Mit Risikomanagement zum Unternehmenserfolg

Jede unternehmerische Tätigkeit ist mit Risiken verbunden. Diese Risiken können dazu führen, dass die mit der unternehmerischen Tätigkeit verbundenen Ziele nicht vollständig oder gar nicht erreicht werden. Es handelt sich somit um eine zukünftige Abweichung von den geplanten Unternehmenszielen. Im Gegensatz zu Risiken werden mögliche positive Abweichungen der geplanten Ziele als Chancen bezeichnet bzw. betrachtet.
Risiken, die nicht rechtzeitig erkannt und bewältigt werden, gefährden die erfolgreiche Weiterentwicklung eines Unternehmens.
Das Risikomanagement ist ein präventiver Ansatz, um Unternehmensrisiken und auch Projektrisiken zu identifizieren und durch geeignete Maßnahmen abzumildern. Dazu wird entweder die Eintrittswahrscheinlichkeit oder die Auswirkungen beim Eintritt zu reduziert.
Das Ziel des Risikomanagements ist die Absicherung der Unternehmensziele und somit auch die Sicherung der Unternehmensfortführung, sowie die Steigerung des Unternehmenswertes. Das Risikomanagement ist Bestandteil der Verantwortung des Managements und somit integrierter Teil der organisatorischen Prozesse und keine selbstständige Tätigkeit.

Wie unterscheiden sich Risiken und Probleme?

Um die geeignete Risikomanagementstrategie zu finden, ist es nötig zwischen einem Risiko und einem Problem unterscheiden: Ein Problem ist bereits eingetreten oder wird mit hoher Wahrscheinlichkeit eintreten. Es können nur noch korrektive Maßnahmen eingeleitet werden, um das Problem zu lösen. Im idealen Fall sollte dies möglichst zeitnah geschehen. Ein Risiko kann eintreten; es werden präventive Maßnahmen eingeleitet, die dieses Ereignis strategisch und langfristig verhindern oder den Einfluss reduzieren sollen. Das Risikomanagement ist somit keine einmalige Aufgabe, sondern ein rollierender Prozess der in regelmäßigen Abständen durchgeführt wird.

Begriffe des Risikomanagements

Risikoanalyse: Dient der Identifikation und Bewertung von Risiken und kann ferner zur Förderung der Risikowahrnehmung eingesetzt werden.
Risikomatrix: Wird zur Erfassung und Bewertung des Gesamtrisikos verwendet, indem die ermittelten Risikofaktoren in eine Matrix (Risikoportfolio, Risikomatrix) mit den Dimensionen Eintrittswahrscheinlichkeit und Schadensausmaß eingetragen werden.
Risikovermeidung: Unterlassen einer riskanten Aktivität
Risikominderung: Reduzierung des Risikopotenzials auf ein akzeptables Maß
Risikokategorisierung: Gliederung der Unternehmensrisiken
Risikoberichterstattung: Auskunft über die wirtschaftlichen und technischen Risiken, ihre künftige Entwicklung und ihre etwaige Risikobewältigung im Lagebericht.
Risikoaggregation: Zusammenfassung aller Unternehmensrisiken mit der Zielsetzung, die Gesamtrisikoposition eines Unternehmens zu bestimmen, sowie die relative Bedeutung von Einzelrisiken auf die Unternehmensentwicklung zu ermitteln.

Risikomanagement in ISO 9001:2015

Was ist das KonTraG?

Bei dem KonTraG handelt es sich um ein Gesetz, welches 1998 vom Deutschen Bundestag beschlossen wurde. Mit diesem Artikelgesetz wurden etliche Vorschriften aus dem Handels- und Gesellschaftsrecht verändert. Das KonTraG präzisiert und erweitert dabei hauptsächlich Vorschriften des Handelsgesetzbuches und des Aktiengesetzes, mit dem Ziel die Grundsätze der Unternehmensführung zu verbessern. Mit dem KonTraG wurde die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern in Unternehmen erweitert. Kern des KonTraG ist eine Vorschrift, die Unternehmensleitungen dazu zwingt, ein unternehmensweites Früherkennungssystem für Risiken (Risikofrüherkennungssystem) einzuführen und zu betreiben, sowie Aussagen zu Risiken und zur Risikostruktur des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft zu veröffentlichen.

Grundsätzlich ist jedes Unternehmen bereits durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) dazu verpflichtet unternehmerische Risiken zu erfassen und zu veröffentlichen.

Über die Anforderungen des KonTraG hinaus fordert die ISO 9001:2015 “[…] von der Organisation, dass sie Maßnahmen plant und umsetzt, mit denen Risiken und Chancen behandelt werden.” (ISO 9001:2015 Kapitel 0.3.3)
Obwohl an dieser Stelle kein umfangreiches Risikomanagement verlangt wird, kann auf die Grundzüge eines Risikomanagements nicht verzichtet werden, daher sind Risiken “strukturiert zu identifizieren, zu bewerten, zu minimieren und zu überwachen”. (ISO 9001:2015 Kapitel 6.1) .
Die Norm sieht eine Etablierung des Risikomanagements auf zwei Ebenen vor: der gesamtbetrieblichen Ebene und der Projekt- oder Auftragsebene. Verbunden werden diese beiden Ebenen durch den Risikobeauftragten des Unternehmens. Je nach Unternehmensgröße können Art und Umfang des nachzuweisenden Risikomanagements abweichen. Dem Anhang A.4 der ISO Norm 9001:2015 ist zu entnehmen, dass es gegenüber der 9001:2008, teilweise Reduzierung der vorgeschriebenen Anforderungen und deren Ersatz durch leistungsorientierte Anforderungen gibt. Daraus ist eine höhere Flexibilität in den Anforderungen an Prozesse, dokumentierte Information und Verantwortlichkeiten der Organisation entstanden. Obwohl formelle Methoden oder ein dokumentierter Risikoprozess explizit nicht vorgeschrieben sind, kann die Prozessdokumentation das Risikomanagement deutlich erleichtern und empfiehlt sich daher auch für kleine Unternehmen.

Ferner fordert die ISO NORM 9001:2015, dass Unternehmen

“a) zusichern […] können, dass das Qualitätsmanagementsystem seine beabsichtigten Ergebnisse erzielen kann;
b) erwünschte Auswirkungen zu verstärken;
c) unerwünschte Auswirkungen zu verhindern oder zu verringern;
d) Verbesserung zu erreichen.“
(ISO 9001:2015 Kapitel 6.1)

So unterschiedlich die Anforderungen an die einzelnen Unternehmen sind, fordert die Qualitätsmanagementnorm in Kapitel 6.1.2:

“Die Organisation muss planen:

a) Maßnahmen zum Umgang mit diesen Risiken und Chancen;
b) wie

i. die Maßnahmen in die Qualitätsmanagementsystem-Prozesse der Organisation integriert und dort umgesetzt werden

ii. die Wirksamkeit dieser Maßnahmen bewertet wird.”

Ein fundiertes und effektives Risikomanagement ist somit essentiell für ihre Umstellung auf DIN EN ISO 9001:2015 (Lesen Sie hier über die größten Änderungen der DIN EN ISO 9001:2015)

Welche Formen des Risikomanagements gibt es?

Ein strukturiertes Risikomanagement kann dazu beitragen, Aktivitäten zu priorisieren und zwischen verschiedenen Handlungsalternativen zu wählen. Das Risikomanagement sollte dabei auf die individuellen, zeitgerechten Anforderungen des Unternehmens zugeschnitten sein. Mit Hilfe eines Reifegradmodells kann das bestehende Risikomanagement in Unternehmen untersucht und bewertet werden.
Ein Reifegradmodell beschreibt die Reife eines Betrachtungsfeldes hinsichtlich einer bestimmten Methode oder eines Handlungs- bzw. Führungsmodells. Für die Erreichung eines Reifegrades müssen gewisse Anforderungen erfüllt werden, sowie alle vorhergehenden Stufen erreicht sein. Reifegradmodelle des Risikomanagements dienen der Bewertung des Risikomanagementsystems im Unternehmen und ermöglichen einen Vergleich mit anderen Unternehmen. Die Weiterentwicklung des Risikomanagements kann top-down oder bottom-up erfolgen. Bei top-down gibt es feste Reifegradstufen, die mit weiteren Eigenschaften präzisiert werden. Beim bottom-up werden zuerst Eigenschaften und Bewertungselemente definiert und später in Reifegrade gruppiert.
In dem hier betrachteten Modell gibt es sechs Entwicklungsstufen.

6 Stufen des Risikomanagements

Die Risikomanagementfähigkeit von Unternehmen lässt sich unter anderem anhand von Reifegradmodellen betrachten und einordnen. Das Modell orientiert sich an der Erfüllung gesetzlicher Anforderungen sowie dem ökonomischer Nutzen der sich durch das Risikomanagement generieren lässt. Wie die meisten Modelle zum Risikomanagement, orientiert sich auch dieses Modell stark an Kapitalmarktrisiken. Dies ist darauf zurückzuführen, dass Risiken ein wesentlicher Bestandteil aller Kapitaltransaktionen sind. Gleichzeitig unterliegen die Kapitalmärkte einem großen öffentlichen und wissenschaftlichen Interesse,  es ist eine sehr große Datenbasis vorhanden und die Risiken lassen sich vielfach leicht quantifizieren. Trotz allem gibt dieses Modell auch eine gute Orientierung für Unternehmen die nicht direkt oder nicht nur kapitalmarktbezogenen Risiken unterliegen. 

Stufe 1 – kein Risikomanagement

Die Unternehmensführung hat ein unzureichendes Risikobewusstsein und somit kein systematisches Vorgehen im Umgang mit Risiken. Unternehmerische Entscheidungen, als Reaktion auf Gefahren, finden nur sporadisch statt.

Stufe 2 – Schadensmanagement

Die Existenz bestimmter Risiken ist dem Unternehmen bekannt. Es werden bewusst Maßnahmen zur Gefahrenabwehr eingeleitet. Regelungen, wie Umweltschutz und Arbeitsschutz, finden dabei auch Berücksichtigung. Bei seltenen und größeren Risiken werden Versicherungen abgeschlossen, um Schäden zu minimieren. Zur Gefahrenbeurteilung wird kein spezifisches Instrument eingesetzt und Risikomaßnahmenpläne werden in abgeschotteten Teams bearbeitet.

Stufe 3 – Regulatorisches Risikomanagement („KonTraG-Risikomanagement“)

Wenn ein Unternehmen diese Stufe erreicht verfügt es erstmalig über ein kontinuierliches und systematisches Risikomanagementsystem. Risiken werden ständig überwacht und bewertet. Die Gesamtheit der Risiken bilden das sog. Risikoinventar. Informationen wie Umfang, Verantwortlichkeit und Turnus werden gemäß dem KonTraG schriftlich fixiert. Für die wichtigen Risiken werden Risikobewältigungsstrategien entwickelt, dafür werden die Risiken hinsichtlich der Schadenshöhe und Eintrittswahrscheinlichkeit quantifiziert und bewertet. Am Ende erfolgt eine einfache Risikoaggregation.

 CAPM 

Das Capital Asset Pricing Model (CAPM) ist ein Kapitalmarktmodell, das sich mit der Frage beschäftigt, welcher Teil des Gesamtrisikos eines Investitionsobjekts nicht durch Risikostreuung  zu beseitigen ist und erklärt, wie risikobehaftete Anlagemöglichkeiten im Kapitalmarkt bewertet werden. 

Stufe 4 – Ökonomisches, entscheidungsorientiertes Risikomanagements

Es existiert ein umfassendes, Software gestütztes Risikomanagementsystem im Unternehmen. Dieses basiert auf einem starken Risikobewusstsein der Unternehmensführung. Durch die Zusammenfassung der Einzelrisiken wird ein Gesamtrisikoumfang berechnet. Ziel ist es, ein flexibles und bewegliches Risikomanagement zu etablieren, welches mit der Strategieentwicklung eng verknüpft ist. Risiken sollten so eingeschätzt werden, dass ein Unternehmen auch bei Marktschwankungen nicht von negativen Auswirkungen wie z.B. einer Zahlungsunfähigkeit bedroht wird. Dies kann durch Abwägen von möglichen Risiken und Erträgen mittels Kapitalmarktmodellen (z.B. CAPM)  erfolgen.

Value-at-Risk

Der Value at Risk („gefährdeter Wert“) gibt an, welche Verlusthöhe innerhalb eines gegebenen Zeitraums mit einer festgelegten Wahrscheinlichkeit von beispielsweise 95 Prozent nicht überschritten wird. Es wird lediglich das wahrscheinlich maximalste Verlustrisiko betrachtet. Beispiel: Ein Portfolio von Wertpapieren hat im Lauf des nächsten Jahres (gegebener Zeitraum) mit 95 %iger Wahrscheinlichkeit (Wahrscheinlichkeit oder das sogenannte “Konfidenzniveau”) keine höheren Verluste als 11.500 €.
Die Wahrscheinlichkeit für das Auftreten von Verlusten von mehr als 11,500 € im Laufe der nächsten 12 Monate beträgt 5 %. Man kann also mit 95 %iger Sicherheit davon ausgehen, dass die maximalen Verluste höchstens 11.500 € betragen werden.

Stufe 5 – Integriertes wertorientiertes Risikomanagement

Der Risikomanagement-Prozess ist mit der operativen Ebene des Unternehmens eng verknüpft. Allen Planungen können Risiken zugeordnet werden, sodass sich daraus langfristige Handlungsstrategien ermitteln lassen. So kann das Unternehmen sein Risikomanagement bewerten und optimieren. Alle Risiken, die bewertungsrelevant sind, werden berücksichtigt („Risikodeckungssatz“). Zum Bewerten und zur Portfoliooptimierung werden Risikomaße, wie Eigenkapitalbedarf, Ausfallwahrscheinlichkeit und Value-at-Risk verwendet.

Stufe 6 – Ganzheitliches Risikomanagement

Die Bewertung des risikogerechten Ertragswertes oder des Risikonutzens spiegelt die Risikopräferenz des Eigentümers wider und bildet die Grundlage für strategische und operative Entscheidungen. Teil der Risikoanalyse ist die vorangegangene Integration unternehmerischer Reaktionsmöglichkeiten auf die Entwicklung von Zielgrößen und äußeren Risikofaktoren. Unsicherheiten und Reaktionen von Wettbewerbern, sowie die Unvorhersehbarkeit menschlichen Verhaltens und das Risiko des unternehmerischen Handelns, werden ebenfalls in die Bewertung mit einbezogen. Das Risikomanagement ist fest in der Unternehmenskultur und im unternehmerischen Denken integriert, sodass jede Form von Management im Unternehmen als Risikomanagement angesehen wird. Ein gutes Risikomanagement ist ein wesentlicher Erfolgsfaktor für jedes Unternehmen. Dabei ist es wichtig möglichst viele Mitarbeiter in das Risikomanagement einzubeziehen. Die Erfahrung und Expertise der Mitarbeiter ist wichtig, um Risiken richtig zu erfassen, zu bewerten und die notwendigen Maßnahmen in die Praxis umzusetzen. Diese Form der einer integrierten Risikobewältigung wird ab der 4. Stufe des Reifegradmodells erreicht. Die selbst Geschäftsführung muss „Oberster Risikomanager“ sein, weil sie maßgebliche Entscheidungen über den Risikoumfang und die notwendige Bewältigungsstrategie trifft. Hierbei sollten Strategien und feste organisatorische Muster und Methoden angewandt werden, um sicherzustellen, dass mögliche bestandsbedrohende Entwicklungen bereits früh erkannt werden.

Der Risikomanagement Prozess im Sinne eines Regelkreises

Da das Risikomanagement als kontinuierlicher Prozess effizient im Unternehmen integriert werden soll, bietet sich die Orientierung an einem Management-Regelkreis an. (Lesen Sie hier mehr zu Management-Regelkreisen)

Strategie als Fundament 

Der strategische Prozess bildet das Fundament für ein zuverlässiges, rentables Risikomanagement. Es werden strategische Formulierungen bezüglich der Rahmenbedingungen getätigt, an denen Sie sich während des operativen Prozesses orientieren können. Legen Sie die Ziele fest, die Sie mit verschiedenen Strategien erreichen möchten.

Risiken identifizieren und bewerten

Der erste operative Schritt eines effektiven Risikomanagements befasst sich mit der Risikoinventur. Ziel der Risikoidentifikation ist die frühzeitige und möglichst vollständige Erfassung aller Risikoquellen, Schadensursachen und Störpotenzialen. Risiken können unterschiedlichen Ursprungs sein, daher lassen sich Risiken in drei sogenannte Risikofelder zusammenfassen.

Diese drei Felder sind der Markt, das Unternehmen und das Umfeld. Potenzielle Risiken können der tatsächliche oder drohende Verlust eines wichtigen Kunden oder der Ausfall eines entscheidenden Lieferanten sein. Potenzielle Entwicklungsmängel und Investitions- bzw. Finanzierungsrisiken gefährden den Erfolg ihres Unternehmens.

Um sämtliche internen und externen Einflussfaktoren zu identifizieren, ist die Inventur sowohl auf gesamtbetrieblicher Ebene vorzunehmen als auch in den Projekten, in jeder Abteilung und für alle Kernprozesse durchzuführen.

Im Anschluss ist die Bewertung der identifizierten Risiken durchzuführen. Zur Bewertung der Risiken können zwei Faktoren herangezogen werden, Eintrittswahrscheinlichkeit und Tragweite.

Ordnen Sie den potenziellen Risiken eine Eintrittswahrscheinlichkeit in Prozent zu und schätzen Sie im zweiten Schritt die Höhe des Schadens in Euro bei Risikoeintritt. Nun können Sie die beiden Werte kombinieren und zu einem Risikoportfolio zusammenstellen. Anhand des Portfolios können Sie erkennen welche Risiken Priorität haben und diese im dritten Schritt eliminieren. Alternativ können Sie die Risiken in eine Risikomatrix (siehe unten) einordnen.

Risiken steuern und überwachen

Im Umgang mit den potenziellen Risiken können, obwohl die Maßnahmen meist vom individuellen Einzelfall abhängen, vier Strategien genannt werden. Sie können sowohl einzeln als auch kombiniert genutzt werden.

  • Risikovermeidung (Gefahrenumgehung, bei gleichzeitigem Verzicht auf Chancen)
  • Risikoverminderung (Reduzierung des Risikos auf ein akzeptables Maß)
  • Risikoübertragung (gänzliches oder teilweises Weiterreichen des Risikos an Dritte, z.B. Kunde, Zulieferer oder Versicherer)
  • Risikoakzeptanz (Risiko lässt sich nicht umgehen oder die Kosten der Risikohandhabung stehen in keinem Verhältnis zum Nutzen)

Für die Übertragung von Risiken gibt es grundsätzlich mehrere Möglichkeiten. Durch die Auslagerung vollständiger Unternehmensaktivitäten ist es oft möglich die damit verbundenen Risiken auf eine dritte Partei, z.B. ein weiteres Unternehmen zu übertragen. Werden Produkte oder Dienstleistungen von anderen Unternehmen eingekauft statt diese selbst zu produzieren oder zu erbringen, können z.B. Produktions- oder Haftungsrisiken übertragen werden. Durch langfristige Lieferverträge zu fixen Konditionen können z.B. die Risiken steigender Einkaufspreise reduziert und auf den Lieferanten übertragen werden.

Eine ganz klassische Form der Risikoübertragung der Transfer von Risiken auf ein Versicherungsunternehmen. Die Risiken die mit Hilfe von Versicherungen übertragen werden können sind vielfältig. Risiken der Produkthaftung lassen sich genauso absichern, Sachschäden, Wechselkursrisiken, schwankende Rohstoffpreise oder mögliche Zahlungsausfälle von Kunden oder weiteren Schuldnern. Wichtig ist dabei aber, dass die Kosten für die Versicherung immer in einem sinnvollen Verhältnis zu dem Ausmaß und der Eintrittswahrscheinlichkeit des Risikos stehen. Wichtig ist es auch nach der Risikosteuerung die Risiken zu kontrollieren, da sich Rahmenbedingungen und Eintrittswahrscheinlichkeiten fortlaufend ändern können. Ebenfalls ist die Umsetzung der Maßnahmen zur Risikosteuerung zu verfolgen und deren Wirksamkeit zu prüfen.

Image

Risikosteuerung mit Hilfe der Risikomatrix

Die Risikomatrix dient der systematischen Abschätzung und Bewertung von Risiken. Sie setzt die Wahrscheinlichkeit des Auftretens eines unerwünschten Ereignisses und dessen Auswirkung tabellarisch ins Verhältnis. Sie ist folgendermaßen aufgebaut:

In den meisten Fällen wird an der x-Achse die Eintrittswahrscheinlichkeit und an der y-Achse das Schadensausmaß angegeben. Die Zeilen- und Spaltenbeschriftung kann durch einen Index oder eine beschreibende Angabe erfolgen. Die einzelnen Bereiche können durch eine entsprechende Färbung unterschieden werden. Die grünen Felder bezeichnen ein vertretbares Risiko, die Felder mit einer gelben Färbung besitzen eine mittelhohe Eintrittswahrscheinlichkeit und können einen erheblichen Schaden verursachen und die roten Felder besitzen eine hohe Eintrittswahrscheinlichkeit und können verheerenden Schaden nach sich ziehen. Die Matrix dient der Risikoberichterstattung und bietet die Grundlage für die Risikokategorisierung, die Risikobewältigung und deren Priorisierung.

Image

Share this Post

Quelle: 
Prof. Dr. Werner Gleißner (2016) „Reifegradmodelle und Entwicklungsstufen des Risikomanagements: ein Selbsttest“ 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.