Beispiele: Potenzielle Risiken, Gefahren und Bedrohungen in Unternehmen
Wer Risikomanagement betreibt, muss wissen, wovor er sich fürchten sollte. Manche Risiken sind bekannt und können sogar gemessen werden. Andere lassen sich nur schwer erfassen. Und einige bleiben im Dunkeln, weil nie jemand daran gedacht hatte.
Insofern ist die Identifikation von Risiken ein Prozess, der Regelmäßigkeit und Systematik bedarf, bei dem aber auch Kreativität und Out-of-the-Box-Denken eine Rolle spielen. Damit sollen potenzielle Gefahrenherde ausgemacht werden, bevor die Schäden unvorhergesehen und überraschend eintreten.
Selbst wenn die Risiken als solche bekannt sind, lässt sich für viele nicht abschätzen, wann sie eintreten und mit welchen Folgen sie verbunden sind. Beispiele sind:
Risiken im Produkt
In einem Produkt des Unternehmens wird ein gefährlicher Inhaltsstoff gefunden, der aufgrund eines technischen Defekts im Herstellprozess in das Produkt gelangt ist. Das Unternehmen muss aufwendig eine Rückrufaktion starten, das Image beim Kunden leidet und möglicherweise drohen Klagen, weil einige Kunden Schaden erlitten haben.
Risiken in der IT
Ein Fehler in einem Computerprogramm hat dazu geführt, dass ein zentrales System im Unternehmen nicht mehr funktioniert und für die Mitarbeitenden mehrere Stunden nicht nutzbar ist. Hunderte Personen können nichts tun. Kundenanfragen und Bestellungen können nicht bearbeitet werden. Wichtige Zahlungen werden nicht abgewickelt.
Währungsrisiken
Ein Unternehmen exportiert einen großen Teil seiner Produkte ins Ausland. Wie erfolgreich das ist, hängt in hohem Maß vom Wechselkurs ab. Aufgrund politischer Ereignisse verändert sich der Wechselkurs in kurzer Zeit sehr stark. Wann Wechselkurse sich verändern und welche Auswirkungen dies auf das Unternehmen hat, ist nur schwer vorherzusehen. Der finanzielle Schaden kann aber gewaltig sein.
Negative Presse und Shitstorm
Ein Journalist der örtlichen Tageszeitung schreibt einen kritischen Bericht über das Unternehmen. Dies wird von anderen Zeitungen aufgegriffen und die Meinung der Öffentlichkeit wird davon beeinflusst. Besonders schnell verbreiten sich negative Schlagzeilen in Social-Media-Kanälen als Shitstorm. Letztlich schlägt sich dies auch auf das Vertrauen der Kunden gegenüber dem Unternehmen nieder.
Wichtig ist: Möglichst alle Risiken sollten auf dem Risiko-Radar erscheinen und kontinuierlich beobachtet werden. Nur so lassen sich im Vorfeld Gegenstrategien planen und bei Eintritt Abwehrmaßnahmen rasch umsetzen.
Wie Sie Risiken identifizieren
Risiken wie in den genannten Beispielen können als potenzielle Gefahrenherde identifiziert werden, aber das damit verbundene Risiko kann nur bedingt reduziert werden. Gleichwohl muss das Risikomanagement alles wirtschaftlich Vertretbare und gesetzlich Geforderte unternehmen, um die Eintrittswahrscheinlichkeit des Risikos zu reduzieren und um den Schaden zu begrenzen.
Voraussetzung dafür ist, dass die Risiken erkannt sind und beobachtet werden. Hilfreich ist, wenn dazu unterschiedliche Risikobereiche regelmäßig und anhand von festgelegten Kriterien und Fragen betrachtet und ausgewertet werden. Mögliche Risikobereiche und Beispiele sind:
- Marktrisiken: Veränderung der Kundenbedürfnisse, neue Trends, soziodemografischer Wandel, neue Wettbewerber.
- Strategische Risiken: Unklare Unternehmensnachfolge, neue Technologien, Eintritt in neue Märkte.
- Geschäftsrisiken: Falsche Informationen, falsche Entscheidungen, rechtliche und vertragliche Risiken, Verlust wichtiger Mitarbeiterinnen und Mitarbeiter (an Konkurrenten), Betrug.
- Finanzielle Risiken: Veränderung von Zinssätzen, Wechselkursen, Rohstoffpreisen, Energiepreisen, Aktienkursen.
- Kreditrisiken: Kredit- und Forderungsausfälle, Veränderung der Bonität.
- Operationelle Risiken: Ausfälle der Informationstechnik, Prozessfehler, menschliches Versagen, Arbeitsausfall, Krankheit von Mitarbeitenden, Ausfälle bei Lieferanten oder externen Dienstleistern, Arbeitsunfälle, Feuer.
- Umfeldrisiken: Naturereignisse, politische Entwicklungen.
Einzelne Risiken aus einem Risikobereich können eine „Schadenswelle“ nach sich ziehen. Tritt ein Schadensfall ein, von dem ein Unternehmen nicht direkt betroffen ist, kann dieser weitere Schäden in anderen Bereichen nach sich ziehen, die dann Auswirkungen auf ein Unternehmen haben können.
Beispiel: Produktionsausfall (mit Sekundär- oder Tertiäreffekten)
Ein Hurrikan legt die Produktion in einer Region lahm. Einzelne Unternehmen können nicht mehr beliefert werden. Die Produktion steht still. Lieferungen bleiben aus. Die Aktienkurse sinken. Die Aktienkurse anderer Unternehmen im gleichen Segment sind ebenfalls davon betroffen. Einzelne Risiken können also mit Sekundär- oder Tertiäreffekten verbunden sein.
Methoden für das Risikomanagement
Um die Risiken zu identifizieren und einen Risikokatalog für das Unternehmen zu erstellen, können unterschiedliche Methoden angewendet werden. Dabei ergeben sich dann Unterschiede, wenn eine erstmalige Bestandsaufnahme (Inventur) erfolgt oder regelmäßig die Aktualität und Veränderungen überprüft werden.
Hier eine Auswahl von Methoden für das Risikomanagement und die damit verbundene Informationsrecherche:
- Arbeiten mit Checklisten (zum Beispiel DIN EN ISO 12100 zur Risikobeurteilung von Maschinen)
- Auswertung von Schadenfall-Datenbank
- Expertenbefragungen
- Risiko-Workshops
- Fehler-Möglichkeiten- und Fehler-Einfluss-Analyse (FMEA)
- Prozessanalysen
- Analyse der Bilanzen, Geschäftsberichte und spezieller Kennzahlen
- Benchmarking und Betriebsvergleiche
- Marktanalysen, Marktbeobachtungen
In der Praxis empfiehlt sich ein Methodenmix. Einige dieser Methoden eignen sich auch für das Messen und Bewerten von Risiken (zum Beispiel Expertenbefragungen). Alle Methoden sind mit einer umfangreichen Recherche und mit dem Sammeln von Daten, Informationen und Fakten verbunden. Diese können innerhalb des Unternehmens oder von außen bezogen werden. Wichtig ist, mögliche Informationsquellen zu kennen und regelmäßig auszuwerten.
Ergebnis der regelmäßigen Risiko-Identifikation ist ein Risikokatalog mit einer Auflistung aller potenziellen Risiken für das Unternehmen, seine Fachbereiche und die Mitarbeitenden.
Risiken identifizieren und Risiko-Radar entwickeln
Prüfen Sie das Risikomanagement und die damit verbundenen Prozesse in Ihrem Unternehmen im Hinblick auf die Frage: Haben Sie alle möglichen Risikobereiche im Blick und kennen Sie alle möglichen Gefahren, Bedrohungen und Risiken für Ihr Unternehmen?
- Erstellen Sie dafür einen Risikokatalog als Risiko-Radar für Ihr Unternehmen.
- Identifizieren Sie die Informationen und deren Quellen, die Sie in diesem Risikokatalog regelmäßig erfassen und darstellen wollen.
- Beschreiben Sie die potenziellen Einzelrisiken in Bezug auf Ihr Unternehmen.
Nutzen Sie die folgende Vorlage, um Ihren eigenen Risikokatalog zu erstellen und zu pflegen.
Planen Sie die Inventur und das Risiko-Identifikationssystem.
- Welche Methoden können und wollen Sie einsetzen?
- Wie kommen Sie an die benötigten Informationen?
- Wer kümmert sich darum?
Halten Sie dies in der folgenden Vorlage fest.