In Deutschland wird Risikomanagement insbesondere aufgrund des Kontroll- und Transparenz-Gesetzes (KonTraG) immer noch im Wesentlichen verstanden als ein formales Organisationssystem, das rechtlich vorgegebene Mindestanforderungen (etwa des IDWPS 340 und DRS) erfüllen muss, um potenzielle Haftungsrisiken des Managements abzuwenden – und möglichst auch eine Bestandsgefährdung des Unternehmens durch zu hohe Risiken vermeiden helfen soll. Tatsächlich kann und sollte der Anspruch an das Risikomanagement eines Unternehmens wesentlich höher sein.
Risikomanagement kann einen Beitrag leisten, um Transparenz über die Planungssicherheit eines Unternehmens zu erhalten und diese zu verbessern. Die Risikoinformationen des Risikomanagements sind zudem notwendige Grundlage für fundierte unternehmerische Entscheidungen, beispielsweise um risikogerechte Kapitalkostensätze (etwa bei Impairmenttests) zu berechnen oder Ratingprognosen zu erstellen, die die Bandbreite der zukünftig möglichen Ratingentwicklungen aufzeigen. Ein derart ökonomisch verstandenes Risikomanagement bietet einen wesentlichen Mehrwert, weil die Fähigkeiten von Unternehmen verbessert werden, auch mit unvorhersehbaren Entwicklungen der Zukunft umzugehen. Risikomanagement erhöht die Qualität unternehmerischer Entscheidungen bei Unsicherheit, verbessert Krisenstabilität und Rating, reduziert die Wahrscheinlichkeit einer Insolvenz und kann zur Steigerung des Unternehmenswerts beitragen. Es schafft die Voraussetzung, um im Rahmen der Strategieentwicklung "Robuste Unternehmen" zu schaffen, die aufgrund vielfältig nutzbarer Kernkompetenzen und einer am (berechenbaren) Risikoumfang ausgerichteten Risikotragfähigkeit (Eigenkapital) mit hoher Wahrscheinlichkeit auch zukünftig erfolgreich sein werden. Und es wird möglich, den Umfang möglicher Planabweichungen und damit die Planungssicherheit darzustellen, was eine entscheidende Weiterentwicklung von Planung und Controlling bedeutet.
Risikomanagement als Werkzeug für bessere Entscheidungen
Risikomanagement ist nicht primär eine Organisationseinheit, sondern umfasst alle Funktionen und Kompetenzen im Unternehmen, die sich mit der unsicheren Zukunft und den daraus resultierenden Risiken befassen. Mit Hilfe von Risikomanagement-Funktionen wird die Unternehmensleitung in die Lage versetzt, bei ihren wesentlichen Entscheidungen (etwa bei Investitionen) die dort zu erwartenden Erträge und die damit verbundenen Gefahren (Risiken) gegeneinander abzuwägen (siehe Abbildung).
Abbildung: Rendite-Risiko-Profil und Safety-First-Ansatz
Risiko wird aus dieser Controlling-orientierten Sicht verstanden als mögliche Abweichung von einem Plan- oder Zielwert. Dies umfasst Chancen und Gefahren. Risikomanagement befasst sich damit insgesamt mit der Identifikation, Bewertung, Überwachung und Aggregation von Risiken sowie der Initiierung geeigneter Maßnahmen zur Optimierung von Risikoumfang (beispielsweise durch Versicherungen), der Erhöhung der Planungssicherheit und der Reduzierung der Wahrscheinlichkeit von Unternehmenskrisen. Letztes trägt wiederum dazu bei, das Rating eines Unternehmens zu verbessern und zu stabilisieren.
Organisatorisch ist ein modernes Risikomanagement damit weitgehend dezentral im Unternehmen verankert und viele wesentliche Risikomanagement-Funktionen werden von den sowieso vorhandenen Funktionsbereichen und den Steuerungssystemen wahrgenommen. So identifiziert das Controlling im Rahmen des Planungsprozesses und bei der Abweichungsanalyse von Budgets beispielsweise unsichere Planannahmen, schätzt diese Risiken hinsichtlich einer quantitativen Bedeutung ein und initiiert gegebenenfalls erforderliche Maßnahmen der Risikobewältigung. Die wichtigste Aufgabe eines zentralen Risikomanagements besteht darin, die im Risikomanagement insgesamt erforderlichen Aktivitäten anzustoßen und zu koordinieren, aufeinander abgestimmte Methoden und Arbeitshilfsmittel vorzugeben und durch die Aggregation (d. h. Zusammenfassung) der Einzelrisiken mit Hilfe von Simulationsverfahren den Gesamtrisikoumfang zu berechnen. Die Notwendigkeit der Aggregation der Risiken im Kontext der Unternehmensplanung erfordert das Aktivwerden einer zentralen Stelle, die hier die erforderliche Übersicht hat. Bei der Risikoaggregation wird nämlich eine große repräsentative Anzahl möglicher risikobedingter Zukunftsszenarien des Unternehmen IT-gestützt berechnet und analysiert, um so auf den realistischen risikobedingten Umfang von Verlusten (und damit dem Bedarf an teurem Eigenkapital) schließen zu können. Zudem kann so das in Anbetracht der Risiken angemessene Rating abgeleitet werden.
Erhöhung des Risikobewusstseins bei allen Mitarbeitern
Zur Verbesserung des Risikobewusstseins aller Mitarbeiter und zur Erhöhung der Effizienz und Qualität der Analyse, Aggregation, Überwachung und Steuerung der Risiken ist es erforderlich, vorhandene Managementsysteme (beispielsweise Controlling und Budgetierung), aber auch Prozess- und Qualitätsmanagement zu nutzen, um erforderliche Basisaufgaben einer risikoeffizienten Unternehmensführung mit abzudecken. So kann beispielsweise durch die systematische Erfassung von unsicheren Annahmen im Rahmen von Planung und Budgetierung und der konsequenten Erfassungen der Ursachen für eingetretene Planabweichungen ein wesentlicher Teil der Aufgaben von Risikoidentifikation und Risikoüberwachung im Kontext für Controlling und Budgetierung mit übernommen werden. Risiko ist letztlich nichts anderes als eine Ursache für mögliche Planabweichungen – und eingetretene Planabweichungen zeigen, dass ein Risiko vorhanden gewesen ist. Auch die in der Zwischenzeit vom Gesetzgeber geforderte Berücksichtigung eines Chancenmanagements (siehe HGB § 289 Abs. 1) zeigt den Weg zur Entwicklung integrierter "stochastischer" Planungs- und Unternehmenssteuerungssysteme, die den Umfang sämtlicher Planabweichung transparent darstellen, so dass diese wesentliche Informationen im Rahmen von Führungsentscheidungen berücksichtigt werden können.
Auf dem Weg zu einer risikoorientierten Unternehmensführung
Allerdings stellen sich auf dem Weg zu einer risikoorientierten Unternehmensführung auch zusätzliche Anforderungen an die von Unternehmen implementierten Methoden. Zu nennen ist beispielhaft die Notwendigkeit der Berücksichtigung subjektiv geschätzter Wahrscheinlichkeiten bei der Risikoquantifizierung, wenn (wie so oft) objektive und repräsentative Vergangenheitsdaten fehlen. Auch der Umgang mit Extremereignissen (Katastrophen), die Beurteilung des Wertbeitrags von Versicherungen, die Berücksichtigung von Risikoinformationen bei der Berechnung des "angemessenen Zinssatzes" bei der Fair Value Berechnung gemäß IFRS (IAS 36.31) sind hier zu nennen.
In dem Beitrag Risikomanagement auf dem Prüfstand – Nutzen Qualität und Herausforderungen in der Zukunftwerden im folgenden einige der wesentlichsten Herausforderungen für die zukünftige Entwicklung einer risikoorientierten Unternehmensführung, die traditionelles Risikomanagement und ein wertorientiertes strategisches Controlling integriert, zusammengefasst. Zunächst werden jedoch Kriterien für die Beurteilung der Qualität des Risikomanagements hergestellt und eine typische Entwicklungslinie des Risikomanagements skizziert.
Lesen Sie den kompletten Beitrag in der "Zeitschrift für Risk, Fraud & Governance" (ZRFG): Gleißner, W., Mott, B.: Risikomanagement auf dem Prüfstand – Nutzen Qualität und Herausforderungen in der Zukunft, in: ZRFG (Zeitschrift für Risk, Fraud & Governance), 02/2008, S. 53-63.
Download des kompletten Artikels: