Zum Inhalt springen
Procari Lexikon Risikomanagement
Einkaufslexikon

Risikomanagement

Risikomanagement

Risikomanagement ist der dauerhafte Regelkreis aus Identifikation, Analyse, Bewertung, Steuerung und Ueberwachung von Risiken. Es folgt DIN ISO 31000:2018, IDW PS 340 und den KonTraG-Pflichten nach Paragraf 91 Absatz 2 Aktiengesetz und stellt sicher, dass bestandsgefaehrdende Entwicklungen frueh erkannt, bewertet und mit dokumentierten Massnahmen behandelt werden.

Detaillierte Erklaerung

Risikomanagement ist mehr als eine Methode oder ein Tool. Es ist ein gelebter Prozess mit klarer Verantwortung, definierter Frequenz und nachweisbarer Wirksamkeit. Die ISO 31000:2018 definiert acht Prinzipien: integriert, strukturiert, an Stakeholder angepasst, dynamisch, beste verfuegbare Informationen, menschliche und kulturelle Faktoren, kontinuierliche Verbesserung. Der Rahmen besteht aus Fuehrung und Engagement der Leitung, Integration, Gestaltung, Umsetzung, Bewertung und Verbesserung.

Das KonTraG von 1998 hat das Risikomanagement in Deutschland verbindlich gemacht. Paragraf 91 Absatz 2 Aktiengesetz fordert vom Vorstand ein Frueherkennungssystem fuer bestandsgefaehrdende Entwicklungen. Die Pflicht strahlt auf GmbH-Geschaeftsfuehrer aus und wird von Wirtschaftspruefern nach IDW PS 340 (Neufassung 2020) geprueft. Geprueft werden Risikostrategie, Risikoidentifikation, Bewertung, Aggregation, Risikoberichterstattung sowie Ueberwachung des Systems. Schwachstellen fuehren zu Einschraenkungen im Pruefungsvermerk und im Extremfall zu persoenlicher Haftung der Organe.

Im Einkauf umfasst Risikomanagement typischerweise vier Saeulen: Lieferantenrisikomanagement (Bonitaet, Kapazitaet, Qualitaet), Lieferketten-Resilienz (Mehrquellenstrategie, Sicherheitsbestaende, Notfallplaene), Compliance (LkSG, Sanktionen, Kartellrecht) und Marktrisikomanagement (Rohstoffe, Waehrungen, geopolitische Lage). Jede Saeule hat eigene Frequenzen, KPIs und Werkzeuge. Eine BME-Studie 2024 zeigt, dass 38 Prozent der DACH-Mittelstaendler bisher kein formales Supply-Risk-Management betreiben, obwohl die Auswirkungen von Pandemie, Ukraine-Krieg und Suezkanal-Blockade die Verwundbarkeit drastisch sichtbar gemacht haben.

Ein funktionierendes System hat sechs Bausteine: Risikostrategie, dokumentierte Methodik, Risikoregister, Eskalations- und Entscheidungswege, Reporting (Risikobericht an Vorstand und Aufsichtsrat) sowie interne Pruefung der Wirksamkeit. Die Frequenz des Top-Reportings betraegt ueblicherweise ein Quartal, bei Veraenderungen ad hoc. Ergaenzt wird das System durch ein Frueherkennungssystem mit Indikatoren wie Bonitaetsalarmen, Newsfeeds zu Sanktionen, Wetter- und Hafenstoerungs-Alerts sowie Veroeffentlichungen zu kritischen Materialien. Erfolgreiches Risikomanagement zeigt sich nicht an dicken Berichten, sondern an konkret veraenderten Entscheidungen.

Praxisbeispiel (konkretes Einkaufsszenario)

Ein Automobilzulieferer mit 1.250 Mitarbeitern und 180 Mio Euro Einkaufsvolumen baut sein Risikomanagement nach einer kritischen Wirtschaftspruefer-Anmerkung im Lagebericht neu auf. CFO Dr. Marlene Schoenherr und Einkaufsdirektor Stephan Aichbauer entwickeln in vier Monaten ein System nach ISO 31000 und IDW PS 340.

Schritt eins ist die Risikostrategie. Der Vorstand definiert vier Risikotoleranzen: Lieferausfall A-Teil maximal 48 Stunden, finanzieller Schaden pro Einzelereignis maximal 1,5 Mio Euro, Compliance-Vorfall null, Reputationsschaden mit Medienreichweite ueber 100.000 null. Diese Toleranzen werden vom Aufsichtsrat verabschiedet und in die Einkaufsrichtlinie aufgenommen.

Schritt zwei ist die Risikolandkarte. 220 Einzelrisiken werden identifiziert, in zehn Klassen sortiert und in einer 5×5-Risikomatrix bewertet. 18 Risiken liegen im roten Quadranten und erfordern sofortige Massnahmen. Beispiel: Single-Source-Lieferant fuer Steuergeraete-Gehaeuse mit 12 Mio Euro Volumen und sechs Monaten Wiederanlaufzeit bei Ausfall. Das Risiko wandert mit Massnahmen-Owner Stephan, Frist Q3 2026 und Budget 320.000 Euro fuer Second-Source-Qualifizierung in das Risikoregister.

Schritt drei ist das Reporting. Jedes Quartal erhaelt der Vorstand einen Risikobericht mit Heatmap, Top-15-Risiken, Wirksamkeit der Massnahmen und Aenderungen gegenueber Vorquartal. Der Aufsichtsrat erhaelt eine verdichtete Sicht halbjaehrlich. Bei materiellen Ereignissen (Lieferanteninsolvenz, neuer Sanktionsbeschluss, kritischer Cyberangriff bei einem A-Lieferanten) erfolgt ein Ad-hoc-Bericht binnen 72 Stunden.

Schritt vier ist die Pruefung. Die interne Revision testet jaehrlich die Wirksamkeit zwei Klassen im Tiefen-Audit. Der Wirtschaftspruefer prueft im Rahmen der Abschlusspruefung das Frueherkennungssystem und bestaetigt im zweiten Jahr die Wirksamkeit ohne Einschraenkung. Drei Beinaheereignisse (ein Brand bei einem Lieferanten ohne Produktionsausfall, eine Sanktionserweiterung mit rechtzeitiger Umstellung) bestaetigen den Wert des Systems.

Typische Fehler & Verhandlungskontext

Der haeufigste Fehler ist die Reduktion auf Buerokratie. Wenn das Risikoregister zum Selbstzweck wird, ohne dass Massnahmen umgesetzt und Wirksamkeit geprueft werden, entsteht ein teures Theater ohne Schutzwirkung. Pruefer erkennen das schnell und beanstanden es. Erfolgreiche Systeme messen sich an der Zahl konkret veraenderter Entscheidungen pro Quartal, nicht an der Zahl gefuellter Excel-Zellen.

Ein zweiter Fehler ist die Trennung zwischen unternehmensweitem Enterprise Risk Management und Einkaufsrisikomanagement. Die beiden Welten reden oft nicht miteinander, sodass Lieferantenrisiken im ERM unterrepraesentiert sind und Massnahmen ohne Konzernbudget bleiben. Empfehlung ist die personelle Verzahnung ueber den Chief Risk Officer oder einen festen Vertreter des Einkaufs im Risikoausschuss.

Drittens wird das System haeufig nicht ueber Schwellenwerte gesteuert. Ohne klare Toleranzgrenzen ist jede Bewertung Verhandlungssache, und Vorstandsentscheidungen werden zur Politik statt zur Sachfrage. Wer Toleranzen definiert, kann objektiv eskalieren, wenn sie ueberschritten werden, und entlastet Owner von der Last individueller Eskalationsentscheidungen.

In Lieferantenverhandlungen ist Risikomanagement ein starkes Argument. Wer dokumentiert ist, weiss, welcher Lieferant welche Risikolast traegt, und kann gezielt Sicherheitsbestaende, Notfallklauseln, Step-In-Rechte oder bessere Zahlungsziele aushandeln. Lieferanten respektieren Einkaeufer, die nicht aus dem Bauch heraus fordern, sondern auf Basis dokumentierter Risikobewertung argumentieren.

Verwandte Begriffe

  • [[risikoanalyse]]
  • [[risikomatrix]]
  • [[risikopolitik]]
  • [[lieferantenrisikomanagement]]
  • [[supply-risk-management]]

Alle 1.460+ Begriffe als PDF

Das komplette Procari Einkaufslexikon — kostenlos per Email.

PDF anfordern →