Risikomanagement in Unternehmen: Tipps

Die Zeiten, in denen Verantwortliche auf das Thema Risikomanagement vor allem mit Desinteresse reagierten, sind vorbei. Dr. Gerhard Gietl, Geschäftsführer von VIA Management Consulting, erinnert sich gut an diese Ära der Sorglosigkeit. Doch die Weltlage hat sich drastisch verändert:

• Globale Krisen: Die Corona-Pandemie und geopolitische Konflikte wie der Ukraine- und Iran-Krieg haben gezeigt, wie verletzlich Lieferketten sind.
• Wirtschaftspolitik: Die „Trump’sche Zollpolitik“ verdeutlichte, wie schnell sich Marktregeln verschieben.
• Regulierung: Der Gesetzgeber verschärft die Präventionspflichten stetig – auch für kleinere Betriebe.

In diesem Artikel erfahren Sie, warum ein Risikomanagement für Unternehmen jeder Größe wichtig ist, welche Vorteile ein zertifiziertes Risikomanagementsystem hat und warum es oft sinnvoll ist, eine Risikomanagementstrategie einfach zu halten.

Grundsätzlich ist es für alle Unternehmen sinnvoll, Risiken systematisch zu identifizieren und zu analysieren sowie – je nach Ergebnis der Analyse – geeignete Maßnahmen zu ergreifen. Immer öfter ist es sogar Pflicht.

Herausgreifen lassen sich in diesem Zusammenhang zwei zentrale Gesetze:

• KonTraG: Das 1998 verabschiedete Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) schreibt, ursprünglich für Aktiengesellschaften gedacht, für mittelgroße und große Kapitalgesellschaften ein Risikomanagement vor, bestehend aus einem Früherkennungssystem, einer geeigneten Kommunikationsstruktur und der rechtzeitigen Einleitung geeigneter Gegenmaßnahmen.
• StaRUG: Das 2021 in Kraft getretene Stabilisierungs- und Restrukturierungsgesetz (StaRUG) verpflichtet alle Unternehmen (nicht nur Kapitalgesellschaften), die sich in einer drohenden Zahlungsunfähigkeit befinden (kann voraussichtlich in den nächsten 24 Monaten fällig werdende Verbindlichkeiten nicht begleichen), aber noch nicht "insolvenzreif" sind (also noch nicht überschuldet oder akut zahlungsunfähig), zu einem Risikomanagement. Ziel ist den Risikoeintritt abzuwenden.

Seit 2008 gibt es einen weltweit gültigen Standard im Bereich Risikomanagement: die DIN ISO 31000. Dabei handelt es sich um eine allgemein gehaltene Norm, die Leitlinien für den Aufbau eines Risikomanagementsystems bereitstellt. Zertifizieren lassen können sich Unternehmen nach der österreichischen Norm ÖNORM D 4901, die sich inhaltlich stark auf die ISO 31000 bezieht.

Lange konzentrierte sich das Thema Risikomanagement auf finanzielle Risiken. Inzwischen verlangen, betont Dr. Gietl, immer mehr gesetzliche Regulierungen ein Risikomanagement für andere Themenfelder. Ein Beispiel dafür ist das Lieferkettengesetz, das Anfang 2023 in Kraft trat. Es verpflichtet Unternehmen ab einer bestimmten Größe, menschenrechtliche und umweltbezogene Risiken in ihren Lieferketten zu analysieren und ausgehend davon geeignete Maßnahmen zu ergreifen.

Die europäische Verordnung Corporate Sustainability Reporting Directive verlangt seit 2024 ein Risikomanagementsystem im Nachhaltigkeitsbereich und im Bereich Governance. Zwar sind diese gesetzlichen Regelungen derzeit stark im politischen Diskurs und in Überarbeitung. So zeigen aber diese Beispiele, dass der Gesetzgeber zukünftig immer mehr auch im nicht finanziellen Bereich Risikomanagementsysteme fordert.

Da die digitale Infrastruktur mittlerweile das Rückgrat fast jedes Unternehmens bildet, rücken dabei verstärkt IT-spezifische Gefahren in den Fokus. Um diese komplexen Szenarien sicher zu bewerten, bietet eine gezielte Weiterbildung im IT-Risikomanagement die notwendige methodische Grundlage.

Gut zu wissen: Risikomanagement ist nicht dasselbe wie Business Continuity Management (BCM). Während Ersteres das zentrale Ziel verfolgt, Risiken vorzubeugen, sorgt Zweiteres dafür, den Schadensausmaß in einer Notfallsituation zu minimieren und wichtige Geschäftsprozesse weiterlaufen lassen oder schnell wieder aufnehmen können. Zusammengefasst dient ein Risikomanagement dazu, Notfälle zu verhindern, und ein Business Continuity Management dazu, Schäden zu minimieren, wenn ein Notfall eingetreten ist. 

Das Bewusstsein dafür, dass ein Risikomanagement wichtig ist, wächst. Ein zertifiziertes Risikomanagementsystem aber, so Dr. Gietl, sei immer noch die Ausnahme. „Der Mehrwert der Zertifizierung wird oft nicht gesehen.“ 

Verantwortlich dafür seien mehrere Gründe. Dazu gehöre, dass das Wort „Risikomanagement“ für viele einen negativen Beigeschmack habe – zu Unrecht. „Nur weil ich Risikomanagement betreibe, heißt das nicht, dass ich viele Risiken habe.“ Der Ansporn, das Vorhandensein eines Risikomanagements nach außen zu zeigen, sei geringer als bei anderen Managementsystemen. Weil sich Firmen für die Implementierung in der Regel ohnehin einen Berater oder eine Beraterin holen, greife auch das Argument der Betriebsblindheit nicht. 

Dr. Gietl empfiehlt aus zwei Gründen trotzdem eine Zertifizierung: 

• Das System werde so noch einmal von einer externen, unabhängigen Person überprüft.
• Der Nachweis eines Managementsystems schaffe nach außen immer mehr Vertrauen.

Letzten Endes, so Dr. Gietl, gehe es bei einem Risikomanagement immer um eines: auf Basis von Eintrittswahrscheinlichkeit und Schadenshöhe eine Entscheidung über Maßnahmen zu treffen. „Dieses Ziel haben viele aus den Augen verloren. In großen Unternehmen wird ein Risikomanagement oft zu komplex aufgebaut.“

Ein anderer häufiger Fehler bestehe darin, dass Führungskräfte vergessen, dass sie die Risikoeigner seien.

Normativ werden aber drei Rollen im Risikomanagement beschrieben:

• Risikoeigner
• Systembeauftragte, die das Risikomanagement systemisch beauftragen
• Risikomanager, die die Koordination in den Abteilungen übernehmen

Alle drei Rollen genau zu definieren, sei entscheidend für den Erfolg eines Risikomanagementsystems bzw. eines Risikomanagementplans, betont Dr. Gietl.

Schließlich komme es in vielen Unternehmen zu einer „Weiterschieberitis“. Das liege daran, dass es im Risikomanagement um präventive Maßnahmen gehe und diese im Tagesgeschäft schnell in den Hintergrund gerieten. Im schlimmsten Fall werde ein Risikomanagement dann zu etwas, wovon man zwar spreche, das aber nicht stattfinde.

Natürlich war es schon immer sinnvoll für Akteure in der Wirtschaft, vorausschauend zu denken und schwerwiegenden Risiken präventiv zu begegnen. Trotzdem war ein systematisches Risikomanagement lange Mangelware in deutschen Unternehmen. Dort, wo es vorhanden war, konzentrierte es sich auf wenige ausgewählte Risiken, allen voran solchen, die zu einer Insolvenz führen könnten.

Dies hat sich in der jüngsten Vergangenheit geändert. Krisen wie der Ukraine-Krieg und die Corona-Pandemie sowie neue Gesetze haben dazu geführt, dass der Stellenwert des Risikomanagements gestiegen ist – auch bei externen Stakeholdern wie Kunden und Geschäftspartnern. Damit wird es für Unternehmen immer wichtiger, systematisch Risiken zu identifizieren, zu analysieren und zu bewerten.

Die gute Nachricht ist: Ein Risikomanagement lässt sich oft einfach in bestehende Prozesse integrieren und erfordert nicht unbedingt viel Aufwand. Solange Verantwortliche einige grundlegende Dinge im Kopf behalten, profitieren alle Beteiligten davon.