Die identifizierten Risikofelder werden auf die operative Ebene übertragen und dort analysiert, bewertet und dokumentiert.
Auch hierbei sind die Kontrollmechanismen und Risiko-Steuerungsmaßnahmen in den Unternehmensprozessen und der Unternehmensstruktur zu beleuchten und auf deren Risiko-Wirkungsgrad zu untersuchen.

Dieses Vorgehen erfolgt systematisch entlang der unternehmerischen Wertschöpfungskette, den Geschäftsprozessen :

Beschaffung, Produktion, Vertrieb, Finanzen, Personal, Informations-Technologie, Stabs- und Verwaltungsabteilungen.

Bei Unternehmen mit überwiegender Projektstruktur empfiehlt es sich, die Vorgehensweise entlang der einzelnen Projektschritte zu definieren:
Marketing/Akquisition, Auftragsannahme, Bestellung, Produktion/Dienstleistung, Abnahme, Verwaltung (einschl. Finanzen, IT, PE).

Hierzu werden strukturierte Fragebögen (die sicherlich hinsichtlich des Detaillierungsgrades von Unternehmen zu Unternehmen variieren) in den einzelnen operativen Bereichen bzw. den Geschäftsprozessen verwendet.
Die Fragebögen werden idealerweise analog den bestehenden Unternehmensprozessen gegliedert. Dadurch werden Auswertungen (Risikoanalyse und Risikobewertung)erleichtert und ein geordneter Überblick der identifizierten Einzelrisiken erreicht.

In den Unternehmenseinheiten werden die Befragungen mit den im Prozess involvierten Personen und unter Einbeziehung der Verantwortlichen durchgeführt. Wichtig ist eine absolut offene Mitarbeiter-Kommunikation durch alle Hierarchieebenen. Gerade dadurch werden bisher nicht wahrgenommene Risiken in den Prozessen aufgedeckt und führen gegebenenfalls bereits im Vorfeld zu Lösungsansätzen

Hinweis:
Es muss jedem Mitarbeiter möglich sein, offen über individuell wahrgenommene Schwachstellen und damit verbundene Risiken zu berichten.

Fragebogen als Popup wenn der Link unten aktiviert wird
Als Beispiel hier der Bereich "Beschaffung":

Bei der Entwicklung der Fragebögen lassen sich zusätzlich zu den spezifischen Risiken wiederkehrende Risikokategorien als Aggregat der Einzelrisiken definieren.
Grafik Risikokategorien >>

Bezogen auf Ihre Unternehmensbereiche könnten sich beispielsweise die nachstehenden Risikokategorien als wiederkehrend herauskristallisieren:
Grafik wiederkehrende Risikokategorien >>

Ausgewählte Risikobereiche

...Unternehmensübergreifende Risiken

Zu Beginn der Analyse sollten Sie die unternehmensübergreifenden Risiken betrachten. Diese resultieren aus gesetzlichen und regulatorischen Auflagen (Aufsichtsbehörden), wie auch aus den allgemein im Geschäftsverkehr geschlossenen Verträgen (Rechtsrisiken bei AGB, Service Level Agreements).
Danach sind von ihnen Risiken der Organisationsstruktur einschließlich der zugehörigen Funktionen und Kompetenzen zu analysieren.

Dabei müssen sie immer das gesamte Unternehmen in seinem Organisationsaufbau und seinen Strukturen betrachten.

Ein wichtiger Punkt ist die Prüfung von Funktionsüberschneidungen, welche oft Potentiale zu Kosteneinsparungen und effizienterem Berichtswesen beinhalten.
Doppelfunktionen bilden sich vor allem in dezentral strukturierten Unternehmen. Diese sind auf Zweckmäßigkeit und Wirtschaftlichkeit zu prüfen, anzupassen und neu zu definieren. Hierzu eignen sich Organigramme und eindeutig formulierte (kurze) Richtlinien für

• Verantwortungsbereiche und Kompetenzen,
• Berichts- und Meldewesen,
• Kontrollfunktionen.

Das Ergebnis muss zu einer klaren, eindeutigen Regelung von überschneidungsfreien Zuständigkeiten und durchgängigen Abläufen in den einzelnen Unternehmensbereichen führen. Diese sind verbindlich zu dokumentieren.
Neben den "internen" Strukturen und Abläufen sind die externen Risikofelder in die Risikobetrachtung einzubeziehen.
Sie stehen in Zusammenhang mit örtlichen, gesetzlichen und versicherungsvertraglichen Auflagen.

• Brandschutz,
• Gebäudesicherheit,
• Unfallschutzauflagen,
• Umweltschutz,
• Produkthaftung,
• sowie arbeitsrechtliche Bestimmungen

... Prozessrisiken

Zur Identifizierung der Prozessrisiken eignet sich die "Risk Flow Analyse". Hierbei werden alle im Prozess eingebunden Mitarbeiter und Verantwortlichen anhand der zuvor erwähnten Fragebögen interviewt. Dadurch verschaffen sie sich schnell einen Überblick über mögliche Risiken in den Geschäftsabläufen und können fehlende Risikokontroll- und Steuerungsmaßnahmen erkennen.

Ausgangspunkt sind die Basisprozesse des Unternehmens. Ziel ist es einzelne Prozesse von ihrem Ursprung bis zu ihrem Ende durchgängig zu analysieren.

Hinweis:
In der Prozessanalyse ist die eingesetzte Informationstechnologie als reines "Werkzeug" zu betrachten. Jeder Prozess sollte unter Ausklammerung der IT Anwendungen gedanklich auf den reinen manuellen Ablauf zurückgeführt und analysiert werden.
Die im Prozess integrierten "Werkzeuge" (IT:Tools) sind in sich auf Risiken zu untersuchen und danach im Gesamtprozess zu beurteilen. Erkannte Schwachpunkte in den eingesetzten IT Applikationen, wie fehlende systemseitige Kontrollen, können durch zu implementierende nachgelagerte Kontrollmechanismen im Gesamtprozess das Risiko minimieren (Risk Flow).

An dieser Stelle muss ausdrücklich betont werden, dass es die Mitarbeiter und Verantwortlichen sind, welche das umfassendste Wissen über die Prozesse haben. Sie sind es auch, die den Risikomanagementprozess umzusetzen haben.
Häufig wird die Erfahrung gemacht, dass diese über Kenntnisse von "Schwachstellen" und evtl. "Lösungen" verfügen und möglicherweise bereits Vorschläge zur Risikominimierung unterbreitet haben - ohne dass diese umgesetzt wurden. Eine Ursache hierfür ist die oftmals unzureichende interne Kommunikation von "unten" nach "oben". Auch sie sollte einer kritischen Betrachtung unterzogen werden.

Basisprozesse führen zu Subprozessen, diese wiederum zu noch kleineren Prozessketten bis hin zur Tätigkeits-/Aufgabenbeschreibung.
Graphik Prozessketten >>

Nicht übersehen werden sollte, dass die Wirkung des Prozessrisikos um so höher einzuschätzen ist je früher es im Prozessverlauf entsteht. Es zeigt generell einen abnehmenden Wirkungsgrad je näher das Ende des Prozess erreicht wird.

Beachten Sie, dass bei der Risikoanalyse insgesamt der Blick auf den Gesamtprozess beibehalten wird. Bei der Risikoanalyse sind von Ihnen die implementierten Kontrollmechanismen (IT oder manuell) innerhalb der Prozesse zu bewerten. Ziel muss es sein, Fehlerquoten auszuschließen oder zumindest einzuschränken.

Ferner müssen Sie die Prozesse dahingehend untersuchen, ob sie den rechtlichen Rahmenbedingungen gerecht werden. Dieses gilt besonders bei unternehmensübergreifenden Abläufen, die Niederlassungen, ausgelagerte Einheiten oder Beteiligungen einbeziehen. Hier sei auf Beschränkungen beim Datenschutz, den "Zugriffsrechten" der im Prozess involvierten Mitarbeiter sowie den grenzüberschreitenden Datenaustausch zwischen einzelnen Ländern verwiesen.

Nicht zu unterschätzen ist die gegenseitige Abhängigkeit von Informationstechnologie (IT) und den Geschäftsprozessen.
Veränderungen im Prozess ziehen Veränderungen in der Informationstechnologie nach sich und umgekehrt. Risiken wirken in beide Richtungen. Daher sollten Sie die IT grundsätzlich entlang des Gesamtprozesses betrachten.

Sie sollten darauf achten, dass das Risiko des Gesamtprozesses (Risk Flow Analyse) identifiziert und bewertet wird. Dazu untersuchen Sie zwar auf der untersten Ebene die Prozessschritte, fassen aber sinnvoller Weise die Risikoerhebung in Risikokategorien zusammen.

Hinweis:
Ablaufprozesse werden durch den Einsatz von moderner Informationstechnologie augenscheinlich zwar vereinfacht und "erleichtert". Solche automatisierten Prozesse werden aber gleichzeitig wesentlich komplexer. Die daraus resultierenden zusätzlichen Risiken gilt es gesondert zu betrachten.

... Risiken der Informations-Technologie

Ein nicht zu unterschätzender Bestandteil der innerbetrieblichen Prozesse ist die eingesetzte Informations-Technologie (IT).

Die relevanten Risikofelder in diesem Bereich sind in drei Gruppen zu sehen:

• der Organisation,
• der Infrastruktur,
• und den Prozessen.

Die Risiken finden ihre Ausprägung

• im Verlust und/oder Manipulation von Daten,
• in der Nichtverfügbarkeit der Systeme und Anwendungen
• in der zu späten Bereitstellung wichtiger Daten
• in einer fehlenden künftigen Weiterentwicklungsfähigkeit der Systeme.

Im organisatorischen Bereich liegen die Risiken vor allem in

• nicht klar und eindeutig geregelten Zugriffsberechtigungen auf Systeme und Anwendungen mit der Gefahr des unberechtigten Zugriffs auf hoch sensible Daten oder deren Manipulation,
• unzureichender Ausrichtung der Anwendungen entlang wichtigen Geschäftsprozesse, oft in Form fehlender technischer Schnittstellen ("interfaces")
• fehlender Fachkompetenz der Mitarbeiter oder der Fachkompetenz an falscher Stelle, was häufig zu Verarbeitungsfehlern oder Systemabstürzen führen kann,
• personellen Risiken, weil technische Kompetenzen auf wenige Mitarbeiter oder Abteilungen konzentriert sind ("Schlüsselwissen"), was bei Ausfällen zu Engpässen oder Betriebsunterbrechungen führen kann.

Die Infrastruktur der IT bezieht sich auf die Hardware und alle physischen Sicherungsmaßnahmen der Systeme im Bereich der technischen Infrastruktur (Energieversorgung, Klima, Zutritt zum Rechenzentrum etc.).Diese müssen jederzeit stabil zur Verfügung stehen.
Risiken ergeben sich aus

• der Hardware, wenn diese aufgrund fehlender Neuinvestitionen nicht mehr dem neuesten Stand entspricht und damit nicht mehr weiterentwicklungsfähig ist,
• dem Einsatz nicht kompatibler Systeme verschiedener Hersteller,
• der limitierten Leistungsfähigkeit der Systeme, wenn die Verarbeitung des Datenmaterials an ihre Grenze stößt und es dadurch zu Behinderungen im Tagesgeschäft kommt,
• den fehlenden physischen Sicherungen der Server und Rechner, wenn diese nicht entsprechend gegen Feuer, Wassereinbruch und Temperaturschwankungen geschützt sind und der Zugang keinem geregelten Verfahren unterliegt,
• Ungesicherten Zugriffen von "außen" (Internetanbindungen).

Organisatorische und infrastrukturelle Risiken werden vielfach durch Risiken in den Prozessen verstärkt, wenn veraltete Softwareanwendungen oder "Insellösungen" genutzt werden.

• Notwendige Dateninformationen stehen oftmals nicht rechtzeitig zur Verfügung
• Altanwendungen können nicht mehr optimal angepasst werden,
• Schnittstellen (Interfaces) bergen die Gefahr Daten nicht korrekt zu übertragen.
• Unterschiedliche Systeme lassen sich oftmals nicht "verbinden" oder es ist nur mit einem enormen Kostenaufwand verbunden, der sich betriebswirtschaftlich nicht rechnet.

Hinweis:
Mit der kommunikationstechnischen Vernetzung ist ein schwer einschätzbares Risikopotenzial entstanden, insbesondere durch kriminellen Missbrauch Wie schützt man interne Firmennetzwerke vor unerwünschten Zugriffen aus dem Internet?
Auch wenn keine hundertprozentige Sicherheit gewährleistet werden kann, so bieten unternehmensübergreifende "Firewall"-Konzepte hochgradigen Schutz an.

Beachten Sie,

• alle eingesetzten Sicherheitsvorkehrungen aufeinander abgestimmt sind und miteinander "zusammenspielen",
• nur integrierte Sicherheitslösungen einen ganzheitlichen Schutz vor "Angriffen" von außen und innen bieten. Zu flankieren ist dieser technische Schutz mit einem auf das gesamte Unternehmen abgestimmten organisatorischen Sicherheitskonzept, welches alle Mitarbeiter aktiv einbezieht,
• die meisten Risiken und Schäden auf die Nachlässigkeit im Umgang mit der Informationstechnologie zurückzuführen sind.

... Finanzrisiken

Zu den Finanzrisiken zählen Ereignisse die direkte Auswirkungen auf die Vermögens-,Finanz- oder Ertragslage haben.

Vermögens- und Finanzrisiken können z.B. bei Zins- oder Währungsveränderungen der Finanzanlagen oder Verbindlichkeiten entstehen. Des Weiteren können z.B. Ausfallrisiken von Forderungen bestehen.

Auswirkungen auf die Ertragslage werden z.B. durch außerordentliche Abschreibungen oder Wertberichtigungen verursacht, die aufgrund einer Neubewertung der Vermögensgegenstände notwendig sind.

Die verschiedenen Zahlungsströme und -termine können zu einem Liquiditätsrisiko führen, d.h. zur Zahlungsunfähigkeit zu einem bestimmten Zeitpunkt oder innerhalb eines bestimmten Zeitraumes, wenn Sie nicht aktiv gesteuert werden. Des Weiteren sind frühzeitig die Möglichkeiten zu klären, ob Liquiditätsengpässe für den festgestellten Zeitraum durch Fremdfinanzierung (Banken oder Kapitalmarkt) oder Eigenmittelfinanzierung (Gesellschafter, Anteilseigner) zu decken sind.
Diese finanziellen Risiken haben je nach Ausprägung einen besonderen Stellenwert, da im Falle von Illiquidität oder Überschuldung eine Insolvenz vorliegt.

Allerdings ist auch der Finanzbereich unter operativen Risikogesichtspunkten zu betrachten. Das nachstehende Schaubild gibt Ihnen einen Überblick, anzuwendender Risikokategorien. Entsprechend darauf aufbauend können die erforderlichen Fragebögen entwickelt werden.
Grafik Finanzrisiken >>

Risikoanalyse
Risikoursachen und -auswirkungen sind anhand der identifizierten Einzelrisiken in ihrem gesamten Ausmaß für das Unternehmen zu ermitteln. Dies geschieht entweder durch objektive Einstufungen oder auf Basis von Schätzungen. Hierbei sollte auf Erfahrungswerte der Vergangenheit zurückgegriffen, daraus die Wahrscheinlichkeit eines künftigen Eintritts ermittelt und in einer Skala erfasst und dokumentiert werden.
Beispielsweise:

höchst wahrscheinlich 6 %
sehr wahrscheinlich 5 %
wahrscheinlich 4 %
möglich 3 %
unwahrscheinlich 2 %
fast unmöglich 1 %

Risikobewertung
Bei der Risikobewertung sollten Sie sinnvoller weise die identifizierten Einzelrisiken zu Risikokategorien aggregieren und deren Risikopotenzial für die einzelnen Unternehmensbereiche und anschließend für das gesamte Unternehmen ermitteln.

... Operative Risiken

Hinweis:
Operative Risiken sind nur schwer monetär zu messen.
Daher ist es ratsam die Bewertung zunächst anhand von Erfahrungswerten vorzunehmen und darauf aufbauend zuverlässige Meßmethoden zu entwickeln.
Sie erreichen eine relative Objektivität in der Bewertung, wenn Sie mit Verantwortlichen ihres Unternehmens das Ausmaß der entstandenen Schäden und Auswirkungen gemeinsam ermitteln und schätzen (vergangene Produktionsstillstandszeiten, Prozessunterbrechungen, Systemausfallzeiten, Ausschussquoten, Fehlerquoten, eingetretene Versicherungsfälle etc). Diese Schätzungen koppeln Sie zusätzlich an finanzielle Parameter, wie z.B. Verluste im Finanzbereich, durch Produktionsausfall, Konventionalstrafen, Verlust von Absatzmärkten / Kundengruppen und die daraus resultierenden Ausfälle.
Anschließend ist eine Zuordnung vorzunehmen.
Beispielsweise:
- kritisch 6 über €
- sehr hoch 5 bis €
- hoch 4 bis €
- mittel 3 bis €
- gering 2 bis €
- unbedeutend 1 bis €

Die Skalierung wurde bewusst nach dem Schulnotenprinzip gewählt:

• ·Schulnoten sind aus eigenen Erfahrungen hinreichend bekannt und erleichtern eine Zuordnung
• eine "gerade" Skalierung zwingt zu einer definitiven Entscheidung und lässt im Gegensatz zu einer "ungeraden" Skalierung eine "Mittelpunktbildung" nicht zu.
• Eine "gerade" Skalierung ist darüber hinaus geeignet Risiken in zwei weitere Gruppen zu unterteilen:
  1-3 = gerade noch akzeptabel (bis 3).
  4-6 = Handlungsbedarf ist angebracht (ab 4. Stufe).

Verfeinert wird dies durch einen bereichsbezogenen Ansatz. Hier wird in jedem Unternehmensbereich separat der Basis-Kennzahlen-Ansatz angewandt und dabei das operative Risiko des jeweiligen Bereiches im Verhältnis zum Gesamtunternehmen erfasst. Die Addition aller Bereiche ergibt dann die gesamt zu kalkulierende geldadäquate Größe der operativen Risiken.

Eine andere Möglichkeit das operative Risiko in absoluten Zahlen darzustellen kann über den Risikominderungskosten-Ansatz erfolgen, der die direkten Kosten der Risikominderung erfasst. Als Grundlage sind die im Risikohandbuch dokumentierten Maßnahmen heranzuziehen.

Grundsätzlich ist zu empfehlen bei der Implementierung eines Risikomanagementsystems Risiken geldadäquat zu erfassen. Dadurch kann zukünftig die Risikoeintrittswahrscheinlichkeit und deren Schadenshöhe mittels eines absoluten Risikomess-Ansatz mathematisch ermitteln werden. Dabei ist es unumgänglich, eingetretene Schadensfälle als Datengrundlage zu dokumentieren.

Risikosteuerungsmaßnahmen

Am Anfang steht die Frage: Wie risikobereit will sich das Unternehmen aufstellen? Hiervon hängt die Entscheidung über Risikobegrenzungs- und Risikosteuerungsmaßnahmen ab und daraus resultierend die Abwägung von Chancen und Risiken der Maßnahmen. Ziel ist es durch ein gesundes Verhältnis von Ertrag und Verlust (Risiko) die Risikolage des Unternehmens positiv zu gestalten.
Es gilt abzuwägen zwischen Risiken ...
- vermeiden,
- vermindern,
- verlagern (abwälzen),
- selbst tragen.

Risiken vermeiden
Jede unternehmerische Tätigkeit ist in ihrem Ursprung risikoträchtig. Der Begriff "vermeiden" sollte somit nicht im engeren Sinne ausgelegt werden, zumal "vermeiden" gleichzeitig die unternehmerischen Chancen ausschließt.
Risikovermeidung ist daher unter strategischen Aspekten zu sehen, wie beispielsweise Ablehnung eines Großauftrages wegen der hohen Abhängigkeit oder Einstellung eines Produktes aufgrund erhöhter Produkthaftung.

Risiken vermindern
Die Risikoverminderung zielt darauf ab, Risiken in ihren Ursprüngen zu begegnen. Mittels Einführung von "Frühwarnindikatoren" können bestehende und drohende Risiken rechtzeitig erkannt und begegnet werden. Risikoverminderung wird vornehmlich durch
- personelle,
- technische und
- organisatorische Maßnahmen
erreicht.

Risiken verlagern
Im Vordergrund steht die Überlegung in wie weit das Risiko auf Andere - Dritte - zu übertragen ist.
Dieses kann erfolgen durch
- Haftungsvereinbarungen
- Haftungsausschluss in den AGB
- Gewährleistungsregelungen
- Sicherheitsbestandsverträge
- Eigentumsvorbehalt
- Konventionalstrafen
- Leasing
- Aufkauf von Forderungen (Factoring)
- Outsourcing
- Versicherungen

Risiken selber tragen
Ausschlaggebend für den Risikoselbstbehalt ist die "Risikotragfähigkeit" eines Unternehmens, d.h. mittels entsprechender Deckungsmasse, Risiken selbst zu übernehmen ohne dabei das Unternehmen in eine bestandsgefährdende Situation zu begeben. Das normale unternehmerische Risikopotenzial muss durch die normale Gewinnspanne abgedeckt sein, andernfalls würde sich bereits von vorn herein eine existenzgefährdende Entwicklung abzeichnen.
Das über dem Normalmaß liegende Risikopotenzial ist durch Bildung von Rückstellungen und stillen Reserven abzusichern. Deren Höhe richtet sich nach dem vermutlich in Anspruch zu nehmenden Betrag.

Risiko-Controlling
Die Effizienz und der Wirkungsgrad der getroffenen Risikobegrenzungs-/-steuerungsmaßnahmen sollte im Rahmen eines Risiko Controlling laufend überprüft werden und dabei Risikoveränderungen aufzeigen, die wiederum zu Anpassungen der Steuerungsmaßnahmen führen.

Risikohandbuch
Die in den Unternehmensbereichen identifizierten Risiken sind in einem Risikohandbuch zu erfassen und die Ergebnisse der Analyse, Bewertung und der Risikobegrenzungs- und Risikosteuerungsmaßnahmen zu dokumentieren.
Grafik Risikohandbuch >>

Diese Seite ist Teil von www.procora.de