Ist Ihr Unternehmen auf Risiken vorbereitet? Kennen Sie Ihre Risiken? Wissen Sie wirklich, welche Risiken Ihre Unternehmensstrategie beeinflussen?
„Wir haben einen Risk Manager, der macht das schon für uns. Der sammelt potenzielle Risiken und macht einen schönen Bericht mit tollen Grafiken. Die Hausbank war immer zufrieden und dem Wirtschaftsprüfer hat es auch gefallen.“ – So oder so ähnlich müsste die ehrliche Antwort der meisten Geschäftsführer im deutschen Mittelstand lauten, wenn man sie nach der aktuellen Risikostrategie befragt würde. Die meisten Unternehmen haben nämlich keine.
Was sind Unternehmensrisiken?
Risiken können allgemein als Einflüsse, die Sie von der Umsetzung Ihrer Unternehmensstrategie abbringen, definiert werden. Sie sind immer nur in direktem Zusammenhang mit der Planung eines Unternehmens zu interpretieren. Je nach Ausgangssituation und Blickwinkel können sie somit negative („Gefahren“) wie auch positive Abweichungen („Chancen“) darstellen.
Risiken gefährden die Weiterführung Ihres Unternehmens. Sie können interner oder externer Herkunft sein.
Beispiele für externe Risiken:
- Gesetzliche Auflagen (Datenschutz, Umweltauflagen, …)
- Änderung der Kundenbedürfnisse
- Neue Wettbewerber mit moderner Fertigungstechnologie
- Ausfall eines Entwicklungspartners
Beispiele für interne Risiken:
- Fehlende Motivation der Mitarbeiter
- Störungen im technischen Ablauf
- Verzögerter Informationsfluss
- Fehlende Nachfolgeregelung
Einen Überblick über mögliche Unternehmensrisiken finden Sie beispielsweise bei der IHK Nordschwarzwald: https://www.nordschwarzwald.ihk24.de/existenzgruendung/Fuer-etablierte-Unternehmen/fachbeitraege/unternehmensrisiko/2611626
Wie läuft Risikomanagement ab?
Bevor Risiken gemanagt werden können, müssen sie erst einmal bekannt sein. Um Risiken zu erkennen, wendet man Kollektions- oder Suchmethoden an.
Zu den Kollektionsmethoden gehören Checklisten, SWOT-Analysen, Self-Assessments, die Anwendung der Risiko-Identifikations-Matirx (RIM) sowie persönliche Interviews und Befragungen. Mit ihnen werden bestehende und offensichtliche Risiken identifiziert.
Um potenzielle bzw. zukünftige Risiken aufzudecken, eignen sich die Suchmethoden besser. Hier kommen u. a. folgende Methoden zum Einsatz: Fragenkataloge, Fehlermöglichkeits- und Einflussanalysen, Brainstormings, Szenarioanalysen etc.
Wer sollte fürs Risikomanagement zuständig sein?
Risikomanagement ist ein strategisches Thema und unterliegt deshalb der Geschäftsführung. Auch wenn Sie einen Risk Manager im Unternehmen haben, sollten Sie sich nicht allein auf ihn verlassen. Risk Management ist und bleibt Chefsache!
Die wenigsten kleinen mittelständischen Unternehmen (KMU) haben jedoch ein konsequentes Risk Management im Unternehmen etabliert. Banken und Versicherungen sind hier beispielsweise durch gesetzliche Vorgaben (wie Solvency II) schon weiter fortgeschritten.
Warum Ihr Risikomanagement veränderungswürdig ist
Wie in der Einleitung angedeutet, ist das Risikomanagement der KMU in Deutschland noch veränderungswürdig. Die Realität entspricht eher einer Risikoverwaltung als einem -management, d. h. das Aufschreiben von Risiken wird professionalisiert.
Das Ausfüllen von Risikokatalogen ist zwar schön für die Nachweisführung gegenüber Dritten, hat aber mit wirklichem Risikomanagement nichts zu tun. Beim Risikomanagement geht es um Abweichungen von der Strategie, sowohl positive Abweichungen (= Chancen) als auch negative (= Gefahren). Damit ist also immer eine langfristige Komponente verbunden und nicht eine Betrachtung auf 3 bis 6 Monate oder ein bis 2 Jahre.
Das folgende Schaubild zeigt das Reifegradmodell des Risk and Opportunity Managements (ROM) im Vergleich zum Capability Maturity Model Integration (siehe hierzu auch https://de.wikipedia.org/wiki/Capability_Maturity_Model_Integration). Die meisten Unternehmen befinden sich in Sachen Risikomanagement auf Stufe 1 oder 2. Das heißt, Risiken wurden dokumentiert, für Entscheider hat das Thema Risikomanagement allgemein aber noch keine hohe Priorität. Entsprechend mangelt es an der Untersuchung von Ursachen, der fachbereichsübergreifenden Zusammenarbeit und einer Maßnahmenableitung zur Risikoprävention.
Abbildung: Glöckner & Schuhwerk GmbH, In Anlehnung an RiskNET (2016)
Zum Beispiel der Bankensektor oder die Energieversorger sind hier schon weiter fortgeschritten. Diese befinden sich zwischen Level 3 und 5. Hier kann man davon ausgehen, dass Risikomanagement als operatives Steuerungsinstrument betrachtet wird. Folglich existiert hier nicht nur das Bewusstsein für Risikomanangement, sondern auch die Prozesse dazu. Es gibt eine gelebte Risikokultur im Unternehmen und Frühwarnsignale fließen wieder in die Unternehmenssteuerung ein.
Wie Sie schrittweise ein Risikomanagement einführen können
Damit Risikomanagement Ihnen und Ihrem Unternehmen nutzt, fangen sie erst einmal klein an.
Nehmen Sie sich Ihre Unternehmensstrategie vor und identifizieren Sie ein bis drei Risiken.
Der Versuch, alle möglichen Risken zu erfassen und zu managen führt meist ins Chaos bzw. in die Situation, dass vor lauter Überforderung gar nichts mehr gemacht wird.
Beispiel für Risikomanagement in 4 Schritten:
Risikomanagement besteht aus vier verschiedenen Teilschritten:
- Risikoidentifikation
- Ursachenfindung
- Untersuchung der Auswirkungen
- Maßnahmenableitung
Angenommen Sie haben Liquidität als ein mögliches Risiko identifiziert.
Im zweiten Schritt ist es Ihre Aufgabe, nach den Ursachen zu forschen, die dazu führen können, dass Sie nicht mehr genügend finanzielle Mittel zur Verfügung haben. Mögliche Ursachen für eine Liquiditätskrise können u. a. rückläufige Umsätze sein, Zahlungsausfall der Kunden oder unerwartet gestiegene Fixkosten.
Schließlich müssen Sie die Auswirkungen der Liquidität untersuchen. Lieferanten können aufgrund Ihrer Liquiditätskrise beispielsweise ihre Zahlungsbedingungen gegenüber Ihnen verschlechtern.
Der wichtigste Schritt ist dann die Maßnahmenableitung: Welche Schritte können Sie präventiv unternehmen, um den Eintritt des Risikos Liquiditätsausfall zu verhindern? (Bei Chancen müssen Sie entsprechend umdenken, welche Maßnahmen Sie einleiten können, um die Chancen zu erhöhen.)
Wann ist der beste Zeitpunkt, mit Risk Management anzufangen?
Besser jetzt als nie! Denn was viele Geschäftsführer und Unternehmer nicht wissen: Sie sind verpflichtet, Risikomanagement zu betreiben. Nicht nur, wenn Sie ein QM-System nach ISO 9001-2015 oder eine Informationsmanagementsystem nach ISO 27001 haben. Sondern aus der bloßen Tatsache heraus, dass sie ein Unternehmen haben.
So besteht z. B. die Pflicht zur Implementierung eines Compliance-Systems in jedem Unternehmen – unabhängig von Größe und Branche. (Siehe dazu das Urteil vom LG München I v. 13.12.2013: http://www.fgvw.de/neues/archiv-2014/unzureichendes-compliance-system-lg-muenchen-i-verurteilt-vorstandsmitglied). Das heißt: Jedes Unternehmen muss prüfen, welche gesetzlichen und behördlichen Anforderungen für das Unternehmen gelten. Daraus folgt, dass ein Risikomanagement gemacht werden muss: Was bedeutet dies für das Unternehmen in der Praxis?
Die Verpflichtung zum Risikomanagement lässt sich weiterhin aus dem IT-Sicherheitsgesetz, der EU-Richtlinie zum Schutz von Geschäftsgeheimnissen, als auch der EU-Datenschutzgrundverordnung ableiten. Aber auch in der Qualitätsmanagementnorm ISO 9001 heißt es: Ein Unternehmen muss alle behördlichen Anforderungen, die das Unternehmen betreffen, ermitteln und berücksichtigen. Sie merken also: An einem Risikomanagement kommen Sie nicht vorbei. Fangen Sie also besser heute damit an!
[…] der Betroffenen bestehen. Diese Risiken sind zu erfassen, zu analysieren und zu bewerten. Die Risikobewertung im Datenschutz, Datenschutzfolgenabschätzung genannt, wird nachvollziehbar, wenn das oberste Ziel […]
[…] Download Image Mehr @ gloeckner-schuhwerk.de […]
[…] sind für das Thema Personalentwicklung, oder für die Identifikation und Bewertung von Risikoszenarien, oder die Entwicklung von neuen […]