Der Prozess des Risikomanagements und seine Umsetzung

Inhaltsverzeichnis

1 Einleitung

2 Vorbetrachtungen
2.1 Begriffsdefinitionen
2.1.1 Risiko
2.1.2 Risikomanagement
2.2 Rechtliche Hintergründe

3 Der Prozess des Risikomanagements
3.1 Risikoidentifikation
3.1.1 Festlegung relevanter Risikofelder
3.1.2 Methoden und Instrumente der Risikoidentifikation
3.2 Risikobewertung
3.2.1 Vorgehensweise
3.2.2 Hilfsmittel
3.2.3 Risikoaggregation
3.3 Risikosteuerung
3.3.1 Risikovermeidung
3.3.2 Risikoverminderung
3.3.3 Risikoüberwälzung
3.3.4 Risikoübernahme
3.4 Risikocontrolling

4 Entwicklung
4.1 Ergebnisse einer aktuellen Studie
4.2 Fazit

Literaturverzeichnis

1 Einleitung

Lange Zeit wurde der Umgang mit Risiken von Unternehmen vernachlässigt wenn nicht sogar ignoriert. Lediglich Banken und andere Finanzdienstleister, für die branchenbedingt ein Risikomanagement unabdingbar ist, befassen sich schon länger mit diesem Thema.

Ins Bewusstsein vieler Unternehmen kam das weite Feld des Risikomanagements erstmals mit der Verabschiedung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (kurz: KonTraG) im Jahre 1998. Seither ist eine Entwicklung erkennbar, wonach sich heute nahezu jedes Unternehmen mit dem Thema auseinandersetzt. Die Notwendigkeit von Risikomanagement in der unternehmerischen Praxis liegt dabei auf der Hand: Unternehmenserfolg geht einher mit der Wahrnehmung von Chancen - und jeder Chance stehen Risiken gegenüber.

Allerdings gibt es auch noch zahlreiche Defizite was die Umsetzung von Risikomanagement angeht. So zeigten sich kürzlich in einer Befragung ganze 37% aller befragten Unternehmen zufrieden mit der Umsetzung ihres Risikomanagementsystems - jedes vierte Unternehmen sieht sogar erheblichen Optimierungsbedarf. Für sechs von zehn Unternehmen haben die vorhandenen Defizite bereits spürbare Folgen gehabt. Nur einige Erkenntnisse der Studie, die verschiedene Ursachen für die vorhandenen Probleme sieht. Es fehle beispielsweise an unterstützenden Tools oder aber auch an einer hinreichenden Anforderungsdefinition.^[1]

Dies alles belegt, dass zwar mehr und mehr ein Bewusstsein für den Umgang mit Risikomanagement entsteht, aber zeigt auch die noch vielfach vorhandenen Schattenseiten, die es in Zukunft zu beseitigen gilt.

Im Rahmen dieser Arbeit soll zunächst im Kapitel 2 auf grundlegende Begriffe und rechtliche Hintergründe bezüglich des Themas Risikomanagement eingegangen werden. Kapitel 3 befasst sich dann mit dem eigentlichen Prozess des Risikomanagements und erläutert die einzelnen dazu notwendigen Schritte, bevor im letzten Abschnitt auf die aktuelle Umsetzungslage von Risikomanagement in deutschen Unternehmen eingegangen wird.

2 Vorbetrachtungen

2.1 Begriffsdefinitionen

2.1.1 Risiko

Der Risikobegriff findet im allgemeinen Sprachgebrauch sehr unterschiedliche Verwendungen. Dies spiegelt sich auch in der Fachliteratur wider, wo viele im Detail unterschiedliche Definitionen auftauchen.^[2] Alle diese Definitionen haben jedoch gemeinsam, dass durch ein Ereignis mit einer bestimmten Wahrscheinlichkeit Verluste eintreten.^[3] So ist das Risiko die mögliche (wahrscheinliche) Abweichung des Ist-Wertes von einem erwarteten Ergebnis. Diese Abweichung kann positiver oder auch negativer Natur sein. Positive Risiken werden als Chancen bezeichnet und stehen für das Eintreten unerwartet positiver Ereignisse.^[4] Im negativen Fall besteht die Gefahr, dass unerwünschte Ereignisse eintreten (z.B. Verluste) oder dass erwünschte Ereignisse nicht eintreten (verpasste Chancen).

Mathematisch ausgedrückt kann man ein Risiko R wie folgt definieren:

Abbildung in dieser Leseprobe nicht enthalten

Auch im Bereich der Betriebswirtschaft existieren verschiedene Ansätze für die Definition des Risiko-Begriffes. Dabei kristallisieren sich zwei Auffassungen heraus, die in der Literatur immer wieder auftauchen.

Zum einen ist dies der entscheidungsorientierte Risikobegriff: Entscheidungen werden dabei als „die Auswahl einer von zwei oder mehreren Handlungsmöglichkeiten (Alternativen), die dem Entscheidungsträger zur Realisierung eines Ziels zur Verfügung stehen“^[5] verstanden. Die Fähigkeit einer handelnden Person, Umweltentwicklungen mit absoluter Sicherheit vorherzusehen, bestimmt dabei Ursache und Ausmaß des Risikos.^[6]

Die Eintrittswahrscheinlichkeiten verschiedener Umweltzustände werden durch Informationssysteme bereitgestellt. Das Risiko wird als Gefahr angesehen, in der Phase der Willensbildung die nicht gewinn- bzw. nutzenmaximierende Handlungsalternative auszuwählen.^[7]

Dagegen sind den Entscheidungen zu Grunde liegende unsichere Informationen ausschlaggebend für Gefahren beim informationsorientierten Risikobegriff.^[8] Nicht die Entscheidung selbst, sondern die Informationsstruktur als Basis für Entscheidungen prägt das Risiko durch Unsicherheiten, Unbestimmtheiten sowie Unvollständigkeiten.^[9] Ein weiteres entscheidendes Merkmal für Risiken im unternehmerischen Sinn ist die Beeinflussung der Unternehmensziele. Demnach müssen Risiken „geeignet sein, die Entwicklung des Unternehmens nachhaltig zu beeinträchtigen. Dies setzt Bedrohungspotenziale voraus, die in der Lage sind, die wichtigsten Erfolgspotenziale des Unternehmens zu zerstören und damit die Erreichung der Unternehmensziele gefährden.“^[10] Beispiele hierfür wären zu spät erkannte Marktentwicklungen oder Fehlinvestitionen.

2.1.2 Risikomanagement

Das Risikomanagement eines Unternehmens umfasst alle Maßnahmen, die dazu dienen, Risiken zu erkennen, zu bewerten, zu steuern und zu kontrollieren. Dieser Prozess wird im Rahmen dieser Arbeit in Kapitel 3 noch näher erläutert.

Zentrale Aufgabe (und zugleich Herausforderung) des Risikomanagements ist die Abbildung des Gesamtrisikos, als Bündelung der wechselwirkenden Einzelrisiken.^[11]

Da sich die Unternehmensumwelt in einem stetigen Entwicklungsprozess befindet, muss auch das Risikomanagement permanent gestaltet werden. Risikomanagement hat eine strategische Bedeutung für die Unternehmung und ist somit eine Führungsaufgabe. Zusammenfassend kann man sagen, Risikomanagement „umfasst die gesamte Unternehmenspolitik unter besonderer Berücksichtigung der ihr innewohnenden Chancen und Risiken.“^[12]

2.2 Rechtliche Hintergründe

Am 1.5.1998 trat in Deutschland das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Kraft. Darin wurden primär die Sorgfaltspflichten der Vorstände von Aktiengesellschaften aber auch die von Geschäftsführern anderer Gesellschaftsformen gesetzlich verankert. Außerdem wurde die allgemeine Leitungsaufgabe näher beschrieben.^[13] Die Risikovorsorge des KonTraG soll Unternehmen aber nicht nur vor Verlusten durch riskante Spekulationen schützen, sondern alle sich wesentlich auf Vermögens-, Ertrags- oder Finanzlage auswirkenden Risiken frühzeitig aufzeigen. Vorstände tragen die Verantwortung für die Absicherung dieser Risiken; die Aufsichtsräte die Verantwortung für die Prüfung der Risikomanagementsysteme.^[14]

Allerdings ließ der Gesetzgeber die Art und Weise der Umsetzung offen, vielmehr delegierte er lediglich die Aufgabe der Einrichtung eines Risikofrüherkennungssystems an die Unternehmen weiter.^[15] Das System muss nach Gesetzeswortlaut nur angemessen ausgestaltet sein. Für eine angemessene Implementierung werden „ein internes Überwachungssystem, ein Controlling sowie ein Frühwarnsystem vorausgesetzt.“^[16]

Hintergrund des Gesetzes war die steigende Zahl an Insolvenzen, denn viele Unternehmen wurden erst durch das KonTraG auf die Notwendigkeit eines Risikomanagementsystems aufmerksam. Es waren zu dieser Zeit vornehmlich Unternehmen im Finanzdienstleistungssektor, die sich bereits mit Risikomanagement befasst hatten.^[17]

Die Änderungen durch das KonTraG beziehen sich im Einzelnen in erster Linie auf das Aktiengesetz, das Handelsgesetz, das Publizitätsgesetz und das Genossenschaftsgesetz. Im Rahmen dieser Arbeit soll aber nur auf die Änderungen das Risikomanagementsystem betreffend eingegangen werden.

Gesellschaften, die einen Lagebericht verfassen müssen, sind nach dem KonTraG dazu verpflichtet, „die voraussichtliche Entwicklung mit ihren wesentlichen Chancen und Risiken zu beurteilen und zu erläutern; zugrunde liegende Annahmen sind anzugeben.“^[18]

Weiterhin sollen im Lagebericht „die Risikomanagementziele und -methoden der Gesellschaft einschließlich ihrer Methoden zur Absicherung aller wichtigen Arten von Transaktionen, die im Rahmen der Bilanzierung von Sicherungsgeschäften erfasst werden, sowie die Preisänderungs-, Ausfall- und Liquiditätsrisiken sowie die Risiken aus Zahlungsstromschwankungen, denen die Gesellschaft ausgesetzt ist, jeweils in Bezug auf die Verwendung von Finanzinstrumenten durch die Gesellschaft und sofern dies für die Beurteilung der Lage oder der voraussichtlichen Entwicklung von Belang ist.“^[19]

Aussagekraft haben die dargelegten Risiken im Lagebericht allerdings nur, wenn sie einer permanenten Identifikation, Analyse, Bewertung und Steuerung unterliegen und sämtliche Maßnahmen dokumentiert werden. Nur dies kann eine objektive Prüfung durch den Abschlussprüfer gewährleisten. Gemäß § 317 Abs. 2 Satz 2 HGB stellt die Prüfung und Beurteilung des Risikofrüherkennungssystems eine Pflichtaufgabe im Rahmen des Jahresabschluss dar: „Dabei ist auch zu prüfen, ob die Chancen und Risiken der künftigen Entwicklung treffend dargestellt sind.“^[20]

Grundsätzlich wird somit unterschieden zwischen dem Risikofrüherkennungssystem, das die frühzeitige Erkennung der Risiken und die Überwachung der hierzu eingeleiteten Maßnahmen zum Gegenstand hat, und dem Risikomanagementsystem, das zusätzlich die Reaktion bzw. die Strategie auf die früherkannten Risiken umfasst. Gesetzlich verankert wurde lediglich ersteres.^[21]

„Bei einer börsennotierten Aktiengesellschaft ist außerdem im Rahmen der Prüfung zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 des Aktiengesetzes obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann.“^[22]

3 Der Prozess des Risikomanagements

Die Gesamtheit des Risikomanagements umfasst einen fortlaufenden Prozess. Fortlaufend soll hierbei bedeuten, dass es sich um einen ständigen Kreislauf handelt. Dieser beginnt mit der Identifizierung potentieller Risiken. Daran schließen die Risikobewertung sowie die Risikosteuerung an. Schließlich folgt die Risikokontrolle, mit der die Wirksamkeit und die Nachhaltigkeit der eingeleiteten Steuerungsmaßnahmen überprüft werden soll. Mit der neuerlichen Risikoidentifikation beginnt der Kreislauf von vorn.^[23]

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Avedos (2007)

Die oben stehende Abbildung fasst den beschriebenen Prozess noch einmal zusammen. Im Folgenden soll nun auf die einzelnen Phasen etwas näher eingegangen werden.

3.1 Risikoidentifikation

Ziel der Risikoidentifikation ist es, aktuelle (bestehende) sowie potentielle (zukünftige) Störfaktoren und deren Wirkungen im Gesamtzusammenhang des Unternehmensgeschehens zu identifizieren und zu analysieren.^[24]

Das Hauptaugenmerk sollte dabei auf bestandsgefährdende Risiken gerichtet sein.^[25]

In dieser Hinsicht spielt die Ausrichtung der Risikoidentifikation an der Unternehmensstrategie eine bedeutende Rolle, denn in erster Linie müssen Risiken gefunden werden, die die zentralen Erfolgsfaktoren, wie beispielsweise die Kernkompetenzen, bedrohen.

[...]

^[1] Vgl. egip (2007)

^[2] Vgl. Seibold, H. (2006), S.6

^[3] Vgl. Wallmüller (2004), S.165

^[4] Vgl. Seibold, H. (2006), S.7

^[5] Wöhe, G. (2005), S.156

^[6] Vgl. Wolf, K.; Runzheimer, W. (2003), S.29

^[7] Vgl. Imboden, C. (1983), S.7 ff.

^[8] Vgl. Braun, H. (1984), S.24

^[9] Vgl. Neubürger, K.W. (1989), S.29

^[10] Vgl. BDI (2006), S.14

^[11] Vgl. Wolf, K.; Runzheimer, W. (2003), S.31

^[12] Vgl. Brühwiler, B. (1994), S.6

^[13] Vgl. Schmitz, T.; Wehrheim, M. (2006), S.20

^[14] Vgl. ibi research (2004), S.18

^[15] Vgl. Wolf, K.; Runzheimer, W. (2003), S.24

^[16] Vgl. Schmitz, T.; Wehrheim, M. (2006), S.20

^[17] Vgl. Reichling, P. (2003), S.29

^[18] Bundesministerium der Justiz (2007), § 289 Abs. 1, Satz 4 HGB

^[19] Bundesministerium der Justiz (2007), § 289 Abs. 2, Nr. 2 HGB

^[20] Bundesministerium der Justiz (2007), § 317 Abs. 2, Satz 2 HGB

^[21] Vgl. Schmitz, T.; Wehrheim, M. (2006), S. 21

^[22] Bundesministerium der Justiz (2007), § 317 Abs. 4 HGB

^[23] Vgl. Reichling, P. (2003), S.26

^[24] Vgl. Haller, M. (1986), S.28 ff.

^[25] Vgl. Wolf, K.; Runzheimer, W. (2003), S.41