Ein Risiko wird für ein Unternehmen immer dann relevant, wenn es einen negativen Einfluss auf dessen Zielerreichung hat. Den positiven Effekt würde man als Chance begreifen. Für das von mir in Teil 1 verwendete Beispiel des Autos trifft das immer zu, wenn die Verwendung des Fortbewegungsmittels im engeren oder weiteren Sinne davon betroffen wäre. Ich habe an anderer Stelle bereits darauf hingewiesen, dass Risikomanagement eine Auseinandersetzung mit den Aspekten Perspektivität, Ganzheitlichkeit, Interdependenzen und systematischer Ausgestaltung bedeutet1. Die Umsetzung dieser Vorgaben im Sinne einer strukturierten Vorgehensweise kann auf etablierte Rahmenwerke wie z.B. COSO in seiner überarbeiteten Version zurückgreifen2. Die Anforderungen der Corporate Governance finden in der ersten von fünf Komponenten einen Anschluss über die empfohlene Risiko-Governance und Risiko-Kultur. Damit sind weitläufig die organisatorischen Vorgaben und Erwartungen diesbezüglich gemeint. Sofern der Zusammenhang zwischen Risiken, unternehmerischer Strategie und Zielsetzungen in der zweiten Komponente herausgearbeitet wurde, muss das Management die konkreten Risiken in der dritten Komponente identifizieren, bewerten, priorisieren und Reaktionsmuster erstellen. Die Informationen werden anschließend mit den relevanten Stellen im Rahmen der zur Verfügung stehenden Reporting-Prozesse sowohl horizontal als auch vertikal geteilt. Da Risiken jedoch die unangenehme Eigenschaft einer möglichen Wiederkehr in gleicher, veränderter oder neuer Form haben, steht am Ende des ersten Durchgangs ein Monitoring der zuvor erarbeiteten Ergebnisse, bevor der Prozess von vorne beginnt. Eine risikoorientierte Vorgehensweise ist zum einen ein scharfes Werkzeug für Bedrohungen von außen und Schwächen innerhalb des Unternehmens. Das erfordert aber viel Erfahrung auf diesem Gebiet und der spezifischen unternehmerischen Geschäftstätigkeit. Da es eine allumfassende Sicherheit nicht gibt, bestehen besonders bei Anwendung dieser Methodik mögliche Lücken.
Da Globalisierung und Digitalisierung eine im Einzelfall zu bestimmende Risikolandschaft mit sich bringen, müssen diverse interdependente Szenarien mit Bezug auf unsere zuvor erarbeitete dreidimensionale Verflechtung betrachtet werden. Obwohl IT-Themen zurzeit sehr prominent sind, dürfen die anderen beiden Bereiche nicht unberücksichtigt bleiben. Für unser Auto deutet sich bereits eine Antwort an, die sich bestimmt nicht nur auf das Bremsen bezieht. Aber Sicherheitssysteme sind zwar mit einer Risikobetrachtung bereits gut ausgestattet, dennoch bildet die Compliance einen weiteren hilfreichen Baustein.
1 Vgl. Drechsler, 2017, S. 124
2 Vgl. COSO, 2016, S. 5f
Prof. Dr. Dirk Drechsler ist Autor mehrere Studienbriefe:
1410 Corporate Governance und Unternehmensethik
1420 Risikomanagement
1430 Compliance-Management-Systeme
Literatur:
COSO (Hrsg.); Enterprise Risk Management, Aligning Risk with Strategy and Performance,
Executive Summary; Final Draft; URL: https://www.coso.org/Documents/COSO-ERM-Exec-Summary-draft-Post-Exposure-Version.pdf (letzter Zugriff am 13.08.2017); 2016.
Drechsler, Dirk; Strategische Frühaufklärung und Risikomanagement; in: Zerres, Christopher (Hrsg.); Handbuch Marketing-Controlling; Springer; 2017; S. 123-148.