Risikomanagement / 1 Warum Risikomanagement?

Wichtig

Vorsicht ist besser als Nachsicht

... behauptet ein altes Sprichwort, denn Nachsicht muss man meistens nachher üben, wenn man die Vorsicht vorher außer Acht gelassen hat und ein Schaden eingetreten ist. Vorsicht bedeutet, sich vorher Gedanken zu möglichen Risiken und deren Folgen (negativen Auswirkungen) zu machen und, wenn erforderlich, Vorbeuge- und/oder Reaktionsmöglichkeiten zu überlegen und geeignete Maßnahmen zu ergreifen. Beim Arbeitsschutz spricht man in diesem Zusammenhang von Prävention. Im Kern geht es auch beim Risikomanagement um die gleiche Aufgabe. Die Systematik des Umgangs mit Risiken ist vom Kontext (privater, betrieblicher oder gesellschaftlicher) Bereich abhängig.

Nachfolgend wird der Umgang mit Risiken v. a. im betrieblichen Kontext betrachtet, also bei betrieblichen Planungen, Entscheidungen, Aktivitäten etc. Hier ist zuallererst die Leitung des Unternehmens gefordert. Sie muss entscheiden und festlegen, wie die betrieblichen Akteure mit Risiken umgehen sollen. Sinnvoll hierfür sind

• handlungsleitende Grundsätze oder Leitlinien,
• verpflichtende Vorgehensweisen zum Umgang mit Risiken,
• die Bereitstellung von Arbeitshilfen,
• das Kommunizieren des erwarteten Umgangs mit Risiken sowie
• das regelmäßige Einfordern einer systematischen Bewältigung von Risiken.

Verständlicherweise beinhaltet ein zeitgemäßes Managementsystem auch Festlegungen zum betrieblichen Risikomanagement.

Zum Führen eines Unternehmens, einer Abteilung oder eines Teams, zum Managen und Ausführen eines Auftrags oder Projektes gehört es, mit unterschiedlichen Risiken umzugehen und natürlich auch Risiken einzugehen. Letzteres sollte jedoch nur in einem verantwortbaren Umfang erfolgen. Kompetente Personen identifizieren vorab mögliche Risiken und deren Ursachen/Quellen, bewerten sie, erarbeiten mit ausgewählten Mitarbeitern und ggf. externen Experten passende Strategien und Maßnahmen, setzen diese um, verfolgen die Umsetzung und lernen daraus. Hier gilt der Grundsatz: Nicht Risiken umgehen, sondern mit Risiken kompetent umgehen (managen)!

Wirtschaftskrisen sowie Erfahrungen von Insolvenzverwaltern zeigen, dass viele Unternehmen beim betrieblichen Risikomanagement – teilweise existenzbedrohende – Defizite haben. Dies sind insbesondere:

1. Der Aufwand für eine systematische und konsequente Anwendung des Risikomanagements wird teilweise gescheut.
2. Die praktische Relevanz einer systematischen Ermittlung und Auseinandersetzung mit möglichen und erkennbaren Risiken – v. a. den intern bedingten Risiken (z. B. Schwächen bei der strategischen Ausrichtung, Abhängigkeit von Beschäftigten mit Schlüsselkompetenzen, ungenügende Kostentransparenz) – ist bei den Entscheidungsträgern teilweise gering. Dies deutet auf unzureichende Kompetenzen, eine geringe Motivation sowie eine mangelhafte Kultur hin. Das Risikomanagement wir deshalb in solchen Fällen nur halbherzig angewendet.
3. Nicht selten fehlen verbindliche und praktikable Hilfen für das Abwägen von Risiken und für die Entscheidung, ob ein erkanntes Risiko "tolerierbar" ist. Fehleinschätzungen infolge von Überforderung sind die Folge.
4. Die Anwendung des "Risikomanagements" erfolgt teilweise zu "lasch", unsystematisch und beschönigend (um Veränderungen zu vermeiden). Weiterhin unterbleibt häufig eine regelmäßige Nachbetrachtung. Darunter leidet v. a. die Ernsthaftigkeit des Risikomanagements sowie der Aufbau von Kompetenzen zum Umgang mit Risiken.
5. Die Neigung zum unbegründeten Perfektionismus beim Umgang mit Risiken oder unnötig komplizierten Vorgaben, die die Anwendung behindern bzw. "ersticken".

Wichtig

Die Bedeutung des Risikomanagements steigt und wird in Zukunft weiter steigen

Treiber hierfür sind einerseits die Zunahme der regulatorischen Vorgaben, wie beispielsweise der Sarbanes Oxley Act (SOX) sowie der COSO ERM Enterprise Risk Management – Integrated Framework in den USA, das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Deutschland und Bestrebungen des Corporate Governance. Andererseits fordern die neueren Normen für Managementsysteme, wie v. a. die DIN EN ISO 9001:2015-11 "Qualitätsmanagementsysteme" und die DIN ISO 45001:2023-12 "Managementsysteme für Sicherheit und Gesundheit bei der Arbeit" explizit einen "risk based approach" sowie ein risikobasiertes Vorgehen. Ein solches integriertes Risikomanagement soll sich am Risikomanagementprozess der DIN ISO 31000:2018 "Risikomanagement – Leitlinien" orientieren.

Es lässt sich feststellen: Der externe Druck auf die Unternehmensführungen, ein betriebsgerechtes Risikomanagement aufzubauen und anzuwenden, wächst. Die DIN ISO 31000:2018 ist hierfür ein guter Leitfaden. Sie ist "nur" eine Empfehlung und kann nicht für eine Zertifizierung verwendet werden. Ungeachtet dessen sollte die Anwendung eines Risikomanagements immer intrinsisch motiviert sein – primär geht es um Vorteile für das Unternehmen und die Verantwortlichen.