Was ist ein Risikomanagementsystem?

Wie können wir helfen?

< zurück

Ausgehend von spektakulären Firmenzusammenbrüchen der Vergangenheit verlangt die Gesellschaft von Unternehmen Vorsorge gegen „bestandsbedrohende Risiken“. Dies geschieht in einer Reihe von Gesetzen sowie einer Entwicklung, die unter dem Stichwort „Basel II“ beschrieben wird.

 

Fangen wir beim letztgenannten an. „Basel II“ bezeichnet allgemein eine änderung in der Bankenaufsicht. Ergebnis dieses ab 2006 in Kraft tretenden Regelwerkes ist die Notwendigkeit der Einzelbewertung (Rating) von Kreditnehmern. Gegenwärtig werden alle Kreditnehmer nach dem System von „Basel I“ gleich bewertet. Zur Vorbereitung eines solchen Ratings durch die Bank oder sonstige Institutionen ist die Einrichtung eines Risikomanagementsystems die richtige Wahl. Ohne ein angepaßtes Risikomanagementsystem (RMS) wird künftig kein Unternehmen mehr überleben können.

Zu den rechtlichen Forderungen nach einem RMS in Deutschland zählen

  • Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
  • §§ 289 und 315 HGB.

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) fordert von Aktiengesellschaften ein Risikomanagementsystem. Der Gesetzgeber erwartet, daß dies auch auf andere Gesellschaftsformen ausstrahlt und hat die entsprechenden Gesetze (noch) nicht geändert. Der Begriff „Risikomanagement-System“ wird im Gesetz nicht erwähnt. Er ist im Laufe der Diskussion darüber entstanden.

Der Begriff „Risikomanagement“ ist jedoch nicht optimal gewählt. Ohne zusätzliche Erläuterung kann er zu Mißdeutungen führen. Eigentlich geht es um Risiken und Chancen.

Denn Chancen und Risiken sind im unternehmerischen Alltag stets untrennbar miteinander verbunden. Sie sind zwei Seiten ein und derselben Medaille. Denn: was hilft es einem Unternehmen, wenn es bestandsbedrohende Risiken vermeidet, aber dennoch keine Gewinne macht. Langfristig wird es ebensowenig überleben.

Nimmt man beispielsweise die Vermeidung oder Verminderung bestimmter Risiken in die Zielvereinbarung mit Führungskräften auf, so kann dies zu einer Lähmung des Unternehmens führen. Ein Manager, der seine Gratifikation optimieren will, würde unter diesen Umständen gewisse Geschäfte gar nicht mehr tätigen, weil ihm die damit verbundenen Risiken zu hoch erscheinen. Das sei doch genau das Ziel, werden manche einwenden. Richtig, doch es wäre das Ende jeglichen unternehmerischen Handelns, wenn man stets und immer nur auf die Risiken schaut. Es kommt vielmehr auf die richtige Mischung von Chance und Risiko an.

Ferner gibt es das Problem der „self-fulfilling prophecy“. Werden im Risikobericht nach §§ 289 bzw. 315 HGB, der übrigens auch für GmbH’s vorgeschrieben ist, bestimmte Risiken – ohne Berücksichtigung der Chancen – ausführlich dargestellt, so darf man sich nicht wundern, wenn genau dieses Risiko eintritt. Die Führungsmannschaft starrt auf dieses Risiko wie das Kaninchen auf die Schlange.

Daher sind Risikoberichte häufig bewußt unvollständig gehalten. Ein Problem dabei ist jedoch, daß Mitarbeiter und externe Dritte die Unvollständigkeit spüren können und dann verunsichert sein können. Daher ist es besser, ein Risikomanagementsystem einzuführen und es umfassend auszulegen, wobei man Chancen und Risiken gemeinsam darstellen sollte.

Daher kommt der „richtigen“ Definition von Risiko eine entscheidende Bedeutung zu.

Ein einfache Definition lautet: Risiko ist die aus einer Entscheidung resultierende Verlustgefahr. Damit werden sowohl qualitative wie quantitative Analysen ermöglicht. Jedoch erhält man so eine Untergewichtung der in jeder Entscheidung innewohnenden Chancen. Daher ist dieser Risikobegriff aus meiner Sicht problematisch und kann zu Schwierigkeiten führen.

Besser geeignet erscheint mir folgende Definition: Risiko ist der Grad der Unsicherheit bei der Erreichung von Zielen. Im Begriff „Ziel“ steckt die Chance, die man aktiv erreichen will. Damit untrennbar verbunden sind Unsicherheiten, die den Risikoanteil einer Entscheidung versinnbildlichen. Ein auf dieser Definition aufgebautes System zwingt die Führungskräfte, exakter nachzudenken und das Für und Wider wichtiger Entscheidungen abzuwägen.

Was sind nun die Vorteile eines RMS? Zusammengefaßt lauten sie:

  • Bessere Fundierung von unternehmerischen Entscheidungen
  • Vorbereiten auf ein Rating nach Basel II
  • Umsetzen gesetzlicher Forderungen in Deutschland aus KonTraG und HGB
  • Langfristige Sicherung durch Ausbalancieren von Chancen und Risiken.

Ziel eines so verstandenen Risikomanagementsystems ist die ständige Anpassung des Unternehmens an seine optimale Marktposition.

Dazu ist die ständige Beobachtung wichtiger innerer und äußerer Faktoren sowie die Umsetzung der sich daraus ergebenden Konsequenzen erforderlich. Ein Risiko- / Chancenmanagement-System besteht aus folgenden Grundelementen:

  • Risiko-/Chancenerkennung und -analyse
  • Risiko-/Chancenbewertung und -aggregation
  • Risiko-/Chancenbewältigung
  • Kernelemente der traditionellen Unternehmensführung.

Risiko- und Chancenerkennung und -analyse

Die zu analysierenden Risiken und Chancen lassen sich vier Kategorien zuordnen, die jeweils wiederum unterteilt werden können:

  • Marktrisiken und -chancen
    • Volkswirtschaftliche und politische Entwicklung
    • Wettbewerber
    • Neue Marktteilnehmer
    • Kunden
    • Lieferanten, Rohstoffe
    • Neue Produkte und Ersatzprodukte bzw. Dienstleistungen
  • Finanzrisiken und -chancen
    • Zinsänderungen
    • Wechselkursänderungen
    • änderungen der Rendite von Wertpapieren
    • Derivative Finanzinstrumente wie Caps/Floors, Futures u.a.
    • Auswirkungen auf das Eigenkapital
  • Rechtsrisiken und -chancen
    • Bestehende Gesetze, Verordnungen sowie Rechtsentwicklung in Zielgebieten
    • Bestehende Verträge mit Debitoren und Kreditoren
    • Produkthaftung
    • Gerichtliche Prozesse
    • Lizenzen, Patente, Genehmigungen, Erlaubnisse
    • Risiken durch Betrug, Erpressung und andere Delikte
  • Sonstige interne Risiken und Chancen
    • Aufbau- und Ablauforganisation incl. Managementmethoden
    • Personal
    • Produktqualität und Liefertreue
    • Anlagegüter und Betriebsmittel z.B. IT-Ausfall
    • Forschung und Entwicklung
    • Umweltschutz und Arbeitssicherheit, Brandschutz
    • Sonstige unternehmensspezifische Risiken wie z.B. Hochwasser.

Führungskräfte sollten je nach Aufgabenbereich die entsprechende Auswahl der genannten Risiken und Chancen zur Beobachtung und möglichen Beeinflussung zugeteilt bekommen. Sie werden dabei von einem Berater bei der Einführung mit einer Liste möglicher Risiken unterstützt.

Dazu sollten sie je nach Aufgabenbereich und persönlichem Zuschnitt eine Auswahl der folgenden beispielhaft dargestellten Methoden kennen und anwenden.

 

Methode Einsatzbereich
Risk-Audits (mit Checklisten) alle Risiken
Balanced Scorecard alle Risiken
Fehlerbaumanalyse technische Risiken, z.B. der IT-Anlage
Szenariotechnik Marktrisiken, externe Entwicklungen
FMEA technische Risiken und Produktrisiken
Sensitivitätsanalyse finanzielle Risiken
Compliance-Audit Rechtsrisiko

Risiko- und Chancenbewertung

Die jeweiligen Führungskräfte haben „ihre“ Risiken und Chancen zu beurteilen. überschreiten die von ihnen ermittelten Risiken dabei einen Schwellenwert, so besteht eine Berichtspflicht an die zuständige Stelle. Soweit es geht, sollten Risiken und Chancen quantifiziert werden. Dazu stehen eine Reihe unterschiedlicher Methoden zur Verfügung. Einzelrisiken sind auf Unternehmensebene zu akkumulieren und mit internen Maßstäben in Beziehung zu bringen. Dabei sind auch Wechselwirkung zwischen Einzelrisiken zu berücksichtigen.

 

Methode Einsatzbereich
Erwartungswert-Prinzip (µ-Prinzip) quantifizierbare Risiken
Risiko-Simulation mit VaR-Größen finanzielle Risiken
WACC Methode finanzielle Größen
Risk-Portfolio-Technik nicht quantifizierbare Risiken
Profil-Methode nicht quantifizierbare Risiken
SWOT-Methode alle Risiken und Chancen

Das Erwartungswert-Prinzip (µ-Prinzip) ist eine betriebswirtschaftlich-statistische Entscheidungshilfe für komplexe Situationen. Sie beruht auf der Bayes-Regel und stellt eine normative Entscheidungsmatrix beim Vorliegen eines Risikos dar. Obwohl diese Methode häufig zitiert wird, wird sie in der Praxis selten angewandt.

Auf jedem PC anwendbar hingegen ist die Risiko-Simulation. VaR bedeutet Value at Risk. Grundlage dafür ist die nach dem berühmten Spielcasino benannte Monte-Carlo-Methode. Dabei werden einzelne Risiken in verschiedenen Szenarien mit einem Zufallsgenerator durchgespielt. Ergebnis ist eine graphisch darstellbare Wahrscheinlichkeitsverteilung. Aus dieser Kurve läßt sich die Möglichkeit einer bestimmten Schadenshöhe ablesen. Der VaR-Wert ist eine Art Höchstschaden, der mit einer gewissen Wahrscheinlichkeit, sagen wir 95 %, in einem bestimmten Zeitraum nicht überschritten wird. Niemand sollte auf die Idee kommen, daß dieser Methode eine besonders hohe Wahrhaftigkeit zukommt. Ihre Güte ist abhängig von den zugrundeliegenden Annahmen, die häufig genug äußerst dürftig sind. Nach wie vor kann der Mensch nicht in die Zukunft schauen. Dies ist lediglich eine Methode, komplexe Sachverhalte anschaulich zu fassen und darzustellen. Darüber sollte die komplexe Mathematik nicht hinwegtäuschen!

Daneben gibt es die Kapitalkostenmethode. Sie dient der Bewertung von Organisationseinheiten oder Projekten und beruht auf der WACC-Methode. Das bedeutet “weighted average cost of capital”. Die WACC-Methode beruht auf dem Capital-Asset-Pricing-Modell. Die Gesamtkapitalkosten werden errechnet und mit der Rendite der zu betrachtenden Organisationseinheit oder der Produkte bzw. Projekte verglichen. Liegt die Rendite der betrachteten Organisationseinheit unter den Gesamtkapitalkosten, so wird der Firmenwert in dieser Einheit heruntergesetzt, letztlich also vermindert.

Bei der Bewertung nicht quantifizierbarer Risiken geht es um die subjektive Einschätzung von Häufigkeit, Höhe und Wahrscheinlichkeit des Ereignisses z.B. des Schadens bzw. der Chance. Obwohl eine exakte Quantifizierung nicht einfach ist, sollte man dennoch versuchen, die Ergebnisse in DM bzw. € auszudrücken. Dies kann beispielsweise mit der Kosten-Nutzen-Analyse oder analog geschehen. Auf diese Weise erhält man die bekannten Risiko-Portfolios. In ähnlicher Weise arbeitet die Profilmethode, wobei sie die Zeitachse als Dimension neben der finanziellen Auswirkung der Ereignisse z.B. Schadenshöhe berücksichtigt.

Die SWOT Methode stammt aus dem angelsächsischen Sprachraum. SWOT bedeutet Strength, Weakness, Opportunities and Threats und übersetzt: Stärken, Schwächen, Chancen und Risiken. Die Bezeichnungen weichen etwas von den bisher verwendeten Definitionen ab. Bei dieser Methode, die üblicherweise der Strategiefindung dient, werden die internen Stärken und Schwächen den Chancen und Risiken der externen Märkte gegenüber gestellt. Fällt eine interne Schwäche z.B. geringe Produktionskapazität mit einer externen Stärke z.B. starkes Marktwachstum zusammen, so sind – wie im folgenden Abschnitt beschrieben wird – entsprechende Maßnahmen zu wählen. In diesem Fall z.B. rechtzeitige Ausweitung der Produktionskapazitäten.

Für die oberste Leitung sind Detailrisiken mit einer geeigneten Software zu einem Gesamtrisiko auf Unternehmensebene zu verschmelzen.

Risiko- und Chancenbewältigung

Grundsätzlich sind folgende Methoden der Risiko-/Chancenbewältigung möglich:

  • Vermeiden von Risiken – z.B. Ausstieg aus einem gefährlichen Geschäftsgebiet/ Ergreifen von Chancen – z.B. Einstieg in ein vielversprechendes Geschäftsgebiet
  • Vermindern von Risiken – z.B. durch Minderung der Eintrittswahrscheinlichkeit etwa durch Bevorratung wichtiger Ersatzteile oder der Senkung der Auswirkung von Risiken z.B. durch Hedging von Kapitalströmen
  • überwälzen von Risiken – vor allem durch Versichern von Risiken z.B. im IT-Bereich
  • Tragen von Risiken – und Abdecken durch das vorhandene Kapital.

Grundsätzlich sollte das im Unternehmen vorhandene Eigenkapital dem zu tragenden Risiko in der Höhe nach in etwa entsprechen. Ist ein Risiko so bedeutend, daß das Eigenkapital wesentlich herabgesetzt wird, so ist von einem bestandsbedrohenden Risiko zu sprechen.

Ein neueres Instrument ist Balanced Scorecard, zu deutsch etwa „ausgewogene Wertungsliste“. Auf vier Feldern werden Meß- und Steuerungsgrößen ermittelt und umgesetzt:

  • Finanzwirtschaft
  • Kunden
  • interne Prozesse
  • Mitarbeiter

Im Zusammenhang mit dem Risikomanagement spricht man auch von Risk Adjusted Balanced Scorecard (RABASCO). Ausgehend von den z.B. Top Ten Risiken/Chancen sind sowohl die finanziellen als auch die strategischen und operativen Steuerungswerkzeuge zu definieren. Daraus ergibt sich ein ganz normaler Maßnahmenplan, in dem Aufgaben, Verantwortlichkeiten und Fristen festgelegt werden. Ergänzt werden sollte dieser Maßnahmenplan durch ein System von Zielvereinbarungen und den „traditionellen“ Methoden der Unternehmensplanung.

Umsetzen eines Risikomanagementsystems

Ein Risikomanagementsystem im Unternehmen besteht aus folgenden Elementen:

  • RM-Handbuch
  • RM-Beauftragter
  • Unternehmensplanung
  • Finanzplanung
  • Controlling

Als traditionelle Elemente der Unternehmensführung sind die drei letztgenannten Elemente ebenfalls im Sinne einer Risikovorsorge unverzichtbar. Ende 2001 sind sie bei weitem nicht Standard in deutschen Unternehmen.

Das RM-Handbuch enthält die wesentlichen Festlegungen des RM-Systems:

  • Risiko- und Chancenpolitik des Unternehmens
  • Verantwortlichkeiten z.B. Beobachtungen, Berichte, Limitsystem
  • Ablauf der Risikoerkennung/Chancenerkennung
  • Ablauf der Bewertung von Risiken und Chancen
  • Berichtswesen in Bezug auf Risiken/ Chancen
  • Aggregation von Risiken und Chancen
  • Verknüpfung mit anderen vorhandenen Managementsystemen wie QMS
  • Methoden zur Korrektur und Verbesserung z.B. interne Audits
  • Bewertung des Systems durch die oberste Leitung.

Das Handbuch sollte in Ergänzung der Handbücher für Qualitäts-, Arbeitsschutz- und Umweltmanagementsystem angelegt werden, so daß ein einziges Handbuch entsteht. Alle genannten (RM-, QM-, UM-, AM-) Systeme sollten zu einem einzigen integrierten Managementsystem vereint werden. Dadurch vermindert sich der nicht zu unterschätzende Verwaltungsaufwand für ein schriftlich fixiertes Managementsystem. Die Novelle der ISO 9001:2000 bis zum Jahre 2003 sowie das Inkrafttreten von Basel II im Jahre 2006 bieten dazu eine gute Gelegenheit.

Der Risikomanagement-Beauftragte sollte in der obersten Ebene der Organisation angesiedelt sein. Seine Aufgabe besteht in der Pflege und Fortentwicklung des Systems. Dafür muß nicht eine zusätzliche Stelle geschaffen werden. In der Regel wird eine vorhandene Person mit dieser Zusatzaufgabe betraut. In der Anfangsphase macht es natürlich eine Menge Arbeit, die sich jedoch im Laufe der Zeit auf ein verträgliches Niveau einpendelt. Zum Vergleich: Das komplette Bruttoinlandsprodukt des Jahres 1970 hätte man im Jahre 1995 mit exakt 50 % des damaligen Arbeitsaufwandes erstellen können. Daran sieht man, daß im Laufe der Zeit durch steigende Produktivität Zeitreserven entstehen. Darüber hinaus bewirkt dieses System zusätzlich eine Effizienzsteigerung, die wiederum zu mehr „freier“ Zeit bei den Führungskräften führt. (Meist treten diese Löcher nicht wirklich auf, weil sie lange vor ihrer Entstehung schon mit neuen Aufgaben gefüllt werden.)

Der Unternehmensplan besteht aus einem Zukunftsplan für das eigene Unternehmen, in welchem Vision und Strategie sowie Ziele enthalten sind. Weiterhin enthält er einen Produktions- und einen Marketingplan sowie, falls erforderlich, einen Personalplan. Diese und die folgenden Pläne sind unter Beachtung der gegenseitigen Wechselwirkung zu erstellen.

Der Finanzplan besteht aus Liquiditätsplan, ggf. Planbilanz sowie Plan-GuV. Bei größeren Unternehmen ist eine Budgetierung sinnvoll. Schwerpunkt dabei ist die Schätzung künftiger Ereignisse in Zahlen ausgedrückt. Unternehmen, die bisher noch nicht mit Prognosen gearbeitet haben, stehen dieser Aufgabe meist skeptisch gegenüber. Dabei sind Prognosen nicht schwierig. Problematisch wird es erst, wenn sie schriftlich fixiert werden. Ein gesunder Menschenverstand ist dabei die wichtigste Voraussetzung. Weitere sind die Kenntnis der eigenen Zahlen und die des Marktes.

Das Controlling als letztes Element eines RM-Systems bedeutet als weit mehr als nur Datenanalyse. Die exakte deutsche übersetzung lautet „Regelung, Steuerung“. Es geht um eine regelmäßige Soll-Ist-Kontrolle und eine adäquate Gegensteuerung. Für Unternehmen mit weniger als 200 Mitarbeitern lohnt sich ein eigener Controller meist nicht. In derartigen Fällen sollte ein Teil dieser Funktion auf einen externen Berater „outgesourct“ werden.

Zur Einführung eines RM-Systems sollte ein externer Berater hinzugezogen werden.

Richtig angewandt, entlastet ein RMS die Unternehmensleitung von zahlreichen Routineaufgaben und unnötigen und zum Teil langwierigen „Feuerwehr-Einsätzen“. Dadurch kann sie sich auf ihre eigentliche Aufgabe konzentrieren: Der Weiterentwicklung des Unternehmens in einem dynamischen Umfeld.