Risikomanagement
Was ist Risikomanagement und warum muss man es beachten?
Risikomanagement ist ein Prozess, bei dem gute Managemententscheidungen getroffen und Strategien umgesetzt werden, die darauf abzielen, potenzielle Verluste zu verringern und gleichzeitig die Vorteile zufälliger Ereignisse voll auszuschöpfen. Dabei können die mit einem Unternehmen verbundenen Risiken von finanziellen und rechtlichen Problemen bis hin zu technischen Fehlern, Unfällen und Naturkatastrophen reichen.
Natürlich ist es unmöglich, alle Gefahren vorherzusehen, und deshalb ist es so wichtig zu lernen, wie man sie bewältigt! Ein erfolgreiches Risikomanagement ermöglicht es einem Unternehmen, auch in kritischen Zeiten, trotz interner und externer Bedrohungen, weiterzuarbeiten.
Somit sind es die Hauptaufgaben des Risikomanagements,
- mögliche Risiken und Gefahren vorherzusagen;
- die Ursachen von Risiken zu beseitigen;
- Maßnahmen gegen Krisen zu treffen und eine Strategie zur Krisenbekämpfung zu entwickeln und umzusetzen.
Darüber hinaus untersucht das Risikomanagement die gegenseitigen globalen Beziehungen zwischen potenziellen Bedrohungen und ihre eventuelle Auswirkung auf die strategischen Ziele des Unternehmens unter verschiedenen Umständen. Das Hauptziel des Risikomanagements besteht also nicht nur darin, Risiken zu beseitigen, sondern auch darin, sie lenken zu können. Zugegeben: manche Risiken können sich durch das erzielte Ergebnis nicht schlecht auswirken, u.a. dann, wenn der Gewinn und die KPI-Werte gestiegen sind.
Ein wirksames Risikomanagement bringt also viele Vorteile mit sich. Das sind u.a.:
- ein höheres Risikobewusstsein im ganzen Unternehmen;
- Überzeugung, dass die Ziele und Aufgaben des Unternehmens richtig sind;
- Effektivere und genauere Einhaltung der Vorschriften;
- Höhere Leistung durch konsequente Anwendung von Risikomanagement-Instrumenten;
- Höhere Sicherheit und Arbeitsschutz für Mitarbeiter und Kunden;
- Wettbewerbsvorteil auf dem Markt.
Fünf Schritte zum effektiven Risikomanagement
Um die Risiken in den Griff zu bekommen, gehen erfahrene Führungskräfte und Manager fünf Hauptschritte. Der Prozess beginnt zunächst mit der Identifizierung der Risiken. Darauf folgen ihre Analyse, die Ermittlung der vorrangigen Risiken und der Entwicklung einer Strategie auf dieser Grundlage. Doch lassen Sie uns auf die einzelnen Schritte des Risikomanagements näher eingehen.
Schritt 1: Ermittlung oder Identifizierung von Risiken
Die erste Etappe beim Risikomanagement ist also die Ermittlung der Risiken. Da das Unternehmen einer Vielzahl von verschiedenen Risiken ausgesetzt ist, werden diese in der Regel wie folgt klassifiziert:
- Rechtliche und finanzielle Risiken, die auch als Compliance-Risiken bezeichnet werden können. Sie sind mit Verstößen gegen Gesetze, Verträge oder anerkannte Normen verbunden, die zur finanziellen Haftung, Geldstrafen und anderen Sanktionen führen können.
- Regulatorische Risiken. Bei dieser Art von Risiken geht es um die Nichteinhaltung externer oder interner Vorschriften in Bezug auf einen beliebigen Aspekt der Geschäftstätigkeit.
- Marktrisiken. Bei diesen Risiken handelt es sich um externe Faktoren, die sich aus der veränderten Marktsituation ergeben. Dazu gehören u.a. Preis- und Wechselkursschwankungen.
- Operative Risiken. Hierbei handelt es sich um das Risiko von Verlusten infolge fehlerhafter interner Prozesse und Systemausfälle, destruktiver Handlungen von Mitarbeitern oder externer Ereignisse, solcher wie Betrug.
- Umwelt- oder naturbedingte Risiken. Das sind die Wahrscheinlichkeit negativer Veränderungen in der Umwelt oder die nachteiligen Auswirkungen dieser Veränderungen. Solche Risiken können durch Naturgewalt, durch Menschen oder durch Technik verursacht werden.
Um die wahrscheinlichsten Risiken zu ermitteln, müssen folgende Hauptfragen beantwortet werden:
- Wie sieht es mit den offiziellen Dokumenten des Unternehmens aus? Möglicherweise gab es in letzter Zeit neue oder korrigierte Rechtsnormen, auf die man sich vorbereiten muss.
- Wie sind die Ergebnisse der jüngsten Finanzprüfungen, Marktforschungen und Versicherungsberichte?
- Welche Ereignisse haben sich früher schon negativ auf das Unternehmen ausgewirkt? Welchen Risiken waren Sie bereits ausgesetzt? Mit anderen Worten: Analysieren Sie frühere negative Erfahrungen in Bezug auf die Gefahren, aber vergessen Sie dabei nicht die positiven Erfahrungen bei der Überwindung der Schwierigkeiten.
- Welches sind die wahrscheinlichsten Risiken in der gegenwärtigen Situation?
Erst jetzt, da wir nun den ersten und wichtigsten Schritt des Risikomanagements hinter uns haben, können wir zu den nächsten Schritten übergehen. Achten Sie besonders auf die Identifizierung von Risiken! Seien Sie nicht zu bequem, etwas mehr Zeit und Ihre besten Analysten einzuplanen. Erst dann beginnt der zweite Schritt.
Schritt 2: Analyse der ermittelten Risiken
Sobald das Risiko identifiziert wurde, muss es analysiert werden. Dazu muss man das Ausmaß der ermittelten Bedrohung und ihre Auswirkungen auf das Unternehmen ermitteln. Außerdem ist es wichtig zu verstehen, wie das Risiko entstanden ist, welche Ursachen es hat und wie es abgewendet werden kann.
Wenn in der ersten Etappe gleich mehrere Risiken identifiziert werden konnten (was oft der Fall ist), sollten die Risiken je nach Vorrang geordnet werden. Er resultiert aus dem Niveau des Einflusses eines jeden Risikos auf das Unternehmen als Ganzes und auf seine einzelnen Prozesse. Denn je mehr Unternehmensseiten einem Risiko ausgesetzt sind, desto höher ist die Gefahr für das gesamte Unternehmen. Für ein Industrieunternehmen sind beispielsweise die Umwelt- oder Naturrisiken aufgrund der negativen Auswirkungen auf die Umwelt am bedeutendsten. Für den Handel sind die Haushaltsrisiken am wichtigsten, denn wenn das Unternehmen einen bestimmten Finanzplan nicht einhält und den Kostenrahmen überschreitet, werden zusätzliche Mittel benötigt, was zu erheblichen Haushaltskürzungen, unerwünschten Krediten oder sogar zum Konkurs führen kann.
Zu den Faktoren, die die Unternehmen bei der Priorisierung von Risiken berücksichtigen, gehören:
- mögliche finanzielle Verluste;
- verlorene oder für die Behebung aufgewendete Zeit;
- Verfügbarkeit von Ressourcen und Instrumenten für das Risiko-Management in Zukunft.
Dieser Schritt hilft den Unternehmen, die Informationen zu erhalten, die sie benötigen, um auf die häufigsten Gefahren zu reagieren.
Schritt 3: Risikobewertung
Bei der Risikobewertung geht es nicht nur um die Ermittlung möglicher Risiken, sondern auch um die Bewertung der Bedingungen ihrer Entstehung und die Bestimmung ihrer Auswirkungen auf das Unternehmen. Es gibt zwei Arten der Risikobewertung: qualitative und quantitative.
Die meisten Risiken sind nicht quantifizierbar und werden nur qualitativ bewertet. Ein Beispiel dafür ist das Risiko des Klimawandels, das für viele Unternehmen eine Bedrohung darstellt. Die qualitative Bewertung ist somit eine Analyse der Merkmale und der Auswirkung möglicher Risiken aus der Sicht der Fachleute.
Bei der quantitativen Risikobewertung wird das Ausmaß einzelner Gefahren numerisch ermittelt. Quantitative Analysen sind genauer, werden aber hauptsächlich bei komplexen Projekten eingesetzt. Quantitative Bewertungen werden am häufigsten für die Analyse von Risiken im Finanzbereich verwendet, da es dabei hauptsächlich um Zahlen geht - seien es Gewinne, Zinssätze, Leistungsindikatoren usw. Quantitative Risikobewertungen sind viel einfacher zu automatisieren. Man hält sie auch für objektiver als qualitative Bewertungen.
Es ist wichtig zu verstehen, dass qualitative Bewertungen oft mit quantitativen Bewertungen einhergehen. Je nach der verfügbaren Zeit, dem Budget und der Art des Unternehmens können beide Verfahren getrennt oder zusammen eingesetzt werden.
Schritt 4: Risikominderung und Sicherheit
Nach all diesen Schritten - Risikoidentifizierung, Risikoanalyse und Risikobewertung - ist es an der Zeit, zu handeln! Jedes Risiko muss beseitigt oder so weit wie möglich minimiert werden. Das heißt, in dieser Etappe werden spezifische Lösungen umgesetzt und Maßnahmen ergriffen, mit denen mögliche Verluste beseitigt werden können.
Beginnen Sie mit den bedrohlichsten Risiken. Zur Anschaulichkeit sollten Sie einen Plan zur Beseitigung oder Minderung des Risikos erstellen, in dem alle erforderlichen Schritte zur Reduzierung der Gefahr aufgeführt sind. Wenden Sie sich dazu an Experten auf dem Gebiet, auf das sich das Risiko bezieht.
Es gibt mehrere grundlegende Risikomanagement-Strategien:
- Vollständige Eliminierung
Diese Strategie besteht darin, gefährliche Handlungen absolut zu vermeiden, um die Wahrscheinlichkeit eines Schadens auf Null zu reduzieren. Diese Strategie ist am besten geeignet, wenn das Risiko potenziell große Auswirkungen auf das gesamte Unternehmen haben kann, z. B., wenn es das Unternehmen insolvent machen oder gar zerstören könnte. In diesem Fall ist es jedoch wichtig, die möglichen Gefahren richtig zu erkennen, denn einige Risiken können durchaus rechtfertigt sein und sogar zur Gewinnsteigerung beitragen.
- Vorbeugung und Kontrolle
Dann gilt es, ein Zufallsrisiko auszuschließen und mögliche Verluste zu minimieren, wenn die Bedrohung plötzlich zur Realität wird. Um beispielsweise ein Datenleck zu verhindern, muss das Unternehmen die entsprechende Software installieren und für Cybersicherheit sorgen.
- Die Versicherung
Wenn das passiert, was das Unternehmen befürchtet hat, wird die Geschäftsführung entschädigt. Das heißt, der Schaden, der aus einem bestimmten Grund entsteht, wird ersetzt. Die Berufshaftpflichtversicherung zum Beispiel ist eine Möglichkeit für jeden Berufstätigen, persönliche Risiken zu vermeiden. Und wenn Fachleute in einer gefährlichen Produktion tätig sind, sollten sie sich um ihre Gesundheit kümmern und einen Lebensversicherungsvertrag abschließen.
Schritt 5: Überwachung und Bewertung der Ergebnisse
Die Effizienz der Krisenmanagementstrategie muss überwacht werden, ebenso wie das Auftreten neuer Risiken. Da im Laufe der Unternehmenstätigkeit immer wieder neue Gefahren und Risiken auftreten, müssen sie ständig kontrolliert werden.
Beim Eintritt einer neuen Krise ist es wichtig zu bewerten, ob die bisherige Lösung wirksam war. Vielleicht wird es erforderlich sein, eine andere Strategie zu wählen oder die aktuelle Strategie anzupassen. Um zu verstehen, wie es weitergehen soll, ist es notwendig, Aufzeichnungen zu führen, d. h. die Ergebnisse der Umsetzung von Risikomanagementmethoden zu dokumentieren, zu analysieren und mit Kollegen zu besprechen.
Es ist auch wichtig, daran zu denken, dass alle Etappen des Risikomanagements miteinander verknüpft sind und voneinander sowie von den Besonderheiten des Unternehmens und des Marktes selbst abhängen. Daher müssen sie im Kontext des gesamten Unternehmens betrachtet und auf der Grundlage von Erfahrungen angewandt werden.
Techniken des Risikomanagements
In der ersten Etappe des Risikomanagements, d. h. bei der möglichst genauen und objektiven Ermittlung aller Faktoren, die sich auf das Unternehmen auswirken und Risiken verursachen, gibt es Techniken, die sehr wirksam sind. Hier sind einige davon:
- Erstellung einer Risikokarte
Die Risikokarte ist ein Instrument zur Darstellung der qualitativen und quantitativen Analyse von Gefahren und Bedrohungen für das Unternehmen, d. h., ihre visuelle Darstellung. Ein solches Modell zeigt alle dem Unternehmen innewohnenden Risiken, visualisiert die Wahrscheinlichkeit ihres Eintretens und die Gesamtrisikobewertung. Es zeigt auf, wie den Gefahren vorgebeugt bzw. begegnet werden muss.
In einer solchen Karte werden die Risiken anhand der folgenden Konzepte bewertet: Bedeutung - Wahrscheinlichkeit - Ursachen. Das heißt, jedes annehmbare Risiko muss in einem Intervall zwischen "am wenigsten wahrscheinlich mit den geringsten Auswirkungen" und "am wahrscheinlichsten mit den größten Auswirkungen" eingestuft werden. Diese Angaben können in Prozent- oder Punktzahlen bewertet werden, und die Bedeutung, d. h. die Risiko-Folgen, kann auch in Geld ausgedrückt werden.
- SWOT-Analyse
Diese englische Abkürzung steht für Strengths (Stärken), Weaknesses (Schwächen), Opportunities (Chancen) und Threats (Risiken). Bei der Messung der Unternehmensleistung hilft die SWOT-Analyse, die Stärken (was dem Unternehmen einen Vorteil verschafft und es vom Wettbewerb abhebt), die Schwächen und Mängel, die externen Umstände und die externen Bedrohungen (das sind die Risiken, Probleme und Krisen, die dem Unternehmen auflauern) herauszufinden.
- Entscheidungsbaum-Methode
Dies ist eine der beliebtesten Methoden, um angesichts der Ungewissheit Entscheidungen zu treffen. Der Entscheidungsbaum ist eine grafische Methode, die es Ihnen ermöglicht, alle Elemente der Entscheidungsfindung sowie deren Folgen, Bedingungen und äußere Einflussfaktoren aufeinander abzustimmen. Der Entscheidungsbaum beginnt mit einer möglichst frühen primären Entscheidung und arbeitet dann die möglichen Ergebnisse und Folgen einzelner Maßnahmen aus. Es handelt sich also um so etwas wie „Einsatzerhöhung“ oder Risiko-Kategorisierung. Auf der Grundlage der erhaltenen Informationen wird dann erneut die Entscheidung getroffen - und so weiter, bis die Folgen aller Entscheidungen ermittelt und die Risiken minimiert worden sind.
- Die Fischgräten- oder Ishikawa-Diagramm-Methode
Bei dieser Methode handelt es sich um ein Diagramm, das einem Fischskelett ähnelt. Das eigentliche Problem befindet sich im "Kopf", und die Faktoren, die die Situation beeinflussen, werden auf die "Gräten" geschrieben. Mit diesem Diagramm kann man die Geschäftsprozesse besser verstehen und das Risiko bei der Planung verringern.
Für Bewertung und Analyse der Gefahren sollte man zu folgenden Methoden greifen:
- Risiko- und Auswirkungsmatrix im Projektmanagement
Das ist eine Tabelle, in die man die wichtigsten Mindestwerte der Wahrscheinlichkeiten von Risiken und die Höchstwerte der Folgen dieser Risiken einträgt. Am Schnittpunkt der Zeilen und Spalten lässt sich das Ausmaß des Risikos leicht erkennen und abschätzen.
- Pareto-Diagramm
Das System des Wissenschaftlers Pareto ist ein geordnetes absteigendes Histogramm, auf dem das Verhältnis verschiedener Produktionsfaktoren dargestellt wird. Aus der Vielzahl der Ursachen, die eine bestimmte Wirkung hervorrufen, lässt es die wichtigsten ermitteln, d. h. diejenigen, deren Einfluss am stärksten ist.
Nachdem die Risiken analysiert und ihre Folgen minimiert worden sind, kann zusätzlich noch die Planungstechnik eingesetzt werden, um die gefährlichsten Risiken in der Zukunft zu vermeiden. Sie wird "Futures Weel" genannt und ist ein Instrument, mit dem die direkten und indirekten Folgen einer bestimmten Strategie, eines Ereignisses oder einer Entscheidung ermittelt werden können. Das Futures Weel fußt auf der Brainstorming-Methode und beinhaltet vor allem die Ermittlung der Folgen einer Entscheidung durch kollektive Suche.
Management von Unternehmensrisiken
Das Risikomanagement im Unternehmen ist eine Methode, die das Risikomanagement global, d. h. aus der Perspektive des gesamten Unternehmens, betrachtet. Diese Strategie zielt auch darauf ab, potenzielle Verluste, Gefahren und Bedrohungen, die den Betrieb und die Ziele einer Organisation beeinträchtigen oder zu Verlusten oder Rufschädigung führen können, zu erkennen, zu bewerten und sich darauf vorzubereiten.
Es ist wichtig zu verstehen, dass das Risikomanagement des Unternehmens eine für die gesamte Organisation gemeinsame Strategie beinhaltet. Mit anderen Worten, es handelt sich nicht um eine konkrete Entscheidung, die in einer bestimmten Situation getroffen wird, sondern um einen langfristigen Plan oder eine Taktik für die Handhabung der Geschäftsprozesse. Ihre Umsetzung wird von jedem Mitarbeiter des Unternehmens getragen, der spezifische Zuständigkeiten im Risikomanagement hat. Dazu gehören die Rollenbeschreibung für jeden Mitarbeiter, die Trennung von Aufgaben und Verantwortungsbereichen und die Erteilung besonderer Befugnisse an bestimmte Mitarbeiter. Auf diese Weise können finanzielle, rechtliche, marktbezogene, operative und andere Risiken durch erfolgreiche ERM-Strategien regelmäßig verringert werden.
Das System des Risikomanagements
Im Zuge der Einführung des Risikomanagements wurden spezifische Standards für das Risikomanagement entwickelt. Hier sind einige Hauptstrukturen, oder, wie sie genannt werden, Risikomanagementsysteme:
Das NIST-Risikomanagement-System ist ein bundesweiter Leitfaden für Organisationen zur Bewertung und Verwaltung von Risiken für ihre Informationssysteme. Er wurde vom National Institute of Science and Technology zur Absicherung von Verteidigungs- und Geheimdienstnetzen erstellt. An dieses Risikomanagement-System sollen sich alle Bundesbehörden halten. Aber auch Privatunternehmen und andere Organisationen können von der Befolgung seiner Richtlinien profitieren.
COBIT (Control Objectives for Information and Related Technology) ist ebenfalls für die Verwaltung der Informationstechnologie im Unternehmen gedacht. Diese Technologie wurde von der Information Systems Audit and Control Association (ISACA) entwickelt, um sichere Prüfungsstandards festzulegen.
Das CAS-System (Casualty Actuary Society). Dieser Standard wurde von den Mitgliedern der gleichnamigen Gesellschaft verabschiedet, d. h. von Fachleuten aus den Bereichen Schaden- und Unfallversicherung und -rückversicherung, Finanzen und Unternehmensrisikomanagement. Sie helfen Unternehmen, fundierte strategische, operative und finanzielle Entscheidungen zu treffen.
Außerdem gibt es ein integriertes Risikomanagementsystem für Unternehmen, es heißt COSO Enterprise. Diese Plattform wurde unter Mitwirkung von fünf COSO-Mitgliedsorganisationen und externen Beratern entwickelt und im Jahr 2004 eingeführt. Danach wurde es erneuert, um kompliziertere ERM-Aufgaben zu lösen. Bei COSO Enterprise handelt es sich um eine Reihe von Leitlinien oder Regeln, die Unternehmen beim Management von Geschäftsrisiken unterstützen sollen. Dieses System definiert die wichtigsten ERM-Konzepte und -Grundsätze und bietet klare Grundsätze für das Risikomanagement. COSO konzentriert sich auf 5 Komponenten des Risikomanagementsystems:
- Führung und Kultur;
- Strategie und Zielsetzung;
- Leistung;
- Analyse und Überprüfung;
- Kommunikation und Berichterstattung.
Fazit
Zusammenfassend lässt sich sagen, dass das Risikomanagement ein untrennbarer Bestandteil der Geschäftstätigkeit ist. Mit der Weiterentwicklung des modernen Geschäftsumfeldes müssen die Unternehmen die Risiken und ihre eigene Haltung dazu ständig neu bewerten und einschätzen. Vor allem aber sollte man sich darüber im Klaren sein, dass es die Risiken und Bedrohungen sind, die über die Rentabilität und den Erfolg des Unternehmens entscheiden. Ein zuverlässiges Managementsystem kann dem Unternehmen dabei helfen, Risiken zu erkennen und sich auf ihre Bewältigung vorzubereiten. So sorgt das Risikomanagement für ein Gleichgewicht zwischen Risiko und Sicherheit, was die Möglichkeit gibt, die Chancen nicht zu verpassen und gleichzeitig negative Auswirkungen zu minimieren.