Risikomanagement ist dazu da, Unternehmen vor internen Krisen zu schützen. Die Herausforderungen für Betriebe werden in der heutigen Welt immer größer, sodass Flexibilität brauchen. Um voranzukommen, müssen auch Risiken eingegangen werden. Damit diese Risiken unter Kontrolle bleiben, und das Unternehmen resilient Chancen ergreift, gibt es das Risikomanagement.
Was bedeutet Risiko und Risikomanagement?
Was ist ein Risiko eigentlich? Allgemein bezeichnen wir Risiko als einen voraussichtlichen Schaden, der durch einen bestimmten negativen Fall ausgelöst wird. Die Betriebswirtschaftslehre bezieht sich beim Risiko auf die Wahrscheinlichkeit, in der ein negatives Ereignis eintritt. Das wird dann verrechnet mit dem ermittelten Schaden, der daraus resultieren könnte.
Das Risikomanagement bedeutet, die Risiken genau zu kennen, zu berechnen und auszuwerten. Durch diesen geplanten Umgang mit möglichen Risiken, verringert das Unternehmen die Eintrittswahrscheinlichkeit oder den Schaden. Es geht also darum Risiken so zu minimieren, dass das Unternehmen dennoch Chancen ergreifen kann. Jede Entscheidung, die getroffen wird, bedeutet immer ein gewisses Risiko – die Chance, dass es gut oder schlecht wird, ist immer vorhanden.
Chancen zu ergreifen können Sie lernen. Wie es gehen kann, zeigen wir Ihnen beispielsweise in unserer Ausbildung zum Resilienztrainer. Hier können Mitarbeiter in Unternehmen die Chance auf Erfolg resilienter gestalten und gerade wichtige Entscheidungen gut begleiten.
Ziele des Risikomanagements
Das übergeordnete Ziel ist es, dass Unternehmen sich proaktiv gegen Krisen sichern. So bleiben sie flexibel, konkurrenzfähig und stabil. Außerdem wird das Risikomanagement von den Stakeholdern, Banken und Kreditgebern, und sogar vom Gesetzgeber verlangt. Es gibt tatsächlich zahlreiche Gesetze (z.B. HGB, KonTraG, AktG), die die Unternehmensleitung zum Risikomanagement verpflichten.
Im Rahmen eines gelingenden Kontrollsystems soll es dafür sorgen, wirtschaftliche und technische Risiken offen zu legen. Um ein Risiko zu minimieren, muss das Unternehmen zunächst wissen, wo Risiken bestehen. Erst dann werden aktive Gegen- und Sicherungsmaßnahmen eingeleitet. So werden letztendlich Risiken umgangen und Krisen verhindert.
Aufgaben des Risikomanagements
Letztendlich kommen dem Präventivprogramm drei Aufgaben zu:
- Risiken ausmachen
- Risiken einordnen
- Risiken dokumentieren und berichten
In großen Unternehmen gibt es ganze Abteilungen, die sich diesen Aufgaben widmen. Allerdings muss jeder einzelne Bereich seine eigenen Risiken kennen und sich so am Risikomanagement beteiligen. Das ganze Unternehmen zieht hierbei an einem Strang. Die Verantwortung übernimmt allerdings die Unternehmensleitung und das Management. Die relevanten Informationen tragen dann zu einer geeigneten Risikostrategie bei und fließen in wichtige Entscheidungen mit ein.
Wie betreibe ich Risikomanagement?
Es gibt einige Elemente, die zu jedem Risikomanagement dazugehören. Im Folgenden zeigen wir Ihnen, was die aktive Krisenprävention umfasst und wie Sie die Basis für ein aktives Risikomanagement herstellen.
Wie Sie Risiken identifizieren können
Was für Risiken stellen sich einem Unternehmen eigentlich? Im Grunde lassen sich dabei vier Kategorien unterscheiden:
- Wirtschaftlich
- Technisch
- Rechtlich
- Einfluss von Außen
Um resilient mit Risiken umzugehen, müssen Unternehmen die eigenen Risiken erst einmal kennen. Einige Risiken sind vielleicht schon lange bekannt, andere liegen verborgen, weil keiner an solch einen Fall gedacht hätte. So spielen sowohl Systematik und regelmäßige Überprüfung eine genau so große Rolle wie Kreativität und um-die-Ecke-Denken. Risikofaktoren führen so zu der eigenen Vulnerabilität, die das Gegenstück zu Resilienz bildet.
Manche Risiken lassen sich dabei besser abschätzen als andere. Wirtschaftliche Risiken können z.B. der unerwartete Verlust eines Kunden oder auch ein Manöver des Konkurrenz-Unternehmens sein. Auch können die Maschinen oder Computer ausfallen oder es kommt zu Problemen mit Lieferanten, was zu den technischen Risiken zählt. Dadurch, dass das Risikomanagement Gesetzen unterliegt, kommen auf die Führung auch rechtliche Risiken durch Fehlentscheidungen u.a. zu. Und zuletzt gibt es da die externen Einflüsse, wie beispielsweise politische Ereignisse, Unwetter oder Angriffe auf das Unternehmen.
Die Liste an möglichen Risiken scheint unbegrenzt. Daher muss das Unternehmen sich auf Risiken einstellen, sie identifizieren und auswerten.
Risiko-Radar installieren
Sicher ist es nicht einfach, all diese Risiken zu kontrollieren. Dennoch liegt es bei den Pflichten des Unternehmens, alles wirtschaftlich Vertretbare zu unternehmen, um die Risiken zu minimieren. Für den Überblick über die Risiken des Unternehmens hilft ein Risiko-Radar. So hat das Management quasi alles auf dem Schirm, um den Betrieb vor Krisen zu schützen.
Dazu sind sogenannte Risikobereiche sinnvoll. Sie fassen die Risiken für einen das Unternehmen betreffenden Sektor zusammen. Zum Beispiel Marktrisiken (neue Trends, andere Kundenbedürfnisse), finanzielle Risiken (Wechselkurse oder Rohstoffpreise verändern sich) oder Geschäftsrisiken (Verlust wichtiger Mitarbeiter, falsche Informationen, Betrug).
Ein aufgetretener negativer Fall hat nicht unbedingt Auswirkungen auf das ganze Unternehmen. Allerdings nehmen die Bereiche Einfluss aufeinander und diese „Schadenswelle“ kann sich dann durchaus auf das Unternehmen auswirken. Also ist es wichtig, die Bereiche genau zu kennen und die Risiken auf dem Radar zu haben.
Methoden zur Identifikation von Risiken
Es gibt verschiedene Methoden, die beim Risikomanagement Anwendung finden. Sie helfen dabei, einen Risikokatalog für das Unternehmen zu erstellen. So können Sie die Risiken erstmalig erfassen und auch weiterhin auf Aktualität und Veränderung prüfen. Hilfreiche Methoden sind zum Beispiel:
- Expertenbefragung
- Marktanalysen und Beobachtungen
- Prozessanalysen
- Fehler-Möglichkeiten- und Einfluss-Analyse (FMEA)
- Risiko-Workshops
Bei all diesen Methoden geht es darum, Daten zu sammeln und umfassend zu recherchieren. Die gesammelten Informationen und Fakten sorgen dann dafür, die eigenen Risiken des Unternehmens einzuordnen. Meist ist ein Methodenmix sinnvoll, um umfassende Daten zu generieren. Lernen Sie Informationsquellen kennen und werten Sie diese regelmäßig aus.
Wie Sie Risiken einordnen können
Wenn Sie einen Risikokatalog angelegt haben, folgt der zweite Schritt und eine weitere wichtige Aufgabe des Risikomanagements. Es geht darum, die Risiken zu messen und zu bewerten. Dann wissen Sie nicht nur, was eintreten kann, sondern auch welche Folgen es nach sich zieht.
Bedeutung fürs Unternehmen erkennen
Die gesammelten Fakten und Informationen bieten die Grundlage, das Risiko quantitativ und qualitativ zu analysieren. Danach bewertet das Unternehmen dann das jeweilige Risiko. Zwei Faktoren spielen dabei eine entscheidende Rolle: Eintrittswahrscheinlichkeit und Auswirkungen.
Nach diesen beiden Kategorien ist es sinnvoll ein Risikoportfolio anzulegen. Darin sortieren Sie die Risiken nach Eintrittswahrscheinlichkeit und dem erwarteten Schaden. Das Risiko bei einer hohen Eintrittswahrscheinlichkeit und einem hohen Schaden ist besonders gefährlich.
Eine solche Visualisierung hilft, die Risiken direkt auf das Unternehmen zu beziehen und greifbar zu machen. Das ist die Basis, um aktives Risikomanagement zu betreiben. Denn dann können auch Sicherungsmaßnahmen ergriffen werden.
Risiken messbar zu machen ist allerdings nicht ganz einfach. Hierfür gibt es Modelle und Rechenverfahren, die dabei unterstützen. Zwei solcher Modelle sind das Value-at-Risk-Konzept oder das Cashflow-at-Risk-Konzept. Beide umfangreiche Modelle funktionieren dagegen nur mit ausreichenden Daten. Außerdem gibt es auch Risiken, die selbst mit diesen Modellen nicht berechnet werden können.
Bewertung der Risiken
Für die Bewertung der Risiken gibt es zwei Systeme. Einmal die Bewertung in Risikoklassen und einmal die Bewertung nach Risikozahlen.
Risikoklassen:
Das ist eine qualitative Einordnung der Risiken. Dazu werden die Risiken aufgrund von Experteneinschätzungen oder messbarer Indikatoren in fünf Kategorien eingeteilt.
- Besonders hohes Risiko (Existenzgefährdend)
- Hohes Risiko (große Auswirkungen auf das Jahresergebnis)
- Mittleres Risiko (Auswirkungen auf das Jahresergebnis)
- Normales Risiko (auszugleichen im Jahresablauf)
- Geringes Risiko (stetig berücksichtigt)
Obwohl Risiken auch Schwankungen unterliegen, hilft eine solche Einordnung dabei, das Risiko einzuschätzen und sich entsprechend dagegen zu schützen.
Risikozahlen:
Eine weitere Variante Risiken zu bewerten ist die Einordnung in ein Zahlensystem. Dazu werden Eintrittswahrscheinlichkeit und das Schadensausmaß miteinander verrechnet.
Beide Kategorien bekommen Punkte je nachdem wie hoch die Einschätzung ist (sehr gering: 1 Punkt, sehr hoch: 4 Punkte). Diese beiden Werte werden miteinander multipliziert, sodass das Risiko eine Zahl zwischen 1 und 16 erhält.
Diese Skala zeigt schließlich, wie gravierend das Risiko ist. Dabei sollten die einzelnen Kategorien jedoch für alle transparent und klar abgrenzbar sein.
Trendanalysen
Ein Unternehmen kann durch die oben gezeigten Bewertungsmuster Risiken kontrollieren und aktiv darauf reagieren. Bei manchen Risiken geht das allerdings nicht. Besonders der Einfluss von außen lässt sich kaum kalkulieren. Doch auch diese Risiken gehören zum Risikomanagement dazu.
Umweltfaktoren (Politik, Marktentwicklung, Klima) zeichnen sich in sogenannten Trends ab, die Unternehmen beachten und beobachten sollten. Sie können die Trends mit Ihrer Unternehmensstrategie in Bezug setzen. Dadurch finden Sie heraus, welche Trends einen besonders hohen Einfluss (positiv wie negativ) auf das Unternehmen haben. Das nennt sich dann Strategie-Impact.
Wie Risiken dokumentieren und darüber berichten
Die letzte Aufgabe des Risikomanagements ist das Dokumentieren und Berichten von den erkannten und bewerteten Risiken. Dadurch schaffen Sie Transparenz im Unternehmen und legen den Grundstein für eine aktive Krisenprävention.
Es ist wichtig, dass die Mitarbeitenden alle Informationen über die sie betreffenden Risiken besitzen, sodass bei Veränderungen Sofortmaßnahmen zur Schadensbegrenzung ergriffen werden. Es dient auch zur Überprüfung und Aktualisierung des Risikoportfolios.
Dabei soll auf allen Ebenen Aufklärung über die Risiken herrschen. Mitarbeitende müssen Veränderungen erkennen und auch berichten, als diejenigen, die für ihre eigene Abteilung zuständig sind. Das Management muss diese Berichte dann in den bestehenden Datenpool einflechten und ggf. neue Risikostrategien entwickeln. Und auch sie müssen Bericht darüber liefern.
Darstellungsformen
Eine erste Übersicht über die Daten bildet das Risikoportfolio. Hier ist visuell festgehalten, welche Risiken wie wahrscheinlich sind und mit welchem voraussichtlichen Schaden bestehen. Das stützt vor allem die Orientierung von Entscheidungsträgern. Allerdings sollten auch die weiteren Daten organisiert und dokumentiert werden.
Der bereits genannte Risikokatalog bietet hierfür eine Möglichkeit. Hier können Sie detailliert festhalten, welche Bedeutung sie haben und welche Folgen und Handlungsoptionen es für die einzelnen Risiken gibt. Zusätzlich dazu können Studien, oder Berichte, sowie Analysen von Experten zu bestimmten Risiken beigefügt werden.
Um das zu organisieren, ist es wichtig zu klären, wie und über was berichtet werden soll. Wer berichtet wem was und in welcher Form. Das sind die Eckdaten, die Sie grundsätzlich klären müssen.
Rechtliche Absicherung
Eine akribische Dokumentation der Risiken ist vor allem auch deshalb notwendig, weil sie eine rechtliche Absicherung darstellt. Gerade falls es zu einem Schadensfall kommt und es Auseinandersetzungen mit anderen Unternehmen, Behörden oder Privatklagen kommt, ist das wichtig. Denn so kann das Unternehmen nachweisen, dem gesetzlich geforderten Risikomanagement nachgekommen zu sein.
Wichtig hierfür sind Informationen zu:
- der Methode zur Erfassung der Risiken
- der Methode der Bewertung von Risiken
- einer Übersicht über die genutzten Informationsquellen
- der Organisationsstruktur des Risikomanagements
Abwehrstrategien im Risikomanagement – Chancen trotz Risiko nutzen
In vielen Unternehmen gibt es zwei Risikostrategien: Das Risiko nicht eingehen oder es ignorieren. Beides ist nicht besonders zielführend. Risiken komplett zu vermeiden bedeutet, auch Potentiale nicht zu nutzen, Chancen zu verpassen und letztendlich Konkurrenten hinterher zu hinken. Risiken zu ignorieren ist gefährlich, da so unerwartete Schäden einen hohen Preis fordern.
Es gibt jedoch auch Strategien, wie man Chancen trotz Risiken nutzt. Sie können Risiken bewusst übernehmen, sie gezielt minimieren oder an Dritte abgeben.
Risiken bewusst übernehmen und kalkulieren
Die heutige Unternehmenswelt ist VUCA. Das bedeutet sie ist unter anderem unsicher und unbeständig. Unternehmen müssen sich weiterentwickeln, um sich am Markt zu behaupten. Eine gute Lösung hierfür ist proaktives Handeln: also Innovationen fördern, Prozesse überarbeiten und sich neue Märkte erschließen. Doch all das ist mit Risiken verbunden.
Die Entscheidung, wann das Unternehmen welche Risiken eingeht liegt beim Top-Management. Dabei gehen Manager meist eher ein bekanntes Risiko ein, als ein völlig unbekanntes. Diese Entscheidung kommt oft aus dem Bauch heraus, obwohl objektive Daten dagegensprechen. Es ist also wichtig, wenn man sich bewusst für ein Risiko entscheidet, die Daten dahinter zu kennen und das Risiko zu kalkulieren.
Bei Unsicherheit über Entscheidungen hilft ein sogenannter Entscheidungsbaum. Darin halten Sie mögliche Alternativen zusammen mit den wahrscheinlichen Folgen fest. Das verschafft einen Überblick über den best-möglichen Ausgang, wie auch über den Worst Case. Allerdings ist das auch keine endgültige Sicherheit, schließlich handelt es sich um Wahrscheinlichkeiten.
Risiken gezielt minimieren
Ein Unternehmen kann am besten ein Risiko übernehmen, wenn es das Risiko gut einschätzen und in Folge dessen managen kann. Hierfür sind weitere umfassende Daten und Informationen notwendig. Darauf basierend organisiert das Unternehmen Prozesse und Maßnahmen, die einen Schadensfall so unwahrscheinlich wie möglich machen. Maßnahmen dazu wären zum Beispiel:
- Regelmäßige und strenge Prüfung bei der Qualitätskontrolle und Herstellungsprozessen
- Stetige Wartung der Maschinen und Systeme
- Flexibilität in der Logistik
- Erstellung eines Maßnahmenplans für den Notfall
- …
Um diese Maßnahmen so gezielt wie möglich zu entwickeln, helfen Simulationen. So wird ein Krisenfall vorher schon einmal durchgespielt und Sie können proaktiv Schäden vermeiden.
Risiken an Dritte abgeben
Eine weitere Strategie im Risikomanagement ist es, das Risiko nicht vom eigenen Unternehmen, sondern von einem Dritten tragen zu lassen. Versicherungen sind genau darauf spezialisiert. Sie übernehmen das Risiko und kommen für eventuelle Schäden auf. Aufgrund des Netzwerks und zahlreicher Kunden verfügen Versicherungen über eine Menge an Informationen und kluger Bewertungssysteme, die eine Kalkulation der Risiken vereinfachen.
Auch der Staat übernimmt in bestimmten Fällen sehr hohe Risiken, wie beispielsweise bei Naturkatastrophen oder Terroranschlägen. In weniger drastischen Fällen können auch andere Unternehmen das Risiko mittragen, wie beispielsweise bei Kooperationen. Zudem können Unternehmen, die gut im Risikomanagement sind, ihr Können und ihre Erfahrung als Dienstleistung anbieten.
Risikomanagement gegen zukünftige Krisen
Risiken lauern an jeder Ecke, wenn man sich weiterentwickeln will. Doch das sollte einen nicht zurückhalten. Denn ein gelungenes Risikomanagement verringert das Eintreten von großen Schäden und schützt vor zukünftigen Krisen. Ein guter und aufgeklärter Umgang mit Risiken sorgt dafür, dass Sie eher Chancen ergreifen und Potentiale nutzen. Für ein nachhaltiges Risikomanagement ist es wichtig, ein mentales Bewusstsein für Risiken bei allen Beteiligten zu schaffen.
Diese Form der aktiven Krisenprävention ist nicht nur zu Recht gefordert, sondern kommt der Stabilität Ihres Unternehmens zu Gute. Im Sinne einer proaktiven Resilienz schützen Sie sich vor Schäden und halten Ihr Unternehmen fit und leistungsfähig. So wird Risikomanagement auf der einen Seite zu einer achtsamen Betrachtung aller Risikofaktoren, auf der anderen Seite zu einer Arbeit an Resilienz mit den entsprechenden Schutzfakoren. Aus beider erwächst die Zukunftsfähigkeit einer Organisation, bzw. eines Unternehmens.
Sebastian Mauritz, M.A. Systemische Beratung, ist einer der führenden Resilienzexperten Deutschlands. Er ist 5-facher Fachbuchautor, Keynote-Speaker, Resilienz-Lehrtrainer, Systemischer Coach, Vorstand in vielen Coach- und Trainer-Verbänden und Unternehmer. Seine Schwerpunkte liegen im Bereich individuelle Resilienz und Prosilienz®, resilienter Führung und Teamresilienz. Er ist Initiator des Resilienz-Online-Kongresses, in dessen Rahmen er sich mit über 50 weiteren Resilienz-Expert:innen aus verschiedenen Disziplinen austauscht (www.Resilienz-Kongress.de).