werden kann, sollte ein Berichtswesen in der Unternehmung implementiert sein, das die Risikosituation aufzeigt, die Risiken zeitlich einordnet und einen Gesamtüberblick ermöglicht. Denn neben der Beobachtung der potenziellen Risiken sollte auch stets die Qualität und Funktionsfähigkeit des Risikomanagements sowie die Adäquanz der eingesetzten Instrumente überwacht und sichergestellt werden.
Ein wichtiger Teil des Implementierungsvorganges ist auch die Zuweisung von Rollen und Verantwortlichkeiten, damit die Zuständigen die nötige Unterstützung bei der Behandlung der Risiken bekommen. Folgende Rollen müssen während des Risikomanagementverfahrens besetzt werden: Der Risikoeigentümer ist eine Person, die für die Überwachung und Kontrolle eines bestimmten Risikos verantwortlich ist. Er oder sie ist im Wesentliche für die Beobachtung eines identifizierten Risikos verantwortlich und auch für die Ergreifung von Maßnahmen zur Eindämmung von Gefahren zuständig.
Die zweite Rolle ist die des Risikobearbeiters - eine mit der Ergreifung einer oder mehrerer Maßnahmen zur Behandlung eines bestimmten Risikos oder einer Risikogruppe beauftragte Person, die den Risikoeigentümer unterstützt und Weisungen von diesem entgegen nimmt. In vielen Unternehmen werden die beiden Rollen für entsprechende Risiken bzw. Risikogruppen in Personalunion ausgeführt. Nicht zu vernachlässigen ist eine prozessbegleitende Risikokommunikation, die die rechtzeitige Weiterleitung der relevanten Informationen an die jeweils Verantwortlichen sicherstellt und gleichzeitig das Risikobewusstsein innerhalb des Unternehmens stärken soll.
Welche Rolle spielt die Risikowahrnehmung?
Neben Softwareprogrammen sind oft Expertenmeinungen zur Einschätzung eines Risikos gefragt. Die Urteile von Experten genießen zu Recht Vertrauen - werden jedoch auch gern überschätzt. In diesem Zusammenhang lohnt ein Blick auf die vermeintliche Objektivität solcher interner Einschätzungen. Bei der Beurteilung, wie relevant und wahrscheinlich ein Risiko ist, spielen nämlich auch psychologische Aspekte eine bedeutende Rolle. Die Wahrnehmung von Risiken zeigt sich abhängig von persönlichen Erfahrungen, Erziehung, Moralvorstellung oder dem Bildungshintergrund. Es scheint nahezu unmöglich, eine Risikoeinschätzung rein rational und objektiv vorzunehmen. Die Theorie vom Homo oeconomicus, dem wirtschaftlich rational handelnden Menschen, scheint veraltet. Denn: Nahezu alle Entscheidungen werden intuitiv gefällt. Je leichter Informationen über Risiken verfügbar sind, desto wahrscheinlicher erscheinen sie. Präsente Risiken schätzen Beteiligte mit einer höheren Eintrittswahrscheinlichkeit ein, obwohl die Fakten dagegen sprechen. Die persönliche Einschätzung eines Risikos variiert stark, daher müssen Unternehmen Risiken mithilfe eines Managementprozesses erfassen, um abschließend die Eintrittswahrscheinlichkeiten abzuschätzen.
Gemeinsame Risikokultur
Zusammenfassend gilt: Ein gut strukturierter und methodisch aufgebauter Risikomanagementprozess generiert einen immensen Mehrwert für jedes Unternehmen. Er liefert nicht nur Daten zu möglichen Risiken, sondern sensibilisiert für die Stellschrauben, an denen die Unternehmensführung noch drehen kann. Ein weiterer Vorteil: Die Planungssicherheit verbessert sich bei gleichzeitiger Reduzierung der Risikokosten. Besteht eine gemeinsame Risikokultur, bleibt der Prozess über lange Zeit hinweg lebendig. Allerdings müssen Methoden und Analysen stets auf die Unternehmensgegebenheiten abgestimmt werden. Als fortlaufender Prozess gedacht, bildet das Risikomanagement eine wichtige Säule für jedes Unternehmen - vom Kleinstbetrieb bis zum internationalen Großkonzern. (bw)
Lesetipp: Was ist Risk Management?