Risikomanagement: Definition & Aufgaben
Das Risikomanagement bezeichnet die systematische Erfassung und Bewertung von Risiken für ein Unternehmen. Es entwickelt Maßnahmen zur Vorsorge und plant Gegenmaßnahmen, die es bei Risikoeintritt umsetzt. Das Risikomanagement ist Teil der strategischen Unternehmensplanung und des Projektmanagements bzw. des Prozessmanagements.
Da der Umgang mit Risiken sämtliche Abteilungen und deren Aktivitäten in einem Unternehmen betrifft, spricht man hier auch vom Risikomanagement. Um Verwechslungen zu vermeiden, wird die eigenständige Abteilung für die Handhabung von Risiken oftmals Risikocontrolling oder Risk Management genannt.
Um Risiken für ein Unternehmen einschätzen zu können, beobachtet das Risikomanagement Trends, Entwicklungen und konkrete Ereignisse, die für den Geschäftsbetrieb eines Unternehmens negative Folgen haben können. Zum Beispiel kann ein Engpass bei einer Lieferung von Materialien auftreten oder Mitarbeiter*innen können ausfallen. Ebenso können nationale und internationale wirtschaftliche Entwicklungen Nachteile verschaffen. All diese Faktoren sind für ein Unternehmen schädlich, teuer oder bedrohen gar die Existenz. Das Risikomanagement wirkt dem entgegen und erfüllt dabei im Wesentlichen vier Aufgaben:
- Risiken identifizieren.
- Risiken messen und bewerten.
- Risiken dokumentieren und berichten.
- Vorsorgemaßnahmen entwickeln und Gegenmaßnahmen planen.
Die Entwicklung von Vorsorgemaßnahmen enthält auch eine rechtliche Komponente. So ist es Voraussetzung für die Zertifizierung der Norm ISO 9001:2015.
Im Zuge der Betrachtung von Risiken erkennt das Risikomanagement auch Verbesserungschancen. Es kann innovative Ideen und kontinuierliche Optimierungen fördern. Zum Beispiel kann es Prozesse schrittweise verbessern oder neu entwickeln und somit Risiken langfristig überwinden. Auch kann es neue Produkte oder Dienstleistungen entwerfen, deren Herstellung und Vermarktung möglichen Risiken entgegenwirken.
1. Grundlagen des Risikomanagements
Das Agieren eines Unternehmens birgt immer Risiken. Unternehmen können nie genau abschätzen, welche Faktoren ihr Handeln beeinflussen oder welche Konsequenzen ihre Handlungen haben werden. Risikomanagement ist demzufolge auch eine unternehmerische Aufgabe bzw. zieht sich durch die Gesamtheit aller unternehmerischen Entscheidungen.
Grundlegend befasst sich das Risikomanagement mit allen potenziellen Risiken, die auf das Unternehmen Einfluss nehmen können. Es schafft:
- Ein Risikocontrolling, also eine Transparenz über alle risikobehafteten Situationen, in denen sich ein Unternehmen befindet. Es gibt dem Unternehmen somit eine Planungssicherheit.
- Eine Risikosteuerung, also eine auf Risiken basierende Bewertung von Abwägung von erwartbaren Erträgen gegenüber einem möglichen Schaden.
- Ein akzeptables Insolvenzrisiko, indem es eine hohe Ertragsvolatilität erreicht.
- Eine Risikokultur innerhalb des Unternehmens, worin alle Mitarbeiter*innen mit Risiken bewusst umgehen und gleichzeitig im Sinne der Unternehmensziele handeln.
Auf sämtlichen Risikofeldern muss ein Unternehmen mit negativen Faktoren und Folgen rechnen. Das Risikomanagement identifiziert und agiert hinsichtlich folgender Risiko-Quellen:
- Wirtschaftliche Risiken: Zum Beispiel bringt ein Produkt nicht den angestrebten Gewinn, die Kundschaft schwindet oder Wettbewerber schaden mit ihrem Vorgehen dem Unternehmen.
- Technische Risiken: Zum Beispiel können diese in Form von Unterbrechungen bei Lieferketten oder Ausfall von Software-Programmen auftreten.
- Rechtliche Risiken: Zum Beispiel wird gegen Rechte verstoßen, weil Prozesse mangelhaft kontrolliert werden oder Lizenzen im IP-Management falsch verwendet werden.
- Externe Risiken: Zum Beispiel können Naturkatastrophen auftreten, Hacker angreifen oder politische Entwicklungen negativen Einfluss auf das Unternehmen haben.
2. Aufgaben des Risikomanagements
Das Risikomanagement sichert das Bestehen des Unternehmens. Diese Grundaufgabe ist in mehrere Teilbereiche gegliedert, die prinzipiell aufeinander folgen. Einerseits handelt es sich bei dem Risikomanagement um eine eigenständige Abteilung, andererseits zieht sich das Risikomanagement durch alle weiteren Abteilungen eines Unternehmens. Das bedeutet, dass Mitarbeiter*innen jeder Fachabteilung die Risiken für ihren Verantwortungsbereich kennen und bei Eintritt handeln müssen. Dabei wird die Gesamtheit aller Aufgaben, Regelungen und Verantwortlichkeiten auch als Risikomanagementsystem bezeichnet.
Das Risikomanagementsystem umfasst demzufolge alle Vorgänge im Unternehmen, die sich mit Risiken auseinandersetzen. Die eigene Abteilung, die sich ausdrücklich mit Risiken innerhalb des Unternehmens befasst, wird „Risikomanagement“ oder auch Risk-Management oder Risikocontrolling genannt. Die Aufgaben dieser Abteilung lauten wie folgt:
2.1 Risiken identifizieren
Zunächst werden alle Risiken identifiziert, die Prozessen oder Projekten drohen. Dabei geht es zunächst um das reine Sammeln und Erfassen. Um möglichst lückenlos alle Risiken festzustellen, arbeitet das Risikomanagement in diesem Schritt in der Regel im Team und wendet Kreativtechniken wie bspw. das Brainstorming an. Bei diesem Vorgang werden auch Risikoquellen und Konsequenzen bei Risikoeintritt erfasst.
2.2 Risiken analysieren
Die Risikoanalyse kategorisiert alle identifizierten Risiken nach ihrer Bedeutung. Es wird die Wahrscheinlichkeit ihres Eintritts und der mögliche Schaden erarbeitet (Risikoquantifizierung). Dafür können historische Daten oder Wahrscheinlichkeitsverteilungen herangezogen werden. Bei letzterem ist die Verwendung von Skalen in 10 Prozent-Schritten möglich (10 Prozent bis 90 Prozent) – bei einer 100-prozentigen Wahrscheinlichkeit wird das Risiko in die Rahmenbedingungen aufgenommen.
2.3 Risiken bewerten
Die Risikobewertung sieht eine genaue Evaluierung aller Ursachen und Konsequenzen der erfassten Risiken vor. Mittels dieses Wissens und der Wahrscheinlichkeit eines Eintritts kann das Risiko konkret eingeordnet werden. Einzelrisiken können in Kombination eine hohe Gefährdung darstellen. Mit der sogenannten Risikoaggregation müssen diese möglichen Kombinationen ermittelt und bewertet werden. Das Risikomanagement muss all diese Informationen für die Unternehmensführung so aufbereiten, dass sie klare Entscheidungen für den Umgang mit den Risiken fällen kann.
2.4 Planen von Maßnahmen zur Risikobewältigung
Anschließend sieht das Risikomanagement die Erstellung eines detaillierten Maßnahmen-Plans vor. Der Aufwand zur Risikobewältigung und dessen Nutzen müssen ermittelt und sinnvoll aufeinander abgestimmt werden. Die Implementierung von Bewältigungsmaßnahmen (zum Beispiel Prognose- oder Frühwarnsysteme) kann hohe Kosten verursachen. Die Maßnahmen zur Risikobewältigung verfolgen im Grunde drei Ziele:
- Begrenzung der Schadenshöhe – Der Eintritt der Risikosituation hat eine hohe Wahrscheinlichkeit und muss einkalkuliert werden. Dementsprechend gilt es, die Schäden abzufedern.
- Verminderung der Eintrittswahrscheinlichkeit – Die Eintrittswahrscheinlichkeit des Risikos ist relativ hoch, Maßnahmen zur Prävention und Notfallpläne müssen entworfen werden. Außerdem muss die Wahrscheinlichkeit des Eintritts fortlaufend überprüft werden.
Vermeidung des Eintritts – Bei zu hohen Risiken müssen Strategie und Geschäftsmodell verändert und risikobehaftete Vorgänge komplett vermieden werden. Auch die Verlagerung des Risikos oder neue Absicherungen sind Hilfsmaßnahmen. Dazu gehören zum Beispiel der Abschluss von Versicherungen oder die Neugestaltung von Verträgen, bei denen Risiken auf Kundschaft und Lieferdiensten transferiert werden.
2.5 Risikoüberwachung und Dokumentation
Österreichische Unternehmen sind gesetzlich verpflichtet, Risiken zu überwachen und transparente Berichte zu erstatten. Grundlage dafür liefert das Aktiengesetz (AktG) mit den Paragrafen 81 und 82 und das GmbH-Gesetz (GmbHG) mit den Paragraphen 22 und 28. Die Risikoüberwachung ist ein ständiger, notwendiger Prozess, da sich Risiken ändern und neu bewertet werden müssen.
Eine Dokumentation zum Risikomanagement kann außerdem zu einem Handbuch oder einer Richtlinie zusammengefasst werden. Sie festigen Abläufe und fördern eine Risikokultur im Unternehmen, indem sie zum Beispiel risikopolitische Grundsätze und klare Beschreibungen von Abläufen in Prozessen, Kommunikation, Verantwortlichkeiten und Überwachung zusammenfassen.
3. Risikomanagement Norm und Gesetze
Das Risikomanagement ist gesetzlich vorgegeben. Somit müssen Unternehmensführungen Systeme zur Überwachung von Risiken einführen. Alle Risiken, welche die Existenz des Unternehmens gefährden können, müssen darin erfasst und gemanagt werden. Daneben gilt es, weitere rechtliche Regelungen wie die Risikoberichterstattung oder ein branchenübliches Risikomanagement (zum Beispiel für Banken oder Versicherungen) zu beachten.
In Österreich wirken mehrere Gesetzesgrundlagen zusammen und verpflichten Unternehmen somit zu einem Risikomanagement bzw. einer Risikoberichterstattung. Dazu zählen:
- Aktiengesetz (AktG) und GmbH-Gesetz (GmbHG).
- Rechnungslegungsänderungsgesetz (ReLÄG9).
- Insolvenzveränderungsgesetz (IRÄG) und Unternehmensreorganisationsgesetz (URG).
- Unternehmensrechtsänderungsgesetz (URÄG), das Vorgaben zur Ausgestaltung eines Kontrollsystems gibt.
- Unternehmensgesetzbuch (UGB), das einen Lagebericht mit Geschäftsverlauf und Geschäftsergebnissen fordert.
Bei der Entwicklung einer Strategie zum Risikomanagement leistet die Norm ISO 31000 Hilfe. Die Norm beinhaltet die Grundsätze, Leitlinien, Prinzipien, Rahmenbedingungen und den Prozessaufbau. Sie gibt Unternehmen konkrete Anleitungen für alle Aufgaben des Risikomanagements und somit eine Grundlage, auf der Unternehmensentscheidungen getroffen werden können.
Wie erwähnt, ist Risikomanagement Bestandteil mehrerer Unternehmensdisziplinen und durchdringt zahlreiche Aktivitäten. Dementsprechend wird es neben ISO 31000 in anderen Normen wie der Qualitätsmanagement-Norm ISO 9001 berücksichtigt.
4. Ziele für das Risikomanagement
Das grundlegende Ziel des Risikomanagements lautet, die Existenz des Unternehmens zu sichern bzw. seine Insolvenzwahrscheinlichkeit gering zu halten. Eine geringe Insolvenzwahrscheinlichkeit wirkt sich einerseits direkt auf das Unternehmen aus. Andererseits ergibt sich eine Reduzierung sogenannter indirekter Insolvenzkosten:
- Sicherheit für Angestellte, Kundschaft und weitere Stakeholder.
- Das Unternehmen etabliert sich als attraktiver Arbeitgeber und gewinnt Mitarbeiter*innen.
- Die Beziehung zu Kundschaft und Lieferdiensten stabilisiert sich langfristig.
Kein Unternehmen und dessen Aktivitäten agieren risikofrei. Risiken müssen immer berücksichtigt werden. Maßnahmen zur Risikobewältigung zielen demzufolge weniger darauf ab, Risiken zu minimieren oder gar zu eliminieren, sondern darauf, eine zumindest akzeptable Risikoposition zu erreichen. Unternehmen orientieren sich dabei an einer Risiko-Obergrenze, die nicht überschritten werden darf.
Darüber hinaus ergeben sich durch die Analyse von Prozessen und Markttrends Chancen. Das Risikomanagement beschäftigt sich also nicht allein mit Risiken, sondern auch mit Potenzialen.
Mit den wachsenden, sich ständig ändernden Märkten gewinnt das Risikomanagement in Unternehmen immer mehr an Bedeutung. Sogenannte Risk-Manager gewährleisten nicht nur das Fortbestehen von Unternehmen, sondern auch deren Wachstum. Unser Master Lehrgang Projekt- und Prozessmanagement vermittelt Wissen und Praxis, um die Zukunft eines Unternehmens mitzugestalten. Jetzt bewerben!
Quellen:
- https://wirtschaftslexikon.gabler.de/definition/risikomanagement-42454, Springer Gabler | Springer Fachmedien Wiesbaden GmbH
- https://www.innolytics.de/was-ist-risikomanagement/, Innolytics AG
- https://www.business-wissen.de/hb/ziele-und-aufgaben-des-risikomanagements-im-unternehmen/, b-wise GmbH