Bevor ein Unternehmen Geschäftsrisiken einschätzen oder mindern kann, muss es zunächst die wahrscheinlichen oder wahrscheinlichen Risiken für das Unternehmensergebnis ermitteln. Es gibt keine sichere Methode, um diese Risiken zu identifizieren, aber Unternehmen stützen sich auf frühere Erfahrungen, um die möglichen Ereignisse einigermaßen abzuschätzen. Risikoprozesse entwickeln sich von Natur aus und reifen im Laufe der Zeit. Es gibt jedoch einige grundlegende Prinzipien, die konstant bleiben.
Bewertung von Geschäftsrisiken
Geschäftsrisiken gibt es in allen Formen und Größen. Dies bedeutet, dass eine wirksame Risikobewertung an spezifische Gefahren anpassbar oder speziell für diese ausgelegt sein muss. Ein Unternehmen sollte ähnliche Risiken nach Möglichkeit in vergleichbaren Analyseprozessen zusammenfassen.
Im Idealfall sollte ein Unternehmen das Kapital auf der Grundlage des durch die Kosten-Nutzen-Analyse ermittelten Risikos zuweisen. Jeder Prozess zur Risikoidentifizierung sollte zu einer wirksamen Analyse führen, und jede Analyse sollte die Corporate Governance beeinflussen.
Interne versus externe Risikoanalyse
Zwei allgemeine Arten von Risiken betreffen in erster Linie ein Unternehmen: interne und externe.
Externe Risiken
Externe Risiken sind solche, die von außerhalb des Unternehmens ausgehen und wirtschaftliche Trends, staatliche Vorschriften, den Wettbewerb auf dem Markt und Änderungen des Verbrauchergeschmacks umfassen. Interne (firmenspezifische) Risiken umfassen Mitarbeiterleistung, Verfahrensfehler und fehlerhafte oder unzureichende Infrastruktur.
Die externe Risikobewertung ist fast immer datenintensiv. Da die meisten externen Risiken systemrelevant für ein Wirtschaftssystem sind und sich daher der Kontrolle des Unternehmens entziehen, können Prognosen nicht auf der Grundlage unterschiedlicher Corporate-Governance-Entscheidungen angepasst werden.
Die externe Bewertung beginnt mit der Kategorisierung potenzieller Risiken. Einige Skalen sind nominal und andere ordinal. Unternehmen bevorzugen Nominalkategorien, da sie einfacher zu manipulieren und zu vergleichen sind. Quantitative Techniken wie Benchmarking oder probabilistische Modellierung passen sich an neue Daten an, sobald diese eintreffen. Unternehmen können dann relevante Indikatoren verfolgen und Schwellenwerte für ein akzeptables Risiko für ein bestimmtes Projekt festlegen.
Interne Risiken
Interne Risiken betreffen weitaus spezifischere und kontrollierbarere Prozesse. Unternehmen verwenden die Bewertung des operationellen Risikos für das Verlustrisiko aufgrund unzureichender Geschäftsentscheidungen. Die Bewertung des Compliance-Risikos ist von entscheidender Bedeutung, insbesondere in streng kontrollierten Branchen wie dem Bankwesen oder der Landwirtschaft.
Insbesondere bei börsennotierten Unternehmen sind die Risiken der internen Revision zu bewerten. Es ist noch nicht lange her, dass Unternehmen einfach branchenübliche Praktiken anwendeten. Moderne Unternehmen bewerten interne Risiken jedoch anhand der Wahrscheinlichkeit und der Auswirkung auf bestimmte Ziele.
