Jede unternehmerische Tätigkeit ist mit Risiken verbunden. Diese Risiken können dazu führen, dass die mit der unternehmerischen Tätigkeit verbundenen Ziele nicht vollständig oder gar nicht erreicht werden. Es handelt sich somit um eine zukünftige Abweichung von den geplanten Unternehmenszielen. Im Gegensatz zu Risiken werden mögliche positive Abweichungen der geplanten Ziele als Chancen bezeichnet bzw. betrachtet.
Risiken, die nicht rechtzeitig erkannt und bewältigt werden, gefährden die erfolgreiche Weiterentwicklung eines Unternehmens.
Das Risikomanagement ist ein präventiver Ansatz, um Unternehmensrisiken und auch Projektrisiken zu identifizieren und durch geeignete Maßnahmen abzumildern. Dazu wird entweder die Eintrittswahrscheinlichkeit oder die Auswirkungen beim Eintritt zu reduziert.
Das Ziel des Risikomanagements ist die Absicherung der Unternehmensziele und somit auch die Sicherung der Unternehmensfortführung, sowie die Steigerung des Unternehmenswertes. Das Risikomanagement ist Bestandteil der Verantwortung des Managements und somit integrierter Teil der organisatorischen Prozesse und keine selbstständige Tätigkeit.
Wie unterscheiden sich Risiken und Probleme?
Um die geeignete Risikomanagementstrategie zu finden, ist es nötig zwischen einem Risiko und einem Problem unterscheiden: Ein Problem ist bereits eingetreten oder wird mit hoher Wahrscheinlichkeit eintreten. Es können nur noch korrektive Maßnahmen eingeleitet werden, um das Problem zu lösen. Im idealen Fall sollte dies möglichst zeitnah geschehen. Ein Risiko kann eintreten; es werden präventive Maßnahmen eingeleitet, die dieses Ereignis strategisch und langfristig verhindern oder den Einfluss reduzieren sollen. Das Risikomanagement ist somit keine einmalige Aufgabe, sondern ein rollierender Prozess der in regelmäßigen Abständen durchgeführt wird.
Begriffe des Risikomanagements
Risikoanalyse: Dient der Identifikation und Bewertung von Risiken und kann ferner zur Förderung der Risikowahrnehmung eingesetzt werden.
Risikomatrix: Wird zur Erfassung und Bewertung des Gesamtrisikos verwendet, indem die ermittelten Aspekte in eine Matrix (Risikoportfolio, Risikomatrix) mit entsprechender Eintrittswahrscheinlichkeit und dem Schadensumfang eingetragen werden.
Risikovermeidung: Unterlassen einer riskanten Aktivität
Risikominderung: Verringern des Risikopotenzials auf eine tolerierbare Größe
Risikokategorisierung: Gliederung der Unternehmensrisiken
Risikoberichterstattung: Auskunft über die wirtschaftlichen und technischen Risiken, ihre künftige Entwicklung und ihre mögliche Risikobewältigung in Form eines Lageberichts.
Risikoaggregation: Zusammenfassung aller Unternehmensrisiken mit der Zielsetzung, die Gesamtrisikoposition eines Unternehmens zu bestimmen, sowie die relative Bedeutung von Einzelrisiken auf die Unternehmensentwicklung zu ermitteln.
Risikomanagement in ISO 9001:2015
Was ist das KonTraG?
Bei dem KonTraG handelt es sich um ein Gesetz, welches 1998 vom Deutschen Bundestag beschlossen wurde. Mit diesem Artikelgesetz wurden etliche Vorschriften aus dem Handels- und Gesellschaftsrecht verändert. Das KonTraG präzisiert und erweitert dabei hauptsächlich Vorschriften des Handelsgesetzbuches und des Aktiengesetzes, mit dem Ziel die Grundsätze der Unternehmensführung zu verbessern. Mit dem KonTraG wurde die Haftung von Vorstand, Aufsichtsrat und Wirtschaftsprüfern in Unternehmen erweitert. Kern des KonTraG ist eine Vorschrift, die Unternehmensleitungen dazu zwingt, ein unternehmensweites Früherkennungssystem für Risiken (Risikofrüherkennungssystem) einzuführen und zu betreiben, sowie Aussagen zu Risiken und zur Risikostruktur des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft zu veröffentlichen.
Grundsätzlich ist jedes Unternehmen bereits durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) dazu verpflichtet unternehmerische Risiken zu erfassen und zu veröffentlichen.
Über die Anforderungen des KonTraG hinaus fordert die ISO 9001:2015 “[...] von der Organisation, dass sie Maßnahmen plant und umsetzt, mit denen Risiken und Chancen behandelt werden.“ (ISO 9001:2015 Kapitel 0.3.3)
Obwohl an dieser Stelle kein umfangreiches Risikomanagement verlangt wird, kann auf die Grundzüge eines Risikomanagements nicht verzichtet werden, daher sind Risiken “strukturiert zu identifizieren, zu bewerten, zu minimieren und zu überwachen“. (ISO 9001:2015 Kapitel 6.1).
Die Norm sieht eine Etablierung des Risikomanagements auf zwei Ebenen vor: Die gesamt betrieblichen Ebene und die Projekt- oder Auftragsebene. Verbunden werden diese beiden Ebenen durch den Risikobeauftragten des Unternehmens. Je nach Unternehmensgröße können Art und Umfang des nachzuweisenden Risikomanagements abweichen. Dem Anhang A.4 der ISO Norm 9001:2015 ist zu entnehmen, dass es gegenüber der 9001:2008, teilweise Reduzierung der vorgeschriebenen Anforderungen und deren Ersatz durch leistungsorientierte Anforderungen gibt. Daraus ist eine höhere Flexibilität in den Anforderungen an Prozesse, dokumentierte Information und Verantwortlichkeiten der Organisation entstanden. Obwohl formelle Methoden oder ein dokumentierter Risikoprozess explizit nicht vorgeschrieben sind, kann die Prozessdokumentation das Risikomanagement deutlich erleichtern und empfiehlt sich daher auch für kleine Unternehmen.
Ferner fordert die ISO NORM 9001:2015, dass Unternehmen
“a) zusichern [...] können, dass das Qualitätsmanagementsystem seine beabsichtigten Ergebnisse erzielen kann;
b) erwünschte Auswirkungen zu verstärken;
c) unerwünschte Auswirkungen zu verhindern oder zu verringern;
d) Verbesserung zu erreichen.“
(ISO 9001:2015 Kapitel 6.1)
So unterschiedlich die Anforderungen an die einzelnen Unternehmen sind, fordert die Qualitätsmanagementnorm in Kapitel 6.1.2:
“Die Organisation muss planen:
a) Maßnahmen zum Umgang mit diesen Risiken und Chancen;
b) wie
i. die Maßnahmen in die Qualitätsmanagementsystem-Prozesse der Organisation integriert und dort umgesetzt werden
ii. die Wirksamkeit dieser Maßnahmen bewertet wird.“
Ein fundiertes und effektives Risikomanagement ist somit essenziell für ihre Umstellung auf DIN EN ISO 9001:2015 (Lesen Sie hier über die größten Änderungen der DIN EN ISO 9001:2015)
Welche Formen des Risikomanagements gibt es?
Ein strukturiertes Risikomanagement kann dazu beitragen, Aktivitäten zu priorisieren und zwischen verschiedenen Handlungsalternativen zu wählen. Das Risikomanagement sollte dabei auf die individuellen, zeitgerechten Anforderungen des Unternehmens zugeschnitten sein. Mithilfe eines Reifegradmodells kann das bestehende Risikomanagement in Unternehmen untersucht und bewertet werden.
Ein Reifegradmodell beschreibt die Reife eines Betrachtungsfeldes hinsichtlich einer bestimmten Methode oder eines Handlungs- bzw. Führungsmodells. Für die Erreichung eines Reifegrades müssen gewisse Anforderungen erfüllt werden, sowie alle vorhergehenden Stufen erreicht sein. Reifegradmodelle des Risikomanagements dienen der Bewertung des Risikomanagementsystems im Unternehmen und ermöglichen einen Vergleich mit anderen Unternehmen. Die Weiterentwicklung des Risikomanagements kann top-down oder bottom-up erfolgen. Bei top-down gibt es feste Reifegradstufen, die mit weiteren Eigenschaften präzisiert werden. Beim bottom-up werden zuerst Eigenschaften und Bewertungselemente definiert und später in Reifegrade gruppiert.
In dem hier betrachteten Modell gibt es sechs Entwicklungsstufen.
6 Stufen des Risikomanagements
Die Risikomanagementfähigkeit von Unternehmen lässt sich unter anderem anhand von Reifegradmodellen betrachten und einordnen. Das Modell orientiert sich an der Erfüllung gesetzlicher Anforderungen sowie dem ökonomischen Nutzen, der sich durch das Risikomanagement generieren lässt. Wie die meisten Modelle zum Risikomanagement orientiert sich auch dieses Modell stark an Kapitalmarktrisiken. Dies ist darauf zurückzuführen, dass Risiken ein wesentlicher Bestandteil aller Kapitaltransaktionen ist. Gleichzeitig unterliegen die Kapitalmärkte einem großen öffentlichen und wissenschaftlichen Interesse, es ist eine sehr große Datenbasis vorhanden und die Risiken lassen sich vielfach leicht quantifizieren. Trotz allem gibt dieses Modell auch eine gute Orientierung für Unternehmen die nicht direkt oder nicht nur kapitalmarktbezogenen Risiken unterliegen.
Stufe 1 – kein Risikomanagement
Die Unternehmensführung hat ein unzureichendes Risikobewusstsein und somit keine systematische Vorgehensweise in der Handhabung der Risiken. Unternehmerische Entscheidungen, als Reaktion auf Gefahren, finden nur vereinzelt statt.
Stufe 2 – Schadensmanagement
Die Unternehmensführung weiß um bestimmte Risiken. Es bestehen Maßnahmen, die zur Gefahrenabwehr eingeleitet werden können. Es werden Versicherungen abgeschlossen, um den Schaden größerer Risiken zu minimieren. Die risikospezifischen Maßnahmen werden in ausgewählten Teams bearbeitet. Zur Gefahrenanalyse wird kein bestimmtes Werkzeug eingesetzt.
Stufe 3 – Regulatorisches Risikomanagement („KonTraG-Risikomanagement“)
Sobald ein Unternehmen diese Stufe erreicht verfügt es erstmalig über ein kontinuierliches und systematisches Risikomanagementsystem. Risiken werden regelmäßig überprüft und evaluiert. Die Risiken werden in einem Risikoinventar zusammengefasst. Der KonTraG sieht vor, dass die entsprechenden Informationen wie Umfang, Zuständigkeit und Turnus schriftlich festgehalten werden. Für ernstzunehmende Risiken werden Bewältigungsstrategien entwickelt, dafür erfolgt eine Bewertung des Schadensausmaßes und die Eintrittswahrscheinlichkeit.
CAPM
Das Capital Asset Pricing Model (CAPM) ist ein Kapitalmarktmodell, das sich mit der Frage beschäftigt, welcher Teil des Gesamtrisikos eines Investitionsobjekts nicht durch Risikostreuung zu beseitigen ist und erklärt, wie risikobehaftete Anlagemöglichkeiten im Kapitalmarkt bewertet werden.
Stufe 4 – Ökonomisches, entscheidungsorientiertes Risikomanagements
Basierend auf dem starken Risikobewusstsein der Unternehmensführung besitzt das Unternehmen ein umfangreiches Risikomanagementsystem. Durch die Zusammenfassung der Einzelrisiken wird ein Gesamtrisikoumfang berechnet. Das Ziel ist die Etablierung eines flexiblen Risikomanagements, welches eng mit der Strategieentwicklung verknüpft ist. Dabei sollten Risiken so eingeschätzt werden, dass ein Unternehmen auch bei Marktschwankungen nicht von negativen Auswirkungen wie z.B. einer Zahlungsunfähigkeit bedroht wird. Dies kann durch Abwägen von möglichen Risiken und Erträgen mittels Kapitalmarktmodellen (z.B. CAPM) erfolgen.
Value-at-Risk
Der Value at Risk ("gefährdeter Wert") gibt an, welche Verlusthöhe innerhalb eines gegebenen Zeitraums mit einer festgelegten Wahrscheinlichkeit von beispielsweise 95 Prozent nicht überschritten wird. Es wird lediglich das wahrscheinlich maximalste Verlustrisiko betrachtet. Beispiel: Ein Portfolio von Wertpapieren hat im Lauf des nächsten Jahres (gegebener Zeitraum) mit 95 %iger Wahrscheinlichkeit (Wahrscheinlichkeit oder das sogenannte “Konfidenzniveau”) keine höheren Verluste als 11.500 €.
Die Wahrscheinlichkeit für das Auftreten von Verlusten von mehr als 11,500 € im Laufe der nächsten 12 Monate beträgt 5 %. Man kann also mit 95 %iger Sicherheit davon ausgehen, dass die maximalen Verluste höchstens 11.500 € betragen werden.
Stufe 5 – Integriertes wertorientiertes Risikomanagement
Der Risikomanagement-Prozess ist mit der operativen Ebene des Unternehmens verbunden. Alle Planungen können Risiken zugeordnet werden, sodass sich langfristige Handlungsstrategien ermitteln lassen. So kann das Unternehmen sein Risikomanagement bewerten und optimieren. Dabei werden alle bewertungsrelevanten Risiken berücksichtigt. Zum Bewerten und zur Portfoliooptimierung werden Risikomaße, wie Eigenkapitalbedarf, Ausfallwahrscheinlichkeit und Value-at-Risk verwendet.
Stufe 6 – Ganzheitliches Risikomanagement
Die Bewertung des risikogerechten Ertragswertes oder des Risikonutzens spiegelt die Risikopräferenz des Eigentümers wider und bildet die Grundlage für strategische und operative Entscheidungen. Die vorangegangene Analyse unternehmerischer Reaktionsmöglichkeiten auf die Entwicklung von Zielgrößen und äußeren Risikofaktoren wird in die Risikoanalyse integriert. Reaktionen von Wettbewerbern
und andere „Verhaltensrisiken“ sowie
„Managementrisiken“ werden konsequent
analysiert und bewältigt. Das Risikomanagement ist fester Bestandteil der Unternehmenskultur und im unternehmerischen Denken verankert, sodass jede Form von Management im Unternehmen als Risikomanagement angesehen wird. Ein gutes Risikomanagement ist ein wesentlicher Erfolgsfaktor für jedes Unternehmen. Dabei ist es essenziell möglichst viele Mitarbeiter in das Risikomanagement einzubeziehen. Mit ihrer Erfahrung und Expertise der Mitarbeiter können Risiken umfassend wahrgenommen und bewertet werden. Anschließend können die notwendigen Maßnahmen in die Praxis umgesetzt werden. Diese Form der einer integrierten Risikobewältigung wird ab der 4. Stufe des Reifegradmodells erreicht. Insbesondere die Geschäftsführung muss sich laut Gleissner als „Oberster Risikomanager“ verstehen, weil ihre Entscheidungen den Risikoumfang bestimmt und die notwendigen Bewältigungsstrategien trifft. Hierbei sind Strategien und feste organisatorische Muster und Methoden empfehlenswert, damit mögliche bestandsbedrohende Entwicklungen bereits früh erkannt werden.
Der Risikomanagement Prozess im Sinne eines Regelkreises
Da das Risikomanagement als kontinuierlicher Prozess effizient im Unternehmen integriert werden soll, bietet sich die Orientierung an einem Management-Regelkreis an. (Lesen Sie hier mehr zu Management-Regelkreisen)
Strategie als Fundament
Der strategische Prozess bildet das Fundament für ein zuverlässiges, rentables Risikomanagement. Es werden strategische Formulierungen bezüglich der Rahmenbedingungen getätigt, an denen Sie sich während des operativen Prozesses orientieren können. Legen Sie die Ziele fest, die Sie mit verschiedenen Strategien erreichen möchten.
Risiken identifizieren und bewerten
Der erste operative Schritt eines effektiven Risikomanagements befasst sich mit der Risikoinventur. Ziel der Risikoidentifikation ist die frühzeitige und möglichst lückenlose Erfassung aller Risikoquellen, Schadensursachen und Störpotenzialen. Risiken können unterschiedlichen Ursprungs sein, daher lassen sich Risiken in drei sogenannte Risikofelder zusammenfassen.
Diese drei Felder sind der Markt, das Unternehmen und das Umfeld. Potenzielle Risiken können der tatsächliche oder drohende Verlust eines wichtigen Kunden oder der Ausfall eines entscheidenden Lieferanten sein. Potenzielle Entwicklungsmängel und Investitions- bzw. Finanzierungsrisiken gefährden den Erfolg ihres Unternehmens.
Um sämtliche internen und externen Einflussfaktoren zu identifizieren, ist die Inventur sowohl auf gesamtbetrieblicher Ebene vorzunehmen als auch in den Projekten, in jeder Abteilung und für alle Kernprozesse durchzuführen.
Im Anschluss ist die Bewertung der identifizierten Risiken durchzuführen. Zur Bewertung der Risiken können zwei Faktoren herangezogen werden, Eintrittswahrscheinlichkeit und Tragweite.
Ordnen Sie den potenziellen Risiken eine Eintrittswahrscheinlichkeit in Prozent zu und schätzen Sie im zweiten Schritt die Höhe des Schadens in Euro bei Risikoeintritt. Nun können Sie die beiden Werte kombinieren und zu einem Risikoportfolio zusammenstellen. Anhand des Portfolios können Sie erkennen welche Risiken Priorität haben und diese im dritten Schritt eliminieren. Alternativ können Sie die Risiken in eine Risikomatrix (siehe unten) einordnen.
Risiken steuern und überwachen
Im Umgang mit den potenziellen Risiken können, obwohl die Maßnahmen meist vom individuellen Einzelfall abhängen, vier Strategien genannt werden. Sie können sowohl einzeln als auch kombiniert genutzt werden.
- Risikovermeidung (Gefahrenumgehung, bei gleichzeitigem Verzicht auf Chancen)
- Risikoverminderung (Reduzierung des Risikos auf ein akzeptables Maß)
- Risikoübertragung (gänzliches oder teilweises Weiterreichen des Risikos an Dritte, z.B. Kunde, Zulieferer oder Versicherer)
- Risikoakzeptanz (Risiko lässt sich nicht umgehen oder die Kosten der Risikohandhabung stehen in keinem Verhältnis zum Nutzen)
Für die Übertragung von Risiken gibt es grundsätzlich mehrere Möglichkeiten. Durch die Auslagerung vollständiger Unternehmensaktivitäten ist es oft möglich die damit verbundenen Risiken auf eine dritte Partei, z.B. ein weiteres Unternehmen zu übertragen. Werden Produkte oder Dienstleistungen von anderen Unternehmen eingekauft, statt diese selbst zu produzieren oder zu erbringen, können z.B. Produktions- oder Haftungsrisiken übertragen werden. Durch langfristige Lieferverträge zu fixen Konditionen können z.B. die Risiken steigender Einkaufspreise reduziert und auf den Lieferanten übertragen werden.
Eine ganz klassische Form der Risikoübertragung der Transfer von Risiken auf ein Versicherungsunternehmen. Die Risiken die mithilfe von Versicherungen übertragen werden können sind vielfältig. Risiken der Produkthaftung lassen sich genauso absichern, Sachschäden, Wechselkursrisiken, schwankende Rohstoffpreise oder mögliche Zahlungsausfälle von Kunden oder weiteren Schuldnern. Wichtig ist dabei aber, dass die Kosten für die Versicherung immer in einem sinnvollen Verhältnis zu dem Ausmaß und der Eintrittswahrscheinlichkeit des Risikos stehen. Wichtig ist es auch nach der Risikosteuerung die Risiken zu kontrollieren, da sich Rahmenbedingungen und Eintrittswahrscheinlichkeiten fortlaufend ändern können. Ebenfalls ist die Umsetzung der Maßnahmen zur Risikosteuerung zu verfolgen und deren Wirksamkeit zu prüfen.
Risikosteuerung mit Hilfe der Risikomatrix
Die Risikomatrix dient der systematischen Abschätzung und Bewertung von Risiken. Sie setzt die Wahrscheinlichkeit des Auftretens eines unerwünschten Ereignisses und dessen Auswirkung tabellarisch ins Verhältnis. Sie ist folgendermaßen aufgebaut:
In den meisten Fällen wird an der x-Achse die Eintrittswahrscheinlichkeit und an der y-Achse das Schadensausmaß angegeben. Die Zeilen- und Spaltenbeschriftung kann durch einen Index oder eine beschreibende Angabe erfolgen. Die einzelnen Bereiche können durch eine entsprechende Färbung unterschieden werden. Die grünen Felder bezeichnen ein vertretbares Risiko, die Felder mit einer gelben Färbung besitzen eine mittelhohe Eintrittswahrscheinlichkeit und können einen erheblichen Schaden verursachen und die roten Felder besitzen eine hohe Eintrittswahrscheinlichkeit und können verheerenden Schaden nach sich ziehen. Die Matrix dient der Risikoberichterstattung und bietet die Grundlage für die Risikokategorisierung, die Risikobewältigung und deren Priorisierung.
Share this Post
Quelle:
Prof. Dr. Werner Gleißner (2016) „Reifegradmodelle und Entwicklungsstufen des Risikomanagements: ein Selbsttest“