Instrumente nutzen!

März 2018 | Wirtschaftswoche | Risikomanagement

Instrumente nutzen!

Kleine und mittlere Unternehmen verfügen oftmals nicht über ein systematisches Risikomanagement. Dabei können sie mit einfachen Mitteln anfangen.

Illustration: Mario Parra
Mirko Heinemann / Redaktion

Über ein valides Risikomanagement müssen viele große Unternehmen gar nicht nachdenken – sie haben es längst eingeführt. Börsennotierte Unternehmen sind sogar im Rahmen des Gesetzes zur Kontrolle und Transparenz von Unternehmen verpflichtet, ein Risikomanagementsystem einzuführen. Anders sieht es im Mittelstand aus. Dort, so stellen die wissenschaftlichen Controller der Universitäten und FHs immer wieder fest, wird das Thema Risikomanagement eher stiefmütterlich behandelt. Selbst dort, wo die Instrumente der Geschäftsführung bekannt sind, werden sie nur unzureichend genutzt.

Wie aber können KMU bestehende Risikomanagement-Prozesse auf ihr Unternehmen anwenden und so eine kostengünstige und effektive Lösung implementieren? Experten haben im Rahmen des EU-Projekts IRMA (International Project for Risk Management and Accident Prevention) einen Leitfaden speziell für klein- und mittelständische Unternehmen entwickelt. Die Unterlagen wurden bei einem finnischen Projektpartner erstellt und an nationale Verhältnisse und Besonderheiten adaptiert. Deutscher Projektpartner ist das Institut für Arbeitswissenschaft an der TU Darmstadt.

Der Leitfaden umfasst einen Mix an Informationen, Methoden, Arbeitsblättern und Checklisten, das KMU ein systematisches und praxisnahes Risikomanagement ermöglichen soll. Das Arbeitspaket ist in Module aufgeteilt. Darüber hinaus gibt es Hinweise für die Einführung von Zirkelarbeit und Tipps für die didaktisch-methodische Umsetzung. Grundsätzlich empfehlen die Experten, ein aktuelles Problem zu bearbeiten, weil nur dann Risikomanagement verwirklicht werde, wenn der Bedarf vorhanden und sichtbar sei. Zudem sollte Risikomanagement stets mit dem Ziel betrieben werden, die Ursachen des Problems zu identifizieren und zu beschreiben. „Packen Sie das Übel an der Wurzel!“

Eine Arbeitsmappe enthält eine umfangreiche Auswahl von gefahrspezifischen Arbeitsblättern, insbesondere für Bereiche der Personal-, Geschäfts- und Produktrisiken. Damit könnten die Ursachen und Konsequenzen ausführlicher als in der groben Schwachstellenanalyse geklärt und die Gegenmaßnahmen besser definiert werden. Die in den Materialien enthaltenen Checklisten sollen KMUs inspirieren, über ähnliche Probleme in Ihrem Unternehmen nachzudenken. So seien im Mittelstand personalbezogene Gefahren von äußerster Bedeutung, weil kleine Unternehmen von der Fachkenntnis und der Arbeitsfähigkeit einzelner Schlüsselpersonen abhängen. Personalgefahren umfassen etwa Ermüdung, Unfälle, Krankheiten, veraltete Fachkenntnisse, Konflikte, Fehler, Informationsverlust oder Diebstahl.

Vor einiger Zeit hat auch ein Team an der ETH Zürich einen Risikomanagementprozess entwickelt, der in zahlreichen KMU implementiert wurde. Der Prozess besteht aus vier Phasen, in die verschiedene Mitarbeiter der KMU miteinbezogen werden. Der Prozess beginnt bei der Geschäftsleitung, geht dann zu den einzelnen Abteilungen über, in denen jeweils die größten Risiken analysiert werden.

In einem Workshop wird eine Risikolandkarte des Unternehmens erstellt, auf der Verantwortungsbereiche und die ihnen zugeteilten Risiken aufgezeichnet sind, und eine Risikomatrix, welche mit den Achsen Eintretenswahrscheinlichkeit und Schadensausmaß die Bewertung der Risiken aufzeigt. Die Risiken werden aufgeteilt in interne, eher beeinflussbare, und externe, beschränkt beeinflussbare, Risiken. „Bei der Bewertung von Risiken hilft es, wenn nicht nach absoluten Werten in Prozenten oder Geldwerten gefragt wird, sondern das Ergebnis vielmehr eine Prioritätenliste darstellen soll. Sie soll ausschließlich darüber Auskunft erteilen, welches die wichtigsten Risiken sind“, so sie Schweizer Experten.

Einen dreistufigen Prozess hingegen skizzieren Dr. Stefan Becker, Geschäftsführer der MiBeKo Wirtschaftsberatung und Bastan Neyer, der beim Risk & Compliance Research Center der Westfälischen Wilhelms-Universität Münster arbeitet, auf dem Portal für Qualitätsmanagement qz-online. Sie empfehlen zunächst Beobachtungen, Befragungen oder Checklisten, sowie Kreativitätstechniken wie das Brainstorming zur ersten Analyse. Wichtig sei es, zuerst auf oberster Unternehmensebene einzuschätzen, wie es um die Risikofreude, Risikotragfähigkeit und um die Erwartungen an das Risikomanagement steht.

Mit einer standardisierten Befragung und vertiefenden Interviews in allen Bereichen des Unternehmens könne anschließend eine fundierte Risikoidentifikation vorgenommen werden. Mitarbeiter oder externe Quellen sollen dabei Auskunft geben, welche Prozesse sie als potenzielle Risiken einstufen würden und warum. Eventuell gebe es dann schon erste Vorschläge für Verbesserungsmaßnahmen. Der „Risiko- und Chancenbericht“ der im Rahmen der Wirtschaftsprüfung für jedes Unternehmen obligatorisch ist, kann als Grundlage dienen.

Zur Bewertung der identifizierten Risiken ist eine breite Auswahl an Instrumenten verfügbar, die je nach Risikoart und Situation des Unternehmens eingesetzt werden können: Als quantitative Techniken werden Statistische Risikoindizes benannt, Korrelationen, Delphi-Technik. Hybride Techniken hingegen versuchten einen pragmatischen Mittelweg aufzuzeigen, so dass schwer messbare Risiken, welche insbesondere bei KMU sowie Unternehmen außerhalb der Finanzbranche auftreten, einschätzbar gemacht werden. Eine Risk Map stellen die Experten als interessante Variante für die Risikobewertung in KMU dar. Diese greift auf die beiden Merkmale „Schadenshöhe“ und „Eintrittswahrscheinlichkeit“ zurück und ordnet diese für alle Risiken in einer Matrix ein. Sie kann mit Hilfe der vorhandenen Office-Programme erstellt und verwaltet werden.  

Sind Risiken identifiziert und bewertet, geht es im dritten Schritt an die Steuerung. Risikovermeidung wird als Optimalfall gesehen, Risikoverminderung durch eine Flexibilisierung angestrebt, beispielsweise durch die Beschaffung von Anlagevermögen im Wege des Leasing statt des Kaufs. Selbst eine gute Versicherung, so die Autoren, mache das Risikomanagement nicht entbehrlich, da sich der Beitrag einer Versicherungspolice an der Schadensquote bemisst. Übrig bleibende Risiken müssten auch akzeptiert und getragen werden. Denn einige Risiken – wie etwa das Unternehmerrisiko – bleiben immer, auch bei noch so gutem Risikomanagement.