Risikomanagement in Unternehmen: Tipps

Dr. Gerhard Gietl, Geschäftsführer von VIA Management Consulting, erinnert sich gut an die Zeiten, als Verantwortliche in Unternehmen vor allem mit Desinteresse auf das Thema Risikomanagement reagierten. Diese Zeiten sind vorbei. Die Corona-Pandemie und der Ukraine-Krieg haben vielen vor Augen geführt, wie schnell Ausnahmesituationen eintreten können. Hinzu kommt, dass der Gesetzgeber zunehmend zur Prävention verpflichtet.

Hier gehen wir näher darauf ein, warum ein Risikomanagement für Unternehmen jeder Größe wichtig ist, welche Vorteile ein zertifiziertes Risikomanagementsystem hat und warum es oft sinnvoll ist, Prozesse einfach zu halten.

Grundsätzlich ist es für alle Unternehmen sinnvoll, Risiken systematisch zu identifizieren und zu analysieren sowie – je nach Ergebnis der Analyse – geeignete Maßnahmen zu ergreifen. Immer öfter ist es sogar Pflicht.

Herausgreifen lassen sich in diesem Zusammenhang zwei zentrale Gesetze:

• KonTraG

  Das 1998 verabschiedete Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) schreibt für Aktiengesellschaften ein Risikomanagement vor, bestehend aus einem Früherkennungssystem, einer geeigneten Kommunikationsstruktur und der rechtzeitigen Einleitung geeigneter Gegenmaßnahmen.

• StaRUG

  Das 2021 in Kraft getretene Stabilisierungs- und Restrukturierungsgesetz (StaRUG) verpflichtet auch KMU, solange es sich um haftungsbeschränkte Rechtsträger (z. B. GmbH oder auch GmbH & Co. KG) handelt, zu einem Risikomanagement.

Seit 2008 gibt es einen weltweit gültigen Standard im Bereich Risikomanagement: die DIN ISO 31000. Dabei handelt es sich um eine allgemein gehaltene Norm, die Leitlinien für den Aufbau eines Risikomanagementsystems bereitstellt. Zertifizieren lassen können sich Unternehmen nach der österreichischen Norm ÖNORM D 4901, die sich inhaltlich stark auf die ISO 31000 bezieht.

Lange konzentrierte sich das Thema Risikomanagement auf finanzielle Risiken. Inzwischen verlangen, betont Dr. Gietl, immer mehr gesetzliche Regulierungen ein Risikomanagement für andere Themenfelder. Ein Beispiel dafür ist das Lieferkettengesetz, das Anfang 2023 in Kraft trat. Es verpflichtet Unternehmen ab einer bestimmten Größe, menschenrechtliche und umweltbezogene Risiken in ihren Lieferketten zu analysieren und ausgehend davon geeignete Maßnahmen zu ergreifen. Die europäische Verordnung Corporate Sustainability Reporting Directive verlangt seit 2024 ein Risikomanagementsystem im Nachhaltigkeitsbereich und im Bereich Governance.

Gut zu wissen:
Risikomanagement ist nicht dasselbe wie Business Continuity Management (BCM). Während Ersteres das zentrale Ziel verfolgt, Risiken vorzubeugen, sorgt Zweiteres dafür, dass Unternehmen in einer Notfallsituation Schäden minimieren und wichtige Geschäftsprozesse weiterlaufen lassen oder schnell wieder aufnehmen können. Zusammengefasst dient ein Risikomanagement dazu, Notfälle zu verhindern, und ein Business Continuity Management dazu, Schäden zu minimieren, wenn ein Notfall eingetreten ist.

Das Bewusstsein dafür, dass ein Risikomanagement wichtig ist, wächst. Ein zertifiziertes Risikomanagementsystem aber, so Dr. Gietl, sei immer noch die Ausnahme. „Der Mehrwert der Zertifizierung wird oft nicht gesehen.“

Verantwortlich dafür seien mehrere Gründe. Dazu gehöre, dass das Wort „Risikomanagement“ für viele einen negativen Beigeschmack habe – zu Unrecht. „Nur weil ich Risikomanagement betreibe, heißt das nicht, dass ich viele Risiken habe.“ Der Ansporn, das Vorhandensein eines Risikomanagements nach außen zu zeigen, sei geringer als bei anderen Managementsystemen. Weil sich Firmen für die Implementierung in der Regel ohnehin einen Berater oder eine Beraterin holen, greife auch das Argument der Betriebsblindheit nicht.

Dr. Gietl empfiehlt aus zwei Gründen trotzdem eine Zertifizierung:

• Das System werde so noch einmal von einer externen, unabhängigen Person überprüft.
• Der Nachweis eines Managementsystems schaffe nach außen immer mehr Vertrauen.

Der Risikomanagementprozess – zentrale Schritte

Dr. Gietl beobachtet häufig, dass der Aufwand für die Einführung eines Risikomanagements überschätzt werde. „Risiken identifizieren, analysieren und bewerten müssen Unternehmen ja ohnehin, zum Beispiel im Qualitätsmanagement. Der Aufwand dafür, das systemisch zu fassen, ist oft nicht mehr groß.“

Auch hätten Unternehmen viele Freiheiten bei der Auswahl von Methoden beziehungsweise Instrumenten im Risikomanagement.

Entscheidend sei, folgende Schritte in einem Risikomanagementprozess zu beachten:

1. Kontext festlegen:
   Zunächst müssen Unternehmen den Unternehmenskontext definieren. Wichtige Aspekte in diesem Zusammenhang sind zum Beispiel die Märkte, in denen sie tätig sind.
2. Risiken identifizieren:
   Anschließend geht es darum, geeignete Tools für die Identifikation von Risiken zu finden und einzusetzen. Häufig, so Dr. Gietl, gäbe es diese ohnehin schon im Unternehmen. So findet die Fehlermöglichkeits- und -einflussanalyse (FMEA) bereits in vielen Branchen Anwendung.
3. Risiken analysieren und bewerten:
   Identifizierte Risiken müssen analysiert und bewertet werden. Um das Niveau von Risiken einzuschätzen und zu priorisieren, brauchen Unternehmen passende Kriterien.
4. Maßnahmen festlegen:
   Anhand der Bewertung von Risiken können Verantwortliche die Frage beantworten, wie sie mit diesen umgehen. So gibt es zum Beispiel die Möglichkeit, ein Unternehmen gegen ein Risiko zu versichern, das Risiko zu akzeptieren und Geld für den Ernstfall zurückzulegen oder das Risiko zu vermeiden und beispielsweise aus einem bestimmten Produktbereich auszusteigen. Nicht zuletzt bestehe die Option, nichts zu tun. Das könne auch dann sinnvoll sein, wenn die Schadenshöhe sehr hoch, die Eintrittswahrscheinlichkeit aber verschwindend gering sei.
5. Kontrollieren:
   Durch eine systematische Überwachung von Risiken erkennen Unternehmen, ob sich Eintrittswahrscheinlichkeiten verändern oder ob beschlossene Maßnahmen ausreichen, um Risiken zu verhindern.

Letzten Endes, so Dr. Gietl, gehe es bei einem Risikomanagement immer um eines: auf Basis von Eintrittswahrscheinlichkeit und Schadenshöhe eine Entscheidung über Maßnahmen zu treffen. „Dieses Ziel haben viele aus den Augen verloren. In großen Unternehmen wird ein Risikomanagement oft zu komplex aufgebaut.“

Ein anderer häufiger Fehler bestehe darin, dass Führungskräfte vergessen, dass sie die Risikoeigner seien.

Normativ werden aber drei Rollen im Risikomanagement beschrieben:

• Risikoeigner
• Systembeauftragte, die das Risikomanagement systemisch beauftragen
• Risikomanager, die die Koordination in den Abteilungen übernehmen

Alle drei Rollen genau zu definieren, sei entscheidend für den Erfolg eines Risikomanagementsystems, betont Dr. Gietl.

Schließlich komme es in vielen Unternehmen zu einer „Weiterschieberitis“. Das liege daran, dass es im Risikomanagement um präventive Maßnahmen gehe und diese im Tagesgeschäft schnell in den Hintergrund gerieten. Im schlimmsten Fall werde ein Risikomanagement dann zu etwas, wovon man zwar spreche, das aber nicht stattfinde.

Natürlich war es schon immer sinnvoll für Akteure in der Wirtschaft, vorausschauend zu denken und schwerwiegenden Risiken präventiv zu begegnen. Trotzdem war ein systematisches Risikomanagement lange Mangelware in deutschen Unternehmen. Dort, wo es vorhanden war, konzentrierte es sich auf wenige ausgewählte Risiken, allen voran solchen, die zu einer Insolvenz führen könnten.

Dies hat sich in der jüngsten Vergangenheit geändert. Krisen wie der Ukraine-Krieg und die Corona-Pandemie sowie neue Gesetze haben dazu geführt, dass der Stellenwert des Risikomanagements gestiegen ist – auch bei externen Stakeholdern wie Kunden und Geschäftspartnern. Damit wird es für Unternehmen immer wichtiger, systematisch Risiken zu identifizieren, zu analysieren und zu bewerten.

Die gute Nachricht ist: Ein Risikomanagement lässt sich oft einfach in bestehende Prozesse integrieren und erfordert nicht unbedingt viel Aufwand. Solange Verantwortliche einige grundlegende Dinge im Kopf behalten, profitieren alle Beteiligten davon.