Mit dem Lieferkettengesetz ist Risikomanagement in Unternehmen mit einer gewissen Größe verpflichtend geworden. Es soll sicherstellen, dass menschenrechtliche und umweltbezogene Risiken in globalen Lieferketten identifiziert, bewertet und minimiert werden. Mögliche Risiken lassen sich in den Finanzdaten erkennen – entsprechend kann ein Controlling-Tool auch im Bereich des Risikomanagements nützlich sein.
Unternehmen sehen sich täglich mit verschiedensten Risiken konfrontiert – sie reichen von finanziellen Unsicherheiten über rechtliche Herausforderungen bis hin zu operativen Risiken: Marktvolatilität oder Währungsschwankungen können erhebliche Auswirkungen auf den Geschäftsbetrieb haben, Änderungen in der Gesetzgebung oder von regulatorischen Anforderungen können die Compliance herausfordernd machen und Lieferkettenunterbrechungen oder IT-Ausfälle können durch die Störung des Tagesgeschäfts zum massiven Kostentreiber werden oder sogar die Aufrechterhaltung des Betriebs gefährden. Unternehmen müssen die Risiken (er)kennen, denen sie sich ausgesetzt sind, sie einschätzen und bewerten und Strategien entwickeln, um sie zu minimieren oder ganz zu entschärfen. Gerade angesichts einer Welt, die immer mehr zusammenwächst und des zunehmenden Grads der Digitalisierung mit komplexen Geschäftsprozessen und einer Vielzahl an Beteiligten, ist das von Bedeutung – und die Zahl der potenziellen Risiken steigt.
Lieferkettengesetz: Risikomanagement wird verpflichtend
Der Gesetzgeber nimmt Unternehmen mit dem Lieferkettensorgfaltspflichtengesetz (kurz: Lieferkettengesetz) noch stärker in die Pflicht. Es zielt darauf ab, Menschenrechte und Umweltstandards entlang globaler Lieferketten zu schützen und damit Kinder- und Zwangsarbeit, Dumpinglöhne und Umweltzerstörung zu verhindern. Dafür ist für Unternehmen ab einer gewissen Größe das Risikomanagement verpflichtend geworden, um Risiken in der Lieferkette – also nicht nur im eigenen Haus – zu identifizieren und sie mit „angemessenen und wirksamen“ Maßnahmen zu mindern oder zu beseitigen. Das Risikomanagement muss in die Geschäftsprozesse integriert werden, um die Sorgfaltspflichten zu erfüllen.
Insgesamt sieht das Lieferkettengesetz eine Reihe von Maßnahmen vor: Unternehmen sind zu jährlichen Risikoanalysen und Lieferantenaudits verpflichtet, um potenzielle Risiken zu identifizieren und zu priorisieren, ihr Ausmaß und mögliche Unumkehrbarkeit festzustellen.
Wurden Risiken identifiziert, müssen Unternehmen Abhilfe schaffen und dann prüfen, dass die Maßnahmen wirken – gelingt das nicht, kann auch der Abbruch von Geschäftsbeziehungen mit Lieferanten die Folge sein. Der Gesetzgeber zielt allerdings darauf ab, gemeinsam mit den Lieferanten die Anforderungen des Lieferkettengesetzes umzusetzen.
Eine weitere Neuerung durch das Lieferkettengesetz ist das Beschwerdeverfahren: Hinweise, etwa zu Menschenrechtsverletzungen, müssen von Dritten – Beschäftigten oder Externen – über ein geregeltes Verfahren möglich sein. Nicht zuletzt stehen Unternehmen in der Rechenschaftspflicht gegenüber der Bundesbehörde für Wirtschaft und Ausfuhrkontrolle (BAFA) sowie der Öffentlichkeit, müssen ihre Aktivitäten darlegen und in einer Erklärung ihre Werte definieren.
In der Praxis bedeutet das, dass Unternehmen Verantwortlichkeiten und Zuständigkeiten für das Risikomanagement benennen und klar regeln. Und im Folgenden die erforderlichen Prozesse aufbauen, umsetzen und überwachen müssen.
Risikomanagement und Strategien
Unternehmen müssen ihr Risikomanagement – das heißt die Identifikation, Bewertung und Bewältigung von Risiken, die den Geschäftsbetrieb beeinflussen können – systematisch aufgleisen. Eine Risikomanagement-Strategie wird am besten durch eine Reihe festgelegter Schritte implementiert.
Den Anfang macht die Identifikation von möglichen Risiken durch eine Sammlung und Analyse von Daten aus verschiedensten Quellen und unter Berücksichtigung interner und externer Faktoren. Ansätze sind dabei neben Brainstorming SWOT-Analysen (Stärken, Schwächen, Chancen und Risiken) und die Delphi-Methode. Im nächsten Schritt erfolgt die Risikobewertung, um Eintrittswahrscheinlichkeit und Auswirkungen zu bestimmen. Dabei kommen qualitative und quantitative Methoden zum Einsatz. Erstere umfassen zum Beispiel Expertenschätzungen und Risikomatrizen, während quantitative Methoden statistische Modelle und Monte-Carlo-Simulationen nutzen. Methoden wie Szenario-Analysen und Stresstests können mögliche Konsequenzen von Risiken vor Augen führen und geeignete Maßnahmen zur Risikobewältigung zu entwickeln. Die Risikobewertung ist notwendig, um die kritischen Faktoren herauszufinden, eine Aufgabenpriorisierung vorzunehmen und die dafür notwendigen Ressourcen zuzuteilen.
Sind die Risiken bekannt, müssen sie mitigiert werden. Im Schritt der Risikobewältigung werden deswegen Maßnahmen entwickelt und implementiert, um Risiken entweder zu minimieren oder ganz auszuschließen. Strategien sind hier unter anderem die Risikoübertragung etwa durch Versicherungen, die Risikovermeidung etwa durch Anpassung von Geschäftsprozessen, die Risikominderung etwa durch zusätzliche Sicherheitsmaßnahmen oder die Risikoduldung, die Akzeptanz gewisser Risiken, wenn sie vertretbar sind.
Da sich Risiken im Laufe der Zeit verändern können, ist es notwendig, dass Unternehmen ihre Risikomanagement-Strategien regelmäßig überprüfen und anpassen, um auf neue Gegebenheiten reagieren zu können. Hierfür werden regelmäßige Überprüfungen, Audits und Berichterstattungen eingesetzt. Risikomanagement ist deswegen ein kontinuierlicher Prozess.
Die Rolle der Unternehmenskultur
Der Unterbau eines gelingenden Risikomanagements ist die Unternehmenskultur. Hier muss ein Risikobewusstsein bei den Mitarbeitern geschaffen werden, um sie in die Lage zu versetzen, Risiken zu erkennen und zu melden. Eine klare Kommunikation und Schulungen, um die Beteiligten zu sensibilisieren und in den Best Practices weiterzubilden, sind Wege, um das Ziel zu erreichen.
Risikomanagement sollte nicht als reine Pflichtaufgabe betrachtet werden: Es versetzt Unternehmen in die Lage Bedrohungen früh zu erkennen und proaktiv zu reagieren – sie sichern damit ihre Geschäftskontinuität, schaffen Vertrauen bei Stakeholdern und der Öffentlichkeit und fördern langfristig ihren Erfolg. Auch Chancen können schneller identifiziert und ergriffen werden. Ein effektives Risikomanagement erlaubt es, Ressourcen besser einzusetzen, strategische Entscheidungen fundierter zu treffen und damit die eigene Wettbewerbsfähigkeit zu steigern.
Unterstützung durch Controlling-Software
Eine Finanzcontrolling-Software wie BPS-ONE von Denzhorn hilft dabei, finanzielle Daten zu sammeln, zu analysieren, Budgets und Prognosen zu erstellen. Standardreports, Kennzahlen und Abweichungsanalysen schaffen einen Überblick und damit Transparenz. Alles mit dem Ziel, eine effektive Steuerung des Unternehmens zu gewährleisten. Diese präzisen Daten bilden auch die Grundlage für das Risikomanagement: Liquiditätsengpässe, unvorhergesehene Kosten oder Marktvolatilitäten lassen sich über die Finanzdaten frühzeitig erkennen. BPS-ONE von Denzhorn kann also aktiv beim Risiko-Controlling unterstützen. Unternehmen können relevante Finanzdaten sammeln, auswerten und transparent bereitstellen. Echtzeit-Dashboards und automatische Benachrichtigungen helfen, den Überblick zu behalten. Auch in wirtschaftlich schwierigen Zeiten können sie mit dieser Basis zielführend, schnell und flexibel auf Änderungen im Markt reagieren.
Fazit
Risikomanagement ist ein unverzichtbarer Bestandteil der Unternehmensplanung. Seine Integration in die Unternehmensstrategie ist entscheidend, um langfristigen Erfolg und Nachhaltigkeit zu gewährleisten. Neben den richtigen Strategien sind Tools entscheidend, die Funktionen für das Risiko-Controlling vorhalten können. Auf Basis der Datenlage können Unternehmen potenzielle Bedrohungen erkennen und haben die Chance, sie effektiv zu managen, Schäden zu verhindern oder zu minimieren. Sie stärken so ihre Widerstandsfähigkeit und können Chancen auf Wachstum wahrnehmen.