Die Grundlagen eines Risikomanagement-Systems

Inhaltsverzeichnis

Grundlagen zum Risikomanagement

1 Begriffsbestimmungen
1.1 "Risiko" und "Chance"
1.2 Abgrenzungen des Begriffes Risiko
1.3 Ursprung des Risikomanagements
1.4 Risk Management versus Risikomanagement

2 Kategorisierung und Systematisierung von Risiken

3 Ziele des Risikomanagements

4 Ebenen des Risikomanagements
4.1 Normatives Risikomanagement
4.2 Strategisches Risikomanagement
4.3 Operatives Risikomanagement

5 Ansätze des Risikomanagements
5.1 Menschliches Fehlverhalten als Ausgangspunkt von Risiken
5.2 Einsatz technischer Systeme als Ausgangspunkt von Risiken
5.3 Organisationsfehler als Ausgangspunkt von Risiken

6 Der Risikomanagementprozess
6.1 Phase 1: Risikoidentifizierung
6.2 Phase 2: Risikobewertung
6.3 Phase 3: Risikobewältigung
6.4 Phase 4: Risiko-Controlling

7 Rechtliche Grundlagen des Risikomanagements
7.1 Corporate Governance als Auslöser für Gesetzesänderungen
7.2 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
7.3 Kreditwesengesetz
7.4 Rechtliche Verpflichtung für Nicht-Kapitalgesellschaften
7.5 Baseler Eigenkapitalrichtlinien

Literaturverzeichnis (inklusive weiterführender Literatur)

Quellenverzeichnis

Rechtsquellenverzeichnis

Anhang

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Grundlagen zum Risikomanagement

In der folgenden Arbeit werden Begriffe des Risikomanagements definiert und voneinander abgegrenzt (1), Beispiele für verschiedene Systematisierungen von Risiken aufgezeigt (2) sowie die Ziele des Risikomanagements im Unternehmen dargestellt, die sich von den Unternehmenszielen ableiten (3). Die Aufgaben der verschiedenen Ebenen des normativen, strategischen und operativen Risikomanagements werden aufgezeigt (4), sowie verschiedene Ursachen für die Entstehung von Risiken dargestellt. Risiken können aus dem Zusammenspiel von menschlichen Versagen, dem Einsatz von technischen Systemen und Organisationsfehlern resultieren (5). Der Risikomanagementprozess mit den Phasen der Risikoidentifikation, der Risikobewertung, der Risikobewältigung sowie des Risiko-Controllings bildet die Grundlage des operativen Risikomanagements. Instrumente der Risikoidentifikation sowie Möglichkeiten der Risikobewältigung werden gezeigt (6). Risikomanagement stellt für Unternehmen eine rechtliche Verpflichtung dar, die Unternehmensführung ist verantwortlich dafür (7).

1 Begriffsbestimmungen

Für folgende Begriffe existieren in der Literatur und Praxis verschiedenartige Definitionen. Die nachfolgenden Begriffsbestimmungen sollen zu einem besseren Verständnis und einer einheitlichen Sichtweise beitragen.

1.1 "Risiko" und "Chance"

1.1.1 Definition "Risiko"

Der Begriff "Risiko" wird in der Literatur je nach Anwendungsbereich sehr unterschiedlich definiert.^[1] Vor dem Hintergrund einer systemischen Betrachtung von Unternehmen^[2], soll folgende systemorientierte Definition zugrunde gelegt werden:

"Der systemorientierten Risikoauffassung liegt eine ganzheitliche Betrachtungsweise zugrunde. Risiko wird dementsprechend verstanden als 'potentielle negative, unerwünschte und ungeplante Abweichung von den Systemzielen' bzw. als 'Summe aller Möglichkeiten, dass sich die Erwartungen eines Systems aufgrund von Störprozessen nicht erfüllen.'" (Middendorf 2005: 20; Fußnoten weggelassen)

Da diese Auffassung aber lediglich den negativen Aspekt von Risiken beschreibt, soll folgende ökonomische Definition ergänzend Anwendung finden und als Grundlage dieser Arbeit gelten:

"Im Rahmen der ökonomischen Betrachtung bedeutet Risiko, dass das tatsächliche Ergebnis einer unternehmerischen Tätigkeit vom erwarteten Ergebnis abweichen kann. Traditionell bezeichnet Risiko dabei die Schadensgefahr (reines Risiko), bei der ein das Vermögen unmittelbar minderndes Ereignis eintritt. Allerdings findet sich in einigen Bereichen ... eine breitere Definition. Dort umfasst das spekulative Risiko all diejenigen unsicheren Ereignisse, die sich durch unternehmerisches Handeln sowohl vermögensmindernd (Verlustgefahr) als auch vermögensmehrend (Chance) auswirken." (vgl. Middendorf 2005: 19 f.)

1.1.2 Definition "Chance"

Risiken können sich auch aus nicht genutzten Chancen ergeben (vgl. Wolf 2003: 40). Müller (2004) definiert Chancen als "... Ereignisse (plötzlich) und Entwicklungen (auch schleichend oder latent) interner oder externer Art, welche die Erreichung der Ziele ... positiv beeinflussen." (a.a.O.: 6)

1.2 Abgrenzungen des Begriffes Risiko

1.2.1 Risiko versus Ungewissheit

"Die Unterscheidung zwischen Risiko und Ungewissheit meint: Wenn wir nicht sicher wissen, was passieren wird, aber die Eintrittswahrscheinlichkeit kennen, ist das Risiko. Wenn wir aber noch nicht einmal die Wahrscheinlichkeit kennen, ist es Ungewissheit." (Keitsch 2004: 4)

1.2.2 Risiko versus Gefahr

Brühwiler (2003) definiert Gefahr als ".. allgemeine Bedrohung eines zielorientierten Systems." (a.a.O.: 30) Risiko stellt dagegen die ".. [n]ach Häufigkeit (Eintrittserwartung) und Auswirkung eingeschätzte, konkrete Bedrohung eines Systems bzw. einer Organisation [dar]." (ebd.: 30)

1.3 Ursprung des Risikomanagements

Der Ursprung des Risikomanagements liegt in der Versicherungspolitik größerer amerikanischer Unternehmen (Insurance Management) (vgl. Wolf, Runzheimer 2003 31) zu Beginn der 50er Jahre (vgl. Wolf 2003: 45). Ziel dieser Unternehmen war es, die Versicherungsprämien zu reduzieren, indem sie die von den Versicherungsgesellschaften geforderten unternehmensinternen Sicherheitsmaßnahmen nachweisen konnten. In den 70er Jahren hat das Risikomanagement-Konzept auch in Europa Fuß gefasst (vgl. Wolf, Runzheimer 2003 31).

1.4 Risk Management versus Risikomanagement

Die Begriffe Risk Management und Risikomanagement werden sowohl in Theorie als auch Praxis in den meisten Fällen synonym verwendet (vgl. Wolf 2003: 45). Wolf (2003) unterscheidet hingegen beide Begriffe. Er definiert Risk Management als spezielles Risikomanagement, verbreitet im anglo-amerikanischen Raum, welches sich nur mit reinen, versicherbaren Einzelrisiken befasst. Im Gegensatz dazu stellt das Risikomanagement des deutschsprachigen Raums als umfassendes Risikomanagement einen integrativen Bestandteil des Managements dar, welches Risiken in allen Entscheidungsprozessen mit Fokus auf das Gesamtrisiko berücksichtigt (vgl. a.a.O.: 45 f.).

"Risikomanagement ist in diesem Zusammenhang eine begleitende Führungsfunktion und integrativer Bestandteil der Unternehmensführung. Es stellt eine Managementaufgabe dar, das alle Institutionen, Funktionen und Instrumente der Unternehmensführung umfasst." (Wolf 2003: 46)

Die vorliegende Arbeit befasst sich inhaltlich mit der Erscheinungsweise des umfassenden Risikomanagements, die Begriffe Risk Management und Risikomanagement werden trotzdem synonym verwendet.^[3] Eine noch detailliertere Definition mit Einbezug der Anforderungen, Ziele und Aufgaben des Risikomanagements liefert Diederichs (2004):

"Das Risikomanagement als immanenter Bestandteil der Unternehmensführung stellt die Integration organisatorischer Maßnahmen, risikopolitischer Grundsätze sowie die Gesamtheit aller führungsunterstützenden Planungs-, Koordinations-, Informations- und Kontrollprozesse dar, die auf eine systematische und kontinuierliche Identifikation, Beurteilung, Steuerung und Überwachung unternehmerischer Risikopotentiale abzielen und eine Gestaltung der Risikolage des Unternehmens mit dem Ziel der Existenzsicherung ermöglichen." (a.a.O.: 15; Fußnote weggelassen)

2 Kategorisierung und Systematisierung von Risiken

In der Literatur finden sich zahlreiche Systematisierungsansätze für verschiedene Risiko-Kategorien.^[4] Grundsätzlich können Unternehmensrisiken in 3 Hauptkategorien eingeteilt werden (vgl. Abbildung 1). Zu den Risiken des leistungswirtschaftlichen Bereichs zählen alle Beschaffungs-, Produktions-, Absatz- und Technologierisiken. Die Risiken des finanzwirtschaftlichen Bereichs untergliedern sich in Liquiditätsrisiken, Marktpreisrisiken, politische Risiken, Ausfallrisiken und Kapitalstrukturrisiken. Die Risiken aus Corporate Governance ^[5] und des Managements stellen alle Risiken dar, die mit dem Ziel einer guten, verantwortungsvollen und auf langfristige Wertschöpfung ausgerichteten Unternehmensführung und Kontrolle im Zusammenhang stehen (vgl. Romeike 2005: 20 f.).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Beispiel zur Risikokategorisierung (aus Romeike 2005: 21)

Als interne Risiken werden Störpotenziale bezeichnet, die originär aus dem eigenen Betriebsgeschehen heraus resultieren und im unmittelbaren Einflussbereich der Unternehmung liegen. Externe Risiken entstehen dagegen durch unerwartete, externe Entwicklungen. Unternehmen können dabei oft, z.B. aufgrund einer nicht marktbeherrschenden Stellung, nur reaktiv Einfluss nehmen und sind damit den Auswirkungen unmittelbar ausgesetzt (vgl. Wolf 2003: 42).

Einen Überblick weiterer verschiedener Systematisierungsansätze gibt Tabelle 1 wieder. Exemplarisch folgen nachstehend Erläuterungen.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Risikoarten (aus Wolf 2003: 41)

Beispiel strategische und operative Risiken

"Strategische Risiken leiten sich aus Fehlern der strategischen Unternehmensführung ab. Diese ist umwelt- und marktorientiert und richtet ihren Fokus auf 'Entwicklungen, die sich durch Chancen und Risiken als Erfolgspotenziale umschreiben lassen.' " (Wolf 2003: 41; Fußnoten weggelassen)

"Operative Risiken ergeben sich aus Fehlentscheidungen der operativen Unternehmensführung, in deren Mittelpunkt sogenannte 'Erfolgsfaktoren' stehen. Dies sind operationalisierte Zielgrößen, über die eine Beeinflussung der Erfolgspotenziale möglich ist." (ebd.: 41 f.)

Beispiel strukturelle und prozessuale Risikoklassifizierung

Häufig werden Risiken nach strukturellen und prozessualen Gruppierungen eingeteilt. Die Ortung eines Risikos wird so erleichtert und zeigt den zuständigen Verantwortungs- und Kompetenzbereich auf, in welchen das Gefahrenpotenzial fällt. Unter strukturellen Aspekten soll der Auswirkungsort der Risiken im Firmenkonstrukt, wie z.B. in Einzelgesellschaften, Regionen oder in der Aufbauorganisation (z.B. Einkauf, Produktion, Vertrieb bzw. Sparten) eines Unternehmens verstanden werden (vgl. ebd.: 43).

"Gegenstand des prozessualen Aspektes sollen Risiken sein, die entlang der Wertschöpfungskette von Porter aufkommen können. Diese unterscheidet zwischen primären und unterstützenden Aktivitäten. Um Wettbewerbsvorteile zu erreichen, muss das Unternehmen hauptsächlich in den primären Aktivitäten einen über der Konkurrenz liegenden Mehrwert (z.B. Preis, Qualität usw.) für den Kunden erzielen." (Wolf 2003: 43 Fußnoten weggelassen)

Aus diesem Grund muss der Hauptansatzpunkt des Risikomanagements in diesem Fall auch bei den primären Aktivitäten liegen (vgl. ebd.: 43).

Beispiel singuläre und kumulative Risiken

Als Singuläre Risiken werden Störpotenziale bezeichnet, die Auswirkungen auf ein eng begrenztes Betrachtungsobjekt (z.B. Prozessschritt, Abteilung usw.) haben, ohne weitere Wirkungen zu entfalten. Das Gegenstück zu den in der Praxis selten auftretenden singulären Risiken sind kumulative Risiken, auch als Kumulrisiken bezeichnet. Charakteristisch an diesen ist die Auswirkung der Schäden an verschiedenen Stellen der Wertschöpfungskette. So folgt aus einem Absatzrückgang oftmals ein Produktrisiko. Kumulrisiken können sehr komplex sein, so dass ihre erfolgreiche Handhabung und Steuerung sehr viel Einblick in die Betriebsabläufe des Unternehmens erfordert (vgl. ebd.: 43 f.).

Beispiel Einzelrisiken und Gesamtrisiko

"Das Konglomerat der wechselseitigen Einzelrisiken verkörpert das Gesamtrisiko. Zu dessen Quantifizierung sind die Korrelationen der einzelnen Gefahrenpotenziale zu bestimmen, welche Summierungs-, Potenzierungs- oder Kompensationseffekte bewirken." (ebd.: 44; Fußnote weggelassen)

3 Ziele des Risikomanagements

Unter Risikomanagementzielen sollen diejenigen Ziele verstanden werden, die die Grundlage und Ursache für den Aufbau von Risikomanagementsystemen sind. Im Rahmen des Risikomanagements dürfen diese Ziele nicht isoliert betrachtet, sondern müssen vielmehr von dem allgemeinen Zielsystem des Unternehmens abgeleitet werden." (Diederichs 2004: 12)

Die Ziele eines Unternehmens lassen sich in einen leistungswirtschaftlichen, sozialen und finanziellen Bereich unterteilen. Die verfolgte Unternehmensstrategie und -philosophie beeinflussen dabei wesentlich die Gewichtung der jeweiligen Einzelziele. Die Realisierung dieser Ziele ist jedoch nur dann möglich, wenn die dauerhafte Sicherung des Unternehmens gewährleistet ist. Die Existenzsicherung des Unternehmens stellt somit die notwendige Bedingung für die Erreichung aller anderen unternehmerischen Ziele dar und kann demnach als Metaziel des Unternehmens gesehen werden. Die Zielsetzung des Risikomanagements liegt darin, zukünftige risikobehaftete Entwicklungen frühestmöglich zu identifizieren, zu beurteilen, zu steuern und fortlaufend zu überwachen, um die kontinuierliche Anpassung des Unternehmens an sich stetig verändernde Umfeldbedingungen sowie die Sicherung der unternehmerischen Existenz zu gewährleisten. Während die Unternehmensführung die Optimierung der einzelnen Unternehmensziele verfolgt, richtet das Risikomanagement seine Anstrengungen umfassend und systematisch gegen existenzbedrohende Abweichungen von diesen angestrebten Zielen. Dementsprechend ist Risikomanagement nicht gleichzusetzen mit Unternehmensführung, sondern notwendige Unterstützung der Unternehmensaufgaben unter dem bewussten Aspekt des Risikos. Die vollständige Beseitigung der Unternehmensrisiken oder die Schaffung absoluter Sicherheit durch eine restriktive Risikopolitik kann jedoch nicht Ziel des Risikomanagements sein (vgl. ebd.: 12 f.), da "...eine solche Vorgehensweise auch keine Chancen zulassen und letztendlich zur unternehmerischen Inaktivität führen würde." (ebd.: 13; Fußnote weggelassen)

"Zur langfristigen Sicherung von Erfolg und Existenz i.S. einer wertorientierten Unternehmensführung besteht die Zielsetzung des Risikomanagements vielmehr darin, die Chancen und Risiken der betrieblichen Geschäftstätigkeit zu identifizieren, die Konsequenzen der Übernahme von Risiken sowie den dazugehörigen Ertrag zu kennen und zu optimieren sowie die potentiell erfolgsgefährdenden Risiken zu limitieren." (Diederichs 2004: 13)

Ein konsequentes und proaktives Risikomanagement dient somit zur Erreichung der folgenden Ziele:

- Existenzsicherung
- Sicherung des zukünftigen Erfolges
- Vermeidung bzw. Senkung der Risikokosten^[6]
- Marktwertsteigerung des Unternehmens (vgl. ebd.: 13)

Abbildung 2 zeigt Ziele und Aufgaben des Risikomanagements.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Ziele und Aufgaben des Risikomanagements (aus Diederichs 2004: 14)

4 Ebenen des Risikomanagements

Vor dem Hintergrund des integrierten Managementansatzes existieren auch im Risikomanagement eine normative, eine strategische und eine operative Ebene.

4.1 Normatives Risikomanagement

Auf der normativen Ebene des Risikomanagements wird ein Bezugssystem festgelegt, welches eine Bewertung der Risiken ermöglicht. In allen Bereichen des Risikomanagements stellt das angestrebte Sicherheitsniveau ein Bezugssystem bei der Beurteilung der Risikolage und der Auswahl von Sicherungsmaßnahmen dar (vgl. Middendorf 2005: 25). Das normative Risikomanagement kommt in der Risikopolitik zum Ausdruck. Die Risikopolitik des Unternehmens formuliert die übergeordnete Leitlinie des Risikomanagements. Dazu gehören die harten Randbedingungen mit langfristigem Bestand, die "großen" und visionären Ziele sowie die verbindlichen Aussagen mit normativem Charakter zu den möglichen Risiken der Geschäftstätigkeit des Unternehmens (vgl. WEKA 2004: 9).

4.2 Strategisches Risikomanagement

Das strategische Risikomanagement kommt in der Risikostrategie zum Ausdruck als Konkretisierung der Risikopolitik. Die Risikostrategie des Unternehmens entwickelt einen bestmöglichen Weg des Unternehmens in Richtung der visionären Ziele der Risikopolitik. Dabei werden konkrete strategische Ziele geplant und Maßnahmen entwickelt, um die Ziele zu erreichen (vgl. WEKA 2004: 11). Dem operativen Risikomanagement werden risikopolitische Leitlinien vorgegeben, beispielsweise durch die Definition eines Sollzustandes der Risikolage des Unternehmens (vgl. Romeike 2004: 135). Im Rahmen der Risikomanagement-Strategie werden auch die Grundlagen für die Organisation des Risikomanagements festgesetzt, sowie bewusst Anreize gesetzt im Hinblick auf das Risikoverhalten der Mitarbeiter (vgl. Middendorf 2005: 25).

4.3 Operatives Risikomanagement

Das operative Risikomanagement setzt das strategische Risikomanagement in die Praxis um (vgl. Romeike 2004: 88).

"Das operative Risikomanagement beinhaltet den Prozess der systematischen und laufenden Risikoanalyse, -bewertung, -bewältigung und -kontrolle der Geschäftsabläufe mit dem Ziel der Gestaltung einer risikofreien Leistungserstellung." (Middendorf 2005: 25; Hervorhebung im Original)

5 Ansätze des Risikomanagements

Nachfolgende Ausführungen über die Ansätze des Risikomanagements beziehen sich auf Middendorf (2005: 31 ff.).In einer systemischen Sichtweise können Unternehmen als sozio-technische Systeme betrachtet werden^[7]. Die Beziehungen der einzelnen Teilsysteme zueinander werden durch die Struktur bzw. die Organisation des Systems bestimmt. Menschliches Fehlverhalten, technische Fehler sowie Organisationsfehler können somit Risiken erzeugen.

"Menschliches Fehlverhalten bezieht sich auf bewusstes oder unbewusstes menschliches Verhalten, das dazu führt, dass das angestrebte und erwartete Ergebnis nicht erreicht wird." (a.a.O.: 31)

"technische Fehler sind verknüpft mit dem Ausfall oder der schlechten Leistung von technischen Anlagen, Geräten und Instrumenten oder der technischen und gebäudlichen Ausstattung." (a.a.O.: 31)

"Organisationsfehler beziehen sich auf Defizite im Management und der Organisation von Unternehmen. Risiken ergeben sich hier aus einer unzureichenden Gestaltung der Rahmenbedingungen der Leistungserstellung." (a.a.O.: 31)

[...]

^[1] Vgl. Wolf, Runzheimer 2003 (29 f.), Middendorf 2005 (18 f.), Brühwiler 2003 (30 f.), Diederichs 2004 (8 f.), Romeike 2004 (102), Keitsch 2004 (4), Graf et al. Hrsg. 2003 (19 f.)

^[2] Vgl. Reinspach 2001 (18 ff.)

^[3] Wolf (2003) ist der einzige Autor der in dieser Arbeit verwendeten Literatur, welcher explizit in beide Begrifflichkeiten unterscheidet.

^[4] Vgl. Merbecks et al. 2004 (81 ff.), Middendorf 2005 (20 ff.), Romeike 2005 (20 ff.), Romeike 2003b (170), Keitsch 2004 (5 f.), Diederichs 2004 (100 ff.)

^[5] Unter Corporate Governance versteht man die "...verantwortungsvolle, auf langfristige Wertschöpfung und Steigerung des Unternehmenswertes ausgerichtete Leitung und Kontrolle von Unternehmen." (Romeike 2004: 32) Weitere Ausführungen dazu in Kapitel 7.1 .

^[6] Risikokosten setzen sich zusammen aus Versicherungsprämien, Kosten für die Schadensverhütung und den dazugehörigen Verwaltungskosten (vgl. Diederichs 2004: 13 f.).

^[7] "Umfangreiche Aufgaben erfordern zu ihrer Bewältigung den Zusammenschluss von Personen und daraus folgend die Arbeitsteilung... . Wenn dann noch entsprechende Sachmittel wie z.B. Maschinen verwendet werden, spricht man von einem sozio-technischen System, das bestimmte Ziele verfolgt." (Krallmann et al. 2002: 119)