Risiken einer Organisation erkennen und greifbar machen
Ein möglicher negativer Ausgang bei einer Unternehmung, mit dem Nachteile, Verluste und Schäden verbunden sind – so einfach es ist, den Begriff des Risikos allgemein zu beschreiben, so herausfordernd ist es für Organisationen, ihre individuellen Risiken zu bestimmen und zu kontrollieren. In einer zunehmend digitalisierten und regulierten Welt wirken diverse Faktoren auf Prozesse und Abläufe von Organisationen ein und bergen dabei jeweils vielschichtige Risikopotenziale.
Umso bedeutender ist es, bei der Identifikation und Bewertung von Risiken einen ganzheitlichen Blickwinkel einzunehmen. Ganz allgemein gesprochen müssen sowohl externe als auch interne Risikofaktoren beachtet werden. Steigt man tiefer in die Analyse ein, so zeigt sich, dass bei einer ganzheitlichen Betrachtung des Risikoprofils einer Organisation weitaus kleinteiliger vorgegangen werden muss. Risiken können etwa durch die Branche oder den Standort einer Organisation geprägt werden. So sind für Organisationen aus der Gesundheits- und Sozialwirtschaft beispielsweise teils komplexe gesetzliche Regulierungen zu beachten, um nicht den Verlust der Gemeinnützigkeit zu riskieren. Auch je nach Standort variieren Risiken – ein unterschiedlich stark ausgeprägter Fachkräftemangel bringt ein unterschiedlich hohes Risiko mit sich, dass Stellen unbesetzt bleiben und dadurch Leistungsangebote nicht mehr im vollen Umfang erbracht werden können.
Überdies beeinflussen organisationsspezifische Gegebenheiten die jeweilige Risikolandkarte. Von der gelebten Unternehmenskultur über Kommunikationsstrukturen bis hin zur Nutzung bestimmter Software-Lösungen bilden sämtliche Entscheidungen einer Organisation die Grundlage für das Vorhandensein von Risiken und den Umgang mit ihnen.
Um diese komplexen Sachverhalte greifbarer und auch bewertbar zu machen, bietet es sich an, Risiken zu bündeln bzw. zu kategorisieren. Beispiele für solche Kategorien liefert das Institute for Internal Auditors in seinen 2025 neu veröffentlichten Standards:
- Unzuverlässigkeit und mangelnde Integrität von Finanz- und operativen Informationen,
- Fehlende Wirksamkeit und Ineffizienzen bei Betriebsabläufen und Programmen,
- Verlust von Vermögenswerten,
- Verstoß gegen Gesetze und Vorschriften.
Beim Umgang mit Risiken muss die Route vorgegeben werden
Die übergeordnete Verantwortung für den Umgang mit Risiken obliegt dem Leitungs- und dem Aufsichtsgremium einer Organisation. Ein effektives Risikomanagement beginnt dabei bereits bei der Inventarisierung und Bewertung. Erst so kann die Basis für eine zielgerichtete Kontrolle und Steuerung gelegt werden. Mit einem verantwortungsvollen Vorgehen trägt das Leitungsgremium dabei selbst aktiv zur Begrenzung von Risiken bei und setzt darüber hinaus wichtige Zeichen in Richtung der Belegschaft. Es wird also der Rahmen festgelegt, in dem sich die Mitarbeiter bewegen können und sollen.
Doch so bedeutend eine klare und übergeordnete Struktur beim Umgang mit Risiken ist, so essenziell ist es, die gesamte Organisation einzubeziehen. Insbesondere diejenigen Stellen, die die Prozesse mit Leben füllen, können im Risikomanagement zu wichtigen Informationsgebern und Partnern der Leitung werden. Das Einführen eines Managementsystems allein wird seinen Zweck nicht erfüllen, wenn dieses von den prozessbeteiligten Stellen nicht gelebt wird. Risiken entstehen nämlich nicht nur auf der übergeordneten Ebene, sondern auch und insbesondere im Tagesgeschäft der Mitarbeiter. Wo beispielsweise eine Bestellung ausgelöst, eine Rechnung verbucht oder das Personal eingestellt wird, entstehen tagtäglich Risikopotenziale. Ein eindeutiger „tone at the top“ ist also essenziell, um die gesamte Organisation zu sensibilisieren und zu einem risikobewussten Arbeiten zu befähigen.
Das Fundament guter Corporate Governance
Eine gute Corporate Governance basiert auf drei Fundamenten:
- einem betrieblichen Risikomanagement,
- einem Compliance-Management und
- einem internen Kontrollsystem.
Eine interne Revisionsfunktion sichert zusätzlich die Managementansätze durch Prüfung, Beratung und ständige Weiterentwicklung ab.
Gute Governance muss in erster Linie von den gesetzlichen Vertretern und dem Aufsichtsgremium eines Unternehmens ausgehen. In der Folge bilden die Mitarbeiter jedoch die Basis für die Entfaltung guter Governance, wenn es um die konkrete Umsetzung der Maßnahmen auf allen Ebenen eines Unternehmens geht. Der Deutsche Corporate Governance Kodex enthält eine Reihe von Grundsätzen, Empfehlungen und Anregungen, die zu einer Verbesserung der Governance beitragen sollen. Auch dort wird nochmal deutlich: Beim Führen des Unternehmens sollen die gesetzlichen Vertreter jederzeit die Belange von Eigentümern oder Anteilseignern, der Belegschaft und sonstigen Stakeholdern berücksichtigen. Gute Governance wird gleichermaßen mit nachhaltiger Wertschöpfung, Legalität sowie einem ethisch fundierten, eigenverantwortlichen Verhalten verbunden. Diese Ziele können nur erreicht werden, wenn auch der Umgang mit Chancen und Risiken im Fokus steht.
Gemeinsamkeiten innerhalb der Corporate Governance erkennen und nutzen
Das Risiko- und Compliance Management und das interne Kontrollsystem sind in Abhängigkeit von Größe und Komplexität eines Unternehmens in der Praxis meist unterschiedlich gut entwickelt. Häufig werden die Begriffe als abschreckend und abstrakt empfunden. Es ist allerdings ein Irrtum, dass die Umsetzung dieser Managementansätze die Schaffung völlig neuer Strukturen erfordert. Viele Dinge, die einer guten Governance zuträglich sind, werden bereits getan, sind aber nicht ausreichend mit dem Thema verknüpft. Allerdings sollten die Aktivitäten systematisch gesteuert und aufeinander abgestimmt sein, was in der Praxis oftmals nicht optimal funktioniert.
Alle Governance-Systeme haben die Gemeinsamkeit, dass sie auf Risiken fokussiert sind. Dabei werden verschiedene Blickwinkel auf unterschiedliche Risikobereiche eingenommen. So können beispielsweise klassische betriebliche Risiken betrachtet werden, zu denen finanzielle und nicht-finanzielle Risiken gehören können. Aus einem anderen Blickwinkel können Risiken betrachtet werden, die sich aus dem rechtlichen und regulatorischen Rahmen ergeben, in dem die Organisation tätig ist. Betrachtet man Risiken, die möglicherweise unerwünschte Auswirkungen auf die Umsetzung operativer Ziele in der Ablauforganisation des Unternehmens haben, richtet man den Blick auf die innere Betriebsorganisation. Bei allen Unterschieden zwischen diesen Betrachtungswinkeln ist die gute Botschaft, dass die methodische Herangehensweise sich nicht wesentlich unterscheidet und aus diesen Gemeinsamkeiten wichtige Synergieeffekte gehoben werden können.
Praxis-Hinweis
Eine ganzheitliche Herangehensweise an Risiken ist sinnvoll und stiftet langfristig die größten Mehrwerte und Synergieeffekte. Am Anfang sollte das Bewusstsein stehen, dass die meisten Organisationen schon über Ansätze guter Corporate Governance verfügen. Diese Ansätze müssen oft nur sinnvoll miteinander verknüpft werden, um auf diesem Wege wertvolle Ressourcen zu schonen. In der nächsten Ausgabe werden wir auf die Schnittmengen zwischen Risiko- und Compliance-Management und dem internen Kontrollsystem eingehen und Anregungen dazu geben, wie hier in der Praxis durch eine Verknüpfung Ressourcen gespart werden können.
