Coming soon ... IT Summit by heise

Risikomanagement im Mittelstand, Teil 2

Prioritäten bestimmen und Strategie ausrichten

Von Dr. rer. nat. Jürgen Kaack, STZ-Consulting Group

In Teil 1 dieser Serie zum Risikomanagement für kleine und mittlere Unternehmen stand die systematische Analyse der einzelnen Risikobereiche im Vordergrund. Eine zusammenfassende Übersicht über diese Ergebnisse gibt die nachfolgende Liste, die allerdings keinen Anspruch auf Vollständigkeit erhebt und für die konkreten Gegebenheiten im Unternehmen ergänzt oder angepasst werden muss.

Im Anschluss daran soll die Einstufung der Gefahrenpotenziale vorgenommen werden und die generelle Risikoausrichtung des Unternehmens diskutiert werden.

Externe Risiken

MittelstandsBlog 06.jpg

Schwarz auf Weiß
Eine ausführliche Darstellung zum Thema Risiko­management für den Mittel­stand gibt Dr. Jürgen Kaack im Rat­geber „Ein­führung von Risiko­manage­ment“, den Sie als PDF-Vollversion kostenfrei im Pressezentrum des Mittel­standsWiki bekommen.

Technologische Risiken

Leistungswirtschaftliche Risiken

Serie: Risikomanagement im Mittelstand
Gefahrenpotenziale erkennen, beurteilen und managen. Ein Überblick in drei Teilen: Gefahren erkennen, Risiken bewerten und Controlling aufnehmen.

Finanzwirtschaftliche Risiken

Risiken aus der Organisation

Damit im Rahmen eines Risikomanagementprozesses eine effiziente Risikovorsorge möglich ist, müssen zunächst die einzelnen Risiken identifiziert und beschrieben werden. Wovon hängt das Eintreten von Risikoereignissen ab? Lassen sich Frühindikatoren ableiten? Welche Auswirkungen hat das Eintreten auf das Geschäft?

Kriterien der Bewertung

Die Einordnung der Risiken erfolgt nach den beiden Kriterien

  • Eintrittswahrscheinlichkeit und
  • absehbares Schadensausmaß.

Die Bewertung sollte nach einem für das Unternehmen einheitlichen Punkteraster erfolgen, mit einer Zuordnung in z.B. fünf Stufen von „unbedeutend“ bis „existenzgefährdend“ für das mögliche Schadensausmaß und in den Stufen „unwahrscheinlich“ bis „fast sicher“ für die Eintrittswahrscheinlichkeit. Eine feinere Unterteilung mit mehr als fünf Stufen ist nur in Ausnahmefällen sinnvoll. Für die erste Einführung kann man unter Umständen sogar mit nur drei Stufen beginnen. (Eine Pseudogenauigkeit erzeugt einen unverhältnismäßigen Aufwand, ohne eine spürbare Verbesserung der Ergebnisqualität.) Das Ergebnis der Bewertung wird zur besseren Übersichtlichkeit in einer Tabelle zusammengestellt.

Katalog schematisieren

Die Ergebnisse der Bewertung können zusätzlich in Form eines Portfolios veranschaulicht werden. Dabei steht die Färbung des Feldes für den Grad der Auswirkung eines möglichen Schadens oder die Wahrscheinlichkeit des Eintritts. Die in den oberen rechten Feldern eingetragenen Fälle sind also mit höchster Priorität zu beobachten und mit Notfallplänen abzudecken. Für die in den weißen Feldern liegenden Vorkommnisse genügt es in der Regel, die Entwicklung zu beobachten. Risken mit gleicher Priorität liegen auf einer Diagonalen in dem Portfolio.

Je dunkler das Feld ist, in dem ein Risiko eingeordnet ist, desto kritischer ist das Risiko für das Unternehmen zu bewerten, da entweder die Eintrittswahrscheinlichkeit oder das zu erwartende Schadensausmaß (oder beides) als besonders hoch einzustufen sind. Da alle Unternehmen unterschiedlich sind, kann das gleiche Risiko (z.B. das extern bedingte Risiko der Fremdkapitalzinsen) für zwei Unternehmen völlig unterschiedliche Auswirkungen haben. Somit lässt sich die Risikobewertungsmatrix auch nicht verallgemeinern.

Gegenmaßnahmen festlegen

Für die verschiedenen Risiken sind im Folgenden vorsorgliche Maßnahmen zu definieren, damit die Auswirkungen auf das Unternehmen möglichst begrenzt bleiben. Eine vollständige Vermeidung wird allerdings nur selten möglich sein. Wenn z.B. bei der Produktion eine Abhängigkeit von wenigen Lieferanten besteht, so kann man versuchen, in Entwicklung und Konstruktion die Verwendung anderer Bauelemente zu berücksichtigen. In den Fällen, in denen keine kurzfristige Änderung herbeigeführt werden kann, verbleibt häufig nur, die Risikofaktoren intensiv und zeitnah zu beobachten, um selber keine Verpflichtungen einzugehen, die bei einem Eintritt den Schaden vergrößern und z.B. die Einhaltung der eigenen Lieferverpflichtungen gefährden.

Manche Risiken lassen sich überhaupt nicht oder nur in sehr geringem Maße beeinflussen, wie z.B. der Eintritt eines neuen Wettbewerbers oder neue gesetzliche Auflagen. Für diese Risiken gilt grundsätzlich bei der Erstellung der Planung ein Worst-Case-Szenario. Unter Umständen ist für diesen Fall die Aufgabe einer Produktlinie, eine Neuausrichtung, Restrukturierung oder letztlich die Verkleinerung des Unternehmens eine unausweichliche Folge. Bei derartigen Risiken sollte neben der Durchschnittsplanung auch ein Worst-Case-Szenario in der Unternehmensplanung erstellt werden.

Die Risikobewertung hilft bei der Beurteilung der Auswirkungen von Risiken, der Identifikation und frühzeitigen Einleitung möglicher Gegenmaßnahmen. Auch und besonders in den Fällen, in denen Risiken erkannt werden, auf deren Eintreten das Unternehmen keinen Einfluss hat, ist eine laufende Beobachtung und die Identifikation von Frühwarnindikatoren erforderlich, bevor das Unternehmen von den Auswirkungen „überrollt“ wird.

Portfolio gewichten

Gemäß der Färbung im Risikoportfolio werden die Risiken in Kategorien von „hoch“ bis „gering“ eingeteilt; bei der Erarbeitung von Gegenmaßnahmen sind zunächst Risiken der Kategorie „hoch“ betrachtet. Die ausgewählten Gegenmaßnahmen sind natürlich wieder in einer Tabelle zu dokumentieren. Zu jeder Maßnahme muss ein Zuständiger benannt werden, der sich um die Beobachtung des Risikos bzw. die Durchführung der Präventivmaßnahme kümmert. Dieser Zuständige hat die Aufgabe die Entscheidungsträger bei einem Eintritt oder einer Veränderung des Risikos unverzüglich zu informieren.

Es versteht sich von selbst, dass die Durchführung des Risikomanagements im Rahmen des Ratings der Banken nach Basel II ebenfalls gefordert und überprüft wird. Es ist daher sicher kein Fehler, die Dokumentation des Risikomanagements bei der Bank vorzulegen. Auch hier gilt, dass nicht die Tatsache, dass ein Geschäft Risiken beinhaltet, kritisch bewertet wird, sondern das fehlende Bewusstsein für die immer vorhandenen Risiken und eine nicht vorhandene Vorsorge in Form von Gegenmaßnahmen. Welche Risken tolerabel sind und bei welchem Risikoausmaß Gegenmaßnahmen erforderlich werden, lässt sich nicht verallgemeinern, sondern hängt von vielen einzelnen Aspekten ab, die bei der Festlegung der Risikoausrichtung zu erarbeiten sind.

Risikoausrichtung

Kontrollintensität und Risikoneigung des Unternehmens setzen einen Rahmen für Entscheidungen, in dem erkannte Wettbewerbsvorteile durch das Ausnutzen von potenziellen Chancen genutzt werden können, ohne dass man Risiken eingeht, die die definierte Grenze übersteigen. Chancen und Gefahren sollten grundsätzlich im Sinne eines risikobewussten Managements und unter Beachtung von Chancen-Risiko-Relationen sowie anhand der Akzeptierbarkeit von Risiken für das Unternehmen gehandhabt werden. Vorhaben, die bei allen potenziellen Chancen diese Voraussetzungen nicht erfüllen, dürfen nicht eingegangen werden. Falls dies doch geschieht, haftet der Geschäftsführer persönlich für die möglichen Folgen. Die längerfristig festgelegte und übergreifend formulierte Risikoausrichtung des Unternehmens wird in einer Risikostrategie beschrieben.

Zwischen bereits existierenden Risiken im laufenden Geschäft und Risiken aus noch zu treffenden unternehmerischen Entscheidungen ist zu unterscheiden. Interne Risiken im laufenden Geschäft sind durch ihre Verankerungen in Unternehmensstrukturen und Abläufen meist nur schwer bzw. mit hohem Aufwand nachträglich zu eliminieren. Ist der Aufwand zur Verringerung oder Beseitigung dieser Risiken unverhältnismäßig oder gar selber ein erhebliches Risiko, bleibt oft nur die vorübergehende Akzeptanz, allerdings bei kontinuierlicher Beobachtung und mittelfristiger Schaffung geeigneter Steuerungsmaßnahmen zur sukzessiven Verringerung des Schadensausmaßes bzw. der Eintrittswahrscheinlichkeit. Neu auftretende und mittels eines funktionierenden Frühwarnsystems rechtzeitig erkannte Risiken lassen sich dagegen schon vor einer Entscheidung auf mögliche Auswirkungen und Gefahrenpotenziale hin untersuchen. Sollte dabei erkennbar ein vorab festgelegter Schwellenwert überschritten werden, so ist dieses Risiko für das Unternehmen nicht akzeptabel und darf nicht eingegangen werden.

Die angesprochenen Schwellenwerte beziehen sich auf wesentliche und bestandsgefährdende Entwicklungen. Sie richten sich nach den in den Geschäftsordnungen für die Geschäftsführung festgelegten Grenzen und können sowohl als Einzelrisiko aber auch als die Summe mehrerer zusammen wirkender Faktoren auftreten. Zusammenhängende Risiken sind auch insgesamt zu beurteilen, wenn es um die Herbeiführung von Entscheidungen geht. So kann gewährleistet werden, dass das Unternehmen Krisensituationen vermeidet und keine Verpflichtungen eingeht, die ein potenzielles Schadensausmaß übersteigen. Nur solche Vorhaben, die mit größeren Chancen als Gefahren verbunden sind – wobei die potenziellen Risiken nicht existenzbedrohend sind und unterhalb der definierten Schwellen liegen – werden realisiert.

Wie die Umsetzung konkret abläuft und wie man das Ganze auf Dauer im Griff behält, schildert Teil 3 der Risikomanagement-Serie.

Nützliche Links