Obwohl Risikomanagement in deutschen Unternehmen gesetzlich vorgeschrieben ist, praktizieren es viele noch immer mangelhaft. Sei es, weil sie es nicht richtig verstehen, ihm keine Bedeutung beimessen oder nur in vergangenheitsbezogenen Daten denken. Eine risiko- und wertorientierte strategische Unternehmensführung ist jedoch der wichtigste Erfolgsfaktor eines Unternehmens. Anders lassen sich die Unwägbarkeiten der Zukunft nicht bewältigen. Jede betriebswirtschaftliche Entscheidung wird erschwert, wenn die erwarteten Erträge nicht mit den Risiken abgeglichen werden können. Ein Risikomanagement, das seinen Namen verdient, ist also eine wesentliche Voraussetzung dafür, ein gewinnbringendes Geschäft zu führen. Es ist unternehmerische Pflicht, denn nur so können Sie alle Chancen und Gefahren realistisch einschätzen und damit Verantwortung für Anteilseigner, Kunden und auch Mitarbeiter übernehmen.
Risiken managen: die Theorie
In der vernetzten globalen Wirtschaft, in der sich technologische Entwicklungen immer schneller vollziehen, sind Unternehmen mit zunehmenden Ungewissheiten konfrontiert. Risiken zu managen, sollte daher oberste Priorität haben. Das sieht auch der deutsche Gesetzgeber so: Im 1998 in Kraft getretenen Kontroll- und Transparenzgesetz (KonTraG) nimmt er Geschäftsführer in die Haftung, wenn in ihrem Unternehmen ein Risikomanagementsystem fehlt. Zudem zwingen die verschärften Kreditvergabeauflagen von Finanzinstituten durch Basel II und Basel III die Unternehmen dazu, sich verstärkt mit Risiken zu befassen. Schließlich haben bestehende Gefahren enorme Auswirkung auf die Finanzierung von Unternehmen.
Ein effizientes Risikomanagement gibt sich aber nicht mit dem Einhalten von Gesetzen zufrieden. Es geht weit darüber hinaus und ist vollständig in den gesamten Unternehmensprozess integriert. Am Anfang steht dabei die Risikoidentifikation. Die bestehenden Gefahren lassen sich unter anderem durch die Analyse möglicher Bedrohungen der Erfolgspotenziale, durch unsichere Plandaten im Controlling und durch kritische Diskussionen über die Risiken im konkreten operativen Geschäft aufdecken.
Die wichtigsten Gefahren sollten dann in einem sogenannten Risikoinventar zusammengefasst werden. Diese Liste dient im folgenden Schritt der monetären Bewertung oder Quantifizierung der Risiken. Basis dieser Klassifizierung sind in der Vergangenheit eingetretene Schäden, Vergleiche mit anderen Unternehmen oder selbst erstellte Zukunftsszenarien. Ein geeignetes Mittel, um die einzelnen Risiken miteinander zu vergleichen, ist die Kennzahl Value at Risk. Sie bestimmt ein mögliches Schadenszenario, das mit einer vorgegebenen Wahrscheinlichkeit nicht überschritten wird. Noch wichtiger als die Erfassung einzelner Gefahren ist aber das Wissen über das Gesamtrisiko. Anhand spezieller IT-gestützter Risikosimulationsmodelle lassen sich nicht nur die wichtigsten Gefahren aggregieren, sondern es kann auch der Bedarf an Eigenkapital ermittelt werden, der zu ihrer Deckung notwendig wäre.
Weitere entscheidende Bausteine eines betriebswirtschaftlichen Risikomanagements sind die Risikobewältigung, die Risikoüberwachung und das Risikoreporting. Die erste Aufgabe umfasst das Entwickeln von Strategien und Maßnahmen, um Gefahren erfolgreich und kostengünstig zu vermeiden. Die kontinuierliche Überwachung von Risiken schreibt das KonTraG detailliert vor. Auf diese Weise soll sichergestellt werden, dass Unternehmen Gefahren und deren Abwehr nicht vernachlässigen. Eine regelmäßige Berichterstattung über die bestehenden Risiken, deren Entwicklung und deren Bewältigungsstrategie ist ein logische Konsequenz daraus. Die Verantwortung für das Risikomanagement liegt immer bei der Unternehmensleitung. Den gesamten Prozess betreut allerdings idealerweise ein Fachmann, ein sogenannter Risikomanager.
Risikomanagement in der Praxis
Trotz seiner großen Bedeutung wird dem Risikomanagement in vielen Unternehmen nicht der ihm gebührende Stellenwert eingeräumt. Zwar gibt es meist einen Risikomanager, der sich um die möglichen Gefahren kümmert. Doch im Vorstand oder in der Geschäftsführung findet der Experte oft kaum Gehör.
Strategische Fragen sind für die Unternehmensführung wichtiger als eine umfassende Auseinandersetzung mit Risiken. So sind die Inventarliste möglicher Gefahren und die Aggregation der Risiken meist völlig unzureichend. Auch sind sich die Vorstände und Geschäftsführer ihrer persönlichen Haftung im Fall eines unzureichenden Risikomanagements nicht bewusst. Folglich können echte Bedrohungen weder erkannt noch vermieden werden. Selbst die Wirtschaftsprüfer sind da keine Hilfe: Viele von ihnen kennen sich mit den Anforderungen eines effizienten Risikomanagements nicht aus. Zum Beispiel sind sie nicht mit dem Prüfungsstandard 340 des Instituts der Deutschen Wirtschaftsprüfer vertraut, der die Bestimmung eines Gesamtrisikos ausdrücklich vorschreibt.
Der Nutzen des Risikomanagements
Pläne sind ein wesentlicher Bestandteil der Unternehmensführung. Risiken sind nichts anderes als mögliche Abweichungen von diesen Plänen in der Zukunft. Risikomanagement zielt darauf ab, sowohl die negativen als auch die positiven Abweichungen, die Gefahren und die Chancen, transparent zu machen, etwa anhand von Zukunftsszenarien. Das gelingt nur, wenn alle vorhandenen Informationen in einem Unternehmen offengelegt und genutzt werden. Gerade Aktienunternehmen begnügen sich oft damit, Renditen, Kapitalkosten und Risikoschätzungen anhand des Capital-Asset-Pricing-Modells (CAPM) zu berechnen, das sich an den Vergangenheitsdaten der Kapitalmärkte orientiert. Doch dieses Modell ist nur für die Annahme eines perfekten Kapitalmarkts konstruiert und kann die Realität nicht widerspiegeln.
Ein effizientes Risikomanagement ermittelt dagegen mithilfe eines IT-gestützten Simulationsprogramms realistische Bandbreiten von zukünftigen Resultaten. Dazu werden neben sorgfältig geprüften Informationen auch zukunftsbezogene Schätzungen herangezogen. Auf diese Weise kann der Risikomanager konkrete Aussagen darüber treffen, wie Verluste oder negative Planabweichungen den Eigenkapitalbedarf maximal oder minimal verändern. So können Unternehmensergebnisse wie der Cashflow stabilisiert, Kapitalkosten gesenkt, das Rating verbessert, Investitionen abgesichert und Krisen verhindert werden. Damit unterscheidet sich das Risikomanagement vom Controlling, das nur Punktprognosen liefert. Für ein optimales Ergebnis der Gefahreneinschätzung sollten Controlling und Risikomanagement eng zusammenarbeiten und dafür sorgen, dass Kennzahlen wie der Planwert im gesamten Unternehmen einheitlich verstanden werden. Darüber hinaus sollten für alle Mitarbeiter bis zum Vorstand Anreize geschaffen werden, alle wichtigen Informationen auf den Tisch zu legen und realistische Einschätzungen von Situationen abzugeben.
Die richtige Quantifizierung von Risiken
In vielen Unternehmen ist es gängige Praxis, Gefahren nach Schadenshöhe und Eintrittswahrscheinlichkeit zu bewerten und zu klassifizieren. Aber gerade ständiger Veränderung unterliegende Gefahren wie Wechselkursschwankungen, Rohstoffpreisänderungen oder Konjunkturwellen lassen sich auf diese Weise nicht ausreichend erfassen – nur schon, weil die Wahrscheinlichkeit, dass es zu einer Änderung kommt, bei 100 Prozent liegt.
Sinnvoller ist es, aufgrund einzelner Gefahren ein aggregiertes Gesamtrisiko zu ermitteln und verschiedene Zukunftsszenarien zu entwickeln. Anhand der Bandbreite der Eintrittswahrscheinlichkeiten lassen sich dann die maximalen Verluste sowie der dafür nötige Eigenkapitalbedarf ableiten. Mögliche Risikomaße, mit deren Hilfe sich die Risiken vergleichen und der Eigenkapitalbedarf berechnen lassen, sind der Value at Risk, der Conditional Value at Risk oder der Deviation Value at Risk.
Risiken als Basis für Entscheidungen
Vielfach werden unternehmerische Entscheidungen allein auf Basis der Daten des Controllings getroffen, das etwa für jede Investition oder jedes Projekt die zu erwartete Rendite mit den zu erwartenden Kosten abgleicht. Ist der Saldo positiv, wird ein Projekt befürwortet. Doch diese Vorgehensweise greift zu kurz. Ohne die Risiken realitätsnah zu erfassen, lassen sich weder die mögliche Rendite noch die Kapitalkosten exakt bestimmen. Je nach Eintrittswahrscheinlichkeit der einzelnen Gefahren sowie des Gesamtrisikos erhöhen sich sowohl die erwarteten Erträge als auch die Kosten.
Ganz wesentlich für das Fällen von Entscheidungen ist die Kenntnis des Brutto- und des Nettorisikos des Unternehmens. Ersteres erfasst alle Risiken, die bestehen, bevor man entsprechende Bewältigungsmaßnahmen entwickelt hat. Das Nettorisiko ist dann das Gefahrenpotenzial, das auch noch verbleibt, wenn die Maßnahmen ausgearbeitet oder bereits umgesetzt sind. Dieses Maß gibt die Risiken an, die sich nicht beherrschen lassen. Beide Kennzahlen, das Brutto- wie das Nettorisiko, werden in vielen Controllingabteilungen nicht aussagekräftig berechnet. Zum Beispiel wird der positive Effekt von Versicherungen auf die Bewältigung von Risiken – wie etwa Stabilisierung des Cashflows, Reduzierung von Konkurskosten oder Senkung des Eigenkapitalbedarfs – nicht erfasst.
Häufige Fehler in der Organisation des Risikomanagements
Die unzureichende Einschätzung von Risiken beginnt oft in der Geschäftsführung oder im Vorstand. Strategische Diskussionen in der Unternehmensführung sind meist wenig konkret. Weil die Manager die Kernkompetenzen, die Wettbewerbsvorteile und die Werttreiber nicht genau definieren, können sie auch mögliche Bedrohungen nicht abschätzen. Und wenn Krisen eintreten, schreiben sie deren Entstehen Zufällen zu, während sie positive Entwicklungen auf die eigenen Fähigkeiten zurückführen. Psychologen sprechen dabei von Attributionsfehlern.
Die Unternehmensführung unterlässt es zudem häufig, klare Regeln für das Risikomanagement aufzustellen. So ist in vielen Firmen nicht geklärt, wer das Risikomanagement verantwortet, wie die Gefahren identifiziert, überwacht oder vermieden werden sollen. Wenn es einen Risikomanager gibt, arbeitet der oft nicht Hand in Hand mit der Controllingabteilung. Es bestehen keine Anreizsysteme für die Mitarbeiter, Risiken realistisch einzuschätzen. Eine geeignete Maßnahme, ein solches System zu schaffen, wäre zum Beispiel das Messen der eingetretenen Planabweichungen. Außerdem fehlt die Bereitschaft, ein unternehmensspezifisches Modell zu entwickeln, das eine aussagefähige Aggregation der Risiken ermöglicht. Dazu gehört es auch, Metarisiken zu erfassen, wie das Risiko, dass Gefahren falsch bewertet wurden.
Ein weiteres wichtiges Problem ist, dass die Menschen sich in der Beurteilung von Risiken leicht überschätzen. Viele vertrauen ihrer Intuition und ihrem Bauchgefühl. Psychologische Forschungen zeigen jedoch, dass Unternehmer gerade bei Entscheidungen unter Risiko die Gefahrensituation verzerrt wahrnehmen und Fehler machen. In Verlustsituationen neigen Menschen zu riskanten Manövern, während sie in Zeiten guter Geschäfte Risiken möglichst vermeiden.
Grundsätzlich scheitert der Erfolg eines Risikomanagements an diesen Punkten:
- Die Unternehmensführung hat selbst oft kein ausreichendes Wissen über die aktuelle Entwicklung des Risikomanagements und über die existierenden Berechnungsmethoden sowie über Softwaremöglichkeiten.
- Das oberste Management lehnt es oft ab, sich mit Risiken detailliert auseinanderzusetzen und sich dazu der Wahrscheinlichkeitsrechnung zu widmen.
- Transparenz wird zwar gern gefordert. Aber so mancher Geschäftsführer oder Vorstand sieht darin auch eine Bedrohung seiner eigenen Position.
Wenn zu diesen drei Punkten noch Gier hinzukommt, ist ein Scheitern vorprogrammiert. Das hat die globale Finanzkrise eindrucksvoll belegt.
Werner Gleißner (2015): Der Vorstand und sein Risikomanager, 140 Seiten, UVK Verlag, München 2015.
[Text basierend auf Veröffentlichung von getAbstract mit freundlicher Genehmigung der FutureValue Group]