RisikomanagementZiele und Aufgaben des Risikomanagements im Unternehmen
Was ist Risikomanagement?
Als Risikomanagement bezeichnet man die systematische Erfassung und die Bewertung von Risiken für den Betrieb und den Erfolg eines Unternehmens. Das Risikomanagement ist Teil der strategischen Unternehmensplanung, der Compliance und des Qualitätsmanagements. Es soll dazu beitragen, Schaden vom Unternehmen abzuwenden und die Folgen zu vermeiden oder zu mindern, die aus unplanbaren Ereignissen entstehen.
In der Praxis geht es beim Risikomanagement meist nicht nur darum, mögliche Risiken zu erkennen und abzuwenden – auch potenziellen Chancen sollen erkannt und genutzt werden.
Warum betreiben Unternehmen Risikomanagement?
Das Risikomanagement erlaubt es Unternehmen, rechtliche, prozessuale und operative Risiken sowie Risiken der Marktentwicklung frühzeitig zu erkennen. Werden Ereignisse, Trends und Entwicklungen identifiziert, die für das Unternehmen schädlich, teuer oder existenzbedrohend sein können, kann es frühzeitig Maßnahmen zur Abwendung oder Minderung der potenziell negativen Folgen ergreifen.
Wodurch und welche Risiken entstehen für Unternehmen?
Chancen wahrnehmen und Risiken vermeiden – das sind die zentralen strategischen Herausforderungen für ein Unternehmen. Und Risiken lauern überall. Die wirtschaftlichen Risiken wie der Verlust von Kunden oder die Manöver eines Wettbewerbers gehören immer zum Geschäft.
Ferner drohen technische Risiken:
- Computer und andere Maschinen können ausfallen;
- Störungen in der Logistik, bei Lieferanten oder Speditionen, können auftreten.
Für ein Unternehmen – und insbesondere für das verantwortliche Management – gibt es außerdem rechtliche Risiken. Durch Fehlentscheidungen, Fehlverhalten oder mangelhafte Kontrollmechanismen laufen sie Gefahr, gegen Gesetze zu verstoßen und dafür bestraft zu werden.
Nicht zuletzt drohen Risiken durch externe Einflussfaktoren: Unwetter, Anschläge, Angriffe (beispielsweise durch Hacker, Imagekampagnen durch die Medien), politische Entwicklungen. Es ließe sich ein buntes Risikoportfolio oder Bedrohungsszenario aufzeichnen.
Ziele für das Risikomanagement
Das Risikomanagement ist ein zentraler Baustein, um Bedrohungen, Gefahren und Risiken sichtbar zu machen und externen Anspruchsgruppen (Stakeholder) zu zeigen, dass man sich als Unternehmen proaktiv darauf einstellt. Dazu wird ein Unternehmens-Radar eingerichtet, das
- rechtzeitig vor Gefahren warnt,
- die Hintergründe sichtbar macht und
- Möglichkeiten aufzeigt, Risiken zu beherrschen.
Manchmal ergeben sich daraus sogar Chancen für das Unternehmen, wenn es aus einem Risiko einen Vorteil für sich macht.
Insbesondere Kapitalgeber, Banken, Ratingagenturen und der Gesetzgeber verlangen, dass ein Unternehmen ein aktives Risikomanagement betreibt. Der Gesetzgeber hat seine Anforderungen an das Risikomanagement der Unternehmen in zahlreichen Gesetzen (HGB, AktG, GmbHG etc.) verschärft. Dazu wurde 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verabschiedet.
Mit den Gesetzesänderungen hat die Unternehmensleitung die Pflicht, Risiken zu kontrollieren und Risikomanagement zu betreiben. Die betroffenen Unternehmen müssen ein umfassendes Controlling und Reporting-System einrichten und über Risiken im Leistungsbereich umfassend und schnell informieren.
Risikomanagement ist auch im Interesse des Unternehmens. Damit sollen wirtschaftliche und technische Risiken sichtbar werden, die großen finanziellen Schaden zur Folge haben können: Umsatzverluste oder hohe Kosten.
Im Rahmen des strategischen Controllings werden die erforderlichen Daten und Informationen ermittelt und zusammengestellt. Die Prozesse im Unternehmen müssen darauf ausgelegt sein, dass dann die richtigen Gegenmaßnahmen oder Sicherungsmaßnahmen ergriffen werden.
Gesetze, Normen und Standards zum Risikomanagement
Es gibt weltweit unzählige Gesetze, Normen und Standards und Tausende von Paragrafen, die sich direkt oder indirekt auf das Risikomanagement beziehen. Neben KonTraG, AktG, GmbHG gibt es international spezielle Regelungen wie:
- Sarbanes-Oxley-Act, Basel I bis IV
- MaRisk für Banken
- Versicherungsaufsichtsgesetz (VAG)
- Solvency II (im Versicherungsumfeld)
Zur Informationssicherheit sind ISO/IEC 27002:2022 oder COBIT relevant. Wirtschaftsprüfer beziehen sich auf COSO-ERM. Weitere Standards sind:
- DIN ISO 31000:2018
- der Deutsche Corporate Governance Index
- Grundsätze der OECD
- ÖNORM D 4900 Serie (für Österreich)
Für die Umsetzung der Gesetze, Normen und Standards wird meist ein Internes Kontrollsystem (IKS) gefordert.
DIN ISO 31000:2018 für das Risikomanagement
Die Norm DIN ISO 31000:2018 legt Leitlinien für das Behandeln von Risiken fest, die alle Unternehmen aus allen Branchen treffen können. Wie diese Leitlinien ausgefüllt werden, bleibt den Unternehmen überlassen. In der Norm werden Begriffe und Grundsätze des Risikomanagements erläutert. Außerdem werden Rahmenwerk und Prozesse des Risikomanagements unterschieden.
Zum Rahmenwerk gehören:
- Verantwortung der Führung und Verpflichtungen
- Integration in der Organisation
- Zuweisung von Rollen, Aufgaben und Befugnissen
- Zuordnung von Ressourcen
Außerdem wird die Vorgehensweise zur Einführung von Risikomanagement erläutert: Implementierung, Bewertung, Verbesserung, Anpassung.
Zu den Prozessen des Risikomanagements gehören laut DIN ISO 31000:2018:
- Anwendungsbereich festlegen
- externen und internen Kontext (Umfelder) unterscheiden
- Risikokriterien festlegen
- Risiken identifizieren
- Risiken analysieren
- Risiken bewerten
- Risiken behandeln
- Maßnahmen ergreifen
- Pläne entwickeln
- Effekte und Ergebnisse prüfen und dokumentieren
- Risikomanagement verbessern
Aufgaben des Risikomanagements
Das Risikomanagement hat drei zentrale Aufgaben:
- Risiken identifizieren.
- Risiken messen und bewerten.
- Risiken dokumentieren und berichten.
Damit diese Aufgaben zweckmäßig erfüllt werden können, braucht es geeignete Prozesse, Hilfsmittel und Personen, die damit betraut werden. In großen Unternehmen kümmern sich spezielle Abteilungen wie die Interne Revision um damit verbundene Aufgaben.
Letztlich muss jede Fachabteilung die wirtschaftlichen und technischen Risiken kennen und gegebenenfalls aktiv werden. Dafür braucht es geeignete Kontrollsysteme. Verantwortlich bleibt immer die Geschäftsleitung oder der Vorstand. Abbildung 1 zeigt die Elemente, die geregelt und organisiert werden müssen, wenn die Aufgaben des Risikomanagements bewältigt werden sollen.
Wenn diese Aufgaben und Prozesse installiert sind, werden der Unternehmensleitung die Informationen zur Verfügung gestellt, die für ihre risikoorientierten Entscheidungen notwendig sind. Sie kann planen, wie sie mit den Risiken umgeht. Diese Entscheidungen müssen anschließend umgesetzt werden.
Risikomanagement überprüfen
Inwiefern betreibt Ihr Unternehmen Risikomanagement im Hinblick auf die Risikoarten:
- wirtschaftlich
- technisch
- rechtlich
- Umfeld
Halten Sie für diese Bereiche fest:
- Welche Risiken bestehen für Ihr Unternehmen?
- Wie werden diese regelmäßig und zweckmäßig analysiert?
- Was wird dazu berichtet und kommuniziert?
Risikomanagement organisieren
Klären Sie dann:
- Wie sind die Aufgaben des Risikomanagements in Ihrem Unternehmen organisiert?
- Wer übernimmt welche Aufgaben?
- Wer informiert die Geschäftsleitung über mögliche Risiken?
- Wie werden die Aufgaben, Prozesse und Erkenntnisse aus dem Risikomanagement dokumentiert?
In der folgenden Übersicht können Sie die Kern-Bausteine Ihres Risikomanagements zusammenstellen und sichtbar machen. Erstellen Sie eine solche Übersicht zu Ihrem Risikomanagement-System. Dieses dient auch für Dokumentationszwecke.
In den folgenden Abschnitten des Handbuch-Kapitels erfahren Sie, welche Elemente das Risikomanagement umfasst und was Sie im Einzelnen dabei regeln und organisieren sollten. Insbesondere wird der Regelkreis: Identifizieren – Bewerten – Berichten ausführlich erläutert. Sie lernen so, wie Sie in Ihrem Unternehmen den Grundstein für aktives Risikomanagement legen und dieses dann dauerhaft betreiben.