Risikomanagement. Identifikation, Bewertung und Handhabung von Risiken

Inhaltsverzeichnis

Abkürzungsverzeichnis

Einleitung

1. Definition
1.1. Risiko
1.2. Risikomanagement

2. Risikostrategie

3. Risikoidentifikation
3.1. Systematisierung der Risikoidentifikation
3.2. Instrumente der Risikoidentifikation
3.2.1. Operative Instrumente
3.2.2. Strategische Instrumente
3.2.3. Identifikation von unternehmensexternen Risiken
3.2.4. Identifikation unternehmensinterner Risiken

4. Risikobewertung
4.1. Komponenten des Risikos
4.2. Verfahren der Risikobewertung
4.2.1. Value at Risk
4.2.2. Monte-Carlo-Simulation
4.2.3. Scoring-Modelle
4.3. Klassifikation der Risiken

5. Risikohandhabung
5.1. Ursachenbezogene Maßnahmen
5.2. Wirkungsbezogene Maßnahmen

6. Risikocontrolling

Literaturverzeichnis (inklusive weiterführender Literatur)

Quellenverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Einleitung

Auf Unternehmen wirken Risiken wie Insolvenzen von Lieferanten, Ausfälle von IT-Systemen, Streiks, Terroranschläge, Naturkatastrophen und andere Ereignisse. Solche Risiken bewirken nicht nur Schäden bei den direkt betroffenen Unternehmen, sondern auch bei vor- und nachgelagerten Unternehmen in der Supply Chain.^[1]

Im Juli 2007 beschädigte ein Erdbeben mehrere Produktionsstätten des japanischen Kolbenringherstellers Riken, der mehr als die Hälfte des dortigen Marktes abdeckt. Damit kam es bei den acht japanischen Autobauern zu Produktionsausfällen von mehr als 100.000 Fahrzeugen.^[2]

In den letzten Jahren haben solche Risikointerdependenzen durch die weltweite Vernetzung der Supply Chains und die Umsetzung von Lean-Management- Prinzipien an Bedeutung gewonnen. Durch die Reduzierung von Sicherheitspuffern und die gestiegene Abhängigkeit von Unternehmen voneinander ist es nötig geworden, ein systematisches Risikomanagement durchzuführen, welches sich auf die gesamte Supply Chain erstreckt und nicht nur das einzelne Unternehmen fokussiert.^[3]

In den 90er-Jahren des vergangenen Jahrhunderts wurde das Risikomanagement auch gesetzlich verankert. So wurde 1992 in den USA im Report des Committee of Sponsoring Organisations of the Treadway Commission (COSO Report 1992) und in Großbritannien durch das Cadburry Committee erstmals Aspekte der internen Unternehmensüberwachung in den Pflichtenrahmen der Unternehmensgestaltung und -berichterstattung verankert. In Deutschland fand das Risikomanagement 1998 Einzug im Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG).^[4]

1. Definition

1.1. Risiko

Der Begriff des Risikos wird in der Literatur unterschiedlich diskutiert. Im Folgenden soll Risiko als eine zukünftige Entwicklung oder ein zukünftiges Ereignis verstanden werden, welches durch unzureichende Informationen eine Abweichung von Zielen auf Unternehmens- oder Supply-Chain-Ebene darstellt.^[5] Daher können Risiken auch als „Streuung“ um einen Ziel- oder Erwartungswert betrachtet werden.^[6] Risiken können dabei sowohl positive (Chancen) als auch negative (Gefahren) Ausprägungen aufweisen.^[7]

1.2. Risikomanagement

Risikomanagement ist als Prozess zu verstehen, der auf einer definierten Risikostrategie basiert, die grundsätzliche Aussagen und den groben Umgang mit Risiken beschreibt und die Identifikation, Bewertung und Aggregation von Risiken (Risikoanalyse) beinhaltet. Des Weiteren umfasst Risikomanagement die Planung und Implementierung von Maßnahmen (Risikocontrolling) sowie die Überwachung und Kommunikation von Risiken.^[8] Zur Sicherstellung eines effektiven und effizienten Risikomanagements sollten diese Aktivitäten integraler und kontinuierlicher Bestandteil des Planungs- und Kontrollprozesses sein.^[9]

Die Aufgaben des Risikomanagements lassen sich wie folgt als Kreislauf darstellen:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1-1: Regelkreis des Risikomanagements^[10]

Durch ein Risikomanagement lassen sich in den nachfolgenden Fällen positive Auswirkungen auf die Unternehmensgewinne erreichen:

Shareholder Value: Die asymmetrische Informationsverteilung zwischen Management und Kapitalgebern wird durch die Prinzipal-Agent-Theorie beschrieben. Die Risikopräferenzen der beiden Parteien werden durch das Risikomanagement angeglichen und somit ein möglicher Verlust im Unternehmenswert vermieden.

Insolvenzkosten: Durch Risikomanagement sollen Insolvenzen und die dadurch entstehenden Kosten vermieden werden.

Langfristiger Wettbewerbsvorteil: Unrentable Investitionen können durch ein Risikomanagement schnell identifiziert werden.^[11]

2. Risikostrategie

Die Risikostrategie versteht sich als Teil der Unternehmensstrategie und befasst sich mit Risiken und der Risikoneigung des Unternehmens.^[12]

Der erste Schritt der Festlegung einer Risikostrategie ist die Definition der Unternehmensgrundsätze. Gleichzeitig muss eine Risikokultur als Bestandteil der Unternehmenskultur implementiert werden. Dadurch wird ein Normen- und Wertegerüst aufgezeigt, an dem sich die Risikostrategie orientiert und eine Sensibilität für bestehende und zukünftige Risiken geschaffen wird. Somit hat die Risikokultur eine entscheidende Bedeutung für die Funktionsfähigkeit des Risikomanagementsystems, indem eine Basis für den Umgang mit Risiken geschaffen wird.^[13]

Die Risikostrategie sollte dabei folgende Angaben enthalten:

- Einen Erfolgsmaßstab für die Abwägung von Risiko und Rendite,
- ein Limit für den Unfang des Unternehmensrisikos sowie
- eine Definition der vermeidlichen Kernrisiken und der zu transferierenden Risiken.^[14]

Bei der risikopolitischen Zielsetzung können folgende Grundsätze aufgeführt werden:

- Handlungen und Entscheidungen dürfen keine existenziell gefährdenden Risiken auslösen.
- Risiken von Erträgen müssen durch angemessene Rendite ausgeglichen werden.
- Können Risiken nicht vermieden werden, müssen sie durch Versicherungen überwälzt werden.^[15]

Die Risikobeurteilung ist im Wesentlichen von der Risikoneigung des Entscheidungsträgers abhängig. Solche Risikopräferenzfunktionen können durch Indifferenzkurven ausgedrückt werden, die die unterschiedlichen Einstellungen zum Risiko darstellen. Dabei kann zwischen risikoscheu, risikoneutral und risikofreudig unterschieden werden.^[16]

3. Risikoidentifikation

Die Risikoidentifikation hat das Ziel, frühzeitig Entwicklungen zu erkennen, die dem Unternehmen schaden können. Hierzu gehören insbesondere Tatbestände wie Risikogeschäfte, Produktionsausfälle und Gesetzesverstöße, die dem Unternehmen in der Vermögens-, Ertrags-, und/oder Finanzlage Schaden zufügen können.^[17]

3.1. Systematisierung der Risikoidentifikation

Eine wertvolle Basis der gezielten Identifikation und Analyse stellt die Systematisierung von Risiken dar. Aus diesem Grund soll nachfolgend eine Übersicht verschiedener, Supply-Chain-bezogener Risiken erstellt werden. Hierbei werden Risiken durch verschiedene Kriterien klassifiziert und in jeweils verschiedene Risikoarten unterteilt.^[18]

Eine geläufige Differenzierung von Risikoarten bezieht sich auf den Entstehungsort der Risikoursache. Dabei kann unterschieden werden, ob die Ursache des Risikos im Unternehmen selbst liegt, also ein endogenes Risiko vorliegt, oder das Risiko seinen Ursprung in der Unternehmensumwelt hat und somit ein exogenes Risiko beschreibt.^[19]

Eine weitere Methode der Systematisierung von Risiken beschreibt die progressive und die retrograde Vorgehensweise. Grundlegend ist, dass der progressive Ansatz von den Risikoursachen ausgeht und die Wirksamwerdung bis zu den Sicherheitszielen verfolgt. Anhand von Checklisten, die potenzielle Risikoereignisse auflisten, wird dies kontrolliert. Anschießend wird die Risikoauswirkung beurteilt und hinsichtlich der Beeinträchtigung der Sicherheitsziele analysiert. Durch die Splittung in Einzelkomponenten lassen sich einerseits die betrachteten Objekte potenziell absichern, andererseits kann das wahre Ausmaß des Risikos durch die Feststellung der Wechselwirkung ermittelt werden.^[20]

Die retrograde Methode beschreibt den umgekehrten Weg. Nun wird von den Sicherheitszielen ausgegangen, die in einem risikobehafteten Unternehmensbereich liegen. Dabei müssen diese Abteilungen bzw. Funktionen gezielt nach Risikopotenzialen untersucht werden.^[21]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3-1: Zusammenhang der retrograden und der progressive Vorgehensweise^[22]

3.2. Instrumente der Risikoidentifikation

Die Risikoidentifikation bietet eine Fülle von Instrumenten. Diese können sowohl zukunftsorientiert ausgerichtet sein und somit in strategische und operative Instrumente unterteilt werden, als auch gegenwartsorientiert sein und in Identifikationsmethoden von unternehmensinternen als auch -externen Risiken untergliedert werden.^[23]

3.2.1. Operative Instrumente

Zu den operativen Instrumenten gehören unter anderem Risiko-Checklisten, Fehlerbaum-Analysen, Flow-Chart-Analysen und Frühaufklärungssysteme.

Risiko-Checklisten sind einfach handhabbare und individuell gestaltbare Erhebungs- und Prüfraster, die zur Vereinheitlichung von Vorgehensweisen bei der Risikoidentifikation dienen. Die Nachteile dieser Listen liegen jedoch in der Vernachlässigung von noch unbekannten Risiken und einer Nichtberücksichtigung von Umweltveränderungen.^[24]

Fehlerbaum-Analysen geben Auskunft über das Verhalten eines Systems bzgl. dessen Risikoereignisses. Dabei wird ein unerwünschter Umstand auf seine Ursachen und gegenseitigen Abhängigkeiten hin untersucht. Durch die boolschen Operationen lassen sich die qualitativen Fehlerzusammenhänge in Bezug auf die Ausfallwahrscheinlichkeit des Systems quantitativ berechnen. Dadurch ist eine frühzeitige und ursachenorientierte Schadensverhütung möglich.^[25]

Flow-Chart-Analysen zeigen mögliche Fehlerquellen auf, die zwar innerhalb eines bestimmten Geschäftsprozesses liegen, sich aber in ihrer Wirkung im Gesamtsystem fortpflanzen können. Mit Hilfe von Datenflussdiagrammen können diese veranschaulicht werden. Logikfehler im System lassen sich somit identifizieren.^[26]

Frühaufklärungssysteme suchen kontinuierlich mit Hilfe von Indikatoren bestimmte Beobachtungsbereiche ab und signalisieren frühzeitig Gefahrenpotenziale bei Über- oder Unterschreitung von definierten Toleranzgrenzen.^[27]

3.2.2. Strategische Instrumente

Die strategischen Instrumente werden durch Ideenfindungsmethoden oder auch Prognosetechniken wie Brainstorming, Brainwriting, Szenariotechnik oder die Delphi-Methode beschrieben.^[28]

Das Brainstorming ist die wohl bekannteste Methode zur Ideenfindung. Sie wurde in den 30er-Jahren des vergangenen Jahrhunderts von dem U.S.-Amerikaner Alex Osborn entwickelt. Das Ziel des Brainstormings ist es, die positiven Aspekte einer Idee, die in einer Gruppe von maximal 12 Personen entwickelt wurde, herauszufiltern und weiterzuentwickeln. Auf diese Weise können Ideen gefunden werden, auf die eine einzelne Person nicht gekommen wäre.^[29]

Das Brainwriting, auch Methode 6-3-5 genannt, ist eine Weiterentwicklung des Brainstormings. Hierbei hat ein sechsköpfiges Team drei Minuten Zeit, fünf Ideen zu Papier zu bringen. Nach Ablauf dieser Frist werden die Ideen an den Sitznachbarn weitergegeben, der diese dann weiterentwickelt.^[30] Die Szenariotechnik beschreibt zukünftige Umweltsituationen in Form von alternativen Entwicklungen, um damit einen Prognosekorridor aufzuzeigen, der den Rahmen bildet, in dem sich die zukünftige Umweltsituation einpendelt. Der Vorteil dieser Technik liegt darin, dass Interdependenzen zwischen den Einflussgrößen der künftigen Umweltentwicklungen in den Vordergrund gestellt werden.^[31]

[...]

^[1] vgl. Kajüter (2007) S.13

^[2] vgl. Kölling (2007)

^[3] vgl. Kajüter (2007) S.13f

^[4] vgl. Hommelhoff, Mattheus (2000) S.7

^[5] vgl. Kajüter (2003b) S.323

^[6] vgl. Gleißner, Romeike (2005) S.27

^[7] vgl. Kajüter (2007) S.15

^[8] vgl. Kajüter (2003b) S.323; Kajüter (2003) S.110

^[9] vgl. Kajüter (2003) S.110

^[10] vgl. Pradel (2007) S.483

^[11] vgl. Wolf, Runzheimer (2001) S.25f

^[12] vgl. Gleißner, Romeike (2005) S.35

^[13] vgl. Schmitz, Wehrheim (2006) S.30-32

^[14] vgl. Gleißner, Romeike (2005) S.35

^[15] vgl. Schmitz, Wehrheim (2006) S.32f

^[16] vgl. Schmitz, Wehrheim (2006) S.33

^[17] vgl. Buderath, Amling (2000) S.142

^[18] vgl. Götze; Mikus (2007) S.34

^[19] vgl. Haindl (1996) S.23; Götze; Mikus (2007) S.35

^[20] vgl. Wolf, Runzheimer (2001) S.35

^[21] vgl. Wolf, Runzheimer (2001) S.35

^[22] Wolf, Runzheimer (2001) S.35

^[23] vgl. Horváth, Gleich (2000) S.111

^[24] vgl. Kajüter (2003) S.118

^[25] vgl. Wolf, Runzheimer (2001) S.36

^[26] vgl. Wolf, Runzheimer (2001) S.37

^[27] vgl. Kajüter (2003) S.118

^[28] vgl. Wolf, Runzheimer (2001) S.37

^[29] vgl. Franke, Zerres (1999)S. 25f; Rahn (2002) S. 326

^[30] vgl. Rahn (2002) S. 326

^[31] vgl. Macharzina (1999) S.622f