Jede unternehmerische Entscheidung birgt grundsätzlich Risiken in sich. Ein wirksames Risikomanagementsystem ist daher die Grundlage einer jeden Unternehmenssicherung.
Von Dipl.-Bw. Eckart Achauer, MBA – 16.05.2014
Risiken können sowohl intern als auch extern begründet sein. Manche sind unbedeutend, andere können Existenz bedrohend sein. Manche Risiken haben kurzfristige Auswirkungen, andere entfalten ihre negative Wirkung erst nach einem längeren Zeitraum. Alle Risiken haben – trotz ihrer Unterschiedlichkeit – eines gemeinsam: Sie müssen rechtzeitig erkannt und identifiziert werden, um ihrer negativen Wirkung entgegen zu treten.
Um mit den vielfältigen Risiken und ihren sehr unterschiedlichen potenziellen Auswirkungen richtig umzugehen, bedarf es daher eines Systems, mit dem alle internen und externen Risiken regelmäßig und systematisch identifiziert, erfasst und bewertet werden. Die anschließende Priorisierung ergibt sich aus der Kombination der möglichen Schadenshöhe und der Eintrittswahrscheinlichkeit des Schadens.
Externe und interne Risiken
Externe Risiken ergeben sich für das Unternehmen durch Faktoren, die nicht unmittelbar beeinflusst werden können, wie z. B. Veränderungen bei Markt, Wettbewerb und Konjunktur sowie technologischer und rechtlicher Bedingungen. Die jüngste Wirtschaftskrise hat dies deutlich gezeigt: Zwei Jahre danach kämpfen noch viele Unternehmen mit deren Auswirkungen.
Auch Veränderungen der rechtlichen und steuerlichen Umfeldbedingungen zählen zu den externen Risiken, wie die geplanten Abgaben auf Flugtickets oder die Brennelemente-Steuer zeigen.
Interne Risiken sind steuerbar
Im Unterschied zu den externen Risiken sind die internen Risiken durch operative Entscheidungen und Handlungen des Unternehmens direkt beeinflussbar und steuerbar. Interne Risiken resultieren aus der Leistungserstellung inklusiv Beschaffung, aus dem finanzwirtschaftlichen Bereich, aus dem Personalwesen, aus der Organisation (Aufbau- und Ablauforganisation) und der Leitung des Unternehmens. Gefahrenquellen können hier z. B. sein:
– geringe Auslastung bzw. hohe Ausfallwahrscheinlichkeit (Personal, Technik)
– Datenverlust (durch Zerstörung oder Manipulation)
– Vertragsrisiken (z. B. mit Lieferanten)
– Management, Organisations- und Prozessrisiken
– fehlende Produktinnovation
– nicht marktgerechte Preispolitik
Daneben spielen finanzwirtschaftliche Risiken wie beispielsweise Zahlungsausfälle oder Zinserhöhungen (etwa durch ein schlechteres Rating nach Basel II) eine nicht unwesentliche Rolle bei der Gesamtrisikobetrachtung eines Unternehmens.
Speziell bei inhabergeführten Unternehmen stellt die nicht geregelte Unternehmernachfolge ein mögliches Risiko für die Fortführung dar. Gerade in Deutschland gehört die Unternehmensnachfolge im Mittelstand immer noch zu den am stärksten vernachlässigten Bereichen.
Selbst internen Risiken kann im Unternehmen nicht immer wirksam begegnet werden. Häufig fehlen die erforderlichen Ressourcen, um die notwendigen Gegenmaßnahmen zu planen und umzusetzen. Daher ist es von elementarer Bedeutung, dass der Risikomanagementprozess und der Planungsprozess aufeinander abgestimmt werden, denn beide Prozesse ergänzen sich gegenseitig und sind verzahnt zu behandeln.
Risikomanagementsysteme müssen nicht teuer sein
Die Einführung eines wirksamen Risikomanagementsystems wird – speziell bei kleineren Unternehmen – häufig vernachlässigt. Zum einen fehlt intern vielerorts das methodische Know-how, um ein solches System aufzubauen, zum anderen herrscht die irrige Meinung vor, dass Aufbau, Implementierung und Unterhalt eines solchen Systems sehr teuer ist. Dabei zeigt die Erfahrung, dass oft mit einigen wenigen Maßnahmen die Risiken im Unternehmen schnell beherrschbar sind.
Identifizierte Risiken bewerten
Aus der unternehmerischen Praxis wissen wir, dass nicht jedes mögliche Risiko auch nennenswerte Folgen hat, die das Unternehmen gefährden. Insoweit bedarf es bei der Bewertung der Risiken einer Kategorisierung nach den Kriterien der Eintrittswahrscheinlichkeit und des möglichen Schadens.
Die Bewertung sollte nach einem für das Unternehmen einheitlichen System (z. B. mit 3 bis 4 Stufen je Kriterium) erfolgen. Die Eintrittswahrscheinlichkeit kann beispielsweise mit den Stufen “gering”, “mittel”, “hoch” und “sehr hoch” kategorisiert werden, der mögliche Schaden entsprechend, wobei beim Schaden zwischen materiellem Schaden (Geld) und immateriellem Schaden (Image) zu unterscheiden ist. In der Regel führt jedoch ein immaterieller Schaden am Ende stets zu einem bezifferbaren materiellen Schaden.
Die einzelnen Stufen sind jeweils mit Kennziffern zu hinterlegen, wie etwa definierte Geldbeträge bei den einzelnen Schadenstufen. Dies erfolgt für jedes Unternehmen individuell, für ein Kleinstunternehmen kann der Betrag von 10.000 EUR bereits eine existenzielle Gefährdung darstellen, während ein großer Mittelständler einen Millionenbetrag relativ leicht verschmerzen kann.
Eine geeignete Form der grafischen Darstellung stellt die sog. Risikobewertungsmatrix dar. Risiken mit hoher Eintrittswahrscheinlichkeit und hohem Schadenpotenzial sind mit höchster Priorität zu beobachten und mit Notfallplänen abzudecken. Für Risiken mit geringer Eintrittswahrscheinlichkeit und geringem Schadenpotenzial genügt in der Regel ein laufendes Monitoring.
Aufgrund der Unterschiedlichkeit von Unternehmen können vergleichbare Risiken völlig unterschiedliche Auswirkungen haben, weshalb sich eine solchen Risikobewertungsmatrix auch nicht verallgemeinern lässt.
Risikoportfolio gewichten und Gegenmaßnahmen festlegen
Gemäß der Färbung im Risikoportfolio werden die Risiken in Kategorien von “hoch” = rot bis “gering” = grün eingeteilt. Bei der Erarbeitung von Gegenmaßnahmen sind zunächst Risiken der Kategorie “hoch” zu betrachten, da davon auszugehen ist, dass diese – aufgrund der hohen Eintrittswahrscheinlichkeit – auch als dringlich zu werten sind.
Für die verschiedenen Risiken sind dann vorsorglich Maßnahmen zu definieren, damit die negativen Auswirkungen auf das Unternehmen möglichst begrenzt bleiben. Eine vollständige Vermeidung wird allerdings nur selten möglich sein. Manche Risiken lassen sich überhaupt nicht oder nur in sehr geringem Maße beeinflussen, wie z. B. der Eintritt eines neuen Wettbewerbers oder Gesetzesänderungen. Für diese Risiken gilt grundsätzlich bei der Erstellung der Planung ein “Worst-Case-Szenario”, d. h. es ist vom “Schlimmsten” auszugehen, um vorbereitet zu sein.
Die Risikobewertung sowie die Ableitung geeigneter Maßnahmen sollten grundsätzlich Teil der strategischen Unternehmensplanung sein.
Aufbau und Implementierung
Zahlreiche gesetzliche Bestimmungen im Aktienrecht, HGB sowie im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) fordern ein betriebliches Risikomanagementsystem. § 91 Abs. 1 AktG verlangt “geeignete Maßnahmen zu treffen, insbesondere ein Überwachungs-System einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkannt werden”. Auch das HGB fordert in § 317 Abs. 4 HGB “für ein angemessenes Risikomanagement und eine interne Revision Sorge zu tragen”.
Aufbau des Risikomanagementsystems
Grundlage eines Risikomanagementsystems ist die Festlegung der unternehmensspezifischen risikopolitischen Grundsätze, durch die das Risikobewusstsein aller Mitarbeiter geschärft wird. Diese sind zu dokumentieren und zu kommunizieren. Dabei ist sicherzustellen, dass ein einheitliches Verständnis im Unternehmen herrscht.
Je nach Größe des Unternehmens gibt es einen eigenen “Risk-Management-Bereich” oder die Aufgaben werden in Fach- und Personalunion mit einer anderen Abteilung (z. B. Controlling) wahrgenommen. Auf jeden Fall ist ein verantwortlicher “Risikomanager” zu bestimmen. Von dort aus erfolgen Aufbau und Implementierung des Risikomanagementsystems sowie die laufende Beratung der Risikoverantwortlichen sowie die Risikoberichterstattung.
Darüber hinaus erfolgt dort auch die kontinuierliche Weiterentwicklung des Risikomanagementsystems (Aufnahme und Bewertung neuer Risiken) nebst Dokumentation, wie es auch bei Qualitätsmanagementsystemen üblich ist.
Die operative Umsetzung des Risikomanagements erfolgt in den Unternehmensbereichen. Die “Risk-Owner” tragen im Wesentlichen die Verantwortung für eine funktionierende Umsetzung durch Identifikation und schnelle Kommunikation von Risikosachverhalten in ihrem Bereich.
Ablauf des Risikomanagementprozesses
Zentrales Element des Risikomanagementsystems ist der Risikomanagementprozess, der einen sich wiederholenden Regelkreis darstellt, der auf der definierten Risikostrategie und den darin festgelegten Grundsätzen und Zielen basiert und jährlich aktualisiert werden muss.
Phase 1: Beschreibung der Risiken
In dieser Phase werden die Risiken mittels risikoorientierten Analysen der betrieblichen Prozesse und Funktionsbereiche ermittelt und beschrieben. Dies erfolgt in der Regel durch Befragungen der Führungskräfte und Mitarbeiter (Risk-Owner) und durch Auswertungen einschlägiger Unterlagen. Das Ergebnis dieser Phase ist ein Risikokatalog für alle betroffenen Unternehmensbereiche, der eine möglichst detaillierte Beschreibung der Risiken enthält.
Phase 2: Quantifizierung und Bewertung der Risiken
In Phase 2 erfolgt die Quantifizierung der Risiken in Eintrittswahrscheinlichkeit und Schadensauswirkung. Können Risiken wertmäßig nicht exakt beziffert werden, sind sie zu schätzen (in diesem Fall sind die Prämissen und Annahmen der Schätzung zu dokumentieren).
Die Verknüpfung von Schadenseintrittswahrscheinlichkeit und Schadensauswirkung ergibt das eigentliche Risikoausmaß. Quantifizierte und geschätzte Risiken werden anschließend einer Einteilung in Klassen unterzogen (z. B. in leichte, mittlere oder Existenz gefährdende Risiken).
Die ermittelten Werte der klassifizierten Risiken haben keine Allgemeingültigkeit, sondern sind unternehmensspezifisch in ihren Auswirkungen. Allerdings haben Existenz gefährdende Risiken bei allen Unternehmen eines gemeinsam: Eine Unternehmensfortführung ist bei Realisierung dieser Risiken als unwahrscheinlich anzusehen.
Phase 3: Risikosteuerung und Risikokontrolle sowie Berichtswesen
Die Phase 3 des Risikomanagementprozesses beinhaltet die Überwachung und Kontrolle des Prozesses als Ganzem sowie der abgeleiteten Gegenmaßnahmen. Dies erfolgt mittels Instrumenten interner Kontrollsysteme und der Entwicklung eines betrieblichen Frühwarnsystems. Der Risikomanager hat dabei die Aufgabe, diese Instrumente aufzubauen und zu koordinieren.
Der Risikomanagementprozess erfolgt in der Regel top-down, d.h. von der Geschäftsführung über den Risikomanager bis zu den operativen Bereichen (Risk-Owner). Vorgaben sind von der Geschäftsführung anzuweisen und von den nachgelagerten Stellen umzusetzen. Die Berichterstattung dagegen läuft meist von unten nach oben (bottom-up), indem die Informationen vom Risk-Owner (operative Einheit) über den Risikomanager bis hin zur Geschäftsführung verdichtet werden.
Dieser Prozess ist kontinuierlich im Unternehmen anzuwenden, um neue Risiken zu erkennen und diesen wirksam zu begegnen.
AGAMON Consulting GmbH ist eine Managementberatungsgesellschaft, die sich auf Organisations- und Prozessoptimierung, Risiko- und Qualitätsmanagement, Compliance Management sowie Projektmanagement spezialisiert hat. Die Gesellschaft hat ihren Sitz in Berlin und arbeitet bundes- und europaweit.
AGAMON Consulting GmbH
Achauer Eckart
Friedrichstr. 171
10117 Berlin
+49 (0)172 919 11 59
eckart.achauer@agamon-consulting.de
http://www.agamon-consulting.de