Der menschliche Faktor für ein erfolgreiches Risikomanagement
Die politischen und wirtschaftlichen Rahmenbedingungen haben den Fokus wieder auf das Risikomanagement gelenkt – in großen wie kleinen Unternehmen. Für den Erfolg des Risikomanagements kommt es darauf an, nicht nur die Prozesse und Finanzen im Blick zu haben, sondern die richtigen Experten ins Team zu holen: die Kolleg:innen aus den eigenen Fachbereichen.
Gerade in turbulenten Zeiten ist das Risikomanagement elementarer Bestandteil der Unternehmensstrategie, wie wir in diesem Artikel zum Thema IKS bereits gezeigt haben. Allerdings hängen Strategien immer von tatsächlichen Entwicklungen ab, Abweichungen sind wahrscheinlich. Die Präzision von Prognosen steht und fällt mit stabilen Annahmen, und dennoch: Es bleiben Aussagen zur Zukunft, und die kennt bekanntlich niemand. Ein systematisches Vorgehen kann helfen:
1. Strategische Risiken
An erster Stelle stehen die strategischen Risiken: Dabei handelt es sich um Risiken einer Abweichung von den strategischen Zielen, welche durch falsche Beurteilung oder unvorteilhafte Veränderungen des wirtschaftlichen oder auch politischen Umfeldes eintreten. Die strategischen Risiken werden gesammelt, analysiert, überprüft und zu guter Letzt bewertet, dann erst lassen sich Maßnahmen definieren. Maßnahmen und Risiken wiederum müssen nachverfolgt und fortwährend kontrolliert werden, wenn das Risikomanagementsystem einen Mehrwert bieten soll.
Bei der Erfassung der strategischen Risiken ist es entscheidend, das Management der betroffenen Abteilungen ins Boot zu holen. Die Verantwortlichen kennen die strategischen Ziele und können Auswirkungen von Entwicklungen bewerten. Auch müssen Marktstudien, Global Risk Reports, die BIP-Entwicklung und andere Informationsquellen in die Bewertung einfließen.
Beispiele für strategische Risiken
Strategische Risiken beziehen sich auf die Abweichung von den strategischen Zielen. Hintergrund können eine falsche strategische Beurteilung oder nachteilige Veränderungen des wirtschaftlichen beziehungsweise politischen Umfeldes sein.
Beispiele für strategische Risiken:
- die Einführung eines neuen Produktes,
- die Erschließung eines neuen Marktes,
- Änderungen im Konsumverhalten der Kund:innen,
- gekappte Lieferketten.
Anschließend werden die Einzelrisiken – wenn möglich – konsolidiert und bewertet. So lassen sich beispielsweise die Veränderung der Kundenbedürfnisse, gesellschaftliche Trends, der soziodemografische Wandel und neue Wettbewerber zu einem Markt-Risiko zusammenfassen. Allerdings muss im Einzelfall entschieden werden, ob eine Konsolidierung sinnvoll ist. Ziel der Bündelung ist, eine bessere Übersicht zu behalten und nicht zu viele kleine Einzelrisiken managen zu müssen.
2. Operative, finanzielle Risiken und IT-Risiken
Daneben gibt es Risiken, die operative Tätigkeiten sowie die finanzielle Dimension betreffen. Je nach Ausrichtung des Unternehmens und seiner Zielsetzung kann es unterschiedliche Kategorien geben. Beispiele für Risikokategorien im Operativen sind interner oder externer Betrug oder Geschäftsunterbrechungen und Systemausfälle – ein Bagger kappt Leitungen zum Flughafen. In einem Unternehmen, das stark digitalisierte Prozesse hat, muss daher auch das IT-Risikomanagement mit dem operationellen Risikomanagement Hand in Hand agieren.
Um operative Risiken zu managen, werden zunächst die Prozesse analysiert. Es geht um Transparenz: Welche Prozesse existieren, wie hängen sie voneinander ab, welche Ziele haben sie und welchen Stellenwert haben sie für den Unternehmenserfolg? Für dieses Scoping lassen sich bestehende Dokumentationen und Prozessbeschreibungen verwenden.
Austauschen und Verständnis schaffen
Nicht selten reicht die vorhandene Dokumentation nicht. Hier zählt der Grundsatz: Der direkte Austausch mit den Prozessverantwortlichen und ihren Mitarbeitenden bringt oft die besten Ergebnisse. Je komplexer das Unternehmen ist, und je mehr Schnittstellen zwischen verschiedenen Bereichen bestehen, desto wichtiger ist auch der übergreifende Austausch. Nur so wird ein gemeinsames Verständnis erreicht. Bewährt haben sich unserer Erfahrung nach dezidierte Workshops als effizientes Mittel, um Transparenz und Verständnis über Prozesse und Schnittstellen gemeinschaftlich zu erarbeiten.
Risiken erkennen, Kontrollen definieren
Dies gilt auch in der nächsten Phase: Mit der Prozesslandkarte als Grundlage können die Prozesse auf mögliche Risiken hin untersucht, dokumentiert und bewertet werden (qualitativ/quantitativ). Die Einbindung der Kolleg:innen, welche die Prozesse innerhalb der Unternehmung verantworten und operativ steuern, gewährleistet zudem, dass auch die übrigen Mitarbeitenden involviert sind.
Den identifizierten Risiken werden anschließend entsprechende Kontrollen und Maßnahmen gegenübergestellt, um Lücken aufzudecken und zu schließen. Der Zyklus setzt sich fort, indem die Maßnahmen auf Angemessenheit und Wirksamkeit geprüft werden und die Risikobewertung regelmäßig nachverfolgt wird. Führen wir die beiden Kategorien der strategischen und der operationellen Risiken wieder zusammen, lässt sich festhalten: Identifizierte Risiken von größerer Bedeutung müssen in einem Entscheider-Komitee verfolgt und analysiert werden. In diesem Rahmen lassen sich auch Gegenmaßnahmen beschließen und strategische Entscheidungen anpassen.
Bei einem erfolgreichen Risikomanagement geht weniger darum, von oben herab Kontrollen auf die Prozesse zu legen. Vielmehr soll demonstriert werden, dass Transparenz und Kontrollen letztlich auch den Mitarbeitenden helfen, weil sie das Unternehmen als Ganzes resilienter machen. Ziel ist eine von oben vorgelebte Risikokultur, welche die Mitarbeitenden ernst nimmt. Diese entsteht nicht aus einem Tool, sondern nur aus dem Austausch mit anderen Menschen.
(Quelle: metafinanz)
In der Praxis hat sich gezeigt, dass Unternehmen zwar strategische Risiken berücksichtigen. Wichtig ist aber auch die Tiefe der Analyse. Unser Lesetipp zum Thema Rationale Risikoanalyse vs. Intuition: „Schnelles Denken, langsames Denken“ von Daniel Kahneman.
Quelle Titelbild: AdobeStock/ Love the Wind
