Erst die Umsetzung von Maßnahmen zur Risikobewältigung führt dazu, dass Risiken das eigene Unternehmen in einem geringeren Ausmaß bedrohen als vorher. Welche Möglichkeiten hat ein Unternehmen und welche Maßnahmen sind sinnvoll?
Die Norm ISO 14971 für Medizinprodukte definiert Maßnahmen als „zielgerichtete Tätigkeiten bzw. Prozessschritte, die dazu dienen, identifizierte Risiken zu beherrschen, d. h. diese zu vermeiden bzw. zu reduzieren. Für jede identifizierte Gefährdungsursache ist mindestens eine Maßnahme festzulegen, umzusetzen und ihre Wirksamkeit zu überwachen.“
Grundsätzlich ist die Risikobewältigung abhängig von der durch die Unternehmensführung festgelegten Risikostrategie und der Risikobewertung. Unternehmen, die eher risikoavers sind, werden sicherlich frühzeitig versuchen, Bewältigungsmaßnahmen für die unternehmerischen Risiken zu etablieren, während Unternehmen, die risikofreudig sind, Anteile der Eigenmittel in risikobehaftete Bereiche investieren.
Generell können Risiken vermieden, vermindert, diversifiziert, verlagert, geteilt oder akzeptiert bzw. selbst vom Unternehmen getragen werden. Dieser Maßnahmenkatalog wird unter Abwägung der Kosten-/Nutzengesichtspunkte differenziert angewendet.
Entscheidet sich ein Unternehmen, bestimmte Risiken zu vermeiden, so muss unbedingt berücksichtigt werden, dass dann auch die damit verbundenen Chancen verloren gehen. Ein völlig risikofreies Handeln für Unternehmen gibt es nicht, denn jedes unternehmerische Handeln ist mit Risiken behaftet. Die Vermeidungsstrategie ist daher nur dann sinnvoll, wenn es sich um Risiken mit einer hohen Eintrittswahrscheinlichkeit und einer hohen Auswirkung handelt, für die keine geeigneten Maßnahmen zur Reduktion des Gefahrenpotentials gefunden werden können.
Maßnahmen zur Risikoverminderung reduzieren entweder die Eintrittswahrscheinlichkeit und / oder die Auswirkung des Risikos.
Sehr effektiv sind Maßnahmen, die auf die Ursache des Risikos und mithin auf die Eintrittswahrscheinlichkeit abzielen. Diese Maßnahmen sind in der Regel mit höheren Kosten verbunden als Maßnahmen, die die Auswirkung des Risikos vermindern. Da sie aber i.d.R. langfristig angelegt sind und meist zu Veränderungen im Prozessablauf führen, helfen sie, das Risiko auch in der Zukunft zu reduzieren.
Maßnahmen, die hingegen auf die Auswirkung des Risikos abzielen sind meist sehr schnell zu implementieren und kostengünstiger. Ihr Effekt ist jedoch häufig geringer und kurzfristiger Art.
Zu unterscheiden sind Maßnahmen technischer, organisatorischer und personeller Art. Zu den technischen Maßnahmen gehören z.B. die Installation von Löschanlagen, Firewalls, Notfallschaltern, Alarmanlagen. Sie sollen dazu führen, dass technische Anlagen und Maschinen möglichst sicher sind.
Organisatorische Maßnahmen führen zu einer Prozess- und Ablaufoptimierung und können z.B. die Einführung von Qualitäts- und Risikomanagement beinhalten.
Bewältigungsmaßnahmen personeller Art haben zum Ziel, mögliche Fehlerquellen im Verhalten der Mitarbeiter zu eliminieren. Hierzu zählen die Optimierung der Arbeitsumgebung, Weiterbildungsmaßnahmen, eine reibungslose Kommunikation innerhalb und außerhalb des Unternehmens, eine adäquate quantitative und qualitative Arbeitsbelastung sowie ein positives Arbeitsklima.
Risikodiversifikation als weiteres Instrument der aktiven Risikobewältigung bezeichnet den Versuch, Risiken regional, objektbezogen oder personenbezogen zu streuen, mit dem Ziel, das Schadensausmaß der diversifizierten Risiken zu vermindern. Eine regionale Diversifikation ist beispielsweise durch das Bedienen unterschiedlicher Ländermärkte möglich, objektbezogene Diversifikation lässt sich z.B. durch Produktdiversifikation erreichen, personenbezogene Diversifikation soll insbesondere das Risiko des Ausfalls von Schlüsselpersonen reduzieren. Risikodiversifikation bietet insbesondere Großunternehmen die Möglichkeit, Risiken zu vermindern, sofern sie nicht zu stark miteinander korrelieren.
Risikoverlagerung oder Risikoteilung findet statt, wenn Risiken auf Geschäftspartner oder Versicherungsgesellschaften übertragen werden. Zu den Versicherungsinstrumenten zählen die Sach-, Haftpflicht- oder Personenversicherungen. Die Prämien werden von den Versicherern geschätzt und stellen für das Unternehmen fixe Kosten im Jahresbudget dar. Die Versicherung kann aber nur in denjenigen Risikobereichen einen Beitrag zur Risikobewältigung leisten, die durch „Schadensereignisse“ entstanden sind. Alle Geschäftsrisiken, die eine Folge von ungünstigen äußeren Umständen oder Fehlentwicklungen und Fehlentscheidungen sind, werden i.d.R. als nicht versicherbar eingestuft. Dies betrifft besonders das Risikomanagement im Zusammenhang mit der strategischen und operationellen Unternehmensentwicklung.
Geschäftspartner können bspw. durch „Just-in-Time“ Produktion und Auslieferung in die Risikoverlagerung integriert werden.
Die letzte Form der Risikobewältigung ist die Risikoakzeptanz bzw. trägt das Unternehmen – abhängig von seiner Risikotragfähigkeit – die verbleibenden Risiken selbst. Die folgenden drei Arten von Risiken verbleiben beim Unternehmen:
- Risiken, die man nicht entdeckt und nicht identifiziert hat.
- Risiken, die zwar nach Verminderung von Wahrscheinlichkeit und Auswirkung geringer geworden sind, aber die Ziele der Organisation immer noch erheblich beeinträchtigen.
- Restrisiken, die zwar noch über der Toleranzgrenze liegen, aber aus technischen, wirtschaftlichen und praktischen Gründen nicht reduziert werden können.
Abgeleitet aus der Risikostrategie und der Bewertungslogik wird von der Unternehmensleitung meistens eine generelle Risikohandhabung festgelegt. Diese kann unter Verwendung der Risikomatrix bspw. wie folgt aussehen:
- Die Unternehmensführung wird durch den Risikomanager regelmäßig über alle Risiken, die sich im roten Bereich der Risikomatrix befinden bzw. in den roten Bereich eintreten unterrichtet. Für diese Risiken müssen zwingend auch Bewältigungsmaßnahmen definiert werden.
- Die sich im gelben Bereich befindlichen Risiken sind nicht zwingend an die Unternehmensführung zu berichten, aber ebenfalls im Rahmen des Risikomanagements zu verfolgen. Die Verantwortung hierfür trägt der Risikoverantwortliche.
- Zunächst genießen kurzfristig drohende Risiken mit Handlungsbedarf höchste Priorität. Ansonsten orientiert sich die Priorität (d.h. der Rang bei der Risikoverfolgung) ebenfalls an der Risikomatrix, die Risikoverfolgung erfolgt hier von rechts oben nach links unten.
- Risiken, die im Rahmen des Risikomanagements nicht verfolgt werden, sind in der Eigenverantwortung der zuständigen Mitarbeiter/-innen zu beobachten.
Wichtig für die Definition und eine erfolgreiche Umsetzung von Maßnahmen sind folgende Bestandteile:
- Maßnahmenverantwortlicher
-> Es wird konkret eine Person benannt, die sich um die Maßnahme kümmert. - Beschreibung
-> Maßnahmen müssen kurz beschrieben und ihre Schritte dokumentiert werden. - Termin
-> Der Termin gibt an, bis wann die Maßnahme abgearbeitet sein soll oder überprüft werden muss. Maßnahmen ohne Termin werden i.d.R. nicht umgesetzt.
Zudem sollten Maßnahmen hinsichtlich ihrer Auswirkung auf das Risiko bewertet werden. Sie können – wie oben bereits beschrieben – entweder die Eintrittswahrscheinlichkeit und / oder die Schadenshöhe des Risikos beeinflussen.
Den richtigen Maßnahmenkatalog zur Bewältigung der jeweiligen Risikosituation zu finden ist nicht immer einfach. Klar ist jedoch: jedes Unternehmen muss seinen eigenen, individuellen Weg gehen, der ganz klar von dessen Risikoappetit und den zur Verfügung stehenden Ressourcen abhängig ist.
Weitere interessante Informationen zum Thema Risikomanagement und Risikobewältigung finden Sie hier.