Funktionierendes Risikomanagement ist mehr als gesetzliche Verpflichtung

Risikomanagement wird in der Wirtschaft häufig vernachlässigt. Dabei hat das Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen (StaRUG) 2021 die Verpflichtungen verschärft und das Haftungsrisiko erhöht. Zu Recht! Denn funktionierendes Risikomanagement ist keine Raketenwissenschaft und repräsentiert weit mehr als die Erfüllung rechtlicher Vorgaben. Es bedeutet auch Qualitätsmanagement und ist Voraussetzung für eine sichere Unternehmenssteuerung.

Was ist Risikomanagement?

Risikomanagement stellt einen systematischen Prozess zur Identifizierung, Bewertung und Steuerung von Risiken dar, um negative Auswirkungen zu minimieren und Chancen zu nutzen. Es umfasst sämtliche Maßnahmen und Prozesse, die dazu dienen, künftige unsichere Ereignisse zu erkennen, zu analysieren, zu bewerten, zu steuern und zu überwachen. Ziel ist, etwa Probleme in der Wertschöpfungs-, Liefer- und Logistikkette, konjunkturelle Schwankungen, Arbeitssicherheitsverstöße, Fehlverhalten von Führungskräften, Datenverlust, Cyberattacken, regulatorische Verstöße, Schadensansprüche und Korruption früh zu entdecken, negative Folgen zu verhindern und eine erfolgreiche Restrukturierung zu gewährleisten.

Für die praktische Umsetzung gibt es hilfreiche Ansätze. Grundlage sollte eine realistische Planung für die nächsten Jahre sein, die in brauchbaren Finanz-Planzahlen festgehalten wird. Denn: Nur wer weiß, wohin er will, kann erkennen, wenn er vom Weg abweicht. Um das festzustellen, müssen kontinuierlich Ist-Zahlen ermittelt und mit den Planzahlen verglichen werden. Für den Aufbau eines Risikomanagementsystems selbst haben sich vier Schritte etabliert:

1. Identifikation von Risiken
   Hierbei geht es um die systematische Ermittlung aller signifikanten Risikofaktoren, die zur Abweichung der Ist-Zahlen von den Planzahlen führen können unter Nutzung von Kennzahlen und KPIs, einschließlich regulatorischer und rechtlicher Risiken. Beispiele sind rückläufiger Auftragseingang, Umsatzrückgang, abnehmende Rentabilität, abnehmende Liquidität, sinkender Cashflow, ein Rückgang des Investitionsgrades und abnehmender Marktanteil. Die Unternehmen entwickeln für diese Bereiche selbst zu ihrem Geschäft passende Kennzahlen, die dann in ein stetig aktuelles Monitoring einfließen, ist in einem Beitrag im Magazin „Markt und Mittelstand“ erläutert.
2. Risikobewertung
   In diesem Schritt wird das Schadenspotenzial der einzelnen Risiken ermittelt. Zudem erfolgt die Aggregation zu einem Gesamtrisiko. Ein Vergleich mit der Risikotragfähigkeit in der Finanzplanung zeigt den Grad der Existenzgefährdung auf und verdeutlicht den Handlungsbedarf.
3. Entwicklung und Planung von Strategien
   Auf Basis der Zahlen sollten Unternehmen definieren, wie sie mit welchen Risiken umgehen. Denkbar sind etwa Maßnahmen zur Vermeidung und Verminderung, zum Transferieren und zum Akzeptieren. Grundsätzlich sollten sie auf eine Restrukturierung abzielen. Zudem ist der folgende Schritt ein wichtiger Bestandteil der Strategieplanung:
4. Überwachung und Kontrolle
   Tatsächlich sollte die Überwachung von Risiken systematisch und kontinuierlich erfolgen. Es ist wichtig, die Ergebnisse übersichtlich darzustellen und die Wirksamkeit der Maßnahmen aufzuzeigen. Nicht zuletzt geht es um das Vornehmen von Anpassungen.

Herausforderungen systematisch meistern

Dabei geht der Aufbau eines wirklich funktionierenden Systems mit zahlreichen Schwierigkeiten einher. So steht die Frage nach dem zu betreibenden Aufwand im Raum, der grundsätzlich der Größe, Branche und Komplexität angemessen sein sollte. Eine weitere Rolle spielen der Zeit- und Kostenaufwand der Implementierung. Aber auch Aspekte wie die Stellung des Risikomanagementsystems an sich dürfen nicht unterschätzt werden. In diesem Zusammenhang muss zwingend darauf geachtet werden, dass das System nicht Hausherr ist. Denn auch darin können sich Fehler befinden. Eng damit verbunden sind Fragen zu organisatorischen Umstrukturierungen und zur Schulung der Mitarbeiter.

Welche Probleme Verantwortliche mit der praktischen Umsetzung haben, legen verschiedene Studien offen. Demnach setzt lediglich etwa ein Drittel aller Unternehmen Risikomanagement für Steuerungszwecke ein. Oft unterschätzen Unternehmer Risiken. Gefahren aufgrund von Compliance-Verstößen sehen sie erst auf Rang elf. „Das ist mit Blick auf das StaRUG die große Schwachstelle“, sagte Josef Scherer, Jura-Professor für Risiko- und Krisenmanagement an der Hochschule Deggendorf in Niederbayern und Rechtsanwalt für Wirtschaftsrecht, gegenüber „Markt und Mittelstand“. Das Gesetz sei nicht nur in Krisenzeiten relevant und die Pflichten treffen Unternehmen aller Größen unabhängig vom Zustand. Zudem sind Aufbau und Pflege eines wirksamen Risiko- und Krisenfrüherkennungssystems Kardinalspflichten für den Versicherungsschutz, wie RiskNET darlegt. Dennoch wisse ein Drittel nicht einmal, welche Deckungssummen für entsprechende Versicherungen bestehen. Das berge die Gefahr von Unterversicherung – insbesondere im Lichte steigender Schadenhöhen durch Cybervorfälle und Kollektivklagen. Darüber hinaus spielen Klimarisiken und KI trotz ihrer Relevanz eine untergeordnete Rolle in der Risikowahrnehmung.

Obendrein klafft häufig eine Lücke zwischen dem Erkennen von Risiken und ihrem praktischen Management – zum Beispiel beim Thema Cybersicherheit. Obwohl die Bedrohungen wahrgenommen werden, gaben 38 Prozent der deutschen Manager an, dass im Vorstand zu wenig Zeit für Cybersicherheit aufgewendet werde. Zugleich zeige sich eine gefährliche Selbstüberschätzung, was die Kompetenzen betreffe. Zwar glauben 61 Prozent der Befragten, dass ihr Board über ausreichende Kompetenzen im Bereich Cybersicherheit verfüge – dennoch fordern 33 Prozent, dass dem Thema mehr Zeit gewidmet werden sollte.

Solche – teuren – Fehler lassen sich mithilfe professioneller Unterstützung vermeiden. Darüber hinaus lohnt sich die Inanspruchnahme des Know-hows von Experten auch in weiterer Hinsicht. Denn ein funktionierendes Risikomanagementsystem reicht über die Pflicht, die gesetzlichen Auflagen zu erfüllen und rechtliche Risiken zu minimieren, hinaus. Es ist Basis für bessere Entscheidungen. Ein gutes Risikomanagement ermöglicht eine effizientere Ressourcennutzung und das Nutzen von Wachstumsmöglichkeiten, was zu einer Verbesserung des Geschäftserfolgs führen kann. Gleichzeitig hat es das Potenzial, die Transparenz zu erhöhen, für eine effektivere Kommunikation zu sorgen und das Vertrauen nach innen und außen zu stärken sowie die Reputation zu fördern. Es ist ein Schlüssel zu mehr Widerstandsfähigkeit, erhöhter Krisenfestigkeit und dem Schutz des Unternehmenswerts.