RisikomanagementZiele und Aufgaben des Risikomanagements im Unternehmen

Unternehmen müssen Bedrohungen, Gefahren und Risiken rechtzeitig erkennen und daraus resultierenden Schaden vermeiden oder minimieren. Dafür braucht es ein wirksames Risikomanagement. Lesen Sie in diesem Handbuch-Kapitel, welche Risiken es geben kann, wie diese bewertet werden und welche Maßnahmen im Risikomanagement notwendig sind.

Risiken, Gefahren und Bedrohungen lauern überall

Chancen wahrnehmen und Risiken vermeiden – das sind die zentralen strategischen Herausforderungen für ein Unternehmen. Und Risiken lauern überall. Die wirtschaftlichen Risiken wie der Verlust von Kunden oder die Manöver eines Wettbewerbers gehören immer zum Geschäft. Darüber hinaus drohen technische Risiken: Computer, Maschinen können ausfallen oder Störungen in der Logistik, bei Lieferanten oder Speditionen, können auftreten.

Für ein Unternehmen – und insbesondere für die verantwortlichen Manager – gibt es außerdem rechtliche Risiken. Durch Fehlentscheidungen, Fehlverhalten oder mangelhafte Kontrollmechanismen laufen sie Gefahr, gegen Gesetze zu verstoßen und dafür bestraft zu werden. Nicht zuletzt drohen Risiken durch externe Einflussfaktoren: Unwetter, Anschläge, Angriffe (beispielsweise durch Hacker, Imagekampagnen durch die Medien), politische Entwicklungen. Es ließe sich ein buntes Risikoportfolio oder Bedrohungsszenario aufzeichnen.

Risiko und Risikomanagement

Risiko
Risiko meint die kalkulierte Prognose eines Schadens oder Verlustes im negativen Fall oder eines Nutzens oder Gewinns im positiven Fall. Was als Schaden oder Nutzen gilt, hängt vom Präferenzsystem des Bewertenden ab. Im Sprachgebrauch bezieht sich Risiko auf den negativen Fall. Im mathematischen Sinn meint ein Risiko die Wahrscheinlichkeit, dass ein negatives Ereignis eintritt.

Risikomanagement
In der Betriebswirtschaftslehre ist Risiko die Wahrscheinlichkeit des Eintretens eines negativen Ereignisses multipliziert mit dem finanziellen Schadensausmaß. Risikomanagement bedeutet den planvollen Umgang mit solchen Risiken in einem Unternehmen. Es umfasst alle Aktivitäten, die darauf ausgerichtet sind, die Eintrittswahrscheinlichkeit des Risikos oder das Schadensausmaß zu verringern.

Ziele für das Risikomanagement

Das Risikomanagement ist ein zentraler Baustein, um Bedrohungen, Gefahren und Risiken sichtbar zu machen und externen Anspruchsgruppen (Stakeholder) zu zeigen, dass man sich als Unternehmen proaktiv darauf einstellt. Dazu wird ein „Unternehmens-Radar“ eingerichtet, das rechtzeitig vor Gefahren warnt, die Hintergründe sichtbar macht und Möglichkeiten aufzeigt, Risiken zu beherrschen. Manchmal zeigt es sogar Chancen auf, die sich daraus ergeben können.

Insbesondere Kapitalgeber, Banken, Ratingagenturen und der Gesetzgeber verlangen, dass ein Unternehmen ein aktives Risikomanagement betreibt. Der Gesetzgeber hat seine Anforderungen an das Risikomanagement der Unternehmen in zahlreichen Gesetzen (HGB, AktG, GmbHG etc.) verschärft. Dazu wurde 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verabschiedet. Mit den Gesetzesänderungen hat die Unternehmensleitung insbesondere die Pflicht, Risiken zu kontrollieren und Risikomanagement zu betreiben. Die betroffenen Unternehmen müssen ein umfassendes Controlling und Reporting-System einrichten und über Risiken im Leistungsbereich umfassend und schnell informieren.

Hinweis: Gesetze, Normen und Standards zum Risikomanagement

Es gibt weltweit Hunderte Gesetze, Normen und Standards und Tausende von Paragrafen, die sich direkt oder indirekt auf das Risikomanagement beziehen. Neben KonTraG, AktG, GmbHG gibt es international spezielle Regelungen wie zum Beispiel: Sarbanes-Oxley-Act, Basel I bis IV oder MaRisk für Banken sowie VAG und Solvency II im Versicherungsumfeld.

Zur Informationssicherheit sind ISO 17799 oder COBIT relevant. Wirtschaftsprüfer beziehen sich auf COSO-ERM. Weitere Standards sind: ISO 31000, der Deutsche Corporate Governance Index, Grundsätze der OECD, ONR 49000ff (für Österreich und Schweiz). Für die Umsetzung der Gesetze, Normen und Standards wird meist ein Internes Kontrollsystem (IKS) gefordert.

Risikomanagement ist auch im Interesse des Unternehmens. Damit sollen wirtschaftliche und technische Risiken sichtbar werden, die großen finanziellen Schaden zur Folge haben können: Umsatzverluste, hohe Kosten. Im Rahmen des strategischen Controllings werden die erforderlichen Daten und Fakten erhoben und zusammengestellt. Die Prozesse im Unternehmen müssen darauf ausgelegt sein, dass dann die richtigen Gegenmaßnahmen oder Sicherungsmaßnahmen ergriffen werden.

Aufgaben des Risikomanagements

Das Risikomanagement hat drei zentrale Aufgaben:

  • Risiken identifizieren.
  • Risiken messen und bewerten.
  • Risiken dokumentieren und berichten.

Damit diese Aufgaben zweckmäßig erfüllt werden können, braucht es geeignete Prozesse, Hilfsmittel und Personen, die damit betraut werden. In großen Unternehmen kümmern sich spezielle Abteilungen wie die Interne Revision um damit verbundene Aufgaben. Letztlich muss jede Fachabteilung die wirtschaftlichen und technischen Risiken kennen und gegebenenfalls aktiv werden. Dafür braucht es geeignete Kontrollsysteme. Verantwortlich bleibt immer die Geschäftsleitung oder der Vorstand. Abbildung 1 zeigt die Elemente, die geregelt und organisiert werden müssen, wenn die Aufgaben des Risikomanagements bewältigt werden sollen.

Abbildung 1: Aufgaben und Prozesse im Risikomanagement

Wenn diese Aufgaben und Prozesse installiert sind, werden der Unternehmensleitung die Informationen zur Verfügung gestellt, die für ihre risikoorientierten Entscheidungen notwendig sind. Sie kann planen, wie sie mit den Risiken umgeht. Diese Entscheidungen müssen schließlich umgesetzt werden.

Praxis

Inwiefern betreibt Ihr Unternehmen bislang ein Risikomanagement im Hinblick auf die Risikoarten:

  • wirtschaftlich
  • technisch
  • rechtlich
  • Umfeld

Halten Sie für diese Bereiche fest:

  • Welche Risiken bestehen für Ihr Unternehmen?
  • Wie werden diese regelmäßig und zweckmäßig analysiert?
  • Was wird dazu berichtet und kommuniziert?
  • Wie sind die Aufgaben des Risikomanagements in Ihrem Unternehmen organisiert?

In der folgenden Übersicht können Sie die Kern-Bausteine Ihres Risikomanagements zusammenstellen und sichtbar machen.

In den folgenden Abschnitten des Handbuch-Kapitels erfahren Sie, welche Elemente das Risikomanagement umfasst und was Sie im Einzelnen dabei regeln und organisieren sollten. Insbesondere wird der Regelkreis: Identifizieren – Bewerten – Berichten ausführlich erläutert. Sie lernen so, wie Sie in Ihrem Unternehmen den Grundstein für aktives Risikomanagement legen und dieses dann dauerhaft betreiben.