Risikobewertung im Unternehmen durchführen

Wenn Risiken für das Unternehmen identifiziert sind, müssen diese qualitativ und quantitativ genauer analysiert werden. Es müssen so viele Informationen wie möglich zum einzelnen Risiko zusammengetragen werden. Damit können Sie für Ihr Unternehmen das jeweilige Risiko bewerten. Eine Risikobewertung ergibt sich aus zwei Faktoren:

Eintrittswahrscheinlichkeit

Mit welcher Wahrscheinlichkeit tritt für das Unternehmen ein Schaden, der mit einem Risiko verbunden ist, ein?

Schadenshöhe oder Auswirkungen

Wie umfassend ist der Schaden? Welche (finanziellen) Folgen und Auswirkungen hat er für das Unternehmen? Welche negativen Auswirkungen ergeben sich daraus für die Zielerreichung des Unternehmens; zum Beispiel in Bezug auf Umsatz, Gewinn oder Aktienkurs.

Risikoportfolio erstellen

Mit diesen beiden Merkmalen zur Beschreibung von Risiken lässt sich ein Risikoportfolio für das Unternehmen erstellen. Damit werden die einzelnen Risiken in einer Übersicht abgebildet, sodass das Management beurteilen kann, welche Risiken besonders beachtet werden sollten und welcher Aufwand und welche Maßnahmen notwendig sind, um das jeweilige Risiko einzugrenzen.

Das Risikoportfolio ist Grundlage für die Aktivitäten zum Risikomanagement. Abbildung 2 zeigt, wie ein solches Risikoportfolio aussehen kann.

Abbildung 2: Eintrittswahrscheinlichkeit und Schadenshöhe von Risiken im Risikoportfolio

Quantitative und monetäre Bewertung von Risiken

Schadenshöhe und Eintrittswahrscheinlichkeit von Risiken können nur für einige Risiken gemessen werden. Dafür brauchen Sie im Risikomanagement angemessene Modelle und Rechenverfahren. Mithilfe statistischer Verfahren, Wahrscheinlichkeitsrechnung, Kostenrechnung und Methoden des Operation-Research lassen sich Risiken messbar machen und in Kennzahlen abbilden.

Das Kerngeschäft von Versicherungen ist es, Risiken abzusichern. Dazu müssen sie Risiken, so gut es geht, quantitativ und anhand von Finanzkennzahlen (monetär) bewerten. Versicherungen haben deshalb im Laufe vieler Jahre und dank umfangreicher Erfahrungen ausgeklügelte Modelle und Methoden, um das Risiko kalkulierbar zu machen.

An ihren Modellen und Rechenverfahren können sich auch andere Unternehmen orientieren, wenn sie ihre Risiken messbar machen wollen. Hilfreich sind beispielsweise das Value-at-Risk-Konzept und das Cashflow-at-Risk-Konzept:

Value-at-Risk-Konzept (VaR)

Das Value-at-Risk-Konzept (VaR) wurde von amerikanischen Banken entwickelt, um mit stochastischen Methoden die Wahrscheinlichkeit zu berechnen, dass ein bestimmter Verlust (im Wertpapierhandel) eintritt. Das Modell lässt sich mit Einschränkungen auch auf die Bewertung von anderen Schäden übertragen.

Cashflow-at-Risk (CFaR)

In der Industrie hat sich für ein ähnliches Modell der Begriff Cashflow-at-Risk (CFaR) etabliert. Mithilfe von Simulationen zu Risikofaktoren und deren Bedeutung für den Cashflow des Unternehmens können Aussagen getroffen werden wie: Mit 99-prozentiger Wahrscheinlichkeit wird der Schaden durch Lieferausfall nicht höher als 100 Millionen EUR betragen.

Damit solche umfangreichen Modelle funktionieren und gute Ergebnisse liefern, müssen zahlreiche Einflussfaktoren und Kennzahlen ermittelt und in den Modellen verrechnet werden. Das kann sehr aufwendig sein. Zudem kann es in einem Unternehmen folgenschwere Risiken geben, die sich mit solchen Modellen nicht bewerten lassen.

Risikoklassen bilden und Risiken einordnen und bewerten

Viele Risiken müssen qualitativ bewertet werden. Dies erfolgt auf der Grundlage von (messbaren) Indikatoren oder durch Einschätzungen von Experten. Dazu werden Kategorien oder Risikoklassen gebildet und Merkmale oder Indikatoren beschrieben, die zeigen, welches Risiko in welche Kategorie einsortiert werden soll. Die einzelnen Risiken müssen durch einen Bewertungsprozess diesen Kategorien zugeordnet werden.

Abbildung 3 zeigt ein mögliches Kategoriensystem: Es werden fünf Risikoklassen (Kategorien) gebildet und verbal, qualitativ, beschrieben.

Abbildung 3: Mögliche Systematik für Kategorien und ein Klassifikationssystem für die Risikobewertung

Für die Zuordnung zu den einzelnen Risikoklassen oder Kategorien können unterschiedliche Bewertungsmerkmale herangezogen werden. So gibt es beispielsweise Risiken, die Extremfälle sind. Sie haben besonders hohes Schadenspotenzial für das Unternehmen und können es in seiner Existenz unmittelbar bedrohen.

Andere Risikoklassen können durch messbare Indikatoren beschrieben werden. Zum Beispiel die allgemeine Wirtschaftsentwicklung, Einkaufsverhalten, Rohstoffpreise, Einkaufsvolumen bei einem einzelnen Lieferanten, Beschaffungszeiten, Bonitätsbewertungen oder Statistiken aus der Vergangenheit für Arbeitsunfälle, Krankenquoten, Kündigungen etc.

Risikofaktoren können Schwankungen unterliegen, die aber innerhalb von Erfahrungswerten liegen. Diese Volatilitäten lassen sich zwar nicht sicher vorhersagen, helfen aber bei der Berechnung von Eintrittswahrscheinlichkeiten oder möglichen Schadenshöhen. Sie können ebenfalls in die Bewertung einfließen und Teil der Beschreibung einzelner Risikoklassen sein.

Beispiel für eine Risikobewertung

Der Wechselkurs von US-Dollar zu Euro veränderte sich in den vergangenen fünf Jahren zwischen 1,247 EUR pro US-Dollar und 0,969 EUR pro US-Dollar. In diesem Bereich bedeutet dies für das Unternehmen ein mittleres Wechselkursrisiko.

Risikozahl als Bewertungsmaßstab für Risiken ermitteln

Im einfachsten Fall werden alle identifizierten Risiken anhand eines Klassifikationssystems wie in Abbildung 3 und der jeweiligen Merkmale betrachtet, beschrieben und bewertet – und dann in die entsprechende Risikoklasse eingeordnet. Möglich ist auch, zwei Klassifikationssysteme zu bilden: eines für die Eintrittswahrscheinlichkeit und eines für die Schadenshöhe. Dann kann zum Beispiel bewertet werden:

  • Wahrscheinlichkeit, dass der Schadensfall eintritt, ist sehr hoch (4 Punkte) bis sehr gering (1 Punkt).
  • Ausmaß des Schadens (finanziell) ist sehr hoch (4 Punkte) bis sehr gering (1 Punkt).

Der Multiplikator der beiden Punktwerte ergibt eine sogenannte Risikozahl, die dann bei dieser Bewertungsskala zwischen 1 und 16 liegen kann.

Letztlich lassen sich unternehmensspezifische Risikoskalen entwickeln, die Risiken und ihre Bewertung sichtbar machen. Wichtig dabei ist, dass die Bedeutung der einzelnen Skalenwerte möglichst klar und transparent ist. Alle betroffenen Mitarbeiterinnen und Mitarbeiter müssen wissen, was die einzelne Kategorie meint. Es müssen klare, trennscharfe Definitionen formuliert werden.

Anhand eines für Ihre Risikoarten geeigneten Klassifikationssystems können Sie die für Ihr Unternehmen relevanten Risiken in die einzelnen Kategorien einordnen und daraus ein Risikoportfolio erstellen. Dieses dient als Radar, um wichtige Entwicklungen im Blick zu haben und um rechtzeitig agieren zu können.

Die Risiken sollten mit ausführlichen Informationen und – wenn möglich – über Kennzahlen oder Indikatoren messbar gemacht werden. Darüber hinaus können die Risiken weiteren Bewertungsverfahren unterworfen werden. Ein Beispiel dafür ist die Erstellung von Worst-Case-Szenarien. Doch auch hier gibt es viele subjektive Faktoren, die beachtet werden sollten: Welche schlimmsten Fälle will sich ein Unternehmen ausmalen?

Trendanalyse und Strategie-Impact

Viele Risiken ergeben sich für die Unternehmen aufgrund von Entwicklungen im Umfeld. Das Unternehmen kann diese nicht oder nur sehr schwer beeinflussen. Deshalb werden im Risikomanagement Umfeldfaktoren wie Politik und Gesetzgebung (national und international), Versorgungssicherheit mit Rohstoffen, wirtschaftliche Entwicklung, Entwicklungen am Kapitalmarkt, Wettbewerb, Normung oder Klima und Natur (Erdbeben, Überschwemmungen) besonders beachtet und beobachtet. Dort lassen sich die Entwicklungen in Form von Trends beschreiben.

Diese Trends werden in Bezug gesetzt mit den Strategien des Unternehmens und in Form einer sogenannten Strategie-Impact-Matrix analysiert. Über diese Analyse lassen sich zwei Dinge aufzeigen:

  • welche Trends im Umfeld einen besonders hohen Einfluss auf die Unternehmensstrategie haben – positiv wie negativ und
  • welche Strategien und Geschäftsbereiche von den Trends in besonderer Weise beeinflusst sind – auch hier positiv wie negativ.
Praxis

Risiken für Unternehmen, Prozesse und Produkte ermitteln, bewerten und klassifizieren

Klären Sie, wie Sie die Risiken, die für Ihr Unternehmen relevant sein können, analysieren und bewerten wollen.

  • Welche Methode ist aus Ihrer Sicht geeignet, um Risiken zu beschreiben und ihre Folgen abzuschätzen und zu bewerten?
  • Welche Kennzahlen und Indikatoren können Sie nutzen, um ein Risiko quantitativ zu beschreiben?
  • Welche Informationen benötigen Sie dafür und welche Informationsquellen können Sie nutzen?
  • Wie können Sie für die einzelnen Risiken die Wahrscheinlichkeit des Eintretens und die Höhe des damit verbundenen Schadens am besten abschätzen oder berechnen?

Erarbeiten Sie ein Klassifikationssystem für Ihr Risikomanagement, anhand dessen Sie die Risiken bewerten können. Entwickeln Sie Ihre unternehmensspezifischen Risikoklassen.

Beschreiben Sie die einzelnen Risikoklassen und Kategorien mithilfe der folgenden Vorlagen und erstellen Sie ein geeignetes Klassifikationssystem.

Risiken im Risikoportfolio verorten und bewerten

Mit Wahrscheinlichkeit des Eintretens eines Schadens durch ein Risiko und mit der Höhe des Schadensmaßes können Sie ein Risikoportfolio erstellen. Grundlage dafür ist das Beispiel in der folgenden Vorlage.

Mit den folgenden Excel-Vorlagen können Sie dieses Risikoportfolio in einer Matrix beziehungsweise einem Risiko-Diagramm darstellen. Sie können dabei unterschiedliche Bewertungsstufen nutzen: vom 2x2-Felder-Diagramm bis zum 5x5-Felder-Diagramm.

Risiken mit einer Kennzahl bewerten

Halten Sie mit der folgenden Vorlage und Übersicht alle Risiken fest und bestimmen Sie die jeweilige Risikozahl. Aus der Zusammenstellung können Sie ein Gesamt-Risiko für Ihr Unternehmen berechnen.

Eine genaue Risikoanalyse und Risikobewertung können Sie mit der folgenden Vorlage durchführen. Halten Sie darin mögliche Gefahren, Bedrohungen und Risiken für Ihr Unternehmen, Ihre Prozesse und Ihre Produkte fest. Erläutern Sie, welche Folgen damit für Ihr Unternehmen verbunden sein können sowie mögliche Ursachen und Gründe.

Dann können Sie das einzelne Risiko in eine Risikoklasse oder Schadensklasse einordnen und bewerten anhand von:

  • Auftreten: Wie wahrscheinlich ist es, dass das Risiko auftritt?
  • Bedeutung: Wie hoch ist der Schaden für das Unternehmen, die Prozesse, Produkte oder Beteiligte, wenn das Risiko eintritt?
  • Entdeckung: Inwiefern kann das Risiko rechtzeitig erkannt und begrenzt werden?

Daraus wird eine Risikokennzahl für die Risikobewertung berechnet. Je nach Höhe des Risikos können Sie Maßnahmen ergreifen, die darauf ausgerichtet sind, das Risiko zu verringern; mit dem Effekt, dass die Risikokennzahl für das Risiko sinkt.

Mögliche Folgen aus einem Risiko identifizieren und analysieren

Betrachten Sie für die Risiken, die im Umfeld Ihres Unternehmens begründet sind und deren Eintreten und Verlauf Sie nicht beeinflussen können: Welche Trends lassen sich erkennen?

Nutzen Sie dafür die Entwicklungen in der Vergangenheit und überlegen Sie, was das für die Zukunft heißen kann. Stellen Sie die Trends dann in einen Zusammenhang mit der Strategie und den Zielen Ihres Unternehmens.

  • Welche Unternehmensziele sind durch das Risiko gefährdet?
  • Wodurch sind sie gefährdet?
  • Welche Folgen kann das für Ihr Unternehmen haben?

Diese Analyse können Sie mit der folgenden Excel-Vorlage durchführen und sichtbar machen.

Wenn die Risiken und ihre möglichen Folgen für das Unternehmen identifiziert und bewertet sind, dann müssen geeignete Vorkehrungen getroffen werden, damit das Schadenspotenzial beschränkt bleibt. Dazu muss das Risikomanagement alle Informationen an die betroffenen Stellen und an die Entscheider weitergeben. Wie Sie dafür geeignete Berichte und Reports erstellen, lesen Sie im nächsten Abschnitt dieses Handbuch-Kapitels.