Unter dem Begriff „Risikomanagement“ (engl. Risk Management) werden sämtliche Maßnahmen zur Identifikation und Beeinflussung solcher Chancen und Gefahren zusammengefasst, die aus dem unternehmerischen Handeln entspringen und sich positiv wie negativ auf den unternehmerischen Erfolg auswirken können.
Aufgabe des Risikomanagements ist es nicht, alle Gefahren zu beseitigen – denn das ist praktisch unmöglich. Vielmehr soll ein optimales Verhältnis von Chancen und Risiken geschaffen werden. Somit trägt erfolgsreiches Risikomanagement zur Entscheidungs- und Planungssicherheit bei, minimiert das Insolvenzrisiko und stabilisiert die Ertragssituation.
Risikomanagement ist für Unternehmen nicht nur wirtschaftlich sinnvoll, sondern auch gesetzlichverpflichtender Bestandteil der Unternehmensführung. Allerdings regelt kein einzelnes Gesetz bzw. kein einzelnes Gesetzbuch das Risikomanagement – vielmehr gibt es in Deutschland eine Vielzahl unterschiedlicher Gesetze, die sich auf das Risikomanagement auswirken.
Nach mehreren Unternehmenskrisen Anfang der 1990er-Jahre hat der Gesetzgeber 1998 in einer großen Reform ein Gesetz zur Kontrolle und Transparenz von Unternehmen (KonTraG) erlassen, das kein eigenständiges Artikelgesetz ist, sondern dessen Normen in insgesamt zehn Gesetze und Verordnungen eingeflossen sind. Die wichtigsten Regelungen finden sich heute im Aktiengesetz (AktG), im Handelsgesetzbuch (HGB), im Publizitätsgesetz (PublG) sowie im Genossenschaftsgesetz (GenG).
Eine zentrale gesetzliche Regelung, die sowohl im KonTraG als auch im Aktiengesetz (§ 91 II AktG) festgeschrieben ist, verpflichtet die Unternehmensführung zur Risikofrüherkennung, um den Fortbestand des Unternehmens zu sichern. § 93 AktG legt darüber hinaus fest, dass bei jedweder unternehmerischen Entscheidung auch die Risiken angemessen zu berücksichtigen sind (die sogenannte Business Judgement Rule).
Darüber hinaus existieren noch einige nationale Standards, die nicht rechtsverbindlich sind oder deren Rechtsverbindlichkeit zumindest umstritten ist: Hier sind z. B. der Deutsche Rechnungslegungsstandard (DRS 20) zu nennen sowie der Standard zur Risikofrüherkennung des Instituts der Wirtschaftsprüfer (IDW PS 340).
Zu den wichtigsten internationalen Standards zählen die Risikomanagement-Norm ISO 31000:2009, die Qualitätsmanagement-Norm ISO 9001:2015 sowie das COSO Enterprise Risk Management Framework (COSO ERM 2017). Das auch als COSO-Würfel bekannte Rahmenwerk kategorisiert Risikomanagement nach Komponenten, Zielkategorien und Organisationseinheiten.
Die in diesen Standards dargestellten Leitlinien sollen Unternehmen dabei unterstützen, ihr eigenes Risikomanagement zu implementieren und weiterzuentwickeln. Sowohl die ISO- also auch die COSO-Standards werden regelmäßig geprüft und bei Bedarf angepasst, damit sie den aktuellen Entwicklungen der Unternehmenwelt gerecht werden.
Häufig wird Risk Management in Unternehmen in Zusammenhang mit der Compliance und Corporate Governance gebracht, da alle drei Disziplinen eng miteinander verknüpft sind. Sie alle tragen zu einer ordnungsgemäßen und effizienten Unternehmensführung bei.
Betriebliches Risikomanagement lässt sich in strategisches und operatives Risikomanagement gliedern. Der strategische Aspekt umfasst die Definition von Zielen des Risikomanagements, die Formulierung einer übergeordneten Strategie und die Definition operativer Prozesse. Die Umsetzung dieser Prozesse ist Aufgabe des operativen Risk Managements.
Operatives Risk Management besteht nicht aus einer einmalig durchgeführten Maßnahme, sondern ist ein kontinuierlicher Prozess: Chancen und Risiken, die den unternehmerischen Erfolg beeinflussen könnten, müssen permanent überwacht werden.
Zur systematischen Erfassung aller relevanten Faktoren müssen Unternehmen Risikomanagement-Prozesse implementieren. Diese lassen sich als Regelkreis darstellen, bei dem die unterschiedlichen Phasen in einer Dauerschleife durchlaufen werden.
Der Regelkreis des operativen Risikomanagements lässt sich in vier Phasen gliedern:
Zu Beginn steht die Risikoerfassung, in der alle bestehenden Risiken einzeln und nach Risikobereichsortiert, erfasst und qualitativ beschrieben werden. Das kann sowohl auf Ebene des Gesamtunternehmens als auch auf Projektebene geschehen. Entscheider können verschiedene Methoden nutzen, um den Identifikationsprozess zu strukturieren und sicherzustellen, dass sämtliche Gefahren und Schadensquellen erkannt werden:
Am Ende dieser Phase sollte ein vollständiger Risikokatalog (auch: Risikoinventar) vorliegen.
Im nächsten Schritt wird jedes Einzelrisiko hinsichtlich seiner Eintrittswahrscheinlichkeit und seiner potenziellen Auswirkungen quantitativ bewertet. Bei der Bewertung ist nicht nur jeweils ein Risiko isoliert zu betrachten, sondern auch, welche Folgen sich durch das Zusammenwirken mehrerer Risiken oder durch eine Kumulation im Zeitverlauf ergeben. Dieser Aspekt wird auch als Risikoaggregation bezeichnet.
In der Quantifizierung kommen Wahrscheinlichkeitsverteilungen oder Häufigkeitsverteilungen zum Einsatz. Die konkrete Messzahl zur Einschätzung eines Risikos nennt man Value at Risk.
Schritt 1 und 2 werden zusammenfassend auch als Risikoanalyse bezeichnet. Diese Analyse gilt als der schwierigste Schritt im Risikomanagement-Prozess, da nicht nur gegenwärtige, sondern auch künftig aufkommende Risiken erfasst und beurteilt werden müssen. Nachdem man die Ergebnisse der Risikoanalyse ausgewertet hat, lassen sich solche Risiken priorisiert eindämmen, die eine besonders hohe Eintrittswahrscheinlichkeit und Schadensauswirkung aufweisen.
Unter dem Begriff „Risikosteuerung“ (oft auch Risikobewältigunggenannt) werden alle Maßnahmen zusammengefasst, mit denen Unternehmen auf Risiken reagieren können. Grundsätzlich unterscheidet man zwei Reaktionsoptionen: die aktive präventive Reaktion unddie passive korrektive Reaktion.
Aktive Maßnahmen dienen dazu, die Eintrittswahrscheinlichkeit der in der Risikoanalyse identifizierten Gefahren zu senken oder das Schadensausmaß zu minimieren, indem sie bei den Ursachen ansetzen: Unternehmen könnten ihr Produkt z. B. verbessern und so Haftungsrisiken reduzieren. Auch die Risikovermeidung ist ein Mechanismus der aktiven Prävention – etwa, wenn auf die Markteinführung eines gesundheitsgefährdenden Produkts ganz verzichtet wird.
Passive Reaktionen sollen die Folgen des Risikoeintritts auf andere Risikoträger übertragen (Risikotransfer) – beispielsweise durch den Abschluss von Versicherungen oder durch Übertragungen auf den Kapitalmarkt.
Darüber hinaus besteht häufig ein Restrisiko, dass das Unternehmen trotz aller Steuerungsmaßnahmen letztlich selbst für einen Schaden aufkommen muss. Dieses Risiko lässt sich nicht komplett ausräumen. Es bleibt nahezu immer ein Rest an unbekannten Risiken bestehen – selbst bei sehr guten Analysen.
Im Rahmen des Risikocontrollings werden die angewandten Methoden auf ihre Effizienz, Angemessenheit und Wirksamkeit hin überprüft. Das Controlling kann auf zwei Arten erfolgen, die sich im Idealfall ergänzen: als fortlaufendes Monitoring in Echtzeit und als periodische tiefergehende Risikoprüfung. Die Ergebnisse werden zeitnah an die jeweils Verantwortlichen weitergeleitet.
Risikomanagement ist nicht die Aufgabe eines Einzelnen, sondern betrifft jeden Mitarbeiter im Unternehmen. Strategie und grundlegende Ausrichtung des Risikomanagements werden zwar von der Unternehmensführung festgelegt, doch im operativen Geschäft sind weitere Instanzen beteiligt.
Zur Einteilung der Verantwortlichkeiten im Risk Management verwendet man häufig das Modell der Three Lines of Defense:
Das Erkennen und Steuern von Risiken ist integraler Bestandteil der Unternehmenskultur. Denn Risikomanagement findet nicht im Elfenbeinturm der Geschäftsführung statt, sondern betrifft jeden einzelnen Mitarbeiter in seinem täglichen Tun.
Wer die möglichen negativen Auswirkungen seiner Entscheidungen nicht im Vorfeld einkalkuliert, der gefährdet letztlich die wirtschaftliche Stabilität eines Unternehmens. Risikomanagement bietet mit seinen Methoden das notwendige Handwerkszeug, um Risiken klar zu erfassen, statt sich auf ein diffuses Bauchgefühl zu verlassen. Damit wird es Unternehmen möglich, kalkulierte Risiken einzugehen, die für Wachstum und Erfolg notwendig sind.
Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.
Ein buntes Balkendiagramm oder weitgespanntes Netz, das verschiedene Projektaufgaben in Beziehung setzt: Es gibt etliche Schaubilder, die unterschiedliche Methoden des Projektmanagements darstellen. Viele Prozesse ähneln sich, da auch bestimmte Probleme in nahezu allen Projekten auftreten. Somit müssen Sie das Rad nicht neu erfinden: Methoden geben Ihnen formalisierte Herangehensweisen vor, die...
Wer eine Software entwickeln möchte, der benötigt zunächst ein geeignetes Konzept für den Entwicklungsprozess. Für größere Projekte, bei denen die Bewertung möglicher Risiken und potenzieller Kosten eine entscheidende Rolle spielt, ist beispielsweise das sogenannte Spiralmodell bestens geeignet. Was genau hinter diesem Vorgehensmodell steckt und wie es funktioniert, erfahren Sie in diesem Artikel....
Wer die Risiken rund um organisatorische Fehlentscheidungen, schädliche Handlungen von führenden Mitarbeitern oder schlicht Wirtschaftskriminalität in seinem Unternehmen minimieren möchte, darf nichts dem Zufall überlassen. Ein IKS – kurz für internes Kontrollsystem – legt Richtlinien fest, die eine Überwachung der unternehmerischen Prozesse ermöglichen. Wie sieht ein IKS also aus?
Risikomanagement nach ISO 31000 kann das Überleben eines Unternehmens sichern: Jede Organisation begegnet immer wieder Gefahrenstellen – diese Risiken müssen aber kein Problem sein, wenn man weiß, wie mit ihnen umzugehen ist. Viele Unternehmen richten daher ein Risikomanagementsystem ein. Entsprechende Hilfestellung gibt die Norm ISO 31000. Was besagt der internationale Standard?
Um für mehr Rechtssicherheit zu sorgen und eine EU-Richtlinie umzusetzen, hat der deutsche Gesetzgeber das Geschäftsgeheimnisgesetz – kurz: GeschGehG – eingeführt. Dieses unterstützt die Interessen von Unternehmern, nimmt sie aber auch in die Pflicht, eigenständig Schutzmaßnahmen aufzustellen. Doch das Gesetz kennt auch Ausnahmen. Warum sind Reverse Engineering und Whistleblower dennoch erlaubt?
Sie empfehlen unsere Produkte über unseren Partner Aklamio weiter. Wir bedanken uns mit einer Geldprämie.
Nutzen Sie Cloud-Dienste im Wert von 5.000 € für ein Jahr kostenfrei – einfach im Rahmen unseres Start-up-Programms.
Professionell: 100% werbefrei