Risiken werden in den meisten Unternehmen im Rahmen von Workshops identifiziert, beschrieben und bewertet. Ein wichtiger Aspekt hierbei ist eine aussagekräftige Risikobeschreibung, dient sie doch als Fundament für eine korrekte Bewertung der Risiken.
Doch so einfach ist es nicht, ein Risiko korrekt und genau zu beschreiben. In vielen Fällen liefert die Risikoidentifikation nur eine Liste von Stichwörtern, die es gilt, in einem zweiten Schritt auszuformulieren.
Kriterien der Risikobeschreibung
Eine Risikobeschreibung muss dabei folgenden Kriterien genügen:
- Sie muss so eindeutig ausfallen, dass das Risiko allen Beteiligten des Risikomanagementprozesses verständlich ist.
- Sie muss auch für unbeteiligte Dritte, z. B. den Wirtschaftsprüfer, eindeutig und verständlich sein.
- Sie enthält immer die Beschreibung des Risikos selbst, die Beschreibung der Ursache(n) und der Auswirkung(en).
- Das Risiko muss einen Bezug zu den Zielen des Unternehmens / des Bereichs haben.
Was versteht man unter den Begriffen Risikoursache, Risiko und Auswirkung?
Unter Ursachen eines Risikos werden Fakten, real existierende Probleme oder Prozesse verstanden, die heute schon nicht wie geplant ablaufen.
Ein Risiko hingegen verfügt über eine Unsicherheit. Entweder hinsichtlich des Eintritts – d.h. es ist aktuell nicht klar, ob das Risiko tatsächlich eintritt – oder hinsichtlich der weiteren Entwicklung in der Zukunft.
Die Auswirkung des Risikos bringt ein Unternehmens-/Bereichsziel in Gefahr. Ist dieser Zielbezug nicht gegeben, besteht für das Unternehmen kein Risiko. Es können auch mehrere Ziele betroffen sein.
Zudem sollte die Risikobeschreibung, soweit vorhanden, auch Interdependenzen zu anderen Risiken aufzeigen.
Ohne Ziele keine Risiken
Risiken zu identifizieren und zu beschreiben bedingt im Vorfeld eine Definition der Ziele des Unternehmens. Nur Ereignisse, die die Ziele eines Unternehmens beeinflussen sind auch wichtig für das Unternehmen.
Dies ist ein durchaus wichtiger Aspekt, der bei vielen Unternehmen unklar ist. Gerade im Mittelstand sind selbst finanzielle Ziele sehr wenig transparent und somit ein wesentliches Problem bei der Implementierung eines Risikomanagementsystems.
In Bezug auf das oben dargestellte Beispiel wird die Identifikation der Risiken innerhalb der IT-Abteilung deutlich vereinfacht, wenn zunächst die Ziele der IT-Abteilung klar formuliert werden. Konkret z.B. die Sicherstellung des reibungslosen Betriebes des implementierten CRM-Systems.
Dieser Aspekt, dass die Ziele im Rahmen der Risikoidentifikation eine so große Bedeutung haben spiegelt sich auch darin wieder, dass sehr viele Unternehmen Risiken mit der Balanced-Scorecard in Bezug bringen. D.h. jedes Risiko wird einem Ziel zugeordnet, welches mit dem Risiko in Zusammenhang steht und die Zielerreichung gefährden kann. Auch dies stellt somit eine sinnvolle Möglichkeit für die Kategorisierung von Risiken dar.
Erst eine konkrete Risikobeschreibung ermöglicht es, im nächsten Schritt eine gezielte Bewertung des Risikos vorzunehmen. Zudem haben Risikobeschreibung und –bewertung zum Ziel, dass das Risiko an alle interessierten Kreise besser kommuniziert werden kann.