Prof. Dr. Werner Gleißner
Zusammenfassung
Risikoidentifikation ist der Prozess, der alle auf das Unternehmen einwirkenden Einzelrisiken systematisch erfasst. Zusammen mit der Risikobewertung ist die Risikoidentifikation Teil der Risikoanalyse.
1 Warum ist die systematische Risikoidentifikation so wichtig?
Die systematische Vorgehensweise bei der Identifikation ist eine zwingende Voraussetzung, um alle wesentlichen Risiken zu finden und die gesamte Risikoanalyse auf potenziell besonders risikoträchtige Bereiche konzentrieren zu können. Eine Befragung z. B. aller Mitarbeiter mit der Intention, möglichst viele Risiken zu identifizieren, bietet sich nicht an. Neben dem hohen Aufwand ist auch die Wahrscheinlichkeit groß, nicht die bedeutendsten Risiken, sondern die zuletzt eingetretenen oder plakativsten zu erfassen.
Die Anzahl der identifizierten Risiken ist am Ende groß und oft lassen sich redundante Aufzählungen kaum erkennen, da zwar oft das Gleiche gemeint ist, dies jedoch anders umschrieben wird. Eine leistungsfähige Risikoidentifikation erfordert daher eine klare Fokussierung des Vorgehens. Zunächst müssen diejenigen Risikofelder identifiziert werden, bei denen die größten Risiken zu erwarten sind.
2 Welche Methoden unterstützen die Risikoidentifikation?
Die Identifikation von Einzelrisiken aus den Risikofeldern kann mit unterschiedlichen Methoden unterstützt werden. Denkbar sind
- Risiko-Workshops,
- Checklisten bzw. Fragebögen,
- Dokumenten- und Organisationsanalysen,
- Werksbesichtigungen oder
- die Auswertung von Schadensstatistiken.
Checklisten als Hilfsmittel der Risikoidentifikation
Meist werden zur Risikoidentifikation auch Checklisten eingesetzt. Sie sind jedoch lediglich ein Hilfsmittel, um für relevante Fragestellungen und Themengebiete zu sensibilisieren. Sie sind keine vollständige Übersicht aller möglichen Risiken und ersetzen keine systematische Risikoidentifikation.
3 Wie weit erstreckt sich die Risikoidentifikation im Unternehmen?
Die Risikoidentifikation sollte alle risikobehafteten Unternehmensbereiche und Funktionen umfassen (z. B. Einkauf, Produktion, Verkauf/Marketing, EDV, Unternehmensführung, Finanzen etc.). Für jeden Unternehmens- oder Funktionsbereich können dabei unterschiedliche Suchmethoden sinnvoll sein.
Als Instrument der Risikoidentifikation in Arbeitsprozessen wird dabei beispielsweise die aus dem Qualitätsmanagement bekannte Fehler-Möglichkeits- und Einfluss-Analyse (FMEA) genutzt. Diese beschreibt zunächst das betrachtete Gesamtsystem und teilt dieses anschließend in einzelne Funktionsbereiche auf. Schließlich werden systematisch alle diese Funktionsbereiche (und die Schnittstellen) hinsichtlich möglicher Störungen (Risiken) untersucht, die zu einer Abweichung vom eigentlich vorgesehenen Prozessablauf führen können.
4 Beispiel einer Checkliste für Unternehmensrisiken
1. |
Bedrohung von Kernkompetenzen oder Wettbewerbsvorteilen. |
2. |
Risiken durch eine Unternehmensstrategie, die inkonsistent ist oder auf sehr unsicheren Planungsprämissen basiert. |
3. |
Strukturelle Risiken der Märkte infolge ungünstiger Struktur der Wettbewerbskräfte (z. B. geringe Differenzierungschancen in stagnierenden Märkten, niedrige Markteintrittshemmnisse oder erhebliche Substitutionsgefahr). |
4. |
Starke Abhängigkeiten von wenigen Kunden oder wenigen Lieferanten. |
5. |
Gemessen am Gesamtrisikoumfang zu niedrige oder infolge des geplanten Unternehmenswachstums tendenziell sinkende Eigenkapitalquote. |
6. |
Ausgeprägte (z. B. konjunkturelle oder saisonale) Nachfrageschwankungen (Preis oder Menge). |
7. |
Markteintritt neuer Wettbewerber. |
8. |
Zinsänderungsrisiken. |
9. |
Adressausfallrisiken, insbesondere Ausfall von Kundenforderungen. |
10. |
Währungsrisiken, die laufende Transaktionen, Forderungen bzw. Verbindlichkeiten und/oder die Wettbewerbsposition betreffen. |
11. |
Wertschwankungen von Beteiligungen oder Wertpapieren des Umlaufvermögens. |
12. |
Risiken aus dem Einsatz von Derivaten. |
13. |
Organisatorische Risiken durch fehlende bzw. unklare Aufgaben- und Kompetenzregelung oder Schwächen des internen Kontrollsystems. |
14. |
Risiken durch den Ausfall von Schlüsselpersonen. |
15. |
Haftpflichtschäden oder Produkthaftpflichtfälle. |
16. |
Beeinträchtigung der Lieferfähigkeit durch den Ausfall zentraler Komponenten der Produktion. |
17. |
Sachanlageschäden z. B. infolge von Feuer. |
18. |
Kostenstrukturrisiken. |
19. |
Kalkulationsrisiken, insbesondere bei langfristigen Verträgen und im Projektgeschäft. |
20. |
Risiken durch unzureichende Frühaufklärung (z. B. bzgl. technologischer Trends oder Aktivitäten der Wettbewerber). |
Quelle: Werner Gleißner, 2001
5 Wie geht man mit den identifizierten Risiken um?
Die identifizierten Risiken werden meist (sortiert nach ihrer Bedeutung, vgl. Risikobewertung) in einem Risikoinventar zusammengefasst.
Die Identifikation von Risiken ist keine einmalige Aufgabe, sondern muss kontinuierlich erfolgen. Es ist daher zur Erfüllung der Anforderungen des Kontroll- und Transparenz-Gesetzes (KonTraG) erforderlich, ein Konzept auszuarbeiten, das eine dauerhafte Beobachtung der Risikofelder eines Unternehmens ermöglicht.
Verantwortlich für die Identifikation von Risiken sind die jeweiligen Risk-Owner, die für ihren jeweiligen Bereich individuelle Konzepte zur Risikoidentifikation erarbeiten und mit dem zentralen Risikocontrolling abstimmen. Für Risikofelder, die kei...