Die mittelständischen Unternehmen müssen aufgrund vieler und verschiedener regulativer Anforderung ihrer Stakeholder ein professionelles Risikomanagement als Methode betreiben. In der Praxis wird dazu ein generischer Risikomanagementprozess eingerichtet, der durch Anpassungen an verschiedene Kontexte mehrere verschiedene Regularien bedienen kann.

Praxis des Risikomanagements im Mittelstand

Die Prozessorientierung der Methode liefert eine fertige Strukturierung, die in der Praxis sofort umgesetzt werden kann. Die Risikomanagementmethode wird idealerweise durch eine Risikomanagementsoftware unterstützt, welche den Risikomanagementprozess vollkommen abbildet. Mit dem Reporting- und Cockpitfunktionen der Software ist die Unternehmensführung immer im Bild über die Risiken.

Risikomanagement hat bereits Einzug im Mittelstand gehalten. Die Türen zum Einzug tragen die Namen Produktsicherheit, Arbeitssicherheit, Business Continuity, Basel II, usw. Aber auch über Anforderungen von Qualität und Umwelt kommt Risikomanagement über die Hintertür zum Tragen. Die relevanten Stakeholder der Unternehmen, wie Investoren und Banken, Kunden, Zulieferer, Mitarbeiter, Umwelt und Öffentlichkeit sind die Treiber für ein unternehmensweites Risikomanagement, welches das Ziel hat, die Risiken des Unternehmens zu bewältigen. Die Führung des Unternehmens trägt sowohl aus dem unternehmerischen Selbstverständnis, wie auch entsprechend der Anforderungen der verschiedenen Regularien die Verantwortung für die Risiken. Die Führung des Unternehmens ist gefordert, Objektivität und Transparenz im Umgang mit den Risiken des Unternehmens zu schaffen und aufrecht zu erhalten. Die Methode der Wahl dazu ist ein zentraler und integrierter Risikomanagementprozess, der mehrere und unterschiedliche Anforderungen bedient, und nicht viele differenzierte Risikomanagementprozesse, die jeweils irgendwo dezentral eine Anforderung bedienen.

Der Prozess

Für das Risikomanagement gibt es keinen so dominanten Standard wie die ISO 9000 für des Qualitätsmanagement. Dazu geeignet ist der generische Steinbeis Risikomanagementprozess, der sich eng an die Norm IEC 62198 für Risikomanagement anlehnt. Dieser generische Prozess besteht aus fünf Prozessabschnitten, die sich in ähnlicher Form explizit oder implizit in einigen standardisierten Risikomanagementprozessen wiederfinden:

1. Risiken festlegen
2. Risiken identifizieren
3. Risiken priorisieren
4. Risiken bewältigen
5. Risiken kommunizieren

Die Festlegung von Risiken (1) geschieht durch die Festlegung eines Kontexts für das Risikomanagement und die Festlegung der Kriterien für Risiken. Das sind die Festlegung eines Bereichs, der in Bezug auf Risiken "gemanagt" werden soll, die Definition, was das Risiko in diesem Bereich ist, die Ziele, was das Risikomanagement in diesem Bereich erreichen soll. Hier wird spezifiziert und differenziert nach Produktrisiken, operativen Risiken aus dem Tagesgeschäft, strategischen Risiken aus Veränderungen des Unternehmens und Veränderungen seines äußeren Wirkungsumfelds des Unternehmens, Risiken im Finanzbereich, Risiken für die Umwelt, diverse Sicherheiten usw. Hier wird festgelegt, welche (qualitativ) und wie viele Risiken bzw. wieviel (quantitativ) Risiko das Unternehmen auf sich nehmen kann und will.

Die Identifizierung von Risiken (2) erfolgt nach den Festlegungen der Kriterien aus (1), wo gesucht wird und was gesucht wird, im Rahmen einer systematischen Suche. Die Systematik von Suchen, Finden und Identifizieren ist individuell an den Kontext angepasst.

Die Priorisierung von Risiken (3) folgt dem festgelegten Ordnungsprinzip aus (1) nach dem Kriterium der Relevanz. Relevanz ist ein unternehmens- und situationsspezifischer Begriff, der weitere Kriterien, wie Größe, Dringlichkeit, Vernetzung u.a. berücksichtigt. Die Priorisierung von Risiken folgt auf der einen Seite objektiven Kriterien, wie Schadensausmaß und Eintrittswahrscheinlichkeit als die beiden klassischen Risikokennzahlen, sowie innovative Kennzahlen für die Dringlichkeit und für die Vernetzung von Risiken. Zur dieser rationalen und objektiven (mit dem Kopf) Priorisierung von Risiken kommen durchaus auch emotionale und subjektive (aus dem Bauch) Kriterien, die persönlich, zeitlich und situativ individuelle Schwerpunkte setzen.

Die Bewältigung von Risiken (4) ist der Kernprozess des Risikomanagements. Bewältigung ist ein schillernder Begriff, der individuell für das Unternehmen zu definieren ist. Die Bedeutung von Bewältigung reicht von "Das Risiko ist bekannt.", bis zu "Das Risiko ist gebannt." Üblicherweise gibt es für die Bewältigung der Risiken Zielvorgaben aus (1), die konkrete Vorgaben für ein so genanntes Restrisiko, mit dem das Unternehmen nach der Bewältigung der Risiken leben muss. Die Bewältigung von Risiken ist nach guter Tradition des Qualitätsmanagements ein zyklischer und geregelter Prozess, der die aus der ISO 9000 bekannten Schritte des Normkapitels 8.5 mit dem Titel Verbesserung enthält.

• 8.5.1 kontinuierliche Verbesserung
• 8.5.2 Korrekturmaßnahmen
• 8.5.3 Vorbeugungsmaßnahmen

In der Interpretation für Risiko bedeuten diese Abschnitte die permanente Entwicklung der Organisation zur besseren Bewältigung von Risiko, das reaktive Risikomanagement nach einem Schadensereignis und das proaktive Risikomanagement vor einem Schadensereignis. An diesen drei Schrauben wird solange gedreht, bis die Ziele der Risikobewältigung erreicht sind. Hier ist die enge verwandtschaftliche Beziehung von Qualitäts- und Risikomanagement offensichtlich.

Die Kommunikation von Risiken (5) ist im Wesentlichen ein Berichtswesen, welches über Risiken und über Risikobewältigung zeit- und ereignisgetriggert formal informiert. Das Berichtswesen umfasst einen klassischen Teil, der formalen Anforderungen von Regularien entspricht und einen innovativen Teil, der z. B. als Risikocockpit mit der Risikomanagementsoftware realisiert wird und in Bezug auf Aktualität und Vernetzung von Information zusätzlichen Nutzen für die Unternehmensführung bringt.

Die Organisation

Risikomanagement bedarf einer Organisation, die den Risikomanagementprozess trägt. Eine zentrale Funktion in der Unternehmensführung koordiniert das Risikomanagement. Diese Funktion trägt oft den Titel Risikomanager oder Risikoverantwortlicher, obwohl sie weder Risiko managt, noch Risiko verantwortet. In dieser Koordinierungsfunktion laufen alle Anforderungen an das Risikomanagement und alle Entsprechungen aus dem Risikomanagement zusammen. Dieser Mitarbeiter muß über eine entsprechende Fachkompetenz zum Management von Risiken verfügen und in der Lage sein, in einer interdisziplinären Schnittstelle zu wirken. Diese zentrale Funktion managt den Risikomanagementprozess. Dezentrale Funktionen in allen Fachabteilungen managen die Risiken. Das sind keine zusätzlichen Mitarbeiter, sondern das ist die Risikoperspektive der Mitarbeiter, die in ihrer Fachkompetenz tätig sind. Die können ihre Risiken am besten bewältigen. Die Verantwortung ist und bleibt in ihrer Gesamtheit bei dem Unternehmer und der Unternehmensführung. Das Konzept entspricht dem der obersten Leitung aus dem Qualitätsmanagement.

Die Software

Eine prozessorientierte Risikomanagementsoftware unterstützt die Methode, indem sie die einzelnen Abschnitte des Risikomanagementprozesses konsequent abarbeitet. Es ist wichtig, , daß Methode und Software nach derselben Prozessstrukturierung vorgehen, weil es nur so einen großen Nutzen durch folgt den generischen Software gibt. Die Risikomanagementsoftware Vision.iC Prozesschritten 1 bis 5, die Sie von den Festlegungen des Kontexts über die Dokumentation der Bewältigung bis zur Information mit Reports und mit einer Cockpitanzeige unterstützt.

Die unterschiedlichen Regularien

Die meisten Anforderungen unterschiedlicher Regularien lassen sich mit Hilfe dies generischen Risikomanagementprozesses erfüllen. Dazu sind in der Regel spezifisch methodische Anforderungen in den spezifischen Fachabteilungen umzusetzen, diese spezifischen Umsetzungen zu dokumentieren und durch spezifische Berichte zu kommunizieren. Die Nutzung des generischen Risikomanagementprozesses anstelle spezifischer Risikomanagementprozesse verringert die Komplexität. Die Unternehmensführung hat mit dieser Prozessstruktur die Übersicht und die Detailsicht auf die Risikosituation des Unternehmens. Aus Sicht der Regularien ist dann auch zu entscheiden, ob und welche Auditierungen und Zertifizierungen erforderlich sind.

Autor: Dr. Peter Meier
Die vollständige Version dieses Artikels ist erschienen: Peter Meier, „Praxisleitfaden des operativen Risikomanagements - Prozessorientiertes Vorgehen für den Mittelstand"; Weka Verlag, Kissing, 2007 (ISBN 3-8276-6701-4)