Voraussetzung für weitere Prozessschritte

Ein wirkungsvolles Risikomanagement ist nur möglich, wenn detaillierte Kenntnisse über alle Unternehmensrisiken vorhanden sind. Die Risiko­identifikation liefert Risikoinformationen für die nachgelagerten Schritte des Risikomanagementprozesses, insbesondere für die

  • Risikobewertung, da nur diejenigen Risiken auch bewertet werden können, die vorher identifiziert wurden,
  • Risikosteuerung und -überwachung, da nur für diejenigen Risiken Maßnahmen zur Risikobewältigung definiert werden können und deren Ausführung überwacht werden kann, die im Rahmen der Risikobewertung priorisiert wurden.

Top-down- und Bottom-up-Vorgehen

Risiken können grundsätzlich in allen Unternehmensbereichen auftreten. Aus diesem Grund sind sämtliche betrieblichen Prozesse und Funktionsbereiche unabhängig von Hierarchiestufen zu untersuchen, ob aus ihnen Risiken resultieren können, die nach Art oder Umfang den Bestand des Unternehmens gefährden können. Das Risikomanagementsystem muss somit gewährleisten, dass alle wesentlichen Risiken erfasst werden.

Bei einem Top-down-Vorgehen startet die Risikoidentifikation bei der Unternehmensleitung und wird von dort aus in die Unternehmensbereiche nach unten entlang der Unternehmenshierarchie fortgesetzt. Beim Bottom-up-Vorgehen werden die Risiken beginnend auf der untersten Ebene der Unternehmenshierarchie identifiziert.

 
Achtung

Bei Null beginnen

Bei der Durchführung der Risikoidentifikation sollten bereits vorhandene Steuerungsmaßnahmen zunächst nicht berücksichtigt werden. Werden diese von Anfang an berücksichtigt, besteht die Gefahr, dass mögliche "Gefahrenherde" ignoriert werden mit der Begründung: "Wir machen ja schon was dagegen." Damit wäre die Vollständigkeit der Erfassung nicht mehr gewährleistet.

Es reicht nach allgemeiner Auffassung nicht aus, lediglich zum Bilanzstichtag eine einmalige Inventur der Risiken durch Abfrage durchzuführen. Vielmehr sind sämtliche Unternehmensbereiche, in denen wesentliche Risiken entstehen können, laufend in den Risikomanagementprozess einzubeziehen. Ziel des Risikomanagementsystems sind die ständige Analyse und Steuerung sowie kontinuierliche Überwachung der Risiken.

Kombiniertes Vorgehen zur Risiko­identifikation

Risiken werden in einer Kombination von Risikoidentifizierungs-Workshops, Befragungen (Interviews, Fragebogenaktionen) und Analysen identifiziert (z. B. Bilanzanalyse, Organisationsanalyse, Dokumentenanalyse, Besichtigungsanalyse, Stärken-Schwächen-Analyse, Produktlebenszyklusanalyse, Unternehmensumfeldanalyse). Als Arbeitsmittel dienen u. a.:

  • Checklisten,
  • Statistiken (z. B. über Unfälle, Schäden),
  • Bilanzen und Planbilanzen,
  • Kalkulationen,
  • Baupläne (z. B. zur Erkennung von Brandrisiken aufgrund fehlender Brandabschnitte),
  • Verträge (z. B. zur Erkennung von Vertragsrisiken),
  • Dokumentation der Aufbauorganisation (z. B. zur Erkennung organisatorischer Kompetenzüberschneidungen),
  • Prozessbeschreibungen (z. B. zur Erkennung von Prozessschwachstellen),
  • Betriebsbesichtigungen (z. B. zur Erkennung technischer Sicherheitslücken),
  • Fragebogen (bei schriftlichen Befragungen),
  • Gesprächsleitfäden (bei Interviews).

3.3.1 Schritt 1: Definition von Risikofeldern und -bereichen

Gliederungsstruktur für Risiken als einheitlicher Ordnungsrahmen

Bei der Identifikation sollte sich die Projektgruppe zunächst ein Risikoschema (auch als Risikoraster bezeichnet) mit den einzelnen Risikofeldern und -bereichen erarbeiten (s. Abb. 4), um die nachfolgenden Workshops zu strukturieren und damit die Workshoparbeit möglichst effizient zu gestalten.

Abb. 4: Risikofelder und -bereiche

Alternative Gliederung

Die Risiken können auch anhand anderer Kriterien gegliedert werden, z. B.

  • nach Unternehmensfunktionen bzw. Verantwortungsbereichen (anhand des Organigramms),
  • anhand der Wertschöpfungskette des Unternehmens (F&E, Beschaffung, Produktion, Vertrieb, Querschnittsfunktionen),
  • nach operativen, strategischen, finanziellen und Informationsrisiken,
  • nach Ursachen bzw. Umfeldbereichen (z. B. ökonomische, technologische, rechtliche, politische, soziokulturelle und ökologische Risiken),
  • nach Wirkungen (potenzielle Beeinträchtigung der Zielerreichung),
  • nach Häufigkeit, Tragweite oder Fristigkeit (operativ/strategisch, lang-/mittel-/kurzfristig),
  • nach Schadenspotenzial (vernachlässigbar bis bestandsgefährdend).

3.3.2 Schritt 2: Risikosammlung und -detaillierung

Detailfokus: Einzelrisiken

Die Grobgliederung des Risikoschemas stellt eine unternehmensweit gültige Grundlage für die Arbeit in den folgenden Workshops dar. Anschließend erfolgt eine Detaillierung für die jeweiligen Risikobereiche in allen Organisationseinheiten und für die einzelnen Unternehmensprozesse.

 
Achtung

Vorgegebene Risikostruktur einhalten

Wichtig bei der Detaillierung ist die strenge Einhaltung der anfangs vorgegebenen Risikostruktur, deren oberste Hierarchieebenen im Risikoschema vorgegeben sind.

3.3.3 Schritt 3: Zuordnung von Verantwortlichkeiten

Kein Risiko ohne zugeordneten Verantwortlichen

Risikoverantwortliche bzw. Risikoeigner ("risk owner") müssen den Risiken zugeordnet werden. Die Zuordnung von Verantwortung ist vor dem Hintergrund, Maßnahmen zur Risikosteuerung...

Das ist nur ein Ausschnitt aus dem Produkt ProFirma Professional. Sie wollen mehr?


Meistgelesene beiträge