Risikomanagement umfasst den wesentlichen Teil einer vorausschauenden Unternehmensführung. Der „Deutsche Corporate Governance Kodex“ mit Stand von 2022 fordert in seinem vierten Grundsatz sogar explizit „einen verantwortungsvollen Umgang mit den Risiken der Geschäftstätigkeit“ und mahnt an der Stelle zu einem angemessenen und wirksamen internen Kontroll- und Risikomanagementsystem. Hierzu wird mit Blick auf Angemessenheit und Wirksamkeit die interne Kontrolle dieser Systeme vorausgesetzt.
Letztlich geht es beim Risikomanagement um den Umgang mit Wagnissen und deren möglichen Auswirkungen in Bezug auf ihr Eintreffen sowie ihre potenziell negative Wirksamkeit. Dazu gehört die Risikoidentifikation und die Bewertung von Risiken und der Schadenshöhe mit zu den Hauptaufgaben dieses Management. Ein umfassendes Risikomanagement bezieht dazu geschäftsbezogene Entscheidungen, Handlungen, Prozesse sowie Zu- und Umstände ein, aus denen sich nachteilige Gefahren für die Organisation ergeben können. Manche solcher Gefahren haben das Potenzial, sich im Zeitverlauf in möglichen Einbußen, Verlusten oder nachhaltigen Schäden zu manifestieren.
Entscheidungstheoretische Grundlagen des Risikomanagements
Organisationen und Unternehmen müssen im Rahmen ihrer zielgerichteten Tätigkeiten kontinuierlich Entscheidungen treffen. Die sich daraus ergebenden Handlungen sind in ihrer Konsequenz nie gänzlich ohne Risiken verbunden, weil deren Auswirkungen nicht zu 100 Prozent vorhersehbar sind. Die Entscheidungstheorie postuliert in dem Zusammenhang drei grundlegende Kategorien:
- Entscheidungen bei Sicherheit
- Entscheidungen unter Unsicherheit
- Entscheidungen bei Risiko
Entscheidungen bei Sicherheit
Selbst Entscheidungen bei Sicherheit beinhalten immer auch noch ein gewisses Restrisiko, welches an der Stelle jedoch als sehr gering eingestuft wird. Entweder weil bereits eine ausreichende Anzahl an Erfahrungs- und Vergleichswerten vorliegt oder aber, weil die möglichen Konsequenzen einer Entscheidung von nur geringer Tragweite sind.
Entscheidungen unter Unsicherheit
Bei Entscheidungen unter Unsicherheit ist zwar entscheidungstheoretisch das Entscheidungsfeld in Form von möglichen Alternativen einer Handlung sowie deren Ergebnisse und möglichen Umweltzuständen bekannt, jedoch herrscht über die Eintrittswahrscheinlichkeit dieser Umweltzustände Ungewissheit. Unter Anwendung unterschiedlicher Entscheidungsregeln (z.B. Minimax-Regel, Maximax-Regel, Hurwicz-Regel, Laplace-Regel, Savage-Niehans-Regel) wird in Folge das weitere Vorgehen bestimmt.
Entscheidungen unter Risiko
Entscheidungen unter Risiko zeichnen sich innerhalb dieser Kategorisierung dadurch aus, dass auch hier zu erwartende Umstände mit unterschiedlichen Wahrscheinlichkeiten eintreten werden. Diese Eintrittswahrscheinlichkeiten sind den Entscheidungsträgern (zumindest entscheidungstheoretisch) aber im Unterschied zu Entscheidungen unter Unsicherheit im Vorfeld bekannt. In der Praxis stellen sich Entscheidungssituationen aufgrund oftmals komplexer und komplizierter Zusammenhänge (siehe auch Stacey-Matrix) etwas schwieriger dar. Somit können konkret angenommene Wahrscheinlichkeiten mehr als Hilfskonstrukt, als denn eine verlässliche Größe angesehen werden. In derartigen Kontexten wird in der Regel mit Erwartungswerten und Risiko-Entscheidungsregeln (Bayes-Regel, Bernoulli-Prinzip) operiert. Mit Unterstützung von Marktforschungsdaten ist es jedoch möglich, sich Eintrittswahrscheinlichkeiten methodisch sauber zu nähern.
Zentrale Aufgaben des Risikomanagements
Zentrale Aufgabe von Risikomanagement ist es, die bestmögliche Kontrolle hinsichtlich unternehmerischer Entscheidungen, Handlungen, Prozesse sowie situativer Zu- und Umstände zu gewährleisten. Strategische Planung ist die dabei existenzielle Grundlage für einen verantwortungsbewussten Umgang mit Risiken und daraus drohenden Schäden. Mittels einer breitgefächerten und systematisierten Überwachung sowohl aller relevanten Unternehmensbereiche als auch von Einflussfaktoren in der Außenwelt, gilt es, mögliche Gefahren zu minimieren und wenn möglich gänzlich zu eliminieren.
Risikomanagement ist Führungsaufgabe
Ein professionelles Risikomanagement steht, im Verständnis eines unternehmerischen Risikocontrollings, in der Verantwortung, die Schaffung von Transparenz über akute und antizipierte Risikosituationen herzustellen und auszubauen. Auf dieser Basis müssen folglich für verschiedene Szenarien Pläne und Maßnahmen entwickelt werden, die entweder im Falle des Eintretens schnell oder aber auch dauerhaft präventiv zum Einsatz kommen. Abgeleitet von dieser Aufgabe und Verantwortung stellt Risikomanagement eine bedeutende Führungsaufgabe dar.
Standardisierung – DIN ISO 31000
Mit der DIN ISO 31000:2018 “Risikomanagement – Leitlinien” existiert eine hilfreiche Dokumentation für den Aufbau und die Anwendung eines unternehmenseigenen Risikomanagement. Die Ausführungen dienen dabei lediglich als Empfehlung. Eine Zertifizierung nach dieser Norm ist nicht möglich. Das standardisierte Vorgehen wurde jedoch so aufgesetzt, dass jedes Unternehmen, branchen- und größenunabhängig, nach diesen Leitlinien sein individuelles Risikomanagement installieren und implementieren kann.
Zielsetzung und Strategie
Wenn das geeignete Risikomanagement etabliert ist zu können, ist es zentrale Aufgabe der Unternehmensführung, zunächst dessen Ziele festzulegen. Anschließend sind Strategien zu entwickeln, die sich mit der Einführung, Umsetzung von Maßnahmen und den notwendigen Kontrollprozessen beschäftigen. Wichtige Punkte bei dieser Vorgehensweise sind:
- Entwicklung von Methoden und Instrumenten, um Risiken ermitteln zu können.
- Definition von Kriterien, mit denen Risiken eingeordnet und bewertet werden sollen.
- Notwendige Ressourcen zur Verfügung stellen, mit denen Risiken identifiziert, analysiert und abgewehrt werden können.
- Qualifikation der Belegschaft durch entsprechende Personalentwicklungsmaßnahmen.
- Festlegung von Zuständigkeiten, die im Eintrittsfall bestimmter Szenarien operativ verantwortlich handeln.
- Implementierung eines zielgerichteten internen wie externen Informationssystems, welches rechtzeitige Transparenz über identifizierte Risiken und den Umgang mit ihnen herstellt.
Systematisierte Abläufe im Risikomanagement
Gerade im Umgang mit potenziellen Risiken kommt es darauf an, zielgerichtet, proaktiv und systematisch vorzugehen. Sich erst bei Eintritt negativer Risikoauswirkungen mit den Folgen zu beschäftigen, kann für Unternehmen schon deren Existenz bedrohen. Kontinuierlich und systematisiert ablaufende Prozesse gewährleisten, dass Risiken frühzeitig identifiziert, analysiert und bewertet werden können. Nur auf dieser Grundlage ist es dann möglich, stressfrei und gut überlegt, geeignete Maßnahmen zu planen und vorzubereiten, die beim Eintritt bestimmter Risikoszenarien greifen sollen. Die vier wesentlichen nacheinander gestaffelten Abläufe im Risikomanagement lassen sich wie folgt darstellen:
- Identifizierung von Risiken
- Analyse der identifizierten Risiken
- Risikenbewertung
- Strategie- und Maßnahmenplanung zur Abwehr oder Minimierung von Risiken
Erweitern Sie Ihr Fachwissen und verfeinern Sie Ihre Marketing- und Managementkompetenzen, indem Sie an unseren geplanten Schulungen teilnehmen. Hier finden Sie alle wichtigen Informationen zu den bevorstehenden Terminen unserer Seminare:
Drei Teilbereiche des Risikomanagements
Übergeordnet zu dieser systematischen Vorgehensweise, lässt sich Risikomanagement in die drei Teilbereiche der Risikobeurteilung, Risikobewältigung und Risikokommunikation untergliedern. Hierbei zählen Identifizierung, Analyse und Bewertung zum Bereich der Risikobeurteilung. Die Entwicklung von Strategien und abwehrenden Maßnahmen sowie deren transparente Offenlegung, erfüllen die beiden Teilbereiche der Risikobewältigung und Risikokommunikation.
Identifizierung von Risiken
Risikomanagement strebt nach der lückenlosen Identifizierung von Risiken. Theoretisch klingt das im Sinne der Aufgabe und Zielsetzung sehr logisch und nachvollziehbar. Für die Praxis bedeutet dies jedoch, dass möglichst alle Eventualitäten in Betracht gezogen werden müssen – auch eben jene, an die vielleicht noch keiner im Unternehmen gedacht hat. Es ist daher einerseits viel Wissen und Erfahrung und andererseits Offenheit und Bereitschaft notwendig, die Perspektive auf das Unternehmen, seine Aktivitäten und Prozesse immer wieder neu und aus anderen (auch externen) Blickwinkeln kritisch auszurichten. Wichtige Punkte sind hierbei:
- Abgrenzung interner (Bereiche innerhalb des Unternehmens) und externer (Bereiche außerhalb des Unternehmens) als unterschiedliche Quellen möglicher Risiken.
- Trennen von Ursache und Wirkung: Lösungen dürfen nicht zum Problem werden.
- Detaillierte Beschreibungen von Risiken und ihren möglichen Folgen sorgen für Klarheit in Bezug auf Verständnis und notwendige Konsequenzen.
- Einsatz verschiedener Kreativitätstechniken, um ein breites Feld möglicher Risiken erfassen und identifizieren zu können. Zum Beispiel Brainstorming und -writing, Six Thinking Hats, Delphi-Methode oder World Cafe.
- Auch die SWOT-Analyse, belegschaftsgeführte Checklisten oder die Fehlermöglichkeits- und Einflussanalyse (FMEA) als analytische Methode zur Erfassung eventueller Fehler, sind geeignete Instrumente zur Identifizierung von Risiken.
Letztlich müssen die Risiken kontinuierlich überwacht werden. Hierbei unterstützt ein sog. Risiko Monitoring. Bei Identifizierung weiterer Risiken wird dieses entsprechend angepasst und aktualisiert.
Strategische Risikoanalyse
Mit Blick auf die herausgestellten Risiken betrachtet die Risikoanalyse Wahrscheinlichkeiten für den Eintritt und das Ausmaß von Gefahren und möglichen Schäden. Es werden dabei beispielsweise finanzielle, quantitative und qualitative oder auch zeitliche Auswirkungen unterschieden und in der Regel stufenweise (niedrig, mittel, hoch) kategorisiert. Zu den Methoden der Risikoanalyse zählen u.a.:
- Bedrohungs- und Einsatzfähigkeitsanalyse (HAZOP = Hazard and Operability) bzw. als deutsches Akronym PAAG (Prognose, Auffinden der Ursache, Abschätzen, Gegenmaßnahmen)
- Fault Tree Analysis (FTA) – Fehlerbaumanalyse
- Event Tree Analysis (ETA) – Ereignisbaumanalyse
- QRA – Quantitative Risikoanalyse
Wenngleich das Vorgehen der Risikoanalyse eine gleichbleibende Zielrichtung verfolgt, unterscheidet sie sich in ihrer Ausgestaltung u.a. hinsichtlich der Branche, den betrachteten Unternehmensbereichen und weiteren individuellen Bezugspunkten. So werden sich die Risiken einer Werbeagentur von denen eines Chemieunternehmens, einer Bank oder eines Reiseveranstalters unterscheiden. Ebenso werden identifizierte Risiken in Bezug auf Finanzen, Produktion oder IT-Sicherheit anders gelagert sein, als in den Bereichen von Medien und Kommunikation, Gesundheit und Arbeitsschutz aller Mitarbeitenden oder Compliance. Für ein holistisches Risikomanagement spielen gleichwohl alle Risiken in ihrem Zusammenspiel eine gewichtige Rolle.
Risikobewertung
Im Anschluss an die Identifizierung und Analyse erfolgt die Risikobewertung. Hier wird entschieden, welches Risiko wie gewichtet, priorisiert und angegangen wird. Diese Bewertung erfolgt auf Basis der angenommenen Wahrscheinlichkeiten, ihrer konkreten Beschreibung und der jeweilig zugewiesenen Bedeutung in Bezug auf die Schwere der zu erwartenden Schäden. Hierzu werden alle identifizierten und analysierten Risiken evaluiert, die eintreten können. Dann wird ganzheitlich abwägend betrachtet, aus welchen Quellen die Risiken stammen, welche Schäden mit welcher Wahrscheinlichkeit in welchem Ausmaß eintreten können und welche Bedeutung diese für die Organisation haben. Abwägungen und finale Bewertungen können dabei auch aus unterschiedlichen Perspektiven vorgenommen werden. Sie können erfolgen:
- auf Basis von Vermögenswerten (z.B. Infrastruktur, Technologie, Patente)
- auf Basis von Schwachstellen (z.B. IT-Struktur, Arbeitsschutz, Finanzen)
- auf Basis von Bedrohungen (z.B. Cyber-Angriffe, Konkurrenz, Transformation, Politik)
- auf Basis von Szenarien (antizipierte Entwicklungen von Märkten und Technologien, verändertes Konsumentenverhalten, aktuelle Gesetzgebungsverfahren etc.)
Zusammenfassend sorgt eine übersichtliche Risikomatrix für eine visualisierte Einordnung, auf deren Grundlage sich fundierte Entscheidungen treffen lassen. So wird eine wichtige Antwort zum Beispiel auf die Fragestellung gegeben, ob bestimmte Risiken auch einkalkuliert werden können, ohne umfangreiche Gegenmaßnahmen vorbereiten zu müssen. Zugleich wird festgelegt, welche Risiken so hoch in Bezug auf ihre Eintrittswahrscheinlichkeit und ihr Schadenspotenzial eingestuft werden, dass dringlich Notfallpläne erarbeitet oder aber sofortige präventive Vorbereitungen getroffen werden müssen.
Strategien, Maßnahmen und Methoden des Risikomanagements
Nach abschließender Bewertung erfolgt die Entwicklung von Risikostrategien und die Planung konkreter Maßnahmen. Dabei können bspw. niedrig eingestufte Risiken auch ohne Maßnahmen bleiben, wenn entschieden wird, potenziell geringfügige Schäden einkalkulieren zu können. In manchen Fällen reicht bspw. schon der einfache Abschluss bestimmter Versicherungen, um sich vor eintreffende Schäden und Verlusten zu schützen. Generell stehen vier Strategieoptionen zur Auswahl:
- Vermeidung von Risiko (Ursache und Quelle des Risikos wird beseitigt)
- Reduzierung von Risiko (Ergreifen von Maßnahmen, Änderung von Prozessen oder Einführung von Frühwarnsystemen)
- Übertragung von Risiko (z.B. Abschluss von Versicherungen)
- Risikoakzeptanz (Risiken werden bewusst in Kauf genommen)
Im mittleren Risikobereich empfiehlt es sich, Maßnahmen und Notfallpläne vorzubereiten, die dann im Eintrittsfall schnell zur Verfügung stehen. Denn in vielen Fällen entscheidet die Reaktionsschnelligkeit darüber, ob Gefährdungen noch verhindert oder zumindest in Bezug auf ihre negativen Konsequenzen eingedämmt werden können. Wichtig ist dabei, den jeweiligen Status von identifizierten Risiken regelmäßig zu überprüfen.
Bei hoch eingestuften Risikolagen sind Pläne und Maßnahmen nicht erst für den Eintrittsfall zu entwickeln. Sie sollten präventiv bereits im laufenden Betrieb zum Einsatz kommen, so dass sie positiven Einfluss auf die Eintrittswahrscheinlichkeit und mögliche Folgeschäden nehmen können. Beispielsweise kann ein dauerhaft installierter Arbeitskreis im Sinne eines permanent tagenden Krisenstabs eingesetzt werden, der die operativen Aufgaben des unternehmenseigenen Risikomanagement koordiniert und übernimmt.
Best Practices und Tipps für funktionierendes Risikomanagement
Die bis hier skizzierten Vorgehensweisen können im Sinne von Best Practices als Vorbild für ein funktionierendes Risikomanagement angesehen werden. Abhängig u.a. von Branche, Unternehmensgröße und Ressourcen werden Aufbau und Implementierung von Unternehmen zu Unternehmen unterschiedlich ausfallen. Grundsätzlich ist es aber für jede Organisation ratsam, sich kontinuierlich mit den Risiken ihrer Geschäftstätigkeit systematisch auseinanderzusetzen. Folgende zehn Ratschläge können dabei unterstützen:
- Schaffen eines grundsätzlichen Risikobewusstseins im Unternehmen.
- Etablieren einer offenen und konstruktiven Fehlerkultur.
- Empathischer aber auch professioneller Umgang mit Ängsten vor Risiken und möglichen negativen Entwicklungen.
- Risiken für das Unternehmen gemeinsam (z.B. in Teamstrukturen) identifizieren, analysieren, kategorisieren und bewerten sowie transparent kommunizieren.
- Festlegung von Zuständigkeiten und Installierung eines dauerhaften Krisenstabs.
- Ausarbeitung von Risikostrategien, Notfallplänen und präventiven Maßnahmen zur Vermeidung, Abwehr oder Minimierung möglicher Gefahren.
- Ausreichend Budget einplanen, um nicht nur Maßnahmen entwickeln und umsetzen zu können, sondern auch, um Mitarbeitende ausreichend qualifizieren zu können.
- Zunehmende Professionalisierung und Entwicklung des Reifegrads des Risikomanagements bspw. durch die Anwendung anerkannter Standards oder die fortlaufende Durchführung von Zertifizierungen.
- Kontinuierliche Überwachung in Form eines Risiko-Monitorings sowie dessen stetige Aktualisierung.
- Implementierung von Risikomanagement im Sinne eines unternehmenskulturellen PDCA-Zyklus mit den vier Phasen von Planung, Umsetzung, Überwachung und Verbesserung (Plan – Do – Check – Act).
Anwendungsbeispiele für ein erfolgreiches Risikomanagement
Risiken lauern überall und häufig besonders da, wo sie nicht vermutet werden. In Zeiten schwieriger Geschäftsentwicklungen mögen viele Unternehmen Ausgaben und Aufwand für die Installation eines derartigen Management meiden, bezahlen dies aber im Eintrittsfall negativer Ereignisse wohlmöglich teurer.
Zu empfehlen ist generell, das Thema Risiko ganzheitlich und lückenlos zu betrachten. Mögliche Gefahren, wie bspw. einen Cyberangriff oder einen Produktionsausfall lediglich punktuell abzusichern, kann unter Umständen zu kurz gedacht sein. Zumal zusammentreffende Fehlerketten sich oftmals wechselseitig verstärkend beeinflussen und damit Risiken exponentiell erhöhen können. Gerade komplexe Mega-Trends, wie
- Nachhaltigkeit
- Klimaschutz
- Energie- und Mobilitätswende
- Gesundheit und Ernährung
- Digitalisierung oder eine
- (restriktive) Globalisierung
wirken sich zunehmend stärker und umfassend auf die Risikolage von Unternehmen aus. Zusätzlich bedrohen technologische Innovationen, Veränderungen von Liefer- und Wertschöpfungsketten sowie wirtschafts-, gesellschafts- und rechtspolitische Entwicklungen die Geschäftstätigkeit von Unternehmen und Organisationen bis hin zu deren Existenz. Alle diese Felder bieten daher mögliche Ansätze, um sie im Rahmen eines Risikomanagements ob ihrer drohenden negativen Konsequenzen für die eigene Organisation, kritisch zu beleuchten.
Fazit
Ein strategisch gedachtes und auf operativer Ebene kulturell verankertes Risikomanagement ist ein Erfolgsfaktor für jedes Unternehmen und jede Organisation. Selbst jeder Privathaushalt kann und sollte für sich sein eigenes Risikomanagement entwickeln, bei dem Chancen und Risiken identifiziert, betrachtet, ab gewägt und beseitigt werden. Im Kontext von Unternehmen und Organisationen versteht sich Risikomanagement als Führungsaufgabe. Nur auf einer anerkannten und breit angelegten Basis können bei entsprechendem Risikobewusstsein bestehende und mögliche Risiken holistisch erfasst, analysiert und bewertet werden.
Die Standards im Risikomanagement sind unternehmerische Entscheidungen zu treffen und Risiken einer Organisation richtig zu bewerten. Durch diese spezielle Art des Managements wird sichergestellt, dass ein Unternehmen keine hohen und/ oder unerwartete Schäden gefährdet.
Maßgebliche Zielsetzung vom Risikomanagement ist es, entweder Risiken und die davon ausgehende Gefahren zu verhindern, zu minimieren, zu übertragen oder zu akzeptieren. Dazu sind angepasste Strategien und möglichst standardisierte Verfahren zu entwickeln, ggf. auch zertifizierte Maßnahmen zu durchlaufen. Mit Hilfe eines dauerhaften Risiko-Monitorings bleibt die Aufmerksamkeit wachsam. Tritt ein bestimmter Risikofall ein, werden die im Monitoring dafür hinterlegten Maßnahmen eingeleitet und hinsichtlich ihrer Wirksamkeit analysiert. Ein solcher PDCA-Zyklus gewährleistet einen verantwortungsvollen und vorausschauenden Umgang mit Risiken und dem damit verbundenen negativen Schadenspotenzial.
Michael Bernecker
Tel.: +49 (0)800 – 99 555 15
E-Mail senden
[/vc_cta]
#Risikomanagement#riskmanagement#risk#Management#Chancen-und-Risiken