Risk Management als Hauptaufgabe eines jeden Unternehmens

So wie jedes Individuum und jedes Unternehmen sehr eigen ist, so unterschiedlich und vielfältig sind die Risiken mit denen wir leben und wie wir mit diesen umgehen. Folglich gilt es auch, ein eigenes Risikomanagement auf die Beine zu stellen und dies wiederkehrend zu überprüfen.

Im Gegensatz zu früher sind die Risiken heutzutage vielfältiger, globaler und unberechenbarer. Gemäss der Studie «ACE Emerging Risk Barometer» sehen Unternehmen heute ihre Risiken im Bereich der Infrastruktur, in Umwelthaftungsrisiken, Organhaftungsrisiken sowie in neu aufkommenden Gefahren – wie Cyber Crime, Hacking und Kidnap & Ransom (Entführungen und Erpressung). Nach dem klassischen Modell der Risikobeurteilung gilt es solche Gefahren zu erkennen, zu beurteilen respektive zu bewerten und anschliessend entsprechende Massnahmen zu treffen.

Wenn es nach den Ergebnissen der Studie geht, mangelt es den heutigen Führungskräften primär an Zeit und Know-how, um mit diesen Gefahren richtig umzugehen. Nicht zu unterschätzen ist die Tatsache, dass Unternehmungen heute Ihren Fokus auf das Kerngeschäft legen und solche Aufgaben auch aus Kostengründen nach Aussen delegieren. In den meisten Fällen wird dem Versicherungsbroker folglich die Aufgabe eines umfassenden, zeitnahen und transparenten Risk Managements übertragen. Dieser ist dann nicht nur für die Aushandlung von günstigen Prämienkosten verantwortlich, sondern – und das ist viel wichtiger – auch für einen lückenlosen Versicherungsschutz.

Oft wird in sogenannten Risk Management Audits festgestellt, dass zwar für alle gängigen Versicherungsbranchen eine Police existiert, doch für eine typische Unternehmungsfunktion und deren Prozesse, wie der Kundendienst, die Gefahren eines Schadenfalles nicht mitberücksichtigt werden. Anders gefragt: Was nützt es mir als Unternehmen, das Fabrikgebäude gegen alle möglichen Risiken zu versichern, aber das versprochene Leistungsversprechen gegenüber Kunden nicht einhalten zu können?

Beim Thema Risikobeurteilung geht es nicht in erster Linie darum, bestehende Versicherungspolicen günstiger einzukaufen, sondern anhand der Geschäftsprozesse mögliche Risiken zu erkennen. Diese Risiken können einen Einfluss auf die Finanzsituation, die Personalsituation oder generell auf die Strategie eines Unternehmens haben. Demzufolge muss ein solcher ERM-Prozess wiederkehrend geschehen. Die Gefahren können sich für ein jedes Unternehmen von Jahr zu Jahr ändern – auch wenn im marginalen Bereich. Diesen Lebenszyklus von Risiken gilt es deshalb strikt zu beachten.

Die Veränderung der Risikolandschaft zeigt sich in steigenden Haftungsrisiken für Führungskräfte – und in diesem Zusammenhang mit einer Zunahme an Gerichtsfällen. Mit Firmenneugründungen, Fusionen, Kooperationen und Akquisitionen sind die Haftpflichtrisiken sprunghaft angestiegen. Betroffen sind nicht nur Ansprüche aus dem Innenverhältnis – von Geschäftspartnern oder sonstigen Dritten – sondern auch aufsichtsrechtliche Verfahren. Immer mehr an Bedeutung gewinnen Themen wie:

• Directors & Offices Liability (D&O)
• Errors & Omissions (E&O)
• Professional Idemnity (PI)
• Crime (Vertrauensschaden)

Insbesondere die Organhaftpflichtversicherung ist heute längst keine Nebensparte mehr, sondern für viele Versicherer ein Massenprodukt geworden. Entsprechend sind die Prämien in den letzten Jahren massiv gesunken. Der Grund liegt darin, dass sich heute nicht mehr nur die Grosskonzerne für einen solchen Risikoschutz interessieren, sondern vermehrt auch KMU’s.

Mit veränderten Geschäftsprozessen, insbesondere auf digitaler Ebene, nehmen auch die entsprechenden Risiken zu – zum Beispiel Hacking, Cyber Crime oder Datenschutzverletzungen. Selbst ein umfassendes und möglichst lückenloses IT-Sicherheitsnetz verspricht keinen 100-prozentigen Schutz vor Vermögenseinbussen. Unternehmen müssen sich überlegen, ob sie mit einem solchen Restrisiko leben möchten oder dieses alternativ an eine Cyber-Versicherung transferieren. Versicherungsgesellschaften wie ACE, AIG, Allianz sowie CHUBB haben in den letzten Jahren massgeschneiderte Lösungen für solche Risiken entwickelt. So ist nicht nur der eigentliche Schadenfall nach einem Hacker-Angriff versichert, sondern es werden auch gemeinsame IT-Schutzmassnahmen entwickelt.

Die Gelegenheit sich an der Kasse zu bedienen bietet sich dann, wenn man die Sicherheitslücken eines Unternehmens kennt und nutzen kann. Die Gründe eines solchen Vertrauensmissbrauchs sind vielseitig – von Missgunst und Neid bis hin zu Frust im persönlichen Umfeld und Veränderung im Unternehmen. In solchen Fällen benötigt das Unternehmen eine sogenannte Vertrauensschadenversicherung. Dabei versichert diese das Unternehmen vor unerlaubter Handlung einer Vertrauensperson, welche dem Unternehmen dadurch einen Vermögensschaden zufügt. Grundsätzlich reden wir hierbei von den Straftatbeständen gemäss Strafgesetzbuch wie Betrug, Diebstahl, Veruntreuung und Unterschlagung.

Zusätzlich bestehen Gefahren von aussen, bei welchem das Vertrauen des Unternehmens ausgenutzt werden kann. Folglich gewährt eine Vertrauensschadenversicherung auch Schutz vor externen Risiken – wie zum Beispiel die Täuschung durch gefälschte Anweisungen, Bestellungen und/oder Rechnungen sowie gefälschte Zahlungsmittel und Wertpapiere. Dabei soll nicht nur der effektiv entstandene Vermögensschaden versichert sein, sondern die hierfür zusätzlich anfallenden Kosten wie Reputationsschaden, IT- und PR-Kosten, Rechtsfolgekosten sowie die entstandenen Schadenermittlungskosten.

Risk Management sollte man nicht als einmaliges Projekt betrachten. Vielmehr soll es ein wesentlicher Teil der Unternehmensführung und der Strategie sein. Etwas, was vor Jahren beschlossen wurde zu versichern, muss heute nicht mehr richtig sein. Dasselbe gilt auch für Risiken. Es empfiehlt sich ein permanentes Überprüfen dieser Entscheidungen. Vergessen Sie dabei auch nicht «über den Tellerrand zu schauen» und die bestehenden Geschäftsprozesse zu hinterfragen – eventuell lauern auch hier potenzielle Risiken.

(Bildquelle: © malerapaso/iStockphoto)