Identifikation und Bewertung von Risiken
Bewertungsmethoden in Risikomanagementsystemen (RMS)
Zuständigkeit: In den meisten Unternehmen ist den Mitarbeitern noch nicht klar genug geworden, welcher enge Zusammenhang zwischen Risiko und Planabweichung besteht. Grundsätzlich ist zwar immer die Geschäftsleitung für das Risikomanagement zuständig und verantwortlich. Trotzdem muss es dezentral ausgerichtet sein. Informationen zu den wesentlichen Risiken müssen zur Unterstützung der Entscheidungsträger auf allen Ebenen rechtzeitig, zutreffend und vollständig zur Verfügung stehen. Alle Mitarbeiter müssen sich in ihrem Verantwortungsbereich aktiv am Risikomanagement beteiligen und damit für einen kontinuierlichen Informationsrückfluss an die Unternehmensleitung sorgen. Das RMS ist regelmäßig auf seine Zuverlässigkeit und die Einhaltung der Regeln zu überprüfen.
In jedem einzelnen Fall sind sowohl für die strategische als auch die operative Planung des Unternehmens die nachstehend angeführten Schritte zu beachten:
- Identifikation interner und externer Risiken
- Bewertung des Risikos vor ev. Maßnahmen (z.B. durch FMEAnalyse = failure mode and effects analysis), dabei ist Schwere des Risikos, Eintrittswahrscheinlichkeit und Aufwand zur Korrektur anhand einer definierten Wertskala zu bewerten
- Risikosteuerung (Maßnahmenplanung), kann erfolgen durch: Vermeidung, Verminderung, Überwälzen, Kompensation, Eigentragung, etc.
- Bewertung des Risikos nach Maßnahmen
- Risikoreporting und Dokumentation (Risikohandbuch)
- Risikoüberwachung (= Risikocontrolling, Soll-Ist-Vergleich) mit Rückkoppelung an die Entscheidungsträger
Identifikation und Bewertung von Risiken: Im ersten Schritt geht es darum, mögliche Unternehmensrisiken vollständig zu erfassen. Dabei ist die Mitwirkung aller Wissensträger aus sämtlichen Unternehmensbereichen unbedingt erforderlich. Fachwissen und Detailkenntnisse über Abläufe aus irgendwelchen hierarchischen Ebenen außer Acht zu lassen, wäre fatal.
Die Identifikation der Risiken kann in den einzelnen Unternehmensbereichen auf unterschiedliche Form erfolgen: z.B. durch Fragebögen oder Interviews der jeweiligen Experten, durch offene Fragestellung oder vorgefertigte Checklisten. Die dadurch erkannten Risiken sind dann einer Vorauswahl zu unterziehen. Die dabei als wichtig erkannten Risiken können anschließend im Rahmen von Workshops systematisiert, diskutiert und gemeinsam bewertet werden.
Mit der Risikobewertung beginnt die eigentliche Arbeit für die Verantwortlichen. Diese gehen die vorher erhobenen Risiken durch und bewerten die Eintrittswahrscheinlichkeit und mögliche Auswirkungen. Dazu werden den ermittelten Risiken potentielle Schäden zugeordnet und diese mit Hilfe einer Skala von 1 bis 9 in Größenklassen eingeteilt und in einer Matrix eingetragen. Ob ein Schaden als gering oder groß bzw. katastrophal eingestuft werden muss, hängt von verschiedenen Faktoren ab (z.B. Unternehmensgröße, Kapitalausstattung, etc.), und ist daher individuell von den Verantwortlichen festzusetzen.
In einem zweiten Schritt wird die Wahrscheinlichkeit des Eintritts geschätzt. Auch das wird in der Matrix erfasst, wobei die dazu verwendete Skala der Häufigkeit möglicher Ereignisse vom „regelmäßigen Eintritt innerhalb einer Planungsperiode“ bis zu „Eintritt des Risikos ist nicht zu erwarten“ geht. Das Ergebnis ist die „Risikozahl und damit das Maß für die Relevanz. Hohe Risikozahlen bedingen Maßnahmen zur Mitigation (Verhinderung, Reduktion, etc.).
Das RM-Team bzw. die für das RMS zuständigen Stellen können nur Vorschläge für die Risikooptimierung machen. Die Entscheidung, ob und welche Maßnahmen gesetzt werden, ist Sache des Managements.
Egal mit welcher Methode die Risiken erkannt und bewertet werden, sollte man sich immer bewusst sein, dass bis hierher nur Einzelrisiken betrachtet wurden. Zur Bewertung des Gesamtunternehmensrisikos ist es nicht zulässig, diese Einzelrisiken einfach zu addieren, da diese oft negativ miteinander korrelieren, d.h. sich gegenseitig ausschließen oder zumindest teilweise aufheben. Die Gesamtrisikoposition eines Unternehmens ist daher immer geringer als die Addition der Einzelrisiken.
Copyright © RIVEST Holding GmbH, A – 6020 Innsbruck
Über den Autor: Clemens Reitz
Staatlich geprüfter Versicherungsmakler, geprüfter und zertifizierter Risikomanager, ausgebildeter Gefährdungsanalyst (HACCP), Anwender der Engpasskonzentrierten Strategie nach Prof. h.c. Wolfgang Mewes (1924-2016), Conference-Speaker. Gründer und Geschäftsführer RIVEST Management Gruppe, Schwerpunkt seiner Tätigkeit ist das strategische Risiko- und Versicherungsmanagement von nationalen und internationalen Unternehmen.