Risikomanagement
Inhaltsverzeichnis
Risikomanagement im Unternehmen
Das Risikomanagement ist in großen Konzernen fest etabliert. In kleinen und mittelständischen Unternehmen hingegen wird es häufig vernachlässigt. Dabei ist ein funktionierendes Risikomanagement im Unternehmen wichtig, um auf alle Gegebenheiten und Entwicklungen vorbereitet zu sein. Wie ein funktionierendes Risikomanagement aussieht und wie Sie es in Ihrem Unternehmen umsetzen, erfahren Sie in diesem Artikel.
Die Definition des Risikomanagements
Was ein Risiko ist, wissen wir alle. Es handelt sich dabei um die Eintrittswahrscheinlichkeit eines negativen Effekts, der durch eine Handlung entsteht. Kurz: Auf jede Aktion kann eine negative Reaktion erfolgen. Wie hoch das Risiko ist, hängt von der Aktion und den Umständen ab, aber im Grunde ist immer eine Eintrittswahrscheinlichkeit eines negativen Effekts vorhanden. Und sei es nur eine Wahrscheinlichkeit von 0,00000000000001 Prozent.
Das Risikomanagement kümmert sich darum, dass das Unternehmen auf den Eintritt eines negativen Effekts vorbereitet ist, indem es die Risiken im Voraus kalkuliert. Für den Eintritt einer negativen Situation entwickelt das Risikomanagement Gegenstrategien und Abläufe, die den Schaden gering halten sollen.
Das Risikomanagement ist dabei in mehrere Teilbereiche aufgeteilt, die sich mit den unterschiedlichen Phasen eines Risikos beschäftigen.
Die Risikoanalyse im Risikomanagement
Innerhalb der Risikoanalyse werden Risiken identifiziert. Welche Risiken für ein Unternehmen bestehen, hängt unter anderem von der Branche, dem Standort und der Marktposition ab.
Der Fokus liegt vor allem auf unternehmerischen Risiken, die vom Markt ausgehen. Es werden aber auch interne Risiken identifiziert, die sich negativ auf das Arbeitsgefüge und die Moral auswirken können.
Ein Beispiel für ein Risiko ist die Neuentwicklung von innovativen Produkten auf dem eigenen Markt, mit denen das eigene Unternehmen anschließend Schritt halten muss.
Die Risikobewertung im Risikomanagement
Bei der Risikobewertung geht es darum, die identifizierten Risiken anhand ihrer Eintrittswahrscheinlichkeit und der Stärke der Auswirkungen zu bewerten.
Schwache Risiken werden dabei dementsprechend schwach bewertet und als eher nebensächlich betrachtet. Risiken, die eine starke negative Auswirkung haben können, stehen im Fokus.
Die erwähnte Neuentwicklung beispielsweise bekommt einen recht hohen Stellenwert, da sie für das eigene Produkt bedeuten kann, dass die Verkäufe einbrechen.
Die Risikosteuerung im Risikomanagement
Mit der Risikosteuerung soll das entsprechende Risiko minimiert werden. Man steuert also sozusagen gegen das Risiko an. Hier werden also die Maßnahmen entwickelt, die als Reaktion auf ein Risiko stattfinden müssen.
Im Falle der Neuentwicklung wäre eine mögliche Maßnahme die eigene Entwicklung neuer Innovationen und ein Ausbau der eigenen Forschungs- und Entwicklungsabteilung.
Das Risikocontrolling im Risikomanagement
Dem Risikocontrolling unterliegt die Kontrolle der Effektivität des Risikomanagements. Es ist also ein Kontrollinstrument innerhalb des Risikomanagements für das Risikomanagement selbst.
Das Controlling bezieht sich auf die gesamten Abläufe im Risikomanagement. Dabei geht es darum, das Risikomanagement immer auf die aktuellen Anforderungen abzustimmen und so mit den Entwicklungen auf dem Markt auch das Risikomanagement zu entwickeln.
Das ist wichtig, damit das Risikomanagement weiterhin Risiken rechtzeitig identifizieren und Gegenmaßnahmen ergreifen kann, um die Auswirkungen zu mindern oder sogar zu vermeiden. Schließlich ist das übergeordnete Ziel des Risikomanagements immer, einen möglichen Schaden so gering wie möglich zu halten.
Risikomanagement: Die Ziele
Das Risikomanagement verfolgt als übergeordnetes Ziel wie gesagt die Verminderung von Schäden durch eintretende Risiken. Insgesamt sind die Ziele aber vielseitiger, was unter anderem daran liegt, dass sich Schäden in vielerlei Hinsicht bemerkbar machen können. Die Ziele beziehen sich deshalb auf vielseitigen Ebenen und betreffen alle Bereiche eines Unternehmens.
Die Ziele des Risikomanagements beziehen sich unter anderem auf den wirtschaftlichen Bereich des Unternehmens. Hier geht es zum Beispiel darum, das Risiko von Kündigungen der Aufträge von Kunden und Kundinnen zu verhindern.
Im technischen Bereich muss das Risikomanagement eine Reaktion auf technische Ausfälle entwickeln. Beispielsweise, was zu tun ist, wenn plötzlich eine wichtige Maschine ausfällt und die produktiven Abläufe dadurch gestört werden.
Auch rechtliche Ziele gehören zum Risikomanagement. Zum Beispiel ein Plan für die Vorgehensweise bei Schadensersatzforderungen.
Darüber hinaus ist es die Aufgabe des Risikomanagements, alle etwaigen Risiken in Betracht zu ziehen und dafür Maßnahmen zu entwickeln. Das bezieht sich beispielsweise auch auf das Verhalten bei Unwettern und dadurch bedingte erschwerte Arbeitsbedingungen oder Ausfälle, wenn zum Beispiel der Strom ausfällt.
Ein Ziel des Risikomanagements ist es, Risiken möglichst zu verhindern. Natürlich besteht darauf in bestimmten Fällen nur ein geringer oder gar kein Einfluss. Ein Unwetter kann man nicht verhindern. Mögliche Schäden durch ein Unwetter können aber durch bestimmte Maßnahmen zumindest gemindert werden. Der Blitzableiter verhindert im Zweifelsfall, dass das Unternehmen während des Gewitters in Brand gerät. Zäune um das Gelände verhindern eventuell Einbrüche. Mauern um das Gelände können vielleicht vor Hochwasserschäden schützen.
Das Ziel des Risikomanagements ist es immer, alle Risiken in Betracht zu ziehen und Lösungen dafür zu entwickeln, die das Risiko möglichst aus der Welt schaffen, zumindest aber die Eintrittswahrscheinlichkeit verringern.
Ein wichtiger Teil des Risikomanagements ist deshalb auch die Wahrscheinlichkeitsberechnung für sowohl den Eintritt eines Risikos als auch die möglichen Folgen dieses Risikos.
Mögliche Risiken für das eigene Unternehmen
Die Risiken für Unternehmen sind unterschiedlich und auch die Eintrittswahrscheinlichkeit ist von den Umständen abhängig. Die Hochwassergefahr ist beispielsweise höher für ein Unternehmen, das an einem Fluss steht, als für ein Unternehmen, dessen Standort sich in der Innenstadt befindet – obwohl das Jahr 2021 da alle Wahrscheinlichkeiten ignoriert hat, aber das wird ja hoffentlich nicht zur Regel werden.
Die möglichen Risiken für ein Unternehmen lassen sich in Kategorien unterteilen. Zudem gibt es externe und interne Risiken und Risiken, die vom Unternehmen nicht oder kaum beeinflusst werden können.
Potenzielle Risiken finden sich beispielsweise in den folgenden Kategorien:
Umweltrisiken
Auf diese Form von Risiken hat ein Unternehmen im Grunde keinen Einfluss. Wie bereits erwähnt, können aber Gegenmaßnahmen ergriffen werden. Allerdings besteht auch dabei keine volle Garantie darauf, dass Umweltrisiken keinen Schaden anrichten.
Zu möglichen Umweltrisiken gehören:
- Unwetter
- Hochwasser
- Stürme
- Erdbeben
- Lawinen
- Waldbrände
- Hitze
- Kälte
- Epidemien oder Pandemien
Vor allem die letzten Jahre haben einige der Umweltrisiken verstärkt zugeschlagen. Wer hätte beispielsweise mit einer weltweiten Pandemie gerechnet? Auch die heißeren Sommer können je nach Branche eine Risikoquelle sein, wenn beispielsweise leicht entzündliche Materialien gelagert werden.
Andere Umweltrisiken sind eher vom Standort abhängig. Eine Lawine wird kaum ein Unternehmen erwischen, dass im flachen Land steht und Erdbeben gibt es zwar überall, aber die meisten davon bekommt man gar nicht mit.
Die Eintrittswahrscheinlichkeit von Umweltrisiken sollte also vom Unternehmensstandort aus betrachtet werden. Ein gutes Beispiel dafür ist das Risikomanagement in den USA, bei dem Unternehmen in den Hurricane-Regionen für gewöhnlich starke Maßnahmen ergreifen, da ansonsten erhebliche Schäden nicht nur wahrscheinlich, sondern quasi garantiert sind.
Strategische Risiken
Die Unternehmensstrategie beginnt bereits bei der Gründung. Deshalb muss auch das Risikomanagement bereits hier beginnen.
Ein gutes Beispiel dafür ist die Standortwahl. Hier ist es besonders wichtig, alle möglichen Risiken zu bedenken, bevor eine Entscheidung gefällt wird.
Zu den Risiken verbunden mit dem Standort gehören beispielsweise diese Komponenten:
- Umweltrisiken
- Verkehrsanbindung
- Marktlage in der Region
- mögliches Personal
- mögliche Kundschaft
Zu den strategischen Risiken gehört aber natürlich noch mehr. Im Grunde jede strategische Entscheidung, die für das Unternehmen getroffen werden muss.
Finanzielle Risiken
Zu den finanziellen Risiken gehören alle Risiken, die sich durch oder in Verbindung mit Geld und Wertgegenständen ergeben können.
Beispiele dafür sind:
- Inflation
- Liquiditätsengpässe
- Kreditabsagen
- Wechselkursschwankungen
Im Prinzip also alles, was die eigene Zahlungsfähigkeit gefährden kann.
Operative Risiken
In einem Unternehmen sollten die einzelnen Abläufe aufeinander abgestimmt sein, damit ein guter Arbeitsflow entsteht. Dieser Flow kann aber durch operative Schwierigkeiten gestört werden und im schlimmsten Fall alle Abläufe lahmlegen.
Zum Beispiel:
- Maschinenausfälle
- Überreizung der Produktionskapazitäten
- Fehler bei der Produktion
Im Grunde gehören auch Risiken innerhalb der Projektmanagements dazu. Läuft ein Projekt aus dem Ruder oder kann nicht wie geplant umgesetzt werden, kann das ebenfalls Schäden verursachen, die sich nicht nur finanziell bemerkbar machen.
Deshalb ist es sinnvoll, für Projekte ebenfalls das Risikomanagement heranzuziehen. Dabei können Deadlines kalkuliert oder auch die Abläufe innerhalb des Projekts geprüft werden.
Personalrisiken
Ein Unternehmen ist nur so gut, wie das angestellte Personal. Gerade in Zeiten des Fachkräftemangels ist das Personalrisiko nicht zu unterschätzen.
So kann es beispielsweise sein, dass Sie für Ihr Unternehmen keine qualifizierten Mitarbeiter:innen finden. Das kann auch am gewählten Standort liegen, womit wir wieder bei dem Risiko wären.
Aber auch eine hohe Fluktuation bei den Mitarbeiter:innen ist ein Risiko. Müssen ständig neue Angestellte angelernt oder eingewiesen werden, verursacht das zum einen Kosten und kostet zum anderen Zeit, die produktiver genutzt werden könnte.
IT-Risiken
Jedes Unternehmen, egal wie groß oder klein, steht jederzeit in der Gefahr eines Hackerangriffs. Dabei muss es nicht mal um gezielte Attacken gehen. Einmal die falsche E-Mail geöffnet und schon hat man den Salat.
Viren, Würmer, Trojaner und Ransomware sind ein großes Risiko und verursachen immer Schaden in der ein oder anderen Form. Im schlimmsten Fall wird dadurch das komplette Unternehmen lahmgelegt und ein Lösegeld erpresst.
Regulatorische und politische Risiken
Änderungen der politischen Lage oder von Gesetzen können ebenfalls einen Einfluss auf Ihr Unternehmen haben. Beispielsweise durch neue Auflagen bezüglich des Umweltschutzes oder durch Export-Embargos.
Das Risikomanagement nach Gleißner und Mott
Die Diplom-Wirtschaftsingenieure Dr. Werner Gleißner und Bernd P. Mott teilen das Risikomanagement in sechs Stufen ein. Diese Stufen erläutern im Grunde, wie gut ein Risikomanagement ist.
In Stufe 1 hat ein Unternehmen kein Risikomanagement. Dementsprechend ist das Risikobewusstsein gering und es gibt kaum oder keine Gegenmaßnahmen, falls ein Risiko eintritt.
Stufe 2 spricht vom Schadensmanagement. Dabei handelt es sich um das Bewusstsein für mögliche Gefahren und die Absicherung durch beispielsweise Versicherungen. Es existiert im Unternehmen aber kein direktes Risikomanagement, das sich auf die Gefahren und Risiken fokussiert.
Bei Stufe 3 handelt es sich um das regulatorische Risikomanagement. Hier existiert ein Risikomanagement im Unternehmen, das aber nicht ausgebaut ist. Es werden zwar Risiken bewertet, aber nicht konkret nach neuen möglichen Risiken gesucht. Es geht also eher um die offensichtlichen Risiken und einfache Strategien, um diesen Risiken entgegenzuwirken oder darauf zu reagieren.
Beim ökonomischen Risikomanagement in Stufe 4 betrachtet das System Risiken nicht nur als Gefahr, sondern auch als Chancen. Hier ist bereits ein umfassendes Risikomanagement vorhanden.
Stufe 5 ist das wertorientierte Risikomanagement. Wie der Name schon sagt, liegt der Fokus hier zusätzlich zu den vorangegangenen Stufen auch auf dem Wertverlust, der durch ein eintretendes Risiko stattfinden kann. Das muss nicht direkt durch einen Schaden an beispielsweise einer Maschine sein, sondern bezieht sich auch auf den Eigenkapitalbedarf, wenn ein Schaden durch ein Risiko entsteht.
Stufe 6 ist letztlich das Embedded Risikomanagement. Hier ist also ein vollumfängliches Risikomanagement im Unternehmen etabliert.
Jede Stufe des Risikomanagements ist im Grunde eine Weiterentwicklung der vorherigen. Baut man das Risikomanagement nach diesem Stufenprinzip auf, hat man alle wichtigen Faktoren abgedeckt.
Der Prozess des Risikomanagements mit Beispielen
Das Risikomanagement ist ein dynamischer Prozess, der sich in einzelne Teilprozesse unterteilen lässt. Das sind die bereits zu Beginn dieses Artikels erwähnten Identifizierung, Bewertung, Steuerung und Controlling.
Im Kern besteht das Risikomanagement also aus vier Schritten. Der erste Schritt ist dabei der wichtigste, denn nur eine erkannte Gefahr, kann auch entsprechend gebannt werden.
Schritt 1: Die Identifizierung von Risiken
Die Identifizierung der unternehmerischen Risiken gelingt durch eine detaillierte Bestandsaufnahme. Es werden also alle potenziellen Risiken und Gefahren erfasst, vom minimalsten Risiko bis zur größten Gefahr.
Das ist zu Beginn ein wenig schwierig, vor allem in der Gründungsphase. Einerseits wirkt in der Phase alles wie eine Gefahr, andererseits sieht man den sprichwörtlichen Wald vor lauter Bäumen nicht. Ein Brainstorming, bei dem einfach alles aufgeschrieben wird, das einem gerade in den Kopf schießt, kann dabei helfen.
Besser ist es aber, etablierte Analysemethoden wie die SWOT-Analyse oder die PEST-Analyse zu verwenden. Diese Methoden sollten ohnehin bei der Gründung herangezogen werden und man kann sie entsprechend mit dem Risikomanagement verbinden.
Durch die SWOT-Analyse wird die eigene Position im Vergleich zur Konkurrenz anhand der Stärken, Schwächen, Chancen und Risiken ermittelt. Sie ist ohnehin ein wichtiges Tool bei der Unternehmensgründung und kann dementsprechend auch zur Risikobestimmung genutzt werden. Dieser Aspekt ist sowieso schon in der SWOT-Analyse enthalten und kann entsprechend ausgebaut werden.
Die PEST-Analyse hingegen fokussiert sich auf interne und externe Einflussfaktoren. Somit werden hier schon automatisch Risiken bestimmt und entdeckt. Dabei geht es um politische, ökonomische, sozio-kulturelle und technische Faktoren. Bei der PEST-Analyse geht es also darum, die Einflüsse aus unterschiedlichen Richtungen zu bestimmen. Dadurch werden die damit verbundenen Risiken direkt offengelegt. Auch die PEST-Analyse ist ein sinnvolles Tool während der Gründung und kann dementsprechend auch zur Risikoidentifizierung mitverwendet werden.
Weitere Möglichkeiten zur Identifizierung von Risiken sind Checklisten, Warnsysteme oder Expert:innen, die sich auf die Risikoanalyse spezialisieren.
Schritt 2: Die Bewertung der Risiken
Bei der Bewertung der identifizierten Risiken müssen zwei Faktoren berücksichtigt werden: das Schadensausmaß und die Eintrittswahrscheinlichkeit.
Ein gutes System für die Bewertung ist die Erstellung einer Skala von beispielsweise 1 bis 10. 1 stellt den geringsten Wert dar und 10 den höchsten. Bei einem Unternehmen, das an einem Fluss liegt, wäre die Skala also sowohl für das Schadensausmaß als auch die Eintrittswahrscheinlichkeit von Hochwasser bei einer 10.
Über diese Wertungen kann ein sogenannter Schadenserwartungswert für jedes einzelne Risiko berechnet werden. Dafür werden einfach beide Werte aus der Skala miteinander multipliziert. In unserem Hochwasserbeispiel wäre das also eine 20 und somit der höchstmögliche Schadenserwartungswert.
In einer Risikomatrix können die einzelnen Risiken mit der entsprechenden Bewertung verglichen werden. Die Risikomatrix ist im Grunde ein Diagramm. Auf der x-Achse befindet sich die Eintrittswahrscheinlichkeit, auf der y-Achse das Schadensausmaß. Die einzelnen Risiken werden dann anhand des ermittelten Schadenswerts im Diagramm platziert. So ergibt sich eine Rangfolge der Risiken.
Schritt 3: Die Steuerung der Risiken
Eine Steuerung der Risiken ist auf unterschiedliche Weise möglich. Welche Weise die sinnvollste ist, hängt vom Risiko selbst und den damit verbundenen Möglichkeiten ab.
Im besten Fall werden Risiken natürlich vermieden. Diese Form der Steuerung ist aber nicht immer möglich. Das Flusswasser tritt nun mal bei starkem Regen über das Ufer. Interne Prozesse hingegen können aber meistens so angepasst werden, um damit verbundene Risiken zu entfernen.
Eine Reduzierung von Risiken ist eine weitere Möglichkeit. Das beinhaltet vorausschauenden Maßnahmen. Das Hochwasser ist eine Gefahr, wenn das Unternehmen am Fluss steht. Wird vorausschauend ein anderer Standort weit weg vom Fluss gewählt, fällt das Risiko weg und die Risiken wurden insgesamt reduziert.
Risiken können auch verlagert werden. Eine Versicherung gegen Hochwasser schützt zwar nicht vor dem objektiven Schaden, aber vor dem finanziellen Risiko. Allerdings muss hier bedacht werden, dass diese Verlagerungen immer mit einem Preis verbunden sind. Dieser Preis steigt entsprechend der Höhe des Risikos. Die Hochwasserversicherung direkt am Fluss ist erheblich teurer als in der Innenstadt.
Schritt 4: Die Kontrolle der Risiken
Bei der Kontrolle von Risiken handelt es sich um die Überwachung der Risikofaktoren. Das beinhaltet nicht nur den Blick auf das Risiko selbst, sondern auch auf die bereits erdachten Maßnahmen. Durch neue Entwicklungen können Maßnahmen ihre Wirkung verlieren.
Das Flusswasser steigt bei Regen immer bis zu einem gewissen Punkt an. Dafür wurden Mauern errichtet, die das Unternehmen schützen. Der Wasserstand steigt aber jährlich ein wenig mehr an. Dann werden die Mauern irgendwann nicht mehr reichen, um das Wasser vom Unternehmen fernzuhalten.
Risiken unterliegen häufig dynamischen Einflüssen und verändern sich dementsprechend mit der Zeit. Vor einigen Jahren herrschte noch kein Fachkräftemangel in Deutschland, jetzt ist er aber da. Ein Risiko also, dass sich entwickelt hat.
Nur durch ein gutes und durchgehendes Controlling können Risiken erkannt und darauf reagiert werden. Andernfalls läuft man Gefahr, von einem Risiko überrascht zu werden. Das zu verhindern, gehört zu den Aufgaben des Risikomanagements.