Die 13 häufigsten Geschäftsrisiken im Kurzüberblick

1. Strategisches Risiko

Das strategische Risiko bezieht sich auf Probleme, die die Fähigkeit eines Unternehmens beeinträchtigen könnten, seine strategischen Ziele zu erreichen. Diese Art von Risiko betrifft auch die Wettbewerbsvorteile eines Unternehmens auf dem Markt sowie interne oder externe Faktoren, die diese Vorteile beeinträchtigen könnten.

Zu den Elementen, die bei der Steuerung des strategischen Risikos zu berücksichtigen sind, gehören die Fähigkeiten und die Stabilität der Geschäftsleitung und des Managementteams, die Fähigkeit des Unternehmens, Geschäfts- oder Marktveränderungen zu bewältigen, die Fähigkeit, neue Produkte und Dienstleistungen erfolgreich einzuführen, und die Widerstandsfähigkeit des Unternehmens gegenüber widrigen Umständen.

Da das strategische Risiko ein breites Spektrum von Themen umfasst, könnten viele – wenn nicht sogar die meisten oder alle – der anderen unten aufgeführten Risiken in diesen einen Bereich fallen.

2. Operatives Risiko

Das operative Risiko ist eine ähnlich umfassende Art von Risiko und enthält alles, was die Fähigkeit eines Unternehmens beeinträchtigen könnte, seinen Geschäftsbetrieb effektiv und effizient zu führen. Das Management des operativen Risikos bezieht sich auf die Prozesse, Verfahren, Richtlinien, Mitarbeiter und Systeme, die ein Unternehmen eingerichtet hat, und stellt sicher, dass diese auch widrigen Ereignissen standhalten können.

Es ist nahezu ein Sammelbegriff, aber im Grunde geht es um die Kerntätigkeiten des Unternehmens. Folglich bezieht sich das operative Risiko auf die Geschäftskontinuität und die Widerstandsfähigkeit.

Dieses Risiko umfasst oft auch Bedrohungen im Zusammenhang mit Lieferketten und Drittanbietern, Umweltfaktoren und den Einrichtungen eines Unternehmens, obwohl einige Berater diese Dinge als separate Risikokategorien betrachten. KPMG beispielsweise betrachtet Umwelt- und geopolitische Risiken als bedeutend genug, um sie als eine einzige Risikokategorie zu betrachten. Andere sehen diese Punkte als eigenständige Risiken nur für Unternehmen, die besonders anfällig dafür sind. So könnte ein Hersteller, der darauf angewiesen ist, dass seine Produktionsanlagen ohne ungeplante Ausfallzeiten arbeiten, das Anlagenrisiko als eigene Kategorie ausweisen.

3. Prozessrisiko

Obwohl es manchmal als Teil des operativen Risikos betrachtet wird, wird das Prozessrisiko häufig als eine weitere Kategorie aufgeführt. Es bezieht sich speziell darauf, ob die verschiedenen Geschäftsprozesse, die den Betrieb eines Unternehmens unterstützen – von den internen Kernprozessen bis hin zu digitalen Arbeitsabläufen und Lieferkettenfunktionen – effektiv, effizient und widerstandsfähig sind. Wenn dies nicht der Fall ist, muss ein Unternehmen die nachgelagerten Auswirkungen der Prozesslücken bewerten und entscheiden, wie die daraus resultierenden Risiken gemindert werden können.

4. Finanzielles Risiko

Alle Unternehmen sind mit finanziellen Risiken konfrontiert, die sich auf den Cashflow, die Rentabilität, die Bilanzen und sogar auf die Zahlungsfähigkeit eines Unternehmens auswirken können. Finanzielles Risiko bedeutet nicht, dass der Aktienkurs sinkt. Die Aktienkursentwicklung – ob positiv oder negativ –  hängt davon ab, wie gut ein Unternehmen sein finanzielles Risiko und andere Arten von Geschäftsrisiken, denen es ausgesetzt ist, managt.

5. Compliance-Risiko 

Jedes Unternehmen muss regulatorische Anforderungen erfüllen. Darüber hinaus legen gut geführte Unternehmen einen Rahmen von Governance-Richtlinien und -Verfahren fest, um sicherzustellen, dass der Geschäftsbetrieb internen Standards entspricht und dass die Führungskräfte für die Einhaltung der Standards verantwortlich sind.

Wie gut Unternehmen diese regulatorischen und Governance-Anforderungen einhalten, kann sich auf die Unternehmensleistung auswirken, und Organisationen in stark regulierten Branchen, wie zum BeispielFinanzdienstleistungen, müssen mit größeren Konsequenzen rechnen, wenn sie die Compliance-Aufgaben nicht erfüllen. Auch die Fähigkeit eines Unternehmens, behördliche Auflagen zu antizipieren und seine Beziehungen zu den Aufsichtsbehörden zu verwalten, kann sich auf seine Leistung auswirken.

All dies macht das Compliance-Risiko zu einem wichtigen Thema für viele Unternehmen. Diese Kategorie, die manchmal auch umfassender als Regulierungs- und Compliance-Risiko oder Regulierungs-, Compliance- und Governance-Risiko bezeichnet wird, ist ein Hauptschwerpunkt von Governance-, Risiko- und Compliance-Initiativen (GRC) in Unternehmen.

6. Rechtliches Risiko

In ähnlicher Weise hat jedes Unternehmen ein gewisses Maß an rechtlichen Risiken zu bewältigen, zum Beispiel um sicherzustellen, dass die Geschäftsabläufe den vertraglichen Verpflichtungen entsprechen und die einschlägigen Gesetze eingehalten werden. Zu den rechtlichen Risiken gehören auch die potenzielle Haftung für Produktfehlfunktionen oder Sicherheitsprobleme sowie kriminelle Handlungen von Führungskräften und Mitarbeitern. Die Bewältigung dieser Risiken setzt voraus, dass die Unternehmen die Folgen der Nichteinhaltung ihrer rechtlichen Verpflichtungen erkennen und verstehen.

Wie bei anderen Arten von Geschäftsrisiken auch, hängt das rechtliche Risiko eines Unternehmens von verschiedenen Faktoren ab, beispielsweise von der Art der Produkte und Dienstleistungen, die es anbietet. So ist beispielsweise ein Freizeitunternehmen, das abenteuerliche Ausflüge anbietet, in der Regel einem größeren Risiko ausgesetzt, im Zusammenhang mit verletzten Kunden gerichtlich belangt zu werden, als ein Einzelhandelsunternehmen. Andererseits ist bei einem Einzelhändler mit Hunderten von Verkäufern die Wahrscheinlichkeit von Vertragsstreitigkeiten höher.

7. Makroökonomisches Risiko

Einige Fachleute führen auch das makroökonomische Risiko als eigene Kategorie auf. Das ist heutzutage besonders sinnvoll, da es häufig wirtschaftliche Probleme gibt. Dazu gehören unter anderem der anhaltende Widerstand gegen die Globalisierung des Handels, steigende Zinssätze und wachsende wirtschaftliche Spannungen zwischen Ländern. Führungskräfte müssen diesen und anderen makroökonomischen Faktoren große Aufmerksamkeit schenken, weil sie enorme Auswirkungen haben können. Unternehmen, die diese Art von Risiko gut managen, können jedoch schnell auf solche wirtschaftlichen Einflüsse reagieren.

8. Menschliches Risiko

Dieses Risiko, das auch als Personalrisiko oder menschliches Risiko bezeichnet wird, ist eine weitere Art von Risiko, die jedes Unternehmen betrifft. Alle Unternehmen sind auf Menschen angewiesen, um zu funktionieren und erfolgreich zu sein. Folglich sind Unternehmen mit Risiken konfrontiert, wenn sie nicht in der Lage sind, genügend Mitarbeiter mit den richtigen Fähigkeiten einzustellen und zu halten, um die bestehenden und erwarteten Geschäftsanforderungen zu erfüllen. Sie sind auch Risiken ausgesetzt, wenn sich die Geschäftsbedingungen ändern und sie zu viele Mitarbeiter haben.

Auch das Verhalten der Mitarbeiter birgt potenzielle Risiken. So könnten sich Führungskräfte und andere Mitarbeiter bei der Arbeit illegal, unethisch oder unangemessen verhalten oder in ihrer Position nicht kompetent sein. Persönliche Probleme könnten ebenfalls die Fähigkeit der Mitarbeiter beeinträchtigen, ihre Arbeit zu erledigen, ebenso wie medizinische Probleme. 

9. Technologisches Risiko

Eine weitere universelle Risikokategorie fokussiert auf die Technologie. Die IT-Infrastruktur eines Unternehmens sollte bewertet werden, um festzustellen, ob und inwieweit sie ein Risiko darstellt – zum Beispiel, ob IT-Systeme und -Anwendungen veraltet, kostspielig oder nicht belastbar genug sind. Auch der Einsatz neuer Technologien kann Geschäftsrisiken mit sich bringen.

Es kann sein, dass Firmen zu wenig in Technologie investieren, dass ihre Technologie veraltet ist oder dass dasTechnologie-Ökosystem expandiert und neue Risiken schafft. Es besteht auch die Möglichkeit, dass Systeme ausfallen, was ebenfalls ein Risiko darstellt.

KPMG listet Unterbrechungen zusammen mit Technologie als eine einzige Risikokategorie auf – eine Anerkennung der bedeutenden Auswirkungen, die Initiativen zur digitalen Transformation oft auf ein Unternehmen haben. Aber das gilt in beide Richtungen: Ein Unternehmen, das ein neues System einführt, könnte dadurch den Betrieb stören, ebenso wie ein Unternehmen, das sich entscheidet, an einer älteren Technologie festzuhalten, die unzuverlässig wird. Darüber hinaus besteht für jedes Unternehmen das Risiko, von Konkurrenten unter Druck gesetzt zu werden, die neue Technologien oder bestehende Technologien auf eine neue Art und Weise einsetzen.

10. Cybersicherheitsrisiko

Das Cybersicherheitsrisiko, auch als Cyberrisiko bezeichnet, befasst sich mit dem Potenzial für geschäftliche Probleme und finanzielle Verluste aufgrund eines Cyberangriffs, der den Betrieb beeinträchtigt, oder einer Sicherheitsverletzung, die zum Diebstahl von Unternehmensdaten führt. Es steht in engem Zusammenhang mit dem Technologierisiko, aber die Auflistung als eigenständige Risikoart trägt den erheblichen Kosten und Geschäftsschäden Rechnung, die Cybersicherheitsvorfälle verursachen können. Der Cost of a Data Breach Report 2023 von IBM, der auf einer Studie des Forschungsunternehmens Ponemon Institute basiert, stellt beispielsweise fest, dass sich die durchschnittlichen Kosten von Datenschutzverletzungen in 553 Unternehmen weltweit auf 4,45 Millionen US-Dollar belaufen.

KPMG fasst Cybersicherheit und -kriminalität als kombinierte Risikokategorie zusammen, da so viele Sicherheitsbedrohungen auf kriminelle Handlungen zurückzuführen sind. Neben Cyberangriffen und Datenschutzverletzungen gehören dazu auch illegale Aktivitäten wie Diebstahl, Betrug, Unterschlagung, Geldwäsche und andere Finanzverbrechen, die einem Unternehmen finanziellen und rufschädigenden Schaden zufügen können.

11. Das Datenrisiko

Obwohl einige Risikomanagement-Berater Bedenken hinsichtlich der Datensicherheit unter dem Cybersicherheitsrisikoeinordnen, betrachten andere das Datenrisiko inzwischen als eigene Kategorie. Sie führen die wachsende Bedeutung von Daten für den Geschäftsbetrieb als Grund dafür an, sie zu einer eigenen Risikoart zu machen, die auch Fragen des Datenmanagements und der Data Governance umfasst.

Data Governance, Datenqualität, Daten für Analysen - das sind alles wichtige Themen. Daten fließen rund um die Uhr und ändern sich ständig, daher müssen sie in angemessenem Umfang überwacht und verwaltet werden.

Unternehmen, die die Risiken im Zusammenhang mit ihren Datensicherheits-, Verwaltungs- und Governance-Programmen nicht angemessen handhaben, müssen mit dem Verlust von Geschäftschancen und Marktanteilen sowie mit potenziellen finanziellen Verlusten rechnen.

12. KI-Risiko

Dies ist eine weitere Art von Risiko, das einige Berater jetzt von der breiteren Kategorie des Technologierisikos trennen. Unternehmen müssen mit der zunehmenden Nutzung von künstlicher Intelligenz in der Wirtschaft mehr darauf achten, die Risiken zu erkennen und zu managen, die die KI-Technologie für ihre Geschäftstätigkeit darstellt.

Zu den Risiken beim Einsatz von KI gehören beispielsweise die Einspeisung minderwertiger Daten in KI-Modelle und das Fehlen eines starken KI-Governance-Rahmens zum Schutz vor unbeabsichtigten Verzerrungen und Modelldrift, die die Leistung beeinträchtigen. Unternehmen sind aber auch Risiken ausgesetzt, wenn sie den Einsatz von KI einschränken oder ganz darauf verzichten. So könnten sie beispielsweise gegenüber Konkurrenten, die KI einsetzen, ins Hintertreffen geraten oder sich mögliche Geschäftsmöglichkeiten entgehen lassen.

13. Reputationsrisiko

Wie gut (oder schlecht) ein Unternehmen mit seinen Risiken umgeht, kann sich auch auf seinen Ruf und das Ansehen seiner Marke auf dem Markt auswirken. Einige Berater sehen daher Reputationsschäden eher als Folge eines schlechten Managements anderer Risikoarten denn als eigene Risikokategorie. Man spricht zwar von einem Risiko, aber im Allgemeinen ist es eine Folge von etwas anderem. 

Andere, wie KPMG, betrachten das Reputationsrisiko jedoch als eigene Kategorie. Reputations- und Markenprobleme sind davon abhängig, wie gut man die anderen Risiken managt. Aber auch diese können verwaltet werden, um potenzielle Risiken zu vermeiden oder zu minimieren. So können Unternehmen beispielsweise kontrollieren, wie sie sich auf dem Markt positionieren und wie gut sie die Erwartungen von Kunden und Geschäftspartnern erfüllen.

Bewährte Verfahren für das Management von Geschäftsrisiken

Für ein erfolgreiches Risikomanagement muss ein Unternehmen zunächst die Arten von Risiken ermitteln, die sich auf seine Geschäftsabläufe auswirken, und dann eine Risikoanalyse durchführen, um die potenziellen Auswirkungen der einzelnen Risiken zu verstehen. Dies umfasst häufig die Erstellung einer Risikotaxonomie, in der die Risiken eines Unternehmens definiert werden, sowie eines Risikoregisters, in dem dokumentiert wird, wie sich die einzelnen Risiken auf das Unternehmen auswirken, um eine Nachverfolgung und Risikoberichterstattung zu ermöglichen.

Führungskräfte und Risikomanager sollten diese Dokumente dann nutzen, um Kontrollen zu entwickeln und umzusetzen, mit denen Risiken vermieden oder auf ein akzeptables Maß reduziert werden können, das der Risikobereitschaft des Unternehmens entspricht. Risikomanagementstrategien müssen jedoch häufig aktualisiert werden, wenn sich die Geschäftsbedingungen und Anforderungen ändern. In Unternehmen mit gut geführten Risikoprozessen ist ein Risikoregister ein sehr lebendiges Dokument, das im Kerngeschäft verwendet wird.

Ein effektiver Risikomanagementplan versetzt Abteilungen und Geschäftsbereiche in die Lage, sich in Geschäftssituationen sicher zu bewegen, da sie sich der Risiken bewusst sind und wissen, wie sie mit ihnen umgehen können, wenn sie auftreten. Risiken sollten nicht um jeden Preis vermieden werden, denn nur wenn Unternehmen Risiken eingehen, können sie wachsen. Allerdings sollten dabei Überraschungen vermieden werden. Firmen profitieren in höchstem Maße davon, wenn sie ihre Risiken und Kontrollen kennen und wissen, wo eventuell Lücken sind.