Methoden

Risikomanagement


Risikomanagement

Risikomanagement ist gemäß Deutschem Corporate Governance Codex ein wesentliches Element einer guten und verantwortungsvollen Unternehmensführung. Es umfasst alle Aktivitäten, die sich mit dem Umgang mit Wagnissen – Handlungen, Prozessen oder Zuständen mit negativem Entwicklungspotenzial, das heißt möglichen Nachteilen, Verlusten oder Schäden – befassen.

Es beinhaltet insbesondere

  • die systematische und kontinuierliche Risikobeurteilung – dazu gehören Risikoidentifikation, -analyse und -bewertung,
  • die Risikobewältigung durch Steuerung und Überwachung der Faktoren und Aspekte, die Risikopotenzial bieten, sowie
  • die Risikokommunikation.

Risikomanagement ist ein ganzheitlicher und proaktiver Ansatz und gehört bei Organisationen zum Verantwortungsbereich der Einrichtungsleitung. Idealerweise sollte es mit anderen Managementsystemen wie dem Qualitätsmanagement und dem Umweltmanagement zu einem integrierten Managementsystem zusammengeführt werden.

Rechtliche Grundlagen

Der Gesetzgeber hat bestimmte Mindestanforderungen für das Risikomanagement formuliert, damit Risiken besser abgeschätzt und abgefangen werden können. Für einige Unternehmensformen, etwa Kapitalgesellschaften wie AGs und GmbHs, ist daher das Risikomanagement gemäß Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verbindlich: Die Risikofrüherkennung als Teilbereich des Risikomanagements ist verpflichtend, um den Erhalt des eigenen Unternehmens sicherzustellen. Dies gilt insbesondere für GmbHs (§ 43 GmbHG), wobei der GmbH-Geschäftsführer sogar Pflichten nach dem Aktiengesetz erfüllen muss (§ 91 Abs. 2 AktG):

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“

Nach § 93 AktG sind bei der Vorbereitung unternehmerischer Entscheidungen von Vorstandmitgliedern gemäß ihrer Sorgfaltspflicht insbesondere auch die mit diesen Entscheidungen verbundenen Risiken zu betrachten (Business Judgement Rule).

Daneben gibt es verschiedene weitere Regelungen. So wird das KonTraG ergänzt durch den darauf aufbauenden Standard des Instituts der Wirtschaftsprüfer zur Prüfung des Risikofrüherkennungssystems (IDW PS 340) sowie den DIIR Revisionsstandard Nr. 2 des Deutschen Instituts für Interne Revision. Rechtliche Basis ist das Handelsgesetzbuch (§ 317 Abs. 4 HGB). Gefordert ist eine systematische und regelmäßige Identifikation und Quantifizierung von Risiken (Risikoidentifikation, Risikoquantifizierung), mögliche „bestandsgefährdende Entwicklungen“ durch Kombinationseffekte von Einzelrisiken müssen durch eine Risikoaggregation ermittelt werden. Die Risikoberichterstattung erfolgt nach dem Deutschen Rechnungslegungsstandard (DRS 20). Zudem gibt es branchenbezogene Risikomanagement-Regelungen zum Beispiel für Banken, Versicherungen und Investmentgesellschaften mit Mindestanforderungen an das Risikomanagement (MaRisk).

Wichtige internationale Standards zum Risikomanagement sind die Normen DIN EN ISO 31000:2018 – „Risikomanagement“ –, die DIN EN ISO 9001:2015 – „Qualitätsmanagement“ –, die eine Integration von Qualitäts- und Risikomanagement unterstützt, sowie die COSO-Norm Enterprise Risk Management (COSO ERM:2017).

Aufgabe des Risikomanagements

Aufgabe des Risikomanagements ist, Transparenz über die Risikosituation in der Organisation zu schaffen (Risikocontrolling) und das Verhältnis von Ertrag und Risiko zu optimieren (Risikosteuerung). Risikomanagement ist damit eine Führungsaufgabe – wie in der DIN EN ISO 31000:2018 beschrieben.

Um diese Aufgaben zu erfüllen, sind auf Führungsebene Oberziele und Strategien zur Einführung, Umsetzung und Kontrolle des Risikomanagements festzulegen. Dazu gehören

  • die Definition von Kriterien zur Einstufung und Bewertung von Risiken,
  • die Festlegung von Methoden und Instrumenten der Risikoermittlung,
  • die Delegation von Verantwortlichkeiten bei Risikoentscheidungen,
  • die Bereitstellung von Ressourcen zur Risikoabwehr,
  • die Kommunikation über die identifizierten Risiken, intern und extern, sowie
  • die Qualifikation des Personals.

Inhalte des Risikomanagements

Ein umfängliches Risikomanagement setzt sich aus den Elementen Risikobeurteilung, Risikobewältigung und Risikokommunikation zusammen. Die Risikobeurteilung ist dabei in die Teilbereiche Risikoidentifikation, Risikoanalyse und Risikobewertung untergliedert.

Der Risikomanagement-Prozess umfasst dabei:

  • die Identifikation der Risiken sowie die Beschreibung ihrer Art, Ursachen und Auswirkungen;
  • die Analyse der identifizierten Risiken in Bezug auf Eintrittswahrscheinlichkeiten und Schadensausmaß;
  • die Risikobewertung anhand festgelegten Kriterien (z. B. aus Standards und Normen);
  • die Risikobewältigung und -steuerung durch Maßnahmen, die Eintrittswahrscheinlichkeit und Schadensausmaß reduzieren und/oder die Folgen beherrschbar machen;
  • das Risikocontrolling mithilfe von Risikoindikatoren, das heißt Parametern, die Aufschluss über die aktuellen Risiken geben (Messwerte, Daten, Kennzahlen);
  • Risikoaufzeichnungen zur Dokumentation aller Vorgänge, die bei der Risikoanalyse und -beurteilung stattfinden.

Als fortlaufender Prozess über die gesamte Lebensdauer der Organisation findet das Risikomanagement als Zyklus mit den Phasen Planung, Umsetzung, Überwachung und Verbesserung (Plan – Do – Check – Act, PDCA-Zyklus) kontinuierlich statt und sollte möglichst zu einer Kultur der Risikovermeidung bzw. -lenkung führen.

Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, wird in vielen Unternehmen eine Risikomanagement-Software eingesetzt. Mit dieser wird es möglich, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren.

Reifegrade des Risikomanagements

Das Risikomanagement von Organisationen kann je nach Reifegrad unterschieden werden. Diese Reifegrade dienen der Bewertung des Risikomanagementsystems und ermöglichen ein Benchmarking als Vergleich mit anderen Einrichtungen. Nach Gleißner und Mott gibt es sechs Entwicklungsstufen.

Stufe 1: Kein Risikomanagement

Das Risikobewusstsein der Unternehmensführung ist schwach ausgeprägt, es gibt kein systematisches Vorgehen im Umgang mit Risiken. Unternehmerische Entscheidungen als Reaktion auf Gefahren werden nur bei akutem Handlungsbedarf getroffen.

Stufe 2: Schadensmanagement

Die Unternehmensführung weiß um bestimmte Risiken, daher werden bewusst Maßnahmen zur Risikoreduktion eingeleitet, etwa in den Bereichen Arbeitsschutz und Umweltschutz. Um Schäden aufgrund von selteneren und größeren Risiken vorzubeugen, wird das Risiko auf Versicherungen übertragen. Die Gefahrenbeurteilung erfolgt unsystematisch anhand von einzelnen Methoden, Risikomaßnahmenpläne werden in separaten Teams bearbeitet.

Stufe 3: Regulatorisches Risikomanagement („KonTraG-Risikomanagement“)

Das Unternehmen hat ein Risikomanagementsystem aufgebaut, das eine kontinuierliche Risikobeurteilung ermöglicht. Die Gesamtheit der Risiken wird in einem Risikoinventar abgebildet, Informationen über Verantwortlichkeiten, Umfang und Turnus werden gemäß KonTraG dokumentiert. Für Hochrisikofälle werden Risikobewältigungsstrategien entwickelt.

Stufe 4: Ökonomisches, entscheidungsorientiertes Risikomanagement

Risiken werden gesamtheitlich gesehen. Erfasst werden sowohl Gefahren als auch Chancen als negative bzw. positive Abweichungen vom prognostizierten Soll. Das Risikomanagementsystem ist, aufgrund des starken Risikobewusstseins der Unternehmensführung, umfassend und Software-gestützt. Diese wird eingesetzt, um durch Aggregation der Einzelrisiken ein Gesamtrisiko zu berechnen und mittels Simulation „bestandsbedrohende Entwicklungen“ zu verdeutlichen. Ziel ist ein flexibles Risikomanagement, das mit der Strategieentwicklung eng verknüpft ist und sich an unvorhergesehene Entwicklungen anpasst.

Risiken werden auch aus ökonomischer Sicht beurteilt, damit das Unternehmen bei wechselnden Rahmenbedingungen seine Liquidität und sein Rating beibehält. Kapitalmarktmodelle wie das Capital Asset Pricing Model (CAMP) werden eingesetzt, um mögliche Risiken und Erträge von unternehmerischen Entscheidungen abzuwägen. Diese Risikoreduktion erfolgt auch bei einer breiten Diversifikation des Portfolios und einer Verlust- und Haftungsbeschränkung.

Stufe 5: Integriertes, wertorientiertes Risikomanagement

Risikomanagementprozess und operative Ebene der Organisation sind eng miteinander verknüpft. Alle Planungen werden im Hinblick auf die Risiken bewertet (stochastische Planung), um die Planungssicherheit zu erhöhen. Auf dieser Basis wird der Wertbeitrag berechnet, den eine am Unternehmenswert orientierte Optimierung der Risikobewältigung ermöglicht. Damit können strategische Handlungsoptionen in Bezug auf Risiken bewertet werden.

Alle für die Unternehmensbewertung relevanten Risiken werden berücksichtigt; unter der Prämisse eines unvollkommenen Kapitalmarkts wird so ein Risikodeckungssatz berechnet. Für die Bewertung und die anschließende Portfoliooptimierung werden Risikomaße (wie Eigenkapitalbedarf, Ausfallwahrscheinlichkeit und Value-at-Risk) herangezogen.

Stufe 6: Embedded Risikomanagement (holistisch)

Das Risikomanagement ist im Unternehmen fest verankert, nicht nur im unternehmerischen Denken, sondern auch in der Unternehmenskultur. Die Risikoanalyse beinhaltet die Vorwegnahme der Reaktionen auf die Entwicklung interner Zielgrößen und externer Randbedingungen. Die Bewertung des risikogerechten Ertragswertes oder des Risikonutzens spiegelt die Risikopräferenz des Managements wider und ist Basis für strategische und operative Entscheidungen.

Fazit

Das Risikomanagement ist nicht nur ein notwendiges Übel, sondern kann, richtig umgesetzt, zum Erfolgsfaktor für jede Organisation werden. Das Risikomanagement ist zwar Führungsaufgabe, funktioniert aber nur dann reibungslos, wenn alle Mitarbeitenden auf jeder Unternehmensebene und in allen Abteilungen den Gedanken mittragen. Nur so können bestehende und potenzielle Risiken richtig erfasst und bewertet werden, um Gefährdungen zu minimieren. Aufgabe der Geschäftsführung ist, die Entscheidungen über Art und Umfang des Risikomanagements zu treffen. Hierbei sollten Strategien festgelegt und organisatorische Muster und Methoden definiert werden, um mögliche „bestandsbedrohende Entwicklungen“ bereits früh zu erkennen.