So funktioniert Risk Management

22.03.2024
Von 
Bastian Seebacher ist freier Mitarbeiter der Redaktionen CIO und COMPUTERWOCHE.
Risk Management soll dafür sorgen, Gefahren für den Geschäftsbetrieb frühzeitig zu identifizieren und Gegenmaßnahmen einzuleiten.
Risk Management wird für Unternehmen gerade in unsicheren Zeiten immer wichtiger. Wird es vernachlässigt, droht der Absturz.
Risk Management wird für Unternehmen gerade in unsicheren Zeiten immer wichtiger. Wird es vernachlässigt, droht der Absturz.
Foto: Orla - shutterstock.com

Gerade in Krisenzeiten, wie der überstandenen Corona-Pandemie und dem Ukraine-Krieg, sehen sich Firmen weltweit Geschäftsrisiken ausgesetzt. Lieferengpässe, Betriebsunterbrechungen und Umsatzausfälle drohen, so manches Unternehmen in Schlagseite zu bringen oder im schlimmsten Fall sogar in die Insolvenz zu treiben. Damit das nicht geschieht, ist es in dieser Situation umso wichtiger, wirtschaftliche Veränderungen und die damit verbundenen Risiken rechtzeitig zu erkennen und die daraus resultierenden Folgen richtig einzuschätzen. An dieser Stelle kommt das Risikomanagement ins Spiel.

Risk Management - Definition

Unternehmerisches Handeln ist immer mit Risiken verbunden. Gerade wenn Liefer- und Produktionsprozesse eng getaktet und granular miteinander verzahnt sind, steigt die Komplexität innerhalb der Organisationen, und damit auch die Anfälligkeit für Ausfälle, wenn eines dieser Rädchen stillsteht.

Um diese Risiken bestmöglich im Griff zu behalten, haben viele Unternehmen ein sogenanntes Risk Management etabliert, um Prozessketten möglichst unterbrechungsfrei am Laufen zu halten. Das Risikomanagement in Unternehmen ist dafür zuständig, potenzielle Gefahren wie Ausfallrisiken, Marktrisiken sowie Compliance-Risiken frühzeitig zu erkennen und diese zu bewerten.

Nach der Bewertung folgt die Entwicklung von Plänen, welche die negativen Auswirkungen auf das betroffene Unternehmen minimieren sollen. Außerdem gilt es, Strategien und Fahrpläne für eine Risikokommunikation - intern wie extern - zu entwickeln.

Risikomanagement - Funktion im Unternehmen

Aufgabe des Enterprise Risk Management (ERM) ist es, das Ertrag-Risiko-Profil eines Unternehmens zu optimieren, um die Insolvenzrisiken zu minimieren (Risikosteuerung). Kann sich ein Betrieb als robust und krisensicher präsentieren, steigt auch dessen Credit Rating, was wiederum positiven Einfluss auf mögliche Kunden und die Aktionäre haben könnte.

Ziel des Risikomanagements ist es, dem Management fundierte Analysen verschiedener potenzieller Probleme sowie möglicher Lösungen vorzulegen. Auf Grundlage dieser Daten und Berichte können sich zukünftige unternehmensrelevante Entscheidungen besser und zielsicherer treffen lassen.

Risk Management - Phasen

Generell gilt, dass nicht jedes Unternehmen denselben Risiken ausgesetzt ist. Unterschiedliche Branchen müssen sich mit unterschiedlichen Gefahren auseinandersetzen. Jedes Risiko muss anders behandelt werden. Die International Organization for Standardization (ISO) bietet Unternehmen ein Framework für ihr Risikomanagement an, welches in den ISO-31000-Prinzipien festgehalten wurde. Da die Normen im Umgang mit Risiken weitgehend vorgegeben sind, bleiben die fünf Phasen des Risk Managements für alle Betriebe gleich.

  1. Risikoidentifizierung: Im ersten Schritt müssen mögliche Risiken für ein Unternehmen identifiziert und beschrieben werden. Bei den Gefahren kann es sich zum Beispiel um Marktrisiken, finanzielle Risiken oder betriebliche Risiken wie einen Lieferengpass handeln. Aber auch ungenutzte Chancen, die sich auf dem Markt ergeben, können schnell zu Risiken werden. Bereits identifizierte "Risks" sollten in einem Risikoregister dokumentiert und im Auge behalten werden.

  2. Risikoanalyse: Im zweiten Schritt analysiert man relevante Einzelrisiken aus sogenannten Risikofeldern. Dabei werden die Risiken systematisch hinsichtlich ihrer Eintrittswahrscheinlichkeit sowie quantitativer Auswirkungen für das Unternehmen definiert und beschrieben.

  3. Risikobewertung: Mit Hilfe einer Chancen-Risiken-Matrix, in welcher die Eintrittswahrscheinlichkeit dem potenziellen Schadensausmaß gegenübergestellt wird, lassen sich Risiken bewerten. Auch quantitative Bewertungen können anhand der Szenarioanalyse oder eines Worst-Case-Szenario getroffen werden. Die Szenarioanalyse entwirft eine Story aus verschiedenen, das Unternehmen betreffenden Annahmen. Auf Basis dieser spezifischen Annahmen werden die finanziellen Auswirkungen für das Unternehmen quantifiziert und mögliche Maßnahmen abgeleitet.

  4. Risikominderung: In diesem Schritt entwickelt das Risk-Management-Team nach abgeschlossener Priorisierung verschiedene Strategien und Pläne, um Risiken minimieren oder kontrollieren zu können.

  5. Risikoüberwachung: Um Veränderungen und mögliche Verschlimmerungen frühzeitig zu erkennen, müssen Risiken kontinuierlich überwacht werden. Das ist heute umso wichtiger, weil sich Märkte, Wettbewerbssituationen und Kundenansprüche schnell verändern. Durch genaues Monitoring lässt sich so außerdem feststellen, ob die Risikominderungspläne erfolgreich sind oder nicht.

Risikomanagement - Einsatzbereiche

Überwiegend kommt Risk Management in Branchen wie dem Finanzwesen, also in Banken und Versicherungen zum Einsatz, um hohe finanzielle Schäden zu vermeiden. Des Weiteren analysieren Risikomanager im Finanzwesen Konjunkturschwankungen, mögliche Zins- und Inflationsrisiken sowie aktuelle Marktbedingungen. Darüber hinaus schreiben regulatorische Vorschriften den Finanzinstituten vor, sich um die mit ihren Geschäften verbundenen Risiken zu kümmern. Beispielsweise gibt es in Deutschland die Mindestanforderungen an das Risikomanagement (MaRisk), die von der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) formuliert und laufend neu angepasst werden.

Auch in der Unternehmensberatung sind Risikomanager gefragt, die zum Beispiel Unternehmensfusionen und die dabei entstehenden Gefahren analysieren und bewerten. So erstellen Unternehmensberater Pläne, welche dem Führungspersonal eine fundierte Handlungsgrundlage bieten. Ziel ist dabei in jeder Branche die von unternehmerischem Handeln ausgehenden Risiken zu minimieren.

Angesichts der Erfahrungen der zurückliegenden Corona-Jahre mit unterbrochenen Lieferketten und damit verbundenen Produktionsausfällen gehen heute allerdings verstärkt auch Unternehmen anderer Branchen dazu über, ein Risk Management einzurichten. Dazu zählen beispielsweise produzierende Branchen wie die Automobilhersteller, aber auch der Handel.

Risk Management - Zuständigkeiten

Nicht jedes Unternehmen beschäftigt einen dedizierten Risk Manager oder kann es sich leisten, eine ganze Abteilung dafür aufzubieten. In manchen Firmen übernimmt deshalb ein gemischtes Team von Controllern, Mitarbeitern des Qualitätsmanagements sowie Treasurer (meist nur im Finanzwesen) die Aufgaben des Risikomanagements. Das Controlling erstellt zum Beispiel Risikostatistiken, Risikoanalysen sowie Forecasts.

Der Nachteil eines in den Fachabteilungen aufgehängten Risk Management kann sein, dass die damit betrauten Mitarbeiter potenzielle Gefahren für das Geschäft nur durch ihre Fachbereichsbrille sehen. Ein Gesamtblick auf mögliche Risiken fehlt oder bleibt womöglich lückenhaft, weil er sich aus verschiedenen Einzelperspektiven zusammensetzt. Sind die Organisationsstrukturen eines Betriebs einfach aufgebaut und die prozessualen Zusammenhänge transparent und überschaubar, kann es ausreichen, das Risikomanagement dezentral in einem Bereich wie dem Controlling aufzuhängen.

Sobald jedoch Strukturen komplexer werden und das Geflecht aus Produktion, Zulieferern und Logistik weit verzweigt aufgespannt ist, empfiehlt es sich, ein dediziertes Risk Management mit der Funktion und Rolle eines Risk Managers einzurichten. Für ein Unternehmen mit Risk Manager bieten sich folgende Vorteile:

  • Single Point of Contact: Der Risikomanager sollte Überblick über das gesamte Unternehmen haben, um Fragen des Führungspersonals zu verschiedenen Risikobereichen kompetent beantworten zu können. Als direkter Ansprechpartner trägt der Risk Manager dazu bei, Effektivität und Effizienz eines Unternehmens zu steigern.

  • Objektivität: Als Bindeglied zwischen Fachabteilungen ist es die Aufgabe eines Risk Managers jegliche Belange, die den Geschäftsbetrieb beinflussen, objektiv zu betrachten. Risikomanager haben also keine "Abteilungsbrille" auf, um Risiken aus verschiedenen Einzelstandpunkten, wie dem Controlling und Qualitätsmanagement, einzuschätzen.

  • Flexibilität: Ein Risk Manager muss verschiedenste Skills mitbringen - von mathematischen und programmiertechnischen Fähigkeiten bis hin zum Verständnis von komplexen wirtschaftlichen Zusammenhängen. Gerade in Krisensituationen ist es zudem auch wichtig, dass Risikomanager flexibel mn Unternehmen eingesetzt werden können.

Risikomanagement - Software und Tools

Wer Risiken früh erkennt, hat mehr Zeit zu handeln. Da die Identifizierung zum Großteil auf der Analyse von Daten basiert, bietet sich eine Unterstützung in Form von Softwaretools an. Ein sogenanntes Risikomanagement-Informationssystem (RMIS) hat zahlreiche Vorteile.

  • Höhere Effizienz: Alle Zahlen und Daten laufen an einem SPOT (Single Point of Truth) zusammen und können zu jeder Zeit von überall aus abgerufen werden. In aller Regel laufen die Daten automatisch in so einem System zusammen und müssen nicht manuell aus verschiedenen Teilen des Unternehmens eingesammelt werden. Wichtig dabei: Die Qualität der Daten muss passen. Manuelle Prüfungen an dieser Stelle sind aufwendig und außerdem fehleranfällig. Idealerweise bieten die RMIS-Systeme Funktionen, um Daten auf Richtigkeit und Plausibilität zu prüfen. Dies erleichtert die Auswertung und daraus folgende Identifizierung von Risiken.

  • Datenintegrität: Die häufigsten Fehler im Umgang mit Daten entstehen durch menschliche Fehler. Beim hin- und her-kopieren von Daten aus unterschiedlichen Quellen können bestimmte Informationen verändert oder komplett verloren gehen. Das weitverbreitete "Management by Excel" System hilft an dieser Stelle nicht weiter und sollte abgelöst werden.

  • Verbessertes Reporting: Ein RMIS hilft Unternehmen dabei, die oft über Abteilungen verteilten Daten zu bündeln. So ermöglicht die Software eine schnelle Erstellung von Managementberichten. Durch diese Zeitersparnis bleibt den Risk Managern mehr Zeit für ihre wirklichen Aufgaben wie Risiken zu bewerten sowie Entscheidungen zu treffen.

Neben den klassischen Risk-Management-Tools hat sich in den vergangenen Jahren immer stärker der Bereich Governance, Risk & Compliance (GRC) etabliert. Er fasst das Risikomanagement ein Stück weiter und bezieht die Themenfelder Governance und Compliance mit ein. Dabei geht es beispielsweise darum, Regularien einzuhalten und regelkonform mit sensiblen Daten umzugehen. Verstöße dagegen können Unternehmen teuer kommen. Neben Strafzahlungen kann die Reputation des betroffenen Unternehmens darunter leiden und Schaden nehmen. Entsprechende Vorfälle bilden also auch ein gewisses Risiko für den Geschäftsbetrieb.

Der Markt für RMIS- und GRC-Software ist fragmentiert. Neben einer Reihe von kleineren Spezialanbietern offerieren auch Softwaregrößen wie SAP und Oracle Funktionen für GRC im Rahmen ihrer Business-Software-Suiten. Darüber hinaus haben sich einzelne Hersteller mit ihren Risikomanagement-Lösungen auch auf bestimmte Bereiche im Geschäftsbetrieb ihrer Kunden fokussiert, beispielsweise um Risiken in Lieferketten oder Projekten besser erkennen und handeln zu können. (ba/fm)