Hintergrund
Kontinuierliches, fundiertes Risiko-Management gehört mehr denn je zu den wichtigsten Voraussetzungen für die Absicherung eines langfristigen Unternehmenserfolgs. Somit gewinnt dieser Faktor auch für KMU an immer grösserer Bedeutung.
Unternehmensumwelten — So vielfältig wie ein Unternehmen, so zahlreich sind auch seine Risiken. Einzelne Risikogruppen werden in unterschiedlichen «Umwelten» zusammengefasst.
Der Risiko-Management-Prozess 1. Schritt: Risiko-Identifikation — Die Identifikation möglicher Gefahren für das Unternehmen ist der Ausgangspunkt des Risiko-Managements, denn nur bekannte Risiken können bearbeitet werden. Um der so genannten «Betriebsblindheit» vorzubeugen, sollte das für diese Aufgabe gebildete Team eine möglichst grosse Bandbreite an Bereichen und Kompetenzen innerhalb des Unternehmens repräsentieren. So können die wesentlichsten Risiko-Aspekte eingebracht und damit die notwendige Qualität des Risiko-Managements erzielt werden. Zudem unterstützt die Diskussion einzelner Fakten die Klarheit der Analyse und schafft ein neues Bewusstsein für vorhandene Risiken, die bisher im Arbeitsalltag zu wenig oder keine Beachtung gefunden haben.
2. Schritt: Risiko-Bewertung — Vor der Bewertung der Risiken, muss innerhalb des verantwortlichen Teams Übereinstimmung hinsichtlich des anzuwendenden Massstabs bestehen. Innerhalb des definierten Rahmens werden sowohl Zielabweichung (auch als Eintretenswahrscheinlichkeit bekannt) wie Tragweite (wird auch als Schadenspotenzial bezeichnet) jedes einzelnen identifizierten Risikofaktors abgeschätzt.
Idealerweise wird die erste Einstufung für alle Risiken innerhalb eines kurzen Zeitraumes und von einem gleichbleibenden Personenkreis vorgenommen. So entstehen keine Abweichungen dadurch, dass verschiedene Personen verschiedene Massstäbe anwenden. Je nach Komplexität der Fragestellungen empfiehlt sich ein Review der ersten Risikobewertung. Folgende Fragen sollten dabei im Fokus stehen:
Sind alle wesentlichen Risiken erfasst?
Wurden diese «richtig» bewertet?
3. Schritt: Risiko-Bewältigung (Massnahmenplan) — In den meisten Fällen stehen für das Risiko-Management nur wenig Zeit und Ressourcen zur Verfügung. Deshalb werden häufig nur für die grössten Risiken entsprechende Massnahmen zur Bewältigung gesucht und umgesetzt.
In diesem Zusammenhang ist entscheidend, dass die höchsten Risiken (in der Profics RSA Grafik im roten Bereich dargestellt) zuerst angegangen werden, um sie möglichst schnell zu senken. Meist bieten sich dafür in einem ersten Schritt Sofortmassnahmen an. Anschliessend sollte dem jeweiligen Risiko und seiner Eindämmung etwas mehr Zeit gewidmet werden, um es nachhaltig auf die gewünschte Stufe zu reduzieren.
Die Umsetzungsreihenfolge der zur Risiko-Bewältigung festgelegten Massnahmen sollte im Verhältnis zu ihrer Wirksamkeit stehen – soll heissen: wirksamste Massnahmen werden zuerst umgesetzt. Idealerweise werden zu jeder Massnahme zugleich eine Messgrösse zur Überprüfung ihrer Wirksamkeit definiert sowie Verantwortlichkeit und Termin für ihre Umsetzung bestimmt.
4. Schritt: Risiko-Dokumentation — Um die Entwicklung der erkannten Risiken kontrollieren und feststellen zu können, ob die eingeleiteten Massnahmen zur Risiko-Bewältigung ihr Ziel erreichen, sollte das verantwortliche Team einen Risiko-Management-Plan erstellen. In Form eines Reports sind dort der Risikostatus des Unternehmens zu einem bestimmten Zeitpunkt erfasst und die Art der Risikoverfolgung sowie die Wirksamkeitsüberprüfung der Massnahmen zur Risiko-Bewältigung dokumentiert.
Die Fortschritte der Risiko-Bewältigung lassen sich beispielsweise durch eine periodische Wiederholung der Risiko-Selbstanalyse mit Profics RSA dokumentieren.
Der Risiko-Management-Plan legt ebenso fest, in welchem Rhythmus die Risiken erneut überprüft werden. Bei solchen Reviews kann korrigierend eingegriffen werden, beispielsweise durch:
Neubewertung bestehender Risiken
Überprüfung der Wirksamkeit umgesetzter Massnahmen
