Implementierung von Risikomanagementsystemen

Freie wissenschaftliche Arbeit zur Erlangung
des Grades eines Diplom-Kaufmanns
mit dem Thema:

Implementierung von
Risikomanagementsystemen

Lehrstuhl für Betriebswirtschaftslehre und Wirtschaftsinformatik

Bayerische Julius-Maximilians-Universität Würzburg

Daniel Sauka
29. August 2007

Inhaltsverzeichnis

Inhaltsverzeichnis ... I

Abbildungsverzeichnis ... IV

Tabellenverzeichnis ... V

1 Keine Chance ohne Risiko ... 1

1.1 Problemstellung der Arbeit ... 1

1.2 Gang der Untersuchung ... 2

2 Grundlagen des Risikomanagements ... 3

2.1 Was ist Risiko? ... 3

2.2 Risikomanagement – Alter Wein in neuen Schläuchen? ... 4

2.3 Regulatorische Rahmenbedingungen ... 4
2.3.1 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich ... 5
2.3.2 Basel II – Ein indirekter Risikomanagement-Treiber ... 6

3 Konzipierung eines umfassenden RMS ... 7

3.1 Risikopolitik als Organisationsrahmen ... 8

3.2 Risikoidentifikation ... 9
3.2.1 Kategorisierung der Risiken ... 11
3.2.2 Standardmethoden zur Risikoidentifikation ... 13
3.2.2.1 Kreativitätstechniken als analytische Suchmethoden ... 13
3.2.2.2 Checklisten als strukturierte Kollektionsmethoden ... 14
3.2.3 Prozessorientierte Identifikation operativer Risiken ... 15
3.2.3.1 Prozessmodellierung mit der EPK ... 15
3.2.3.2 Risikoadjustierte EPK ... 16
3.2.4 Vernetztes Denken zur Identifikation strategischer Risiken ... 19
3.2.4.1 Organisation als sozio-technisches System ... 19
3.2.4.2 Aufbau eines Wirkungsnetzwerkes anhand eines Fallbeispiels ... 20
3.2.5 Frühaufklärungssysteme als Instrument zur Risikoidentifikation ... 22
3.2.5.1 Kennzahlenorientierte Frühwarnsysteme ... 23
3.2.5.2 Indikatororientierte Früherkennungssysteme ... 23
3.2.5.3 Strategische Frühaufklärungssysteme ... 24

3.3 Risikobewertung ... 26
3.3.1 Qualitative Bewertungsmethodik ... 27
3.3.2 Quantitative Bewertungsmethodik ... 28
3.3.2.1 Ereignisorientierte Risikobewertung ... 29
3.3.2.2 Konsolidierung in der Risk Map ... 30
3.3.2.3 Verteilungsorientierte Risikobewertung ... 31
3.3.2.4 Value at Risk – Nicht nur für Finanzdienstleister ... 33
3.3.2.5 Cash Flow at Risk – Modifikation im industriellen Kontext ... 35
3.3.2.6 Risikoaggregation mittels Monte-Carlo-Simulation ... 37

3.4 Risikosteuerung ... 38
3.4.1 Risikovermeidung ... 39
3.4.2 Risikoverminderung ... 40
3.4.3 Risikodiversifikation ... 40
3.4.4 Risikotransfer ... 41
3.4.5 Risikovorsorge ... 42
3.4.6 Risikostrategie-Mix ... 44

3.5 Risikokontrolle ... 45

3.6 Prozessüberwachung ... 46

4 IT-Unterstützung des Risikomanagements ... 47

4.1 Risk Management-Informationssysteme (RMIS) ... 47

4.2 Anforderungen an ein modernes RMIS ... 48

4.3 Unterstützungspotenzial eines integrierten RMIS ... 48

4.4 Stand der IT-Unterstützung in der Praxis ... 51

5 Implementierung eines umfassenden RMS ... 52

5.1 Erfolgsfaktor Risikokultur und -kommunikation ... 53
5.1.1 Organisatorischer Wandel verursacht Widerstand ... 53
5.1.2 Etablierung einer unternehmensweiten Risikokultur ... 54

5.2 Generische Vorgehensweisen der Implementierung ... 56
5.2.1 Top-down-Ansatz ... 56
5.2.2 Bottom-up-Ansatz ... 58
5.3 Projektphasen zur Implementierung eines RMS ... 59

5.3.1 Projektplanung und -initiierung ... 60
5.3.2 Risikoinventur und -analyse ... 63
5.3.2.1 Risikoidentifikation im Analyse-Workshop ... 63
5.3.2.2 Risikobewertung im Analyse-Workshop ... 66
5.3.2.3 Einführung eines VaR-Systems ... 69
5.3.3 Entwicklung eines Steuerungskonzeptes ... 70
5.3.4 Organisatorische Integration des RM ... 72
5.3.4.1 Integrationsprinzip vs. Separationsprinzip ... 72
5.3.4.2 Gestaltungsempfehlungen zur RM-Organisation ... 73
5.3.4.3 Integriertes Risikoreporting mit Software-Unterstützung ... 77
5.3.5 Dokumentation und Freigabe des RMS ... 79

5.4 Pionier-Ansatz – Ein alternatives Einführungskonzept ... 81

6 Integration in bestehende Managementsysteme ... 83

6.1 Grundkonzept der Balanced Scorecard ... 84
6.1.1 Perspektivische Sicht der BSC ... 84
6.1.2 „Translating Strategy into Action“ ... 85

6.2 RM als integraler Bestandteil der BSC ... 86
6.2.1 Balanced ScorecardPlus ... 87
6.2.2 BSC mit eigenständiger Risikoperspektive ... 87
6.2.3 Balanced Chance and Risk Card (BCR-Card) ... 88
6.2.4 Erfolgsfaktoren-basierte Balanced Scorecard ... 89
6.2.5 Kritische Würdigung der Integrationsmöglichkeiten ... 89

7 Management Summary ... 91

Anhang ... 93

Quellenverzeichnis ... 98

Abkürzungsverzeichnis ... 107

1 Keine Chance ohne Risiko

Das Erwirtschaften risikoloser Gewinne über einen längeren Zeitraum ist nahezu unmöglich. Zukunft bedeutet Unsicherheit oder anders gesprochen: jede unternehmerische Entscheidung ist zwangsläufig mit Risiken verbunden [WALL04, S. 13].

In den letzten Jahren haben sich jedoch die Rahmenbedingungen für unternehmerisches Handeln hinsichtlich Komplexität und Dynamik grundlegend verändert. Entwicklungen wie die Globalisierung des Wettbewerbs, rasante Innovationen im Bereich der Informations- und Kommunikationstechnologie, der hohe internationale Wettbewerbsdruck sowie ein zunehmender Trend zur Vernetzung von Unternehmen haben dazu geführt, dass sich Unternehmen mit einer drastisch verschärften Risikosituation konfrontiert sehen [ERBE03a, S. 43]. Doch gerade ein kontrollierter und verantwortungsvoller Umgang mit diesen Risikopotenzialen eröffnet dem gewinnorietierten Unternehmen wiederum Chancen, deren Nutzung einen nachhaltigen Wettbewerbsvorteil verspricht [WALL04, S. 13].

Um aus Risiken Chancen zu machen, muss der Unternehmer sein Risiko zunächst einmal ausreichend gut kennen. Allein mit Hilfe unternehmerischer Intuition die komplexe Risikosituation des heutigen Wirtschaftsumfeldes angemessen zu erfassen erscheint illusorisch. Vor diesem Hintergrund wird die Fähigkeit eines Unternehmens, den Umgang mit Risiken durch methodische Unterstützung in Form eines Risikomanagementsystems (RMS) zu operationalisieren, zum entscheidenden Wettbewerbsfaktor [GLEI05, S. 5-6].

„Das größte Risiko unserer Zeit liegt in der Angst vor dem Risiko“

(Helmut Schoeck, österreichischer Soziologe)

1.1 Problemstellung der Arbeit

Trotz leicht rückläufiger Zahlen in jüngster Vergangenheit leidet die deutsche Wirtschaft seit Jahren unter der steigenden Anzahl an Unternehmensinsolvenzen. Allein im Jahr 2006 belief sich die Zahl auf rund 31.300 Betriebe [o.V.06, S. 3]. Nach herrschender Meinung ist diese alarmierende Entwicklung in erheblichem Maße einer mangelnden Sensibilisierung für das Risikophänomen sowie unzureichenden Kontroll- und Informationsmechanismen zuzurechnen. Die betriebswirtschaftliche Notwendigkeit in Verbindung mit neuen gesetzlichen Regelungen (z. B. dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) erfordert einen systematischen Umgang mit unternehmerischen Risiken in Gestalt eines RMS. Allerdings hat sich bisher weder in der Theorie noch in der Praxis eine geschlossene und ganzheitliche Gesamtarchitektur zur konkreten Ausgestaltung eines umfassenden RMS herauskristallisiert. Oftmals werden nur bestimmte Bereiche des Risikomanagements (RM) fokussiert, sodass die unternehmerische Risikosituation nur unvollständig berücksichtigt wird [DIED04, S. 2]. Insbesondere im Bereich der praktischen Implementierung mangelt es an einer strukturierten Vorgehensweise, um ein derartiges System organisatorisch zu verankern und in bestehende Managementsysteme zu integrieren. RM wird immer noch in weiten Teilen als gesetzlich verordnete Pflichtübung verstanden, sodass sich viele Implementierungsbemühungen lediglich auf den bloßen Nachweis eines RMS beschränken [ELFG02, S. 315; KOGL03, S. 258].

In Anbetracht dieser Defizite bleibt das Potenzial eines unternehmensweiten RMS bisher weitgehend ungenutzt. Ziel dieser Arbeit ist die Erstellung eines Leitfadens, mit dessen Hilfe ein umfassendes RM-Konzept, das nicht nur den formalen gesetzlichen Anforderungen entspricht, effektiv im Unternehmen implementiert werden kann und damit einen echten unternehmerischen Mehrwert verspricht.

1.2 Gang der Untersuchung

In Kapitel 2 werden zunächst die Grundlagen für den weiteren Verlauf dargestellt. Darunter fallen sowohl Terminologie als auch ein Überblick über die gesetzlichen Rahmenbedingungen, die in der vorliegenden Arbeit jedoch nur eine untergeordnete Rolle spielen. Im Anschluss daran wird in Kapitel 3 ein Konzept zur Ausgestaltung eines umfassenden RMS vorgestellt, das in der Lage ist, mit Hilfe eines wirkungsvollen Instrumentariums die unternehmerischen Risikopotenziale zu identifizieren und aktiv zu gestalten. Die hohe Komplexität eines in der Praxis vorwiegend dezentral geprägten RM ist ohne IT-Unterstützung kaum mehr zu bewältigen [GLEI05, S. 241]. Kapitel 4 beschäftigt sich daher mit den Möglichkeiten und Potenzialen einer Software-Unterstützung des RM inklusive einer Übersicht zum Stand der IT-Unterstützung in der betrieblichen Praxis. Basierend auf dem erarbeiteten theoretisch-konzeptionellen Fundament behandelt Kapitel 5 die praktische Umsetzung des RMS im Unternehmen. In diesem Zusammenhang werden neben der aufbauorganisatorischen Eingliederung des Systems verschiedene Ansätze zur praktischen Implementierung vorgestellt und an unternehmensspezifische Voraussetzungen geknüpft. Die Integration in bestehende Managementsysteme ist eine Kernaufgabe im Rahmen der Implementierung, denn nur so können die Erkenntnisse aus dem RM in die betrieblichen Führungsprozesse einfließen. Dieser Problemstellung widmet sich gesondert Kapitel 6, in dem verschiedene Möglichkeiten der Synchronisation des RM mit der Balanced Scorecard als ganzheitliches Managementsystem diskutiert werden.

2 Grundlagen des Risikomanagements

Zu Beginn wird aufgrund der enormen Begriffsvielfalt in der einschlägigen Literatur die zentrale Terminologie geklärt, um ein einheitliches Fundament für die weiterführenden Erläuterungen zu schaffen [WOLF03, S. 29]. Die Bedeutung des RM hat mittlerweile auch der Gesetzgeber erkannt. Daher werden im Anschluss die wichtigs-ten gesetzlichen Treiber für das RM auf nationaler Ebene diskutiert und ihre Auswirkungen auf die inhaltliche Ausgestaltung eines RMS im Unternehmen untersucht.

2.1 Was ist Risiko?

Für den Terminus des Risikos haben sich in der betriebswirtschaftlichen Literatur verschiedene Begriffsdefinitionen herausgebildet. Ausgangspunkt sämtlicher Ansätze ist jedoch die bestehende Unsicherheit zukünftiger Ereignisse und die daraus resultierende Gefahr eines Verlustes [WALL04, S. 6; WOLF03, S. 29]. Für den weiteren Verlauf dieser Arbeit wird eine ursache- und wirkungsbezogene Begriffsauffassung zugrunde gelegt, wonach unter Risiko die „Gefahr verstanden wird, dass Ereignisse (externe Faktoren) oder Entscheidungen und Handlungen (interne Faktoren) das Unternehmen daran hindern (ursachenbezogene Komponente), definierte Ziele zu erreichen bzw. Strategien erfolgreich zu realisieren (wirkungsbezogene Komponente)“ [DIED04, S. 10].

Neueren Sichtweisen gemeinsam ist die Erweiterung des klassischen Risikobegriffs um eine inhärente Chance in Form einer positiven Zielabweichung eines vorher festgelegten Zielwertes (spekulatives Risiko) [WOLF03, S. 30; MART02, S. 71]. Dementsprechend bezieht sich das Risiko nicht nur auf die Gefahr negativer Entwicklungen und Ereignisse, sondern auch auf das Versäumnis oder die mangelhafte Nutzung positiver Entwicklungsmöglichkeiten und Chancen [WALL04, S. 6].

2.2 Risikomanagement – Alter Wein in neuen Schläuchen?

RM ist sicherlich keine Modeerscheinung. Schon seit jeher ist der Umgang mit Risiken impliziter Bestandteil jeder Unternehmensführung, die mit der erforderlichen kaufmännischen Sorgfalt betrieben wird [GLEI04, S. 9]. Das entscheidende Charakteristikum traditionelle Ansätze ist in einer vorwiegend retrospektiven bzw. situativen Ausrichtung des RM zu sehen, d. h. reagiert wurde erst, wenn das Unternehmen bereits „in stürmischer See oder gar in akuter Seenot“ war. Der Schwerpunkt lag in erster Linie auf der Vermeidung von Schäden sowie der Einhaltung gesetzlicher Vorschriften (z. B. Brand- oder Arbeitsschutz) oder versicherungstechnischer Auflagen [MEIE01, S. 17; ROME03a, S. 66]. Angesicht der gestiegenen Komplexität und Dynamik der Unternehmensumwelt dürfte es jedoch kaum mehr möglich sein, allein mit Hilfe reaktiver Steuerungsmaßnahmen die verschärfte Risikosituation zu beherrschen [GLEI05, S. 7]. RM darf den Fokus nicht einseitig auf die Folgen bereits eingetretener Ereignisse richten, sondern muss den Blickwinkel um die Chancen und Risiken der zukünftigen Entwicklung erweitern. [MEIE01, S. 18]. Ein effektives RM muss zum integralen Bestandteil der Unternehmensführung avancieren. Im Sinne eines proaktiven RM-Ansatzes gilt es, zukünftige risikobehaftete Entwicklungen frühzeitig zu identifizieren, zu bewerten, zu steuern und fortlaufend zu überwachen, um die kontinuierliche Anpassung des Unternehmens an sich stetig verändernde Umfeldbedingungen sowie die Sicherung der unternehmerischen Existenz zu gewährleisten. Während die Unternehmensführung auf das Erreichen der determinierten Unternehmensziele ausgerichtet ist, betont das RM den Sicherheitsaspekt, indem Bedrohungen dieser Ziele systematisch aufgedeckt und abgewendet werden [DIED04, S. 12-13]. Die Zielsetzung des RM besteht jedoch keineswegs in der vollständigen Eliminierung aller Risiken; dies würde einem unternehmerischen Stillstand gleichkommen. Vielmehr werden durch umfassende Kenntnisse der Risiken und der Konsequenzen ihrer Übernahme Handlungsspielräume eröffnet, die ein kontrolliertes Eingehen dieser Risiken erlauben, um langfristig Erfolgspotenziale zu sichern und auszubauen [WALL04, S. 4; DENK05, S. 65].

2.3 Regulatorische Rahmenbedingungen

Insbesondere die spektakulären Unternehmenskrisen und Insolvenzen namhafter Unternehmen in den letzten Jahren (z. B. Holzmann AG, Enron, Barings, Kirch-Gruppe) haben Gesetzgeber und andere Regulierungsorgane in vielen Ländern dazu veranlasst, die Anforderungen an das RM in Unternehmen drastisch zu verschärfen [KAJÜ04, S. 12]. In Deutschland mündete diese Offensive bereits Ende der neunziger Jahre in das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das zu umfassenden Änderungen des Aktien- und Handelsrechts geführt hat [MART02, S. 37].

[...]