Die Bedeutung des Risk Managements für KMU

Die Verbreitung von Risk-Management-Ansätzen divergiert in der Industrie stark. Viele kleine und mittlere Industrieunternehmen in der Schweiz wähnen sich in trügerischer Sicherheit. Sie erfüllen die gesetzlichen und branchenspezifischen Grundlagen zum Thema Risikomanagement, vergessen aber, dass ein umfassendes und unternehmensweites Risikomanagement nicht nur die Sicherung der Unternehmensziele garantiert, sondern damit auch die Erhöhung des Unternehmenswertes möglich wird. Eine Master-Thesis an der Fachhochschule St. Gallen kommt zum Schluss, dass der Nutzen eines adäquaten Risikomanagements in der Praxis vielfach unterschätzt wird und lediglich dazu dient, die gesetzlichen Anforderungen zu erfüllen. 

Herausforderungen

Das wirtschaftliche Umfeld in der Schweiz befindet sich gerade in den letzten Monaten wieder sehr stark im Wandel. Mit dem Wegfall der Eurountergrenze oder der Annahme der Masseneinwanderungsinitiative wurde vielen Industrieunternehmen in der Schweiz wieder einmal vor Augen geführt, dass sie sich in einem sehr schnelllebigen und ungewissen Umfeld bewegen (Romeike, 2003, S. 43). Neben den bereits erwähnten politisch motivierten Herausforderungen gibt es für die Industrieunternehmen auch andere, branchenspezifischere Schwierigkeiten. So entstehen beispielsweise bei grenzüberschreitenden Aktivitäten teilweise grosse Länderrisiken. Die Verkürzung der Produktlebenszyklen und die Individualisierung der Nachfrage können steigende Investitionen in Forschung und Entwicklung notwendig machen. Eine zunehmende Komplexität von Produktionssystemen kann einen negativen Einfluss auf die Störanfälligkeit haben (Branchen-Report-Deutschland 2012, S. 3).

Dies sind nur einige wenige Entwicklungen, mit denen sich Industrieunternehmen in den letzten Jahren verstärkt auseinandersetzen müssen. Der Gesetzgeber hat die Problematik erkannt und bereits vor sieben Jahren darauf reagiert. Seit 2008 ist Risikomanagement deshalb für viele Schweizer Unternehmen zur gesetzlichen Pflicht geworden. (vgl. dazu auch Brünger, 2009, S. 6; Boutellier, Montagne & Barodte, 2007, S. 43) Das schweizerische Obligationenrecht gibt nur knappe Vorschriften und Vorgaben zum Thema Risk Management. Es schreibt im neuen Rechnungslegungsrecht nur vor, dass im Lagebericht Ausführungen zum Risikomanagement gemacht werden müssen. Der Lagebericht muss nur von KMU erstellt werden, die ordentlich revidiert werden. Ein systematisches Risikomanagement wird nämlich gemäss mehreren Studien vielfach nicht betrieben. So hat beispielsweise eine österreichische Studie bei mittelständischen Unternehmen ergeben, dass Risikomanagement, wenn überhaupt, in den Bereichen Rechnungswesen bzw. Finanzen und Controlling betrieben wird. (Thuermann & Ebner, 2012, S. 5)

Normen und Rahmenkonzepte

Es scheint, als fehlen bei vielen Unternehmen die Kenntnisse der verschiedenen branchenübergreifenden Risikomana­gement-Normen und Rahmenkonzepte. Diese wurden von grossen Organisationen wie ISO speziell entwickelt und sollen den Unternehmen bei der Implementierung eines adäquaten Risikomanagements einen Leitfaden darstellen. In der Theorie sind diverse Konzepte zu finden, die für die Industriebranche anwendbar sind. Die bekanntesten Normen und Standards sind hierbei der ISO Guide 73 Risk Management, der «COSO-Würfel», der ONR 49000 des österreichischen Normierungsinstituts oder auch die ISO 31 000 Guideline on Principles and Implementation of Risk Management. Für die Industrie werden in der Theorie vor allem die beiden zuletzt erwähnten Standards empfohlen. Dies deshalb, da sie das Risikomanagement in das Managementsystem der Unternehmen einfliessen lassen (Brühwiler, 2007, S. 68 – 81).

Auch im Risikomanagement zum zen­tralen Risikomanagement-Prozess in der Industrie gibt es viele theoretische Ansätze und Implementierungshilfen. Dabei differieren die Prozessphasen für die Industriebranche je nach Bedürfnissen in den Detaillierungsgraden. Meist lauten die groben Teilschritte jedoch Ri­siko­identifi­kation, Risikobewertung, Risikosteuerung und Risikokontrolle. (Fiege 2006. S. 95) Für den ersten Prozessschritt empfehlen sich der Aufbau eines geeigneten Frühwarnsystems und eine ganzheitliche Sichtweise auf verschiedene potenzielle Risikoquellen. Ein Frühwarnsystem soll den Unternehmen erlauben, vor dem Eintreten eines Risikos geeignete Massnahmen ergreifen zu können. In diesem Prozessschritt sollte es das Ziel sein, «den Fortbestand der Gesellschaft gefährdende Entwicklungen» frühzeitig zu erkennen. Eine vollständige Erfassung der Risikoquellen, Schadensursachen und Störpotenziale sollte angestrebt werden. Ressortdenken ist hierbei nicht angebracht (Romeike, 2003, S. 147).

Dieser erste Teilschritt ist gemäss vielen Autoren der wichtigste Prozessschritt im Risikomanagementprozess. Er sollte deshalb fortlaufend durchlaufen werden und mit verschiedenen Identifikationsmethoden wie Interviews, Fragekatalogen, Fehlermöglichkeits- sowie Einflussanalysen oder auch Brainstormings durchgeführt werden. Als Ergebnis der Risikoidentifikation sollten Risikokategorien in einem sogenannten Risikoinventar dargestellt werden. Dieses kann als übergeordnete Kategorien «Finanzrisiken» und «operationelle Risiken» enthalten. Untergeordnet könnten die «operationellen Risiken» beispielsweise in «operative» (Organisatorische, HR-Risiken, Prozessrisiken etc.) und «strategische Risiken» im Detaillierungsgrad verfeinert werden (Romeike 2003, S. 179). Es sollte aber für jedes Unternehmen eine individualisierte Lösung bzw. Auflistung angestrebt werden.

Der nachfolgende Prozessschritt der Ri­sikobewertung sollte im Minimum die Bewertung der Risiken nach Eintretens­wahrscheinlichkeit und Tragweite bein­hal­ten. Dies kann entweder mit qualitativen oder quantitativen Methoden gemacht werden. Als qualitative Methoden können bspw. Interviews oder Workshops genannt werden. Quantitative Methoden sind gemäss Theorie bei ausreichender Datenqualität vorzuziehen. Solche könnten bspw. Sensitivitäts- oder Szenarioanalysen sein. Sind die Risiken bewertet, werden sie in ein Risikoportfolio beziehungsweise eine Risikomatrix eingetragen. Abschliessend müssen die nicht tolerierbaren Risiken mit den geeigneten Massnahmen gesteuert, fortlaufend kontrolliert und bewältigt werden. Es bleibt festzuhalten, dass diese Ausführungen lediglich ein grober Abriss über die sehr umfangreich vorhandene Literatur zum Thema Risikomanagement in der Industrie darstellt. (Brünger, 2009, S. 121)

Viel Theorie, wenig Anwendung

Doch was von der Theorie wenden Industrieunternehmen kleiner und mittlerer Grösse in der Praxis auch an? Die in der Master Thesis befragten Unternehmen stammen aus den verschiedensten Bereichen der Industrie (Kunststoffproduktion, Maschinenbau, Stahlverarbeitung, Getränkeproduktion etc.). Die Interviewpartner waren dabei durchgehend Mitglieder der Geschäftsleitung und somit verantwortlich für die Thematik. Als Erstes ist aufgefallen, dass nur wenige Betriebe einen ihrer Meinung nach direkt messbaren Nutzen aus dem Risikomanagement ziehen. Darum verwundert es kaum, dass das Management der Risiken für viele Betriebe eher als ein Muss angesehen wird.

Einige Unternehmen gehen gar noch weiter und geben als einziges Ziel des Ri­sikomanagements an, die gesetzlichen Grundlagen gemäss OR einhalten zu wollen. Hinzu kommt, dass einige Unternehmen das Gesetz gar nicht kannten oder angaben, dass die Revision des OR nur geringen Einfluss auf ihr Risikomanagement hatte, da ihnen Zeit und Geld dafür fehlen. Unternehmen kleiner oder mittlerer Grösse beschränken sich beim Risikomanagement meist auf das Erheben eines rudimentären Risikoinventars, die darauffolgende Bewertung und die Einordnung in eine Risikomatrix. Von Aktivitäten zur Steuerung oder gar einer Kontrolle der identifizierten Risiken war vielfach keine Rede.

Angesprochen auf die Risikomanagement-Standards bzw. Normen gab lediglich ein Unternehmen an, mit einem solchen zu arbeiten. Diese seien schlicht zu kompliziert anzuwenden oder zu abstrakt auf eine Branche gerichtet. Da kein branchenweit verbreiteter Leitfaden vorhanden ist, führt dies zwangsläufig zu weiteren Unklarheiten. So treten auch bei der Organisation des Risikomanagements oft  Schwächen zutage. Vielfach wird das Risikomanagement in der Praxis in einem Top-Down-Ansatz bearbeitet. Dies impliziert einerseits, dass sich hauptsächlich die Geschäftsleitung damit beschäftigt und andererseits wichtige Inputs fehlen können, da nur Bottom-up in Erfahrung gebracht werden können. Zudem denken viele Unternehmen, eine intuitive und spontane Erfassung der Risiken reiche für ihren Betrieb aus.

Für den Prozessschritt der Risikobewertung wendet von den befragten Unternehmen kein einziges wahrscheinlichkeitstheoretisch basierte Methoden an, um ihre Risiken zu bewerten. Viel eher schätzen die verantwortlichen Personen subjektiv die Tragweite sowie die Eintretenswahrscheinlichkeit. Dabei können auch Erfahrungswerte aus vergangenen Erhebungsperioden zur Anwendung kommen. Beide Methoden sind jedoch objektiv betrachtet im Genauigkeitsgrad als mässig zu bewerten.

Hinzu kommt, dass viele Unternehmen das Risikomanagement mit der Bewertung der Risiken als erledigt erachten. Nur wenige Betriebe geben an, über eine über das ganze Unternehmen gültige Risiko-bewältigungsstrategie zu verfügen. Wenn möglich, wünschen sich die meisten Befragten eine Risikovermeidungsstrategie. Im Widerspruch dazu verfügen aber weniger als die Hälfte der Unternehmen über ein Hedging der Währungsrisiken, was sich gerade in der jüngsten Vergangenheit katastrophal auf die Finanzen ausgewirkt hat.

Die abschliessenden Fragen in den Interviews beschäftigten sich mit möglichen Zukunftstrends im Risikomanagement. Viele Betriebe geben dabei als Antwort, dass sie mit steigenden IT-Risiken rechnen und im Zuge der zunehmenden Vernetzung und Abhängigkeiten davon ausgehen, dass das Risikomanagement an Wichtigkeit gewinnen wird. Man könne nur so auf möglichst viele Eventualitäten aufmerksam werden.

Fazit

Als Fazit bleibt, dass sich viele Unternehmen der Wichtigkeit eines systematischen Risikomanagements noch immer nicht bewusst sind, wodurch sie der Thematik auch nur wenig Aufmerksamkeit widmen. Aus der Vielzahl möglicher theoretischer Implementierungsformen ist für die Praxis kein eindeutiger Rahmen entstanden, wonach die Betriebe das Risikomanagement adäquat einführen könnten. Dies wiederum ergibt ein unscharfes Vorgehen. Die schwammigen Massnahmen des Gesetzgebers verleiten die Unternehmen lediglich dazu, Risiken grob zu erfassen und in einer Matrix einzuordnen. Die wichtigen Schritte der Massnahmenergreifung und Massnahmenkontrolle werden vom Gesetz nicht behandelt und somit in der Praxis vielfach vernachlässigt oder ganz weggelassen. Die Einsicht kommt dann oft zu spät. Die teilweise kompliziert anzuwendenden Erfassungs- und Bewertungsmethoden können sich aufgrund verschiedener Faktoren wie bspw. Ressourcenknappheit und Kostenfragen nicht in der Praxis durchsetzen.

Trotz dieser Situation gibt es aber viele Unternehmen, die sich eine Optimierung ihrer Risikokosten wünschen und auch bereit wären, ein systematisches Risikomanagement einzuführen. Dies aber nur unter der Prämisse, dass allgemeingültige sowie praxisnahe Erfolgsfaktoren und aus ihnen abgeleitete Leitfäden bzw. Hilfsmittel zur Verfügung stehen. Die heute vorhandenen Standards und Leitfäden sind dazu bedingt praxistauglich und vielfach zu kompliziert.

Schlussfolgerung

Es scheint in der Praxis Bedarf für ein geeignetes Risikomanagement-Modell zu geben. Die vielfach zu abstrakte Theorie lässt sich aber für die meisten kleineren und mittleren Unternehmen nicht anwenden. Es stellt sich daher die Frage, welche Erfolgsfaktoren insbesondere für KMU für die zielführende Implementation eines Risk-Management-Ansatzes zu berücksichtigen sind.

Als Erstes sollten die Unternehmen da-rauf achten, dass das Verständnis für die Wichtigkeit eines guten Risikomanagements unbedingt im eigenen Unternehmen verankert sein muss. Dies ist eine eindeutige Managementaufgabe. Es muss von oben her gelebt werden. Das wiederum erfordert eine gute Kommunikation im Betrieb. Als Zweites sollte das Risikomanagement praxisorientiert und vor allem einfach implementiert werden können. Ist ein Betrieb etwas grösser, bringt eine homogene Organisation dabei gros-se Vorteile und spart Ressourcen.

Für die Industrie empfiehlt sich gerade aufgrund der knappen Ressourcen eine Massnahmenorientierung für das Risikomanagement. Dabei sollten sich die Betriebe für ihre Analysen die Unterstützung vom Qualitätsmanagement, wenn vorhanden, vom Internen Kontrollsystem und natürlich vom Controlling ableiten. Das mühsame und kostspielige Einführen einer Risikomanagementinformationssoftware kann vielfach weggelassen werden, da jährliche physische Risikomanagement-Reporte als Basis für die kommenden Jahre ausreichen.

Am allerwichtigsten ist aber, dass die Unternehmen erkennen, dass das Thema Risikomanagement aufgrund steigender Komplexität in verschiedensten Bereichen an Wichtigkeit gewinnen wird und daher dringend umgesetzt werden sollte. Die Theorie zum Risk Management können Ansätze und Ansatzpunkte sein, um ein eigenes, unternehmensspezifisches Modell für den Umgang mit Risiken zu entwickeln. Die Risiken werden bleiben und der unternehmerisch verantwortungsvolle Umgang ein wichtiger Erfolgsfaktor für Schweizer KMU im Sinne einer nachhaltigen Unternehmensführung sein.