Autor: Hermann Jenny

Risk Management in kleinen und mittleren Unternehmen

Auch kleine und mittlere Unternehmen benötigen dieses Instrument, denn wer etwas unternimmt – geht Risiken ein. Diese Tatsache trifft auf Unternehmen aller Grössenordnungen zu. In der Praxis sieht es allerdings etwas anders aus, da die angebotenen Systeme sich vornehmlich für Konzerne und grössere Einzelfirmen eignen, denn der damit verbundene Aufwand ist für KMU schlicht zu gross. Wie also muss ein Risk-Management-System für die hier angesprochene Zielgruppe aussehen – ohne dabei auf die wesentlichen Ergebnisse des Systems verzichten zu müssen?

Die Antwort: Einfach, ausgestattet nur mit den wirklich notwendigen Funktionen für ein erfolgversprechendes managen der Risiken. Ein Kalkulations- und ein Textverarbeitungsprogramm (z.B. Excel und Word) genügen, um die notwendigen Aufgaben zu erledigen. Das Formularwesen ist auf ein Minimum ausgelegt. Auf komplizierte Bewertungsmethoden, und damit auf Scheingenauigkeit, wird verzichtet. Entscheidungen werden grundsätzlich im Team getroffen.

... und branchenunabhängig

Oft wird die Frage gestellt, ob für die Einführung und Steuerung eines Risk-Management-Systems Branchenunterschiede bestehen. Auch hier eine einfache klare Antwort: Nein. Selbstverständlich gibt es Unterschiede in der Art und Ausprägung einzelner Risiken; so überwiegen in Unternehmen, die sich mit Frisch- bzw. Rohprodukten befassen spezielle Risiken. In einem Gärtnereibetrieb bestehen zum Beispiel Risiken betreffend Haltbarkeit von Pflanzen aller Art – vom Setzling bis zur Vollblüte. Eine Schreinerei kennt dieses Risiko nicht, dafür besteht hier das Risiko eines Verschnitts, konkret: Für eine Kundenbestellung wird ein bestimmtes Mass nicht eingehalten. Diese beiden Beispiele zeigen zwar spezielle, nur gerade in den bereffenden Betrieben vorkommende, Risiken. Aber die Systematik des Prozesses wird damit nicht beeinflusst.

Wesentliche Voraussetzung ist das Wollen und das Tun

Risk-Management ist vor allem eine Sache des Kopfes und weniger der Zahlen. Dies bedeutet, dass man sich erst einmal damit befassen muss, denn überall dort wo etwas geleistet wird bestehen Risiken, und zudem bieten sich dabei auch Chancen. Wer sich dieses Grundgedankens bewusst ist wird erkennen, dass sich die Auseinandersetzung mit dieser Thematik lohnt. Ein weiterer Punkt ist die Tatsache, dass sich jedes Unternehmen selbstverständlich mit der Frage beschäftigt, welche Ziele innerhalb einer Periode erreicht werden sollen. Und richtige Antworten findet nur, wer sich dabei auch Gedanken darüber macht, ob diese Ziele mit dem zur Verfügung stehenden Personal, mit den Produkten und in dem für den Absatz vorgesehenen Markt auch tatsächlich realisieren lassen. Eine intensive Auseinandersetzung mit solchen Fragen ist schon ein erster Schritt für ein Risk-Management. Mit dem zweiten Schritt beginnt bereits die aktive Phase des Risk-Management, nämlich im Führungsteam des Unternehmens darüber zu beraten, ob und wie mit der Einführung begonnen werden kann. Allerdings genügt es nicht, dies zu wollen, nur mit dem Tun können entsprechende Erfolge erreicht werden.

Rahmenbedingungen

Als oberstes Gebot gilt, dass die Rahmenbedingungen (gesetzliche Regelungen, Corporate Governance, Sarbanes oxley act, eine gelebte Unternehmenskultur, allfällige Bankenvorschriften usw.) eingehalten werden und dass die Geschäftsleitung die Verantwortung für das Risk-Management bewusst wahrnimmt. Diese Bedingungen, einschliesslich der Organisation für den Aufbau und die Betreibung des Systems, der Regelung von Kompetenzen, sowie der Aufgaben und Verantwortlichkeiten aller Beteiligten sind als ‚Risikopolitische Grundsätze’ festzuhalten. Zwar ist nirgends vorgeschrieben wie detailliert dieses System ausgestaltet sein muss. Es liegt jedoch im Interesse der Unternehmen, die notwendigen Vorkehrungen zu treffen – bevor dies die Bank vorschreibt, z.B. wenn es um die Verzinsung neuer Kredite oder um die Erhöhung von Kreditlimiten geht.

Die 3 Kernelemente des Riskmanagement-Systems für KMU

Die wichtigsten Elemente, hier als ‚Grundprozesse’ dargestellt, finden sich zwar auch bei den umfangreichen Systemen für Grossfirmen. Im Unterschied zu diesen, meist nur mittels, z.T. teurer, Software abzuwickelnden Systemen, baut das vorliegende Modell auf ‚handgestrickten’ Mustern auf. Das Motto lautet „Philosophie vor perfekter Ausführung“. Im Klartext bedeutet dies, dass nur die wirklich notwendigen Schritte ausgeführt werden.

Quelle: Münzel / Jenny (2005) Riskmanagement für kleine und mittlere Unternehmen

Wie der Regelkreis zeigt, greifen drei Grundprozesse ineinander. Damit sie nachhaltig wirksam werden, ist dieser periodisch immer wieder zu durchlaufen.

Der erste Schritt, die Identifikation und Analyse der Risiken erfolgt nach Einrichtung der Risk-Management-Organisation. Dieser Schritt ist zugleich Basis für einen optimalen Steuerungsprozess, denn je besser die Analyse der identifizierten Risiken durchgeführt wird, desto aussagefähiger sind die Ergebnisse der Bewertung der einzelnen Risiken.

Im nächsten Schritt erfolgt der eigentliche Steuerungsprozess, bei dem ein neuer, Risiko-reduzierter Zustand angestrebt wird. Die Steuerung erfolgt auf der Basis der Analyseresultate, der Abweichung des Ist-Zustandes vom angestrebten Ziel und der beabsichtigten Massnahmen, die zum Soll-Zustand führen. Um diesen Prozess seriös und nachhaltig abzuwickeln werden die wichtigsten Risiken mittels entsprechender Massnahmen gesteuert.

Mit dem letzten Element der Überwachung und Kontrolle schliesst sich der Regelkreis. Zusammen mit der Steuerung bildet dieser Schritt einen dynamischen, parallel laufenden Prozess, der immer wieder durchlaufen wird. Somit wird der Risk-Management-Zyklus permanent aufrecht erhalten. Die Kontrolle erfolgt auf der Basis von Risikoberichten an die Verantwortlichen. Deren Erkenntnisse und Entscheide werden in den Regelkreis eingespeist.

Was hindert ein Unternehmen Risk-Management zu betreiben?

Es gibt immer einen Grund etwas nicht zu tun. Und genau so gibt es auch immer einen Grund etwas zu tun. Die Frage ist nur, wie wir uns auf ein Problem einstellen.

In vielen Fällen muss wirklich zuerst etwas passieren, bevor man sich Gedanken darüber macht, was man hätte tun können. Nur ist es dann oft zu spät (was die Rekordzahlen von Konkursen in den letzten Jahren zeigen).

Eine kleine Auswahl von Gründen für das "Nichtbetreiben" eines Risk-Managements:

Man wiegt sich in Sicherheit, aufgrund der Vergangenheit, der momentan guten Liquidität, weil der Firmenname am Markt gut ist.
Man überschätzt die eigenen Fähigkeiten, nach dem Motto „Was unser Konkurrent kann, können wir schon lange“ oder auch „was in der Vergangenheit gut funktioniert hat, kann für die Zukunft nicht falsch sein“.
Die Marketingverantwortlichen interessieren sich primär für den Markt, die Absatzchancen und die Erfolgspotentiale. Sie versäumen es, die Risiken parallel zu beurteilen und in einen angemessenen Zusammenhang mit den Entwicklungen zu stellen.
Massnahmenvorschläge zur Verringerung von Risiken werden als zu kostspielig oder zu aufwändig nicht oder nur unvollständig umgesetzt.
Risk Management läuft unter „tun wir auch“ ist aber nicht als Pendant zum Erfolgsmanagement anerkannt.

Oftmals ist jedoch der Hauptgrund psychologisch motiviert. Viele denken, Risk Management sei kompliziert, könne nur mit einer (meist teuren) Software und dem Engagement von teuren Beratern betrieben werden. Oder man traut sich den Einstieg ganz einfach nicht zu.

Machen Sie einen Versuch, Sie bestellen dazu 3-4 Personen aus Ihrem Unternehmen und investieren vielleicht 2 Stunden Zeit. In einem Brainstorming zählen Sie – wahllos oder strukturiert nach Unternehmensbereichen – mögliche Risiken auf. Das Resultat wird Sie erstaunen: Es werden 20, 30, 40 oder mehr Risiken sein. Anschliessend schätzen Sie deren finanzielle Auswirkungen (brutto, also ohne entsprechende Massnahmen zur Verhinderung oder Verminderung zu definieren) und die Eintretenswahrscheinlichkeit. Mittels einer sog. Risk-Map (s. Abbildung) erkennen Sie in der Folge die Risikolage Ihres Unternehmens auf einfachste Weise.