Grundsätze für die Risikoinventur

Mit der Risikoinventur werden die Risiken in der Wahrscheinlichkeit ihres Entstehens und in den Schadensfolgen im Falle der Realisierung des Risikos erfasst. Dabei sind insbesondere folgende Grundlagen für die Darstellung zu beachten:

• Vollständigkeit: Vor allem sämtliche Risiken, die den Bestand des Unternehmens gefährden könnten, müssen in der Risikoinventur enthalten sein.

• Interdependenzen: Vielfach verstärken sich Risiken im Falle des Eintritts eines Risikos. Beispiel: Es kommt z.B. im Unternehmen zu einem Brand. Erst durch ein fehlerhaftes Brandmelde- und Brandbekämpfungssystem entsteht eine lang anhaltende Betriebsunterbrechung und gefährdend für den Bestand des Unternehmen ist dieses Ereignis für das Unternehmen deshalb, weil zwar eine Brandversicherung für den Sachwert, aber keine Betriebsunterbrechungsversicherung besteht.

• Quantifizierung: Die Risikoeintrittswahrscheinlichkeit ist mit dem potenziellen Schadensausmaß zu verbinden. Eine potentielle Schadenshöhe von 100.000 Euro und eine Eintrittswahrscheinlichkeit von einem Hunderttausendstel führt zum Risikofaktor 1 für diese bestimmte Risikoart. Ein solcher Risikofaktor von 1 entsteht aber auch dann, wenn die Wahrscheinlichkeit des Eintritts des Schadens so hoch ist, dass in hundert Fällen ein Schadensfall mit einem Schaden von 100 Euro eintritt. 

• Rechtzeitigkeit: Risiken müssen so rechtzeitig erkannt werden, dass noch genügend Zeit zur Abwehr oder zumindest zur Schadensminimierung verbleibt.

• Kommunikation: Für den Eintritt eines Risikos sind Schwellenwerte zu bilden, bei denen Alarm ausgelöst wird. Der Alarm muss bei den verantwortlichen Entscheidungsträgern ankommen.

• Verantwortung: Für die jeweiligen Risiken sind Zuständigkeiten im Unternehmen zu bilden, die nach Kenntniserlangung eines Alarms die notwendigen Maßnahmen zu treffen haben.

• Überwachung und Training: Eine interne Überwachung hat dafür Sorge zu tragen, dass die Prozesse, Verantwortlichkeiten und Maßnahmen im Rahmen des Risikomanagementsystems stets, insbesondere auch in den heißen Phasen nach Eintritt des Risikos funktionieren. Trainings hierzu müssen durchgeführt werden.

• Dokumentation: Alle Maßnahmen des Risikomanagements sind zu dokumentieren.

Zu einem funktionierenden Risikomanagementsystem gehören auch

• ein Frühaufklärungssystem zur Erforschung schwacher Signale, die einen Risikoanstieg bedeuten könnten,
• ein Früherkennungssystem zur Festlegung entsprechender Beobachtungsbereiche für die relevanten Risiken mit Angabe von Schwellenwerten dafür, wann ein Risiko indiziert ist und
• ein Frühwarnsystem zur Auslösung eines Alarms bei Überschreiten einer betrieblichen Kennzahl.