Ein Ansatz zur Integration von Risikomanagement, Sicherheitsmanagement, Compliance und IKS

Integrales Risikomanagement mit Frühwarnsystem


News

Die Wirkungspotenziale eines riskanten Finanzmanagements sind inzwischen endgültig in der Realökonomie angekommen. Alle vorbereitenden Abwehrstrategien in Form juristischer und branchenorientierter Auflagen für Unternehmen und Banken liefen am Markt vorbei. Die offensichtliche Unzulänglichkeit der bestehenden Managementinstrumente traf auf Abstraktionsgrade von Risikodarstellungen in kapitalisierten Risikostreuungen, auf die das klassische Risikomanagement nur vertrauen konnte, ohne sie in ihrer Funktionsdynamik jedoch bewältigen zu können. Das Integrale Risikomanagement ist in der Lage, solche Dynamiken nicht nur abzubilden, sondern auch noch frühzeitig managementgerecht zu kommunizieren, damit Entscheider ein klares und beherrschbares Bild erhalten und gezielte Steuerungsmaßnahmen ergreifen können.

Ziele für und Handlungsfelder in einem Integralen Risikomanagement mit Frühwarnsystem

Planungssicherheit, fundierte Entscheidungsgrundlagen sowie die Sicherung und der Ausbau des Geschäftsertrages sind die wesentlichen Ziele des Risikomanagements. Sein Ertrag liegt in der Verbesserung der Kapitalstruktur des Unternehmens. Ein erfolgreiches Risikomanagement wird gemessen an seinem Beitrag zur Kosteneffizienz und Gewinnsteigerung, zu günstigeren Kapitalbeschaffungskosten, zu besseren Finanzierungsoptionen und zur Steigerung des Unternehmenswertes. Die Unterstützung der Kontrolle und Steuerung der Wertschöpfungsprozesse und -mittel, die Einhaltung von Auflagen und Standards, die Sicherstellung methodischer Korrektheit und Gültigkeit sowie die Integration der gesamten Geschäftsrisiken sind die Handlungsfelder, die ein Risikomanagement definieren. In der gängigen Praxis und dem historischen Prozess geschuldet, liegt der Fokus des Risikomanagements und seiner eingesetzten Erkenntnismethoden zumeist auf den finanzwirtschaftlichen Tätigkeiten einer Unternehmung. Kreditrisiken und Marktpreisrisiken, Adressausfall- und Marktänderungsrisiken stehen hier im Vordergrund. Die jüngsten Entwicklungen bei Basel II und den MaRisk für Banken und aktuell auch für Versicherungen holen die klassischen, unternehmerischen Sicherheitsrisiken als "operationelle Risiken" konsequent in die Betrachtung des Risikomanagements. Genau an diesem Punkt entsteht für das Risikomanagement eine methodische Herausforderung. Während man im klassischen Risikomanagement der Ermittlung der Wahrscheinlichkeit und Schadenshöhe über empirische Häufigkeitsuntersuchungen begegnete (einfache und höhere Stochastik), folgte man im Sicherheitsmanagement eher analytischen Verfahren (prozessorientierte Fehler- und Schadensbaumanalysen, etc.). Zudem werden die Risikosituationen sowie -korrelationen und Ereignisabhängigkeiten mit fortschreitender, funktionaler Prozessorganisation im Unternehmen deutlicher und vielschichtiger. Die Beherrschbarkeit, Angemessenheit und Transparenz der eigenen unternehmerischen Risikolandschaft ist nur eine Seite der Medaille. Auf der anderen Seite stehen zentrale organisatorische und juristische Fragen. Corporate Governance, Risikomanagement und Compliance sind die unternehmerischen Anforderungen der Zeit. Zumeist jedoch werden diese Schlagworte lediglich für ein ausgefeiltes Marketing benutzt, unsystematisch miteinander verknüpft und unsachgemäß dargestellt.

Demgegenüber hat der Unternehmer und Entscheider sich erst einmal zu behaupten. Grundsätzlich festzuhalten ist, dass Corporate Governance die Art und Weise der Unternehmensführung an sich darstellt, das Risikomanagement eine Form der Bewältigung der Wertschöpfungsziele ist und Compliance die vorherrschenden, einzuhaltenden Rahmenbedingungen für die Unternehmungen regelt. Im Kern geht es also um die Entscheidung für eine Unternehmensphilosophie, die einzusetzenden Mittel und die Einhaltung von Reglementierungen von sozialen und wirtschaftlichen Gemeinschaften. Hierbei ist klar zwischen unternehmerischen Werten und persönlichen Wertvorstellungen zu trennen. Aus unternehmerischer Sicht ist die Aufrechterhaltung und die Steigerung der Wertschöpfung oberstes Ziel, sowohl für die Kapitaleigner als auch für die Nachhaltigkeit des Unternehmens als solches. Eine juristische, aus Auflagen resultierende Konfliktsituation kann für den unternehmerischen Entscheider nichts anderes bedeuten als ein Potenzial der negativen Beeinflussung seiner Wertschöpfung, also ein Risiko für seinen Geschäftsprozess. Der grundsätzliche Umgang mit diesem Risiko wird durch die Unternehmensphilosophie geprägt, die Bewältigung im Detail erfolgt durch die Praktiken des Risikomanagements im Rahmen der normierten Wertvorstellungen.

Sprache und Grammatik des Risikomanagements – IST-Situation

Aufgrund von auflagenorientierten Vorgaben (v. a. durch Brancheninstitutionen) und der legislativ (national sowie international) geforderten Transparenz und Kontrolle aller Unternehmensrisiken entstand ein hoch-dynamischer, jedoch zuweilen sehr unausgewogener Diskurs über die Verfahren und Praktiken, mit denen ein unternehmensweites Risikomanagement gewährleistet werden kann. Hinzu kommt die Forderung nach einem "Frühwarnsystem", um Krisensituationen vor deren Eintritt erkennen und abwenden zu können. Vor allen Dingen die Finanz- und Versicherungswirtschaft versucht dabei, ihr angestammtes Hoheitsgebiet des "quantitativen" Risikomanagements auf Risikobereiche des Unternehmens zu übertragen, die klassischerweise ein "qualitatives" Risikomanagement in Form eines Sicherheitsmanagements bewältigt. Beide Ansätze sind jedoch verpflichtet, Beiträge zu einem strategischen Risikomanagement zu leisten, um die Sicherstellung der unternehmerischen Zielerreichung zu unterstützen und zu fördern. Alle drei genannten Risikomanagementgebiete gehen unterschiedliche Wege im Einsatz der Methoden und bei der Ergebniserreichung.

Methoden der Risikoidentifikation

Die Verfahren der Risikoidentifikation reichen von analytischen Methoden (FMEA, FMECA, Fehlerbaumanalysen, Post-Mortem Analysen etc.) zu heuristischen Techniken (Delphi-Mehode, Brainstorming, Morphologischer Kasten etc.) und Mischformen (etwa die Szenariotechnik). Jede Risikoidentifikation fängt mit der Frage "Was wäre, wenn a eintritt? Und wenn a eintritt, wie zielgefährdend (c) ist dann b?" an. Sobald für a ein Ereignis oder ein Wert auftaucht, der für b hinreichend bedeutet, dass c ein (bezogen auf das Ziel) negatives Ausmaß von b darstellt, existiert eine "hypothetische" Gefahr. Die Ergebnisse sind a) Faktoren und Ursachen für die Entstehung einer Gefahr, b) Faktoren und Wirkungen der Gefahr und c) qualitative Beschreibungen für Schadensausmaße aus der Gefahr (und im strategischen Risikomanagement zudem die qualitativen Beschreibungen für Potenziale aus den Chancen). An diesem Punkt arbeiten klassisches Sicherheits- und  Risikomanagement mit den gleichen Verfahren, je nach Anwendungsgebiet, Datenverfügbarkeit und Anspruch. Lediglich das strategische Risikomanagement benutzt vornehmlich die Szenariotechnik, adaptiert und integriert aber je nach Bedarf einzelne weitere Verfahren und betrachtet nicht nur Gefahren, sondern auch Chancen. Der adäquate Einsatz analytischer Methoden in der Risikoidentifikation gewährleistet vornehmlich (zumindest bei verträglicher Anwendung), eine Widerspruchsfreiheit und Überprüfbarkeit der Ergebnisse. Die Verträglichkeit des jeweils gewählten Erklärungsmodells mit den Strukturen des Risikoobjektes ist notwendiger Weise zu beachten. Dagegen ermittelt die Anwendung heuristischer Techniken eher einen deskriptiven Indizienkatalog, der den Charakter einer (komplex beschreibenden) Hypothese bzw. Annahme aufweist. Die Überprüfung der Wahrheit und Richtigkeit der gewonnenen Erkenntnisse zeigt ausschließlich der empirische Fortgang der Welt und des Unternehmens. Die Qualität der Ergebnisse heuristischer Verfahren in der Risikoidentifikation zeigt sich also nur durch den künftigen Verlauf der betrieblichen Unternehmung. Die Szenariotechnik stellt eine Mischform dar, bei der gerade die Ermittlung der alternativen Ereignisbeschreibungen zumeist auf heuristische Verfahren zurück greift, während weitestgehend versucht wird, die Nachteile durch einen Entscheidungsbaum/Szenarioraum auszugleichen, der verschiedene Alternativen berücksichtigt.

Methoden der Risikobewertung

Die Risikobewertung transformiert nun die wert-unbestimmten Gefahren zu wertbestimmten Risiken in Form von Aussagen über die Eintrittswahrscheinlichkeit der Gefahrenursache, dem zu erwartenden Schadensausmaß der Gefahrenwirkung und einer Akzeptanzgröße. Die Ausgangsfrage wird also ergänzt um die Frage nach der Bestimmung des wirtschaftlichen Schadensumfangs und seines realen (wiederholten) Auftretens sowie nach der Tragkraft des Unternehmens. Die Akzeptanzgröße als Tragkraft des Unternehmens ergibt sich aus dem Grad der akzeptierten Planabweichung. Grundsätzlich lassen sich zwei diametrale Ansätze der Risikobewertung identifizieren, die beide nur ungenügend das eigentliche Ziel der Risikobewertung erfüllen. Die Risikobewertung soll dem unternehmerischem Entscheider darlegen, auf welche Ereignisse er sich im Sinne der Zielerreichung seiner Wertschöpfungsplanung vorbereiten soll und auf welche nicht. Im Bereich der Schadensausmaße gelingt die Darstellung durch finanzielle (klassisches Risikomanagement) und/oder klassifikatorische Aussagen (Sicherheitsmanagement). (...)

RC&A 6/2009[Den vollständigen Beitrag lesen Sie in der Fachzeitschrift "Risk, Compliance & Audit" 6/2009. Die Ausgabe ist ab 26. November 2009 lieferbar.]

 

Autoren: Richard Mayr
ist geschäftsführender Gesellschafter der Lessing IRM GmbH, Rosenheim. Christian Sierpinski ist Senior Berater bei der Lessing IRM GmbH, Rosenheim.


[Bildquelle: iStockPhoto]

 

Kommentare zu diesem Beitrag

oekoek68 /01.12.2009 21:11
Das Chancen- UND Risikomanagement rückt leider schon wieder in den Hintergrund der Unternehmenssteuerung und fällt vielfach den Einsparungen in Zeiten der Wirtschaftskrise zum Opfer...

Dabei wäre es gerade jetzt enorm wichtig Chancen-/Risikomanagement im Unternehmen zu leben und nicht bloß zu verwalten. Guidelines, Risikohandbücher, Corporate Governance und andere sinnlose Papierwerke stehen inzwischen in vielen Unternehmen. Gelebtes und pragmatisch umgesetztes Risikomanagement findet sich leider nur selten.
gereon /01.12.2009 22:12
Richtig, oekoek68. Aber wie wollen Sie das in die Köpfe der Entscheider und Mitarbeiter bringen. Wenn die Unternehmenskultur am Boden liegt haben Sie auch keine Chance eine gelebtes und pragmatisch umgesetztes Risikomanagement umzusetzen. ;-((( Was erwarten Sie von Mitarbeitern, die morgens in der Zeitung lesen, dass der Vorstand Schmiergelder in Millionen-Höhe zu verantworten hat und sich selbst die Taschen vollgestopft hat ...
ebi /02.12.2009 10:20
das thema systemische risiken ist nicht besonders neu. die buba hat bereits vor vielen jahren auf die problematik in publikationen hingewiesen. allerdings haben ausser einigen journalisten und wissenschaftlern niemand diese texte gelesen. ich frag mich auch wie man zukuenftig das thema in griff bekommen moechte. sind hedge fonds systemisch? sind rohstoffzocker ein systemisches risiko?
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.