GefahrRisikomanagement im Unternehmen etablieren

Jede Unternehmung ist ein Risiko. Wer etwas unternimmt, packt etwas an, will etwas bewegen, bringt Dinge voran, will Ziele erreichen und Erfolg haben. Er kann aber nicht alles, was er dafür braucht, kontrollieren oder beherrschen. Nicht alles ist planbar, viel Unvorhergesehenes kann eintreten. Aus diesem Grund betreibt jedes Unternehmen Risikomanagement - die einen besser, die anderen schlechter.

Die Experten der Unternehmensberatung McKinsey beschreiben das so:

"Companies must take risks to make profits and create shareholder value. But the record of failure and financial distress in many industries shows that too many executives and directors fail to recognize risk and to manage it appropriately." [Quelle: McKinsey Quarterl, Januar 2005; http://www.mckinseyquarterly.com/...]

Wer Risikomanagement betreibt, wägt ab: Was muss und kann unternommen werden, um das Risiko zu vermeiden? Welche Risiko lässt sich bewusst in Kauf nehmen? Wie lassen sich Risiken erkennen und eingrenzen? Wo kann oder muss etwas riskiert werden?

Stichwort

Risiko bedeutet die Abweichung einer Größe von ihrem erwarteten Wert. Das kann für den Betroffenen positive oder negative Effekte haben. Im allgemeinen Sprachgebrauch werden nur die negativen Effekte als Risiken bezeichnet. Positive Effekte werden als (unvorhergesehene) Vorteile oder Chancen bezeichnet.

Risikomanagement meint den planvollen und systematischen Umgang mit solchen ungewollten Abweichungen. Mögliche Risiko-Strategien sind: Vermeiden, Übertragen, Vermindern, Akzeptieren.

Es lassen sich vier Arten von Risiken in und für Unternehmen unterscheiden:

1. Marktrisiken: Märkte verändern sich schnell, Rohstoffe werden teuer, Währungen schwanken, Zinsen steigen. Dadurch ändert sich die Vermögenssituation eines Unternehmens sowie der Wert seiner Produkte und Dienstleistungen.
2. Kreditrisiken: Schuldner können zahlungsunfähig werden. Forderungen verlieren ihren Wert. Auch die Bonität von Schuldnern oder deren Sicherheiten können sich verändern.
3. Operationelle Risiken: Mangelhafte Abläufe im Unternehmen oder externe Ereignisse bergen Gefahren mit großen Auswirkungen; menschliches Versagen, Betrug, Prozessfehler, Ausfälle der EDV, Naturkatastrophen, Terroranschläge oder neue rechtliche Rahmenbedingungen bergen eine Vielzahl von Risiken.
4. Geschäftsrisiken: Nachfrage schwankt, Kundenwünsche verändern sich, Preise brechen ein, neue Trends entstehen, Wettbewerber holen auf, neue Technologien sind plötzlich gefragt; ständig muss sich das Unternehmen auf neue Gegebenheiten einstellen.

Unternehmen müssen sich stärker mit ihren Risiken befassen

Aktiengesellschaften in Deutschland sind zur Risikofrüherkennung verpflichtet. Mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) hat der Staat entsprechende Verschärfungen in die relevanten Gesetze eingebaut. So steht seit 1998 im Aktiengesetz und im GmbH-Gesetz, dass es zu den Sorgfaltspflichten eines Vorstands gehört, ein angemessenes Risikomanagement sowie ein internes Überwachungssystem zu etablieren.

Denn im Schadensfall muss der Vorstand beweisen, dass er sich sowohl objektiv als auch subjektiv pflichtgemäß verhalten hat. Konkret muss er nachweisen, dass er Maßnahmen zur Risikofrüherkennung bzw. -abwehr getroffen hat. Aus diesem Grund empfiehlt sich die Dokumentation des Risk Management Prozesses in einem Risikohandbuch oder in entsprechenden schriftlichen Richtlinien.

Unternehmen, die in Amerika aktiv sind, müssen ebenfalls Risikomanagement betreiben. Der Sarbanes-Oxley Act, der nach den Anschlägen vom 11. September 2001 auf den Weg gebracht wurde, fordert ein Risikomanagement im Rahmen des internen Kontrollsystems (IKS).

Auf dem richtigen Weg zum Risikomanagement

Um die richtige Strategie zu finden, mit der Risiken gemanagt werden sollen, sind mehrere Schritte notwendig:

1. Abgrenzung des Analyse-Objekts: Soll das Risiko für das gesamte Unternehmen, einen bestimmten Produktionsbereich, einen Standort oder für ein Produkt analysiert und gemanagt werden?
2. Identifikation von Risiken: Welche Risikopotenziale lassen sich erkennen? Welche Risikoarten lassen sich unterscheiden? Welche Ursachen und Einflussfaktoren können ermittelt werden?
3. Messung und Bewertung des Risikos: Welche maximalen Schäden können entstehen (vgl. Value at Risk)? Mit welcher Wahrscheinlichkeit tritt dieser Fall ein? Welche sonstigen negativen Effekte können entstehen? Wie lassen sich diese quantifizieren? Wie hoch/gering ist das Risiko entsprechend zu bewerten?
4. Entscheidung, Planung, Durchführung und Verifizierung der Maßnahmen: Welche Risikomanagement-Strategie soll verfolgt werden (Vermeiden, Übertragen, Vermindern, Akzeptieren)? Welche Maßnahmen sind dafür erforderlich? Wie werden diese organisatorisch verankert und umgesetzt? Sind sie verlässlich verankert?
5. Neubewertung des Risikos: Welche Veränderungen der Risikobewertung ergeben sich durch die erfolgreich durchgeführten Maßnahmen? Sind weitere Maßnahmen erforderlich?
6. Dokumentation des Risikomanagements: Wie und wo wird das Risikomanagement dokumentiert? Haben alle relevanten Mitarbeiter Zugriff? Sind die Informationen für alle transparent?

Hinweis

Diese Vorgehensweise orientiert sich an den Vorgaben der DIN EN ISO 14971:2000. In dieser Norm ist die Anwendung des Risikomanagements auf Medizinprodukte definiert und geregelt. Sie existiert seit März 2001.

Gerade Aktienmärkte reagieren auf Risiken und ihre Folgen sehr sensibel; börsennotierte Unternehmen stellen sich deshalb darauf ein. Anders sieht es bei kleinen und mittelständischen Unternehmen aus. Dort haben die rechtlichen Vorgaben zu einem höheren Risiko-Bewusstsein geführt. Die Unternehmer sind sich inzwischen durchaus der Gefahren bewusst, denen sie ausgesetzt sind. Insbesondere dann, wenn sie selbst bereits die leidvollen Auswirkungen eines falsch kalkulierten Risikos erleben mussten; das verändert ihre Risikomentalität doch nachhaltig.

Allerdings fehlt es vielen Unternehmen noch an der richtigen Umsetzung. Viele überprüfen ihr Risikomanagement zu selten oder haben keine Instrumente zur Überwachung, Messung oder Kontrolle ihrer Risiken. Dann werden viele Risiken vielleicht doch falsch eingeschätzt.

"Wesentliche Risiken sind Produkthaftung, Unternehmerhaftung und Betriebsunterbrechung ... [Wir sehen] keine neuen Risiken ... Wir werden von unseren Versicherungsmaklern beraten und sind damit zufrieden." Niederländisches Unternehmen der Automobilbranche [zitiert von Marsh in ihrer Risikostudie 2004]

 [jf; Illustration Business-Illustrationen]