Vergleich von Risiko- und Qualitätsmanagementsystemen im Rahmen des St.Galler-Konzepts

Inhaltsverzeichnis

1 Einleitung
1.1 Problemstellung
1.2 Ziel der Arbeit
1.3 Gang der Arbeit

2 Risikomanagementsysteme
2.1 Einführung Managementsysteme
2.1.1 Management
2.1.2 Managementsystem
2.2 Normatives und strategisches Risikomanagement
2.2.1 Risikopolitik
2.2.2 Risikostrategie
2.3 Risikomanagementsysteme in der Praxis
2.3.1 ISO DIN EN 14971:2000
2.3.2 AS/NZS 4360:2004
2.4 Operatives Risikomanagement (Risikomanagementprozess)
2.4.1 Risiko erkennen - Risikoidentifikation
2.4.2 Risiko beurteilen - Risikoanalyse
2.4.3 Risiko beherrschen - Risikosteuerung
2.4.4 Maßnahmen überwachen - Risikokontrolle
2.4.5 Querschnittsfunktion: Risikokommunikation

3 Qualitätsmanagementsysteme
3.1 Der Begriff Qualität
3.2 Aufbau eines Qualitätsmanagementsystems
3.2.1 Qualitätsplanung
3.2.2 Qualitätslenkung
3.2.3 Qualitätssicherung
3.2.4 Qualitätsverbesserung
3.3 Qualitätsmanagement nach DIN EN ISO 9000ff:2005/2000
3.4 Erweiterung zum Total Quality Management

4 Schnittpunkte Risiko- und Qualitätsmanagementsystem
4.1 Methodik des Vergleichs der Managementsysteme
4.2 Einordnung von Qualität und Risiko in das jeweils andere Managementsystem
4.2.1 Qualität aus der Sichtweise des Risikomanagementsystems
4.2.2 Risiko aus der Sichtweise des Qualitätsmanagementsystems
4.2.3 Zwischenfazit
4.3 Schnittpunkte auf normativer und strategischer Ebene
4.4 Schnittpunkte auf operativer Ebene
4.4.1 Vergleich der operativen Prozesse
4.4.2 Verwendete Werkzeuge

5 Integriertes Managementmodell
5.1 Begriffbestimmung
5.2 Grenzen der Integrationsmöglichkeiten
5.3 Integration mit Hilfe der Balanced Scorecard
5.3.1 Grundlagen der Balanced Scorecard
5.3.2 Integration von Qualitäts- und Risikomanagement mit der Balanced Scorecard
5.4 EFQM – Business Excellence Modell
5.5 ONR 49000ff

6 Fazit

7 Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Das St. Galler Modell des integrierten Qualitätsmanagements

Abbildung 2: Vergleich VaR - CFaR

Abbildung 3: Der operative Risikomanagementprozess

Abbildung 4: Der operative Qualitätsmanagementprozess

Abbildung 5: Qualitätsmanagement nach DIN EN ISO 9001/4

Abbildung 6: Das EFQM Modell

Abbildung 7: Wirkungskette der Balanced Scorecard

Abbildung 8: Einbindung des Risikomanagements durch die FutureValue Scorecard

Abbildung 9: Integration mit Hilfe der BSC

Abbildung 10: Das EFQM Modell

Abbildung 11: Aufbau der ONR 49000ff

Abbildung 12: Der Weg von der Umwelt zum Risikomanagement

Abbildung 13: Einbindung in das Modell der ISO 9001

1 Einleitung

1.1 Problemstellung

Heutige Unternehmen existieren im Umfeld einer wachsenden Komplexität und Dynamik der Unternehmensumwelt, verursacht durch Globalisierung, Deregulierung der Märkte, sinkenden Lebenszyklen von Produkten und Dienstleistungen und raschem technologischen Fortschritt. Negative Einflüsse durch Fehlentscheidungen des Managements oder durch externe, nicht beherrschbare Faktoren können in dieser dynamischen Umgebung sehr schnell zu einer Gefährdung der Wettbewerbsfähigkeit und des Fortbestands eines Unternehmens führen.

Jede in einem Unternehmen zu treffende Entscheidung ist mit einem gewissen Risiko verbunden, denn „wirtschaftliches Handeln bedeutet auch immer, Risiken einzugehen“.^[1] In einer Umwelt, die durch steigenden Kostendruck und gleichzeitiger Forderung nach Hochverfügbarkeit von technischen Produkten und Dienstleistungen charakterisiert wird, ist alleine der reaktive Umgang mit Risiken nicht mehr ausreichend. Risiken müssen im Rahmen einer wertorientierten Unternehmensführung präventiv in einem effizienten und zielgerichteten Risikomanagementprozess identifiziert, bewertet, aggregiert und bewältigt werden.

Für Aktiengesellschaften ist Risikomanagement durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTrag) gesetzlich vorgeschrieben und durch den New Basel Capital Accord (Basel II) spielt Risikomanagement eine wichtige Rolle in der Fremdkapitalbeschaffung von Unternehmen.

Das Qualitätsmanagementsystem leistet dabei einen entscheidenden Beitrag zur Verringerung und Vermeidung von Qualitätsrisiken, sowie zur Minimierung von Prozessabweichungen, und damit Prozessrisiken. Beide Managementbereiche stehen in einer wechselseitigen Beziehung: „Gutes Qualitätsmanagement senkt die Risiken, gutes Risikomanagement steigert die Qualität“.^[2]

Dennoch herrschen in der Praxis meist beide Managementansätze als Insellösungen vor und werden nicht aktiv im Rahmen einer wertorientierten Unternehmenssteuerung integriert. Dadurch steigt die Komplexität auf Managementebene, Synergien können nicht realisiert werden und die Verteilung von Zuständigkeiten und Verantwortlichkeiten ist unklar. Zudem können Redundanzen in den Aktivitäten auftreten und die Reaktionsgeschwindigkeit des Managements wird verlangsamt.

1.2 Ziel der Arbeit

Ziel dieser Arbeit ist die Entwicklung eines Ansatzes für ein Managementsystem, welches sowohl das Qualitäts- als auch das Risikomanagementsystem integriert.

Aufbauend auf der Beschreibung eines Risikomanagementsystems und eines Qualitätsmanagementsystem sollen Schnittstellen, Gemeinsamkeiten und Unterschiede zwischen den Systemen verdeutlicht werden.

1.3 Gang der Arbeit

Als erster Gliederungspunkt wird ein Risikomanagementsystem beschrieben. Dabei wird zuerst die normative und strategische Ebene des Systems erklärt und dann, anhand von Praxisbeispielen existierender Richtlinien, der operative Risikomanagementprozess näher betrachtet. Daran anschließend werden die einzelnen Phasen vorgestellt und die verwendeten Methoden erklärt.

Der nächste Gliederungspunkt beschäftigt sich mit den Grundlagen des Qualitätsmanagements und beschreibt den Aufbau eines Qualitätsmanagementsystems. Dabei wird der operative Qualitätsmanagementprozess erläutert und die Normenreihe DIN EN ISO 9000:2000 vorgestellt. Zudem wird ein Ausblick auf das System des Total Quality Management gegeben.

Ausgehend von den beiden beschriebenen Systemen werden gezielt Schnittstellen, Gemeinsamkeiten und Gegensätze gesucht. Dazu werden Vergleiche auf normativer, strategischer und operativer Ebene durchgeführt und Schnittstellen aufgezeigt.

Abschließend wird versucht einen Ansatz zur Integration der Systeme zu finden. Dazu werden zuerst die Möglichkeiten einer Verschmelzung der Systeme kritisch diskutiert und Methoden zur Integration im Rahmen der wertorientierten Unternehmenssteuerung vorgeschlagen. Die drei betrachteten Konzepte sind das der Balanced Scorecard, das European Foundation for Quality (EFQM) - Business Excellence Modell und das Regelwerk 49000ff des Österreichischen Normeninstituts (ON).

2 Risikomanagementsysteme

2.1 Einführung Managementsysteme

2.1.1 Management

Die heute verwendeten Begriffe „Manager“ und „Management“ haben ihren etymologischen Ursprung im lateinischen Wort „maneggiare“ (= handhaben). Unter Management wird im Allgemeinen die „Leitung, Führung von Betrieben und anderen sozialen Systemen“ verstanden. Management kann nach Pischon in drei Funktionsbereiche unterschieden werden:^[3]

- Gestaltung

Bereitstellung eines institutionellen Rahmens als Basis des Managements um das Gesamtsystem Unternehmen handlungsfähig und damit auch überlebens- und entwicklungsfähig zu machen.

- Lenkung

Definition von Zielen, Erarbeiten von Maßnahmen zum Erreichen der Ziele und Kontrolle der Zielerfüllung.

- Entwicklung

Ergebnis der Gestaltungs- und Lenkungsprozesse und des organisationalen Lernens im Rahmen der Managementprozesse. Selbstständige Entwicklung und Veränderung von Wissen und Know-How.

2.1.2 Managementsystem

Allgemein versteht man unter einem Managementsystem die Gesamtheit aller organisatorischen Maßnahmen, die geeignet sind das Erreichen eines festgelegten Unternehmenszieles sicherzustellen. Charakteristika für ein Managementsystem sind:^[4]

- Das Managementsystem besitzt einen definierten Systemzweck.
- Das Managementsystem ist ein Ganzes, welches aus Teilen besteht.
- Die einzelnen Teile stehen untereinander in Beziehung und haben eine Beziehung zum Managementsystem als Ganzes.
- Jedes Managementsystem wird zweckentsprechend gemanagt um Integrität, Betrieb und Entwicklung aufrecht zu erhalten.

Managementsysteme lassen sich in Form einer logischen Kette von den verwandten Begriffen Managementkonzept und Managementmodell abgrenzen. Ein Managementkonzept stellt dabei die Meta-Ebene, den gedanklichen Rahmen des Managements dar. Das Managementmodell ist die konkretisierte Beschreibung eines Organisationsaufbaus und -ablaufs dar und kann damit als Umsetzungshilfe zur Realisierung des Konzepts betrachtet werden. Ein Managementsystem umfasst in die Realität umgesetzte Abläufe und Regelungen.^[5]

Abbildung 1: Das St. Galler Modell des integrierten Qualitätsmanagements

[Quelle: eigene Darstellung in Anlehnung an Seghezzi (Integriertes Qualitätsmanagement 2003), S. 5]

Managementsysteme können nach dem St. Galler Konzept des integrierten Managements als dreidimensionale Gebilde dargestellt werden. Man unterscheidet zwischen drei hierarchischen Ebenen als erster, drei Säulen als zweiter, und der Unternehmensentwicklung als dritter Dimension.^[6] Die Ebenen stellen das normative, das strategische und das operative Management dar. Normatives Management setzt mit Randbedingungen, Gesetzen und Normen mit hoher Verbindlichkeit einen Rahmen des Systems und definiert eine Politik im Sinne eines Grundsatzprogramms, welches langfristige und grundsätzliche Ziele enthält.^[7] Die mittlere, strategische Ebene dient der Planung und Erstellung einer Strategie, mit der die Ziele der Managementpolitik erreicht werden können. Das operative Management dient der Umsetzung und dem Betrieb des Managementsystems in Form konkreter Maßnahmen. Die drei Säulen eines Managementsystems sind Strukturen, als der Organisationsrahmen, Aktivitäten, als Träger der Leistungserstellung und Zielverwirklichung, und das Verhalten der Mitarbeiter.^[8] Die Abbildung 1 zeigt diese Unterteilung am Beispiel des Qualitätsmanagements auf.

2.2 Normatives und strategisches Risikomanagement

Die wichtigste Aktivität des normativen Managements ist die Formulierung einer Risikopolitik, welche die harten Randbedingungen und die langfristigen, übergeordneten Ziele eines Risikomanagements beschreibt. Daraus lässt sich auf strategischer Ebene eine Risikostrategie entwickeln, die mittelfristige Ziele setzt, die für Art und Größe von Risiken, die das Unternehmen betreffen, qualifiziert und quantifiziert sind.^[9]

2.2.1 Risikopolitik

Die Risikopolitik, die einen Teilbereich der allgemeinen Unternehmenspolitik darstellt, wird von der obersten Unternehmensführung bestimmt. Damit übernimmt die oberste Führung die Gesamtverantwortung für Risiko. Betrachtet man die Säule Verhalten nach dem St. Galler Konzept, so wird die Risikopolitik stark von der aus der Unternehmenskultur abgeleiteten Risikokultur beeinflusst. Einen Minimalrahmen der Risikopolitik bilden die gesetzlichen Anforderungen und Normen für Unternehmen wie beispielsweise das KonTraG oder spezifisch für Unternehmen der Medizintechnik die DIN EN ISO 14971:2000 Medizinprodukte - Anwendung des Risikomanagements auf Medizinprodukte. Ziele werden stark von den für ein Unternehmen gültigen Werten beeinflusst. Es sind zum Beispiel folgende programmatische und universelle Aussagen zu den Risikozielen zu erwarten:^[10]

- Das Unternehmen betreibt ein Risikomanagement, welches über die Erfüllung gesetzlich zutreffender Verpflichtungen hinausgeht.
- Das Unternehmen hat das Ziel, die größten Risiken für den Fortbestand des Unternehmens zu beherrschen und auf ein vertretbares Maß zu reduzieren. Es wird dabei zwischen unvermeidbaren Kernrisiken und tendenziell zu transferierenden Risiken unterschieden.
- Das Unternehmen führt ein Risikomanagement, welches die Risiken auch für Shareholder, Kunden, Mitarbeiter und sonstige Stakeholder begrenzt und ihre Werte schützt.
- Das Unternehmen geht mit neuen Technologien, mit neuen Produkten und an neuen Märkten bewusst vertretbare Risiken ein. Dabei begrenzt das Risikomanagement nicht nur möglichen Schaden und Verlust, sondern führt als aktives Chancenmanagement möglichen Nutzen und Gewinn herbei.
- Das Unternehmen setzt sich ein Limit für den eigenen Risikoumfang, aus welchem der Umfang des Eigenkapitalbedarfs ersichtlich wird.
- Das Unternehmen hat ein angestrebtes Rating-Ziel.

2.2.2 Risikostrategie

Strategische Aspekte richten die Entscheidungen und das Handeln des Unternehmens auf die normative Unternehmenspolitik und damit auf die Ziele der Unternehmung aus. [Meier 2005:144] Im Bereich des Risikomanagements legt die Risikostrategie eine Methodik zum Umgang mit Risiken fest.

Grundsätzlich kann man zwischen zwei generellen Richtungen von Strategien unterscheiden, die in der Praxis gemeinsam eingesetzt werden:^[11]

- Risiko präventiv managen: Risiken werden bereits vor ihrem Entstehen dahingehend beeinflusst, sie nicht oder in geringem Maße entstehen zu lassen
- Risiko repressiv managen: Ziel ist es das Ausmaß von bereits existenten Risiken zu minimieren Ziel der Risikostrategie als Rahmen der Risikobewältigung ist nicht die Minimierung des Unternehmensrisikos, sondern eine Optimierung des Ertrag-Risiko-Profils.^[12] Man kann vier Strategien zum Umgang mit Risiko unterscheiden:

Risikovermeidung ist die gezielte Verringerung bis hin zur Eliminierung von Risiko durch Maßnahmen, wie zum Beispiel den Ausstieg aus einem riskanten Geschäftsfeld oder Projekt. Risikovermeidung greift dabei nicht am Risiko an, sondern bewegt die Unternehmensposition.

Risikoreduzierung setzt dagegen direkt am Risiko an. Über eine ursachenorientierte Minderung der Eintrittswahrscheinlichkeit wie z.B. durch verstärkte Wartung von Maschinen oder Maßnahmen zur wirkungsorientierten Minderung der Schadenshöhe, z.B. Reduzierung der Fixkosten durch Outsourcing, wird die Risikoposition verändert, ohne Ertragsmöglichkeiten, wie bei der Vermeidung von Risiko, auszuschließen.^[13]

Risikotransfer bzw. das Überwälzen von Risiken ist ein passiver Vorgang zur Optimierung der Risikoposition. Beispiele für Maßnahmen sind der Abschluss von Versicherungen und der Einsatz von Instrumenten des Finanzmarktes, wie zum Beispiel die Absicherung von Zinsänderungen mit Derivaten. Zusätzlich können mit alternativen Risikotransfers verschiedene nicht bzw. negativ korrelierte Risiken gemeinsam abgesichert werden, wodurch sich ein risikosenkender Diversifikationseffekt ergibt.^[14]

Als vierte Strategie ist die Übernahme von Risiko durch das Unternehmen selbst zu nennen. Ein Teil des Gesamtrisikos, insbesondere die Kernrisiken, die in unmittelbaren Zusammenhang mit dem Aufbau und der Nutzung von Erfolgspotentialen zu sehen sind, muss von der Unternehmung selbst getragen werden. Hierbei spielt das Risikodeckungspotential des Unternehmens eine Rolle. Der Gesamtrisikoumfang, in der Praxis häufig durch den Value-at-Risk Ansatz bestimmt, muss durch Eigenkapital und Liquiditätsreserven abgedeckt sein.^[15]

2.3 Risikomanagementsysteme in der Praxis

Im Gegensatz zur branchenübergreifenden Norm DIN EN ISO 9000:2005/2000ff für Qualitätsmanagement gibt es für das Risikomanagement noch keine allgemein anerkannte, generalisierte Norm. Dennoch gibt es weltweit mehrere regulierende Dokumente, die sich mit dem Thema Risiko auseinandersetzen. Diese sind zumeist im Umfeld von Hochrisikobereichen, wie kernenergetischen Anlagen, Luft- und Raumfahrt, Biotechnologie, aber auch in der Lebensmittelindustrie, Medizintechnik und Softwareentwicklung, zu finden.^[16] Beispiele hierfür ist das HACCP Verfahren (Hazard Analysis & Critical Control Points) für Lebensmittel, der IEEE-Standard 1540:2001 für Softwareentwicklung, die DIN EN ISO 14971:2000 und die australische Norm AS/NZS 4360. Die beiden letztgenannten Normen werden im folgenden Abschnitt näher betrachtet, da sich aus den jeweils festgelegten operativen Risikomanagementprozessen und Prozessstufen der Normen ein idealisiertes operatives Risikomanagement ableiten lässt.

Als einen ersten Ansatz für eine an DIN EN ISO 9000:2000ff angelehnte Norm für Risikomanagement, kann man die ONR 49000ff sehen, die im Rahmen eines Arbeitskreis der Swiss Association for Quality, der Deutschen Gesellschaft für Qualität und des Österreichischen Normungsinstituts 2004 entstand. Auf diese wird im Rahmen der Betrachtung von Integrationsmöglichkeiten in Kapitel 4 näher eingegangen.

2.3.1 ISO DIN EN 14971:2000

Die ISO DIN EN 14971:2000 Medizinprodukte - Anwendung des Risikomanagements auf Medizinprodukte, kommt für Unternehmen der Branche Medizintechnik zum Tragen. ISO DIN EN 14971:2000 ist dabei stark produktbezogen und definiert Risiko als Gesundheitsrisiko des Patienten aus der Anwendung des Medizinprodukts. Neben der Gesundheit werden auch weitere zu schützende Güter wie z.B. die Umwelt explizit in der Norm erwähnt.^[17] Risikomanagement nach der branchenspezifischen Norm gliedert sich in vier aufeinander folgende Schritte. Die Phase der Risikoanalyse hat als Aufgabe mögliche Risiken zu identifizieren und zu untersuchen. In der Risikobewertung werden entdeckte Risiken quantitativ bewertet und anschließend im Rahmen der Risikokontrolle überwacht und beeinflusst. Der vierte Schritt, Informationen aus den der Produktion nachgelagerten Phasen, verlässt die Phase der Produktentstehung und ist auf die Produktanwendung und -nutzung bezogen. Durch diesen Schritt wird der Wirkungsbereich der Norm erweitert und ein Lebenszykluskonzepts in das Risikomanagement eingeführt. Über die gesamte Wertschöpfung hinweg ergeben sich von der Konzeptphase, über die Prototypenphase, die Einführung, die Produktion, die Anwendung und schließlich die Entsorgung verschiedene Risiko- und Werttreiber. Risikotreiber wirken dabei der Wertschöpfung entgegen. Der Übergang zwischen Produktentstehung und Produktnutzung ist dabei besonders unter dem Aspekt der Produkthaftung und des Gewährleistungsrechts zu sehen und entsprechend mit wirtschaftlichen Risiken behaftet. Durch den Nachweis der Konformität mit der Norm kann sich der Hersteller im Schadensfall von möglichen Haftungsansprüchen befreien.^[18] Risikomanagement nach ISO DIN EN 14971:2000 reduziert also einerseits das Risikopotential des entstehenden Medizinprodukts, aber auch die Risikoposition der Unternehmung durch Reduzierung der Risiken aus der Produkthaftung.

2.3.2 AS/NZS 4360:2004

Die australische-neuseeländische Norm AS/NZS 4360, mittlerweile in ihrer dritten Version von 2004, war 1995 die erste international anerkannte Risikomanagementnorm.^[19] Damit übernahm sie eine Vorreiterrolle und setzte Maßstäbe für die Entwicklung von Standards des Risikomanagements in anderen Regionen.^[20] AS/NZS 4360 kann anhand eines so genannten Risikomanagement-Kreislaufs, der heute in abgewandelter Form die Basis von nahezu jedem Risikomanagementsystem ist, dargestellt werden. Dieser besteht aus sieben aufeinander folgenden Phasen.

Zu Beginn der Einführung eines Risikomanagementsystems wird die Risikostrategie formuliert. Im Vergleich mit dem idealisierten Risikomanagementsystem und seiner Ausprägung in Form des normativen und strategischen Managements wie in Kapitel 2.2 beschrieben, weist die Risikostrategie nach AS/NZS 4360 sowohl normative (in Form von Zieldefinitionen), als auch strategische Aspekte (Handlungssteuerung) auf. Hauptaufgabe der Risikostrategie dieser Norm ist es, einen Rahmen des Risikomanagements zu setzen und ein Gleichgewicht zwischen Aufwand, Kosten und Ertrag zu erreichen.^[21]

Unter den Stichworten „Establish the Context“ sollen die Umgebungsparameter des Unternehmens in Form von internen und externen Einflüssen an den Risikomanagementprozess übergeben und damit der direkte Bezug zum Unternehmen geschaffen werden. Entsprechend kann man argumentieren, dass hier der Risikomanagementprozess erst an das Unternehmen angepasst werden muss, anstatt, wie im idealisierten Risikomanagementprozess, aus dem Unternehmen heraus (daher aus der Unternehmenskultur und -politik) zu entstehen.

Die zweite Phase ist die Risikoidentifikation. Hier wird versucht alle Risiken, die direkt oder indirekt auf ein Unternehmen einwirken zu identifizieren. Das Begleithandbuch der Norm empfiehlt hierfür z.B. Brainstorming, Szenario Analysen und Tools des System Engineering.

Als dritter Schritt schließt die Risikoanalyse an die Identifikation an. Hier werden Risiken qualitativ und quantitativ bewertet, diese Bewertung anschließend über eine Sensitivitätsanalyse abgesichert.^[22]

Die eigentliche Risikogewichtung wird aber erst im folgenden Schritt, der „Risk-Evaluation“, durchgeführt.

Entsprechend der Gewichtung kommen in der Risikohandhabungsphase verschiedene Maßnahmen zur Reduzierung von möglichen Schäden, aber auch zur Erhöhung der Wahrscheinlichkeit der Realisierung von Chancen im Sinne eines kombinierten Risiko- und Chancenmanagements zum Tragen.^[23]

Die beiden verbleibenden Phasen des Risikomanagements, erstens Risikokommunikation und -dokumentation, zweitens Risikokontrolle und -überwachung, sind im Gegensatz zu den bisher erwähnten Stufen prozessbegleitend und werden daher simultan zu den bisherigen Schritten durchgeführt. Aufgaben dieser Rahmenphasen sind die Dokumentation der identifizierten Risiken und der getroffenen Maßnahmen, die fortlaufende Überwachung der Entwicklung der Risikoposition des Unternehmens und die Bereitstellung einer Kommunikationsplattform, über die sich intern Risikoverantwortliche, Risikomanager und die Geschäftsführung austauschen können. Diese Plattform hat zusätzlich die Aufgabe die betroffenen Share- und Stakeholder über die Aktivitäten des Unternehmens im Kontext Risiko aufzuklären.

Mit AS/NZS 4360 wurde eine grundlegende Norm geschaffen, die in ihrem Stufensystem auch als Grundlage für den hier vorgestellten, idealisierten operativen Risikomanagementprozess verwendet wird. Als Schwachpunkt kann man das Fehlen eines Hinweises auf ein zu installierendes Frühwarnsystem sehen, als auch die pragmatisch betriebene Unterteilung in eine Vielzahl von Unterphasen, die im idealisierten Risikomanagementprozess auf vier Hauptphasen reduziert werden.^[24] Obwohl AS/NZS 4360 die Integration in das Unternehmen und die Unternehmensphilosophie stark betont, wirkt die Norm dennoch dem Unternehmen aufoktruiert. Statt einer Integration, einem Einbringen von Risikowerten in die Unternehmenskultur, sollte Risikomanagement aus der Unternehmenskultur abgeleitet werden. Die Startphase von AS/NZS 4360, die Erstellung der Risikostrategie setzt entsprechend eine Hierarchiestufe zu niedrig an.

2.4 Operatives Risikomanagement (Risikomanagementprozess)

2.4.1 Risiko erkennen - Risikoidentifikation

Der idealisierte vierstufige Risikomanagementprozess beginnt mit der Phase der Risikoidentifikation. Dieser erste Schritt zur Analyse von Risiken, und damit der Risikosituation des Unternehmens, kann in das Scannen, welches die aktive Suche nach unbekannten Risiken darstellt, und das Monitoring, der laufenden Überwachung der Entwicklung von bekannten Risiken, unterteilt werden.^[25]

In der Praxis angewandte Methoden zum Scannen lassen sich in Kollektions- und Suchverfahren unterscheiden. Kollektionsmethoden sind dabei vorwiegend zur Identifikation offensichtlicher Risiken geeignet und lassen sich teilweise auch zur Überwachung und Spezifizierung bestehender Risiken im Rahmen des Monitoring verwenden. Suchmethoden dienen zur Identifikation zukünftiger und bisher eher unbekannter Risikopotenziale.^[26]

Die in der Praxis am häufigsten benutzte Kollektionsmethode ist die Verwendung von Checklisten. Hierdurch lassen sich sehr einfach Risikoquellen identifizieren. Aufgrund des hohen Aggregationsgrads und des starren Rasters sind Checklisten tendenziell unsicher und sollten lediglich einen Ausgangspunkt in der Risikoidentifikation darstellen.^[27] Weitere Beispiele sind die SWOT-Analyse (Strength, Weakness, Opportunities and Threads), strategische Geschäftsbereichsanalysen wie die „Five Forces Analysis“ nach Porter, aber auch eine Befragung der Mitarbeiter oder externer Wissensträger. Checklisten, in Verbindung mit Mitarbeiterinterviews und Risikoworkshops können zum Self-Assessment erweitert werden, welches sich ausschließlich auf den internen Bereich der Organisation bezieht. Alternativ können auch so genannte Risikoidentifikationsmatrizen verwendet werden. Hierbei handelt es sich um systematische Tabellen, in denen die Zusammenhänge zwischen einzelnen Risikokategorien dargestellt werden.^[28]

Suchmethoden umfassen sowohl analytische Methoden wie die Fehler- Möglichkeits- und Einflussanalyse FMEA (Failure Mode and Effects Analysis), Fehlerbaumanalysen und morphologische Verfahren, als auch Kreativitätsmethoden wie Brainstorming, Delphi-Methode, 635-Methode oder Synektik. Ein Großteil der analytischen Methoden wurde aus dem Gebiet des Qualitätsmanagements übernommen. Unter ihnen spielt vor allem die FMEA eine bedeutende Rolle. Die FMEA ist ursprünglich eine Methode der Produktentstehungsphase mit dem Ziel, potentielle Fehler bei der Entwicklung eines Produktes oder eines Fertigungsverfahren frühzeitig aufzudecken und durch geeignete Maßnahmen zu vermeiden. Dazu wird eine Risikoprioritätszahl ermittelt, die aus dem Produkt von Auftretenswahrscheinlichkeit, Bedeutung für den Kunden und Entdeckungswahrscheinlichkeit gebildet wird. Entsprechend kann man die FMEA bereits als systematische, halbquantitative Risikoanalysemethode betrachten. Im Bereich Risikomanagement wird die aus der DIN 25448 Ausfalleffektanalyse abgeleitet Methode über die Produktentstehungsphase hinaus zur Produkt- und Prozessevaluierung genutzt. Durch die Einführung von System-FMEAs wurde zudem der Nachteil, dass Interdependenzen zwischen den einzelnen Komponenten des Gesamtsystems in der einfachen Prozess- und Produkt-FMEA nicht analysiert werden konnten, behoben. Eine mögliche Weiterentwicklung der FMEA kann man in der DRBFM-Methode (Design Review Based on Failure Mode) sehen. Hier wird zusätzlich zum Aufstellen der Fehlfunktionen in einem Design Review der Fokus auf zusätzliche Maßnahmen bei der Konstruktion, der Erprobung oder Fertigung gelegt und diese kritisch hinterfragt. Bei den kreativen Methoden gewinnen neben den etablierten Methoden des Brainstormings^[29], des Brainwritings^[30] und der Expertenbefragung (Delphi-Methode) auch moderne Methoden, wie die Synektik an Bedeutung. Synektik ist das Zusammenfügen von scheinbar nicht zusammenhängenden, irrelevanten Elementen und Tatbeständen.^[31] Es wird versucht, durch die Anwendung problemfremder Strukturen und Methoden zur Lösung zu kommen. Im Bezug auf Risikomanagement ist z.B. die Prüfung auf Ähnlichkeitsrisiken trotz verschiedener Ursachen eine mögliche Ausprägung.

Die Ergebnisse des Scannens werden nach Risikofeldern geordnet und in das Risikoinventar eingestellt. Die Einteilung erfolgt unternehmensspezifisch, möglich wäre z.B. eine Trennung in allgemeine externe Risiken (z.B. Naturgewalten, Gesetze, Technologien), leistungswirtschaftliche Risiken (z.B. Beschaffung, Produktion, Absatz), finanzwirtschaftliche Risiken (z.B. Kundenbonität, Marktpreise, Währungsentwicklung), Risiken aus Corporate Governance (Organisation, Führungsstil) und soziale Risiken (Umweltschutz, Arbeitsschutz).^[32] Dieses Risikoinventar ist die Grundlage des Monitoring. Falls möglich werden bereits bei der Risikoidentifikation Indikatoren aufgenommen und diese im Monitoring überwacht, wodurch ein erstes Frühwarnsystem eingeführt wird (z.B. Kundenzufriedenheit als Indikator für zukünftigen Absatz). Weitere Maßnahmen und Methoden sind beispielsweise Checklisten, die Benennung von Risikoverantwortlichen und das Durchführen von Risikoworkshops zur Überwachung der erkannten Risiken.

2.4.2 Risiko beurteilen - Risikoanalyse

Schritt zwei des idealisierten Risikomanagementprozesses beschreibt und bewertet die identifizierten Risiken.

In der qualitativen Beschreibung der entdeckten Risiken steht dabei, qualitative Beschreibung von Risiko, die Ermittlung von Ursache, Wirkung, Quelle, Ziel und Promotoren sowie Inhibitoren des Risikos und die Festlegung von Risikokenngrößen, als auch die Darstellung der Wechselwirkungen zwischen den einzelnen Risiken (z.B. Folge- oder Führungsrisiko) im Mittelpunkt.^[33] Abschließend wird die Kompetenz des Unternehmens mit dem Risiko umzugehen, abgeschätzt.

Ziel der Bewertung ist die quantitative Beschreibung der Risiken. So sind zuerst für das Einzelrisiko Schadenshöhe, Eintrittswahrscheinlichkeit und damit Nettorisiko zu ermitteln. Daraus werden Risikokennzahlen gebildet, welche in eine halbquantitative Bewertung eingehen. Ausgehend von dieser Analyse der Einzelrisiken ist das Risikoensemble mit Einbezug der Wechselwirkungen zwischen Risiken zu bewerten. Ziel dieser Risikoaggregation ist die Abschätzung des Gesamtrisikos dem das Unternehmen ausgesetzt ist. Zur Bestimmung des Gesamtrisikoumfangs, als auch für die Ermittlung von Risikokennzahlen, werden unterschiedliche, aus dem Bereich der Finanzwirtschaft entliehene, Verfahren genutzt. Die monetäre Bewertung kann dabei prinzipiell auf zwei Wegen erfolgen: Analytisch, mit einer zu Grunde gelegten Verteilungsfunktion durch das Varianz-Kovarianz Modell unter der Annahme einer Normalverteilung oder durch Simulation, wie der Szenarioanalyse auf Basis von historische Analysen oder der Monte Carlo Simulation.^[34]

Das Varianz-Kovarianz Modell lässt sich am Beispiel eines Automobilzuliefererunternehmens vereinfacht beschreiben. Das Unternehmen bezieht Rohmaterialen, deren Marktpreise gewisse tägliche Volatilitäten haben, welche aus historischen Werten ermittelt werden, aus den USA. Neben dem Risikofaktor Volatilität der Marktpreise taucht zudem der Risikofaktor Wechselkurs USD/EUR auf. Für beide Risiken kann man durch Annahme einer Normalverteilung den täglichen Value-at-Risk (VaR) bestimmen. Dieser tägliche VaR ist die mit 95% Wahrscheinlichkeit ungünstigste Marktpreisentwicklung der beiden betrachteten Faktoren Wechselkurs und Rohmaterial multipliziert mit der Menge des bezogenen Rohmaterials. Dieser Wert kann mit Hilfe von Wahrscheinlichkeitstabellen errechnet werden (Hypothesentest). Die einfachste Methode der Aggregation der VaR-Kennzahlen der Risiken wäre eine Addition der Werte. Bei dieser wird implizit eine Korrelation von eins angenommen.^[35] Die zugrunde liegende Annahme ist, dass für beide Werte der jeweils schlechteste Zustand (worst case) eintritt. Mit einer Korrelation unter eins können dagegen Risikodiversifikationseffekte realisiert werden, die den Gesamtrisikoumfang mindern.^[36] Lässt sich z.B. durch Messung der Korrelation der logarithmierten Veränderung beider Risikofaktoren über einen gewissen Zeitraum ein Korrelationswert unter 1 feststellen, so vermindert sich der gemeinsame VaR und kann über folgende Formel berechnet werden:

Abbildung in dieser Leseprobe nicht enthalten

Für eine Berechnung des Gesamtrisikos mit mehr als zwei Risikofaktoren lässt sich die Gleichung in folgende allgemeine Form bringen:

Abbildung in dieser Leseprobe nicht enthalten

Mit dem Faktor z für z(α) wird der VaR auf die gewünschte Wahrscheinlichkeit α skaliert.^[37]

Die Monte-Carlo Simulation ist dagegen ein Simulationsverfahren auf der Basis von Zufallszahlen. Ein vereinfachtes Beispiel wäre z.B. die Monte-Carlo Simulation bezogen auf eine Plan-Bilanz und Plan-Gewinn- und Verlustrechung. Die einzelnen Risiken werden den Bilanzpositionen zugeordnet, wie z.B. eine Erhöhung der Materialpreise der Position „Materialaufwand“. Nachdem alle Risiken zugeordnet sind beginnen Simulationsläufe mit Zufallswerten, wodurch sich verschiedene Szenarien mit jeweils unterschiedlichen Kombinationen von Ausprägungen von Risiken ergeben.^[38] Die Gesamtheit aller Simulationsläufe liefert eine repräsentative Stichprobe und damit aggregierte Wahrscheinlichkeitsverteilungen, die für weitere Analysen verwendet werden können.

Alternativ kann die Monte-Carlo Simulation auch zur Aggregation von Einzelrisiken verwendet werden. Für das bereits mit der Varianz-Kovarianz Methode beschriebene Beispiel würde eine Monte-Carlo Simulation folgendermaßen aufgebaut sein:

Eine generierte Folge von standardnormalverteilten Zufallszahlen wird in korrelierte Zufallszahlen überführt. Die Literatur verwendet für diesen Zweck häufig die Cholesky-Zerlegung.^[39] Diese nun korrelierten Zufallszahlenreihen dienen der Simulation der beiden Risikofaktoren, bzw. genauer definiert, der logarithmierten Veränderungen der Vermögenspositionen. Die simulierten Wertänderungen werden der Größe nach geordnet und aus dieser Verteilung der VaR, mit einer Wahrscheinlichkeit von 95%, ermittelt.

Vorteile der Varianz-Kovarianz Methode sind die Schnelligkeit und Einfachheit der Berechnung. Als Kritikpunkt kann man die Unterstellung einer Normalverteilung der Risikofaktoren sehen, die sich in einem tendenziell höheren da ungenaueren VaR-Wert widerspiegeln. Die Monte-Carlo Simulation ist dagegen genauer und flexibler. So können auch komplexe Risikofaktoren (z.B. Derivate) effizient in den Berechnungsprozess eingefügt werden.^[40] Als Nachteil ist die hohe Rechenintensität zu sehen, weswegen die Monte-Carlo Methode nicht zur täglichen Überwachung der Risiken geeignet ist, aber als Backtest die Ergebnisse einer täglichen Kontrolle mit Hilfe anderer Methoden verifizieren kann.

Das betrachtete Beispiel mit den Risikofaktoren Marktpreis und Wechselkurs wurde bis jetzt rein statisch für einen Handelstag betrachtet. Ergebnis beider vorgestellter Modelle, Varianz-Kovarianz und Monte-Carlo Simulation, ist ein aggregierter VaR-Wert, der beispielsweise mit einem Wert zu einem Zeitpunkt in der Zukunft verglichen werden kann. Dadurch lässt sich ein Vermögensverlust zwischen zwei Stichtagen ermitteln, wodurch der statische Bereich verlassen und das aggregierte Risiko in einem Szenario mit einem bestimmten Planungshorizont betrachtet wird. Dieser Vergleich der Werte zweier Stichtage setzt voraus, dass sich alle Cash-Flows zu einem Vermögenswert diskontieren und verdichten lassen, wie es z.B. bei Wertpapieren und Krediten, bei denen zukünftige Zahlungen vertraglich festgesetzt sind, der Fall ist.^[41] Für Unternehmen, deren Cash-Flows und Risiken meist aus dem operativen Geschäft stammen, sind diese Cash-Flows volatil und unsicher. Entsprechend sind in einem Risikomodell, das die Entwicklung der Risiken über einen gewissen Planungshorizont verfolgt, nicht nur Bestands-Exposures, sondern auch Cash-Flow-Exposures zu bewerten.^[42] Eine Lösung bietet das Cash-Flow-at Risk Verfahren (CFaR), welches mit Hilfe von Zufallsprozessen (Monte-Carlo Simulation) für das aggregierte Risiko die Entwicklung vom Tag der Risikoanalyse bis zum Prognosehorizont simuliert. Den Unterschied zwischen VaR und CFaR zeigt die Anwendung der beiden Modelle auf das bisher verwendete Beispiel. Angenommen sei ein Planungshorizont von 200 Handelstagen. Der VaR-Ansatz kalkuliert für jeden einzelnen Handelstag mit der aus der Aggregation berechneten, mit 95% Wahrscheinlichkeit, ungünstigsten Entwicklung des gemeinsamen Risikos. Für das Unternehmen bedeutet dies, dass es mit einer Wahrscheinlichkeit von 95% in 200 Tagen z.B. statt eines Wertes von z.B. 1,25 Euro pro kg nun 1,5 Euro pro kg bezahlen muss. Der CFaR bezieht dagegen nicht nur ein Risikoszenario in die Betrachtung mit ein, sondern simuliert alternative, sowohl positive, als auch negative Entwicklungen. Für jeden Entwicklungspfad lässt sich die Auswirkung auf das Jahresergebnis und damit die Abweichung für den Unternehmenserfolg ermitteln. Die Abweichungen werden der Größe nach geordnet und die Quantilswerte gebildet, wodurch sich der CFar als die Abweichung vom erwarteten Ergebnis, das mit 95% Wahrscheinlichkeit nicht überschritten wird, darstellen lässt. Abbildung 2 visualisiert den Unterschied zwischen den beiden Ansätzen für das betrachtete Beispiel.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Vergleich VaR - CFaR [Quelle: eigene Darstellung]

Die aus der Risikoaggregation gewonnene Verteilungsfunktion kann man direkt auf die Gewinne umrechnen und kann daraus auf den Eigenkapitalbedarf (Risk-Adjusted-Capital, RAC) des Unternehmens schließen, da zur Vermeidung einer Überschuldung so viel Eigenkapital benötigt wird, wie auch Verluste auftreten können.^[43] Zudem kann die Information über den tatsächlichen Risikoumfang eines Unternehmens direkt in die Berechnung der Kapitalkostensätze über den Weighted Average Cost of Capital (WACC) mit einfließen. Dieser kann in Abhängigkeit des Eigenkapitalbedarfs berechnet werden, wobei unterstellt wird, dass nur risikotragendes Eigenkapital auch eine Risikoprämie verdient.^[44] ] Anstatt über Kapitalmarktdaten den geeigneten Kapitalkostensatz einer Unternehmung zu berechnen, können über die Bereitstellung der Information zum Gesamtrisikoumfang Unternehmensdaten genutzt werden.

[...]

---

^[1] Gleißner, Romeike (Risikomanagement 2005), S. 7.

^[2] Gleißner, Romeike (Risikomanagement 2005), S. 166.

^[3] Vgl. Pischon, Dietfried (Integrierte Managementsysteme 1999), S. 12.

^[4] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 97.

^[5] Vgl. Seghezzi (Integriertes Qualitätsmanagement 2003), S. 210f.

^[6] Vgl. Seghezzi (Integriertes Qualitätsmanagement 2003), S. 5.

^[7] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 101.

^[8] Vgl. Seghezzi (Integriertes Qualitätsmanagement 2003), S. 6.

^[9] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 144.

^[10] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 142.

^[11] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 147.

^[12] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 36.

^[13] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 149.

^[14] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 37.

^[15] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 38.

^[16] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 127.

^[17] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 124.

^[18] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 127f.

^[19] Vgl. Schmid (Risk Management Down Under 2005), S. 25.

^[20] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 130.

^[21] Vgl. Schmid (Risk Management Down Under 2005), S. 25.

^[22] Vgl. Schmid (Risk Management Down Under 2005), S. 27.

^[23] Vgl. Schmid (Risk Management Down Under 2005), S. 27f.

^[24] Vgl. Schmid (Risk Management Down Under 2005), S. 28.

^[25] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 201f.

^[26] Vgl. Romeike, Finke (Erfolgsfaktor Risiko-Management 2003), S. 173ff.

^[27] Vgl. Romeike, Finke (Erfolgsfaktor Risiko-Management 2003), S. 175.

^[28] Vgl. Romeike, Finke (Erfolgsfaktor Risiko-Management 2003), S. 175.

^[29] Methode zur interdisziplinären Ideenfindung, bei der denkpsychologische Blockaden ausgeschaltet

werden, indem restriktiver Äußerungen und unnötige Diskussion ausgegrenzt werden und die ungezwungene Atmosphäre die Lösungsvielfalt erweitert.

^[30] 635-Methode: Sechs Teilnehmer schreiben je drei Lösungsvorschläge auf ein Blatt Papier,

nach fünf Minuten werden die Papiere z.B. reihum getauscht; die Teilnehmer können entsprechend kreative Ideen von anderen weiter verwenden

^[31] Vgl. Romeike, Finke (Erfolgsfaktor Risiko-Management 2003), S. 178.

^[32] Vgl. Romeike, Finke (Erfolgsfaktor Risiko-Management 2003), S. 179.

^[33] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 205.

^[34] Vgl. Hager (VAR-Verfahren 2003), S. 1.

^[35] Vgl. Hager (VAR-Verfahren 2003), S. 2.

^[36] Vgl. Hager (VAR-Verfahren 2003), S. 2.

^[37] Vgl. Hager (VAR-Verfahren 2003), S. 2.

^[38] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 32.

^[39] Vgl. Hager (VAR-Verfahren 2003), S. 23.

^[40] Vgl. Hager (VAR-Verfahren 2003), S. 25.

^[41] Vgl. Hager (Was ist der “Cashflow at Risk”? 2004), S. 40.

^[42] Vgl. Hager (Was ist der “Cashflow at Risk”? 2004), S. 40.

^[43] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 33.

^[44] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 34.