Unternehmen haben ganz unterschiedliche Risiken zu bewältigen. Während z. B. das eine Unternehmen darum kämpft, seinen einzigen Großkunden nicht zu verlieren, geht es vielleicht bei einem anderen Unternehmen darum, Risiken, die sich aus dem Produktionsprozess für Umwelt und Menschen ergeben können, zu vermeiden. In allen Fällen ist es sinnvoll und teilweise existenziell notwendig, sich einen Überblick über die spezifischen Risiken des eigenen Unternehmens zu verschaffen und angemessen darauf zu reagieren. Auch der Gesetzgeber sieht diese Notwendigkeit und hat zur Verbesserung des Risikomanagements in Unternehmen bereits am 1.5.1998 das "Gesetz zur Kontrolle und Transparenz im Unternehmensbereich" (KonTraG) in Kraft gesetzt.
Das KonTraG enthält praktisch ausschließlich Änderungen für Gesetze wie das Aktiengesetz, das Handelsgesetzbuch, die Regelungen für Wirtschaftsprüfer. Betroffen sind ferner viele weitere Gesetze und Vorschriften, die alle eine Verbesserung im Risikomanagement von Unternehmen bewirken sollen. Im Artikel 1, der eine Reihe von Änderungen für das Aktiengesetz enthält, wird dem Aktiengesetz z. B. der folgende Passus neu hinzugefügt:
Artikel 1 Abs. 9 KonTraG |
c) Folgender Absatz wird angefügt: "(2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden." |
Häufig wird angenommen, das KonTraG gelte nur für Aktiengesellschaften, weil es keine vergleichbaren Änderungen am GmbH-Gesetz oder anderen Rechtsformen vornimmt. Tatsächlich ist man aber wohl schon bei der Gesetzgebung davon ausgegangen, dass es eine Art Ausstrahlungswirkung auch auf Unternehmen mit anderen Rechtsformen gibt, was sich wohl in der Praxis auch bereits bestätigt hat.
Auch KMU sollten sich also nicht dieser Verantwortung entziehen können, müssen sich aber andererseits an keinen klar verpflichtenden vorgeschrieben Rahmen halten, sondern individuell entscheiden, wie viel Risikomanagement notwendig ist, um "den Fortbestand der Gesellschaft gefährdende Entwicklungen" frühzeitig zu erkennen.
Einerseits ist es schön, sich nicht an starre Regeln halten zu müssen, andererseits wirft es uns wieder einmal auf unsere eigene Verantwortung, also in die viel zitierte Grauzone zurück.
Es gibt eine Vielzahl von wissenschaftlichen Abhandlungen zum Thema Risikomanagement und auch eine Reihe von Angeboten, wie beispielsweise IT-Tools oder Beratungsdienstleistungen, die bei der Einrichtung oder Verbesserung eines Risikomanagementsystems im Unternehmen Unterstützung bieten.
Die 4 Schritte des Risikomanagements
Die Vorgehensweise ist immer ähnlich mit jeweils unterschiedlichen Detaillierungsgraden. Es geht im Wesentlichen um die folgenden 4 Schritte:
- Risikoidentifikation:Welche Risiken gibt es überhaupt für mein Unternehmen?
- Risikoanalyse und -bewertung: Wie wahrscheinlich ist es, dass ein Risiko tatsächlich eintritt und wie groß ist dann das Ausmaß (Schaden in Euro)?
- Risikobewältigung: Kann ich das Risiko vermeiden, verhindern oder eingrenzen?
- Risikodokumentation und -kontrolle: Ich muss die Risiken überwachen, um wesentliche Veränderungen rechtzeitig zu erkennen und in das Risikomanagement aufzunehmen.
Die Risikomatrix
Häufig wird empfohlen, eine Risikomatrix zu zeichnen, die die Eintrittswahrscheinlichkeit und das Schadensausmaß gegenüberstellt. So lassen sich sehr plakativ 3 Zonen gegenüberstellen, die häufig mit den Ampelfarben rot, gelb, grün versehen sind:
- akzeptabler Bereich: niedrige bis mittlere Wahrscheinlichkeit, niedriges Schadensausmaß oder niedrige Wahrscheinlichkeit, mittleres Schadensausmaß, kein Handeln notwendig (GRÜN)
- mittlerer Bereich (auch „ALARP” genannt: As Low As Reasonably Practicable): niedrige Wahrscheinlichkeit, hohes Schadensausmaß oder hohe Wahrscheinlichkeit, niedriges Schadensausmaß oder mittlere Wahrscheinlichkeit, mittleres Schadensausmaß, muss beobachtet werden; versuchen, Schadensausmaß mit angemessenem Aufwand zu reduzieren, Handeln erforderlich, sobald eine der Komponenten sich verschlechtert (GELB),
- nicht akzeptabler Bereich: hohe Wahrscheinlichkeit, hohes oder mittleres Schadensausmaß oder mittlere Wahrscheinlichkeit, hohes Schadensausmaß, erfordert sofortiges Handeln, um die Risiken einzudämmen, ihr Eintreten zu verhindern oder sie auf andere abzuwälzen, zum Beispiel indem eine Versicherung abgeschlossen wird. (ROT)
Abb. 5: Risikomatrix
Beispiel eines Risikomanagements für ein KMU in Tabellenform
Ein Risikomanagement, das den Anforderungen des KonTraG entspricht und auch den Anforderungen für Nachhaltigkeit, könnte für ein KMU in einem ersten Schritt einfach in einer Tabelle bestehen, die die folgenden Spalten enthält (die Tabelle enthält 3 willkürlich ausgewählte Beispiele):
Risiko |
Eintrittswahrscheinlichkeit |
Schadensausmaß |
Kategorie |
Maßnahme |
(1) Ausfall eines Großkunden |
hoch |
hoch |
nicht akzeptabel (Rot!) |
sofortige Suche nach Ersatz und evtl. finanzielle Absicherung durch Bank |
(2) Währungsris... |