Theoretische Grundlagen zum Risikomanagement

Inhaltsverzeichnis

1 Definition Risiko
1.1 Qualitative Beschreibung von Risiko
1.2 Quantitative Beschreibung von Risiko
1.3 Wahrnehmung und Messung von Risiko

2 Gesetzliche Vorlagen, Trends
2.1 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
2.2 Basel II
2.3 Sarbanes-Oxley Act
2.4 Risikomanagement im Controlling

3 Methoden des Risikomanagements
3.1 Risikobewältigung
3.2 Business Continuity Management (BCM)
3.2.1 Krisenmanagement
3.2.2 Notfallplanung

4 Entwicklung des Risikomanagements

5 Fazit

6 Literaturverzeichnis und weiterführende Literatur

7 Anhang

Abbildungsverzeichnis

Abbildung 1: Risiko

Abbildung 2: Risikokategorien

Abbildung 3: Nettorisiko

Abbildung 4: Halbquantitative Risikokategorisierung

Abbildung 5: Bruttoschaden gegen Nettorisiko

Abbildung 6: Der BCM Lebenszyklus-Ansatz

Abbildung 7: Komponenten von BCM

Abbildung 8: Der Krisenmanagementprozess

Abbildung 9: Der Notfallplanungsprozess

Abbildung 10: Entwicklung des Risiko- und Qualitätsmanagements

Abbildung 11: Umfrage Ernest & Young: Ziele des Risikomanagementsystems

Abbildung 12: Umfrage zu Risikomanagement in KMUs: Bedeutendste Risiken

Abbildung 13: Umfrage zu Risikomanagements in KMUs: Vergleich Europa

Abbildung 14: Umfrage Ernest & Young: Risikoverständnis

Abbildung 15: Umfrage Marsh 2004: Risikoanalyse

Abbildung 16: Umfrage Marsh 2004: Qualitativer Vergleich

1 Definition Risiko

Die genaue Herkunft des Wortes „Risiko“ ist nicht eindeutig geklärt, es leitet sich wahrscheinlich aus dem frühitalienischen „risicare“ (wagen) ab, dessen Ursprung im Wort „risco“ (Klippe, die es zu Umschiffen gilt) liegt, welches wiederum aus dem griechischen „riza“ (Wurzel oder Klippe) abgeleitet werden kann.^[1]

Risiko ist untrennbar verknüpft mit den Begriffen Gefahr (als Ursache des Risikos) und Schaden (als Wirkung des Risikos). In einer weiten Fassung kann unter Risiko aber auch das symmetrische Paar Risiko und Chance verstanden werden, entsprechend zwischen einem in der Auswirkung positiven (Nutzen) und negativen Risiko (Schaden) unterschieden werden. Die vorliegende Arbeit konzentriert sich dabei auf das negative Risiko im Sinne einer Bedrohung für ein Unternehmen.

Risiko entsteht aus der Unvorhersehbarkeit der Zukunft, die unsichere Ereignisse als Grundlage für Veränderungen hervorrufen kann. Im Rahmen der Entscheidungstheorie liefert Knight 1921 einen ersten Ansatz zur möglichen Abgrenzung von Unsicherheit und Risiko:

To preserve the distinction … between the measurable uncertainty and an unmeasurable one we may use the term "risk" to designate the former and the term "uncertainty" for the latter.^[2]

Obwohl dieser Ansatz im modernen Risikomanagement nicht geeignet ist, da unternehmerische Entscheidungen kaum objektive Wahrscheinlichkeiten angeben, zeigt er die Verbindung des Risikoereignisses mit der Wahrscheinlichkeitsrechnung. Das Risiko kann somit als berechenbar und damit gleichbedeutend als steuerbar betrachtet werden.

Ein weiteres Charakteristikum des Risikos ist die Subjektivität. Risiko wird individuell differenziert wahrgenommen und bewertet. Wesentliches Kriterium dabei ist, in wie weit für einen Beurteilenden, abhängig von seinem Kenntnisstand, ein Ereignis unsicher ist und wie er der Wirkung des Risikos gegenübersteht, bzw. seine Werte direkt vom Ereignis betroffen sind. Beispiel hierfür ist die Aktienspekulation. Für den Aktieninhaber ist die Fluktuation des Wertes riskant, für andere ist das Ereignis nicht risikobehaftet.^[3] Jedes Risiko hat einen Risikonehmer, ein Ziel an dem es seine Schadenswirkung entfaltet. Das Objekt, welches dabei Schaden nimmt ist eine Ressource, ein Produkt, ein Prozess oder ein Interesse, in jedem Fall aber ein Wert für den Betroffenen.^[4]

Bezieht man das Risiko auf die Institution Unternehmen, so kann man auf folgender, allgemeiner Beschreibung aufbauen:

Ein Ereignis stellt für ein Unternehmen ein Risiko dar, wenn es sowohl unsicher ist als auch Auswirkungen auf das Erreichen der Unternehmensziele hat.^[5]

Da Unternehmensziele im Rahmen der Unternehmensplanung, welche aufgrund ihres Zukunftsbezugs unsicher ist, konkretisiert werden, kann Risiko somit als SOLL-IST Abweichung definiert werden, die einer bestimmten Dichtefunktion (Wahrscheinlichkeit) unterliegt. Diesem Ansatz folgt die betriebswirtschaftliche Literatur, wie z.B. von Eucken, der Risiko als „Distanz von Plandaten und faktischen Daten“ sieht.^[6]

Ursachen für Abweichungen können sowohl aus dem externen Umfeld des Unternehmens kommen, als auch aus der Wertschöpfung und Leistungserstellung heraus anfallen. Entsprechend differenziert man zwischen externen und internen Risiken. Externe Risiken kann man weiter aufspalten in „Risiken höherer Gewalt“, wie z.B. Naturkatastrophen und „politische und/oder ökonomische Risiken“, wie z.B. wechselnde Konjunkturlage oder Gesetzgebung. Analog dazu kann man die internen Unternehmensrisiken in „Geschäftsrisiken“, bezogen auf die Kernbereiche, Produkte und Innovationen, in „Finanzrisiken“, Veränderungen in der Ertrags-, Finanz- und Vermögenslage, und in „Betriebsrisiken“, die sich in den Ablaufprozessen und der Unternehmensorganisation finden, unterteilen.^[7]

Im Rahmen der unternehmerischen Tätigkeit sind, nach Meier, vier Muster zur Ursache von Risiko anzutreffen:^[8]

- Risiko in der Folge von Nebenwirkungen, Negativfolgen

Die Leistungserstellung und die Leistung an sich erzeugt sowohl die beabsichtigte Wirkung im Sinne von Nutzen, als auch systematisch, wahrscheinlichkeitsgesteuerte Nebenwirkungen in Form von Schaden. Die Leistung kann also durch Negativfolgen und Nebenwirkungen einen Schaden erzeugen.

- Risiko aus Fehlern, Versagen, Ausfällen

Dieses Muster bezeichnet unsystematisch auftretende Fehler und Ausfälle, welche die klassischen Ursachen von Schadensrisiken darstellen.

- Risiko aus Entscheidungen

In jedem Unternehmen werden basierend auf den zur Verfügung stehenden Informationen Entscheidungen getroffen. Innerhalb des komplexen Prozesses der Entscheidungsfindung, können aufgrund von subjektiven Einflüssen oder mangelnder Information Entscheidungen getroffen werden, die einen Schaden verursachen.

- Risiko aus Unbekanntem

Risiken können aus Nicht-Wissen entstehen. Entsprechend können sich unbekannte Risiken im Umfeld einer Unternehmung befinden, die sich erst im Schadensfall zeigen.

Zur Kommunikation von Risiko ist eine allgemeingültige, monetäre Bewertung von Risiko bzw. den Risikoauswirkungen notwendig. Eine Möglichkeit zur Unterscheidung der Auswirkungen findet sich bei Leitner.^[9] Schaden kann in Form eines unmittelbaren Vermögensverlusts auftreten, wie z.B. Betriebsmittelverluste durch Naturkatastrophen, Vermögensaufwendungen verursachen, wie z.B. höhere Personalkosten durch den Einsatz von Hilfskräften um die Produktion aufrecht zu halten, oder mittelbare Vermögensverluste, wie z.B. entgangene Gewinne der Produkte, auslösen.^[10] Dadurch wird die Bewertung des eingetretenen Schadens erschwert. Im Folgenden wird versucht, sich über eine qualitative und quantitative Beschreibung dem Begriff Risiko weiter zu nähern.

1.1 Qualitative Beschreibung von Risiko

Um die Komplexität des Risikos qualitativ zu veranschaulichen, kann man sich der Darstellung der komplexen Zahlen behelfen. Auch Risiko besitzt einen Imaginärteil, in Form der Gefahr und einen Realteil, den tatsächlich entstandenen Schaden. Risiko verknüpft Gefahr und Schaden im Sinne einer Ursache - Wirkungsbeziehung.^[11] Risiko kann man entsprechend durch die Kombination von Ursprung, Wirkung und Ziel beschreiben.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Risiko [Quelle: eigene Darstellung in Anlehnung an Meier (Risikomanagement in Technologieunternehmen 2005), S. 23]

Risiken treten nur im Idealfall isoliert auf. Risikomanagement behandelt im Regelfall mehrere zeitgleich auftretende Risiken, die untereinander Interdependenzen verursachen. Risiken können sowohl andere Risiken nach sich ziehen und/oder anderen Risiken passiv folgen. Entsprechend kann man zwischen vier Risikotypen unterscheiden, die in Abbildung 2-2 in Matrixform dargestellt sind.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Risikokategorien [Quelle: eigene Darstellung in Anlehnung an Meier (Risikomanagement in Technologieunternehmen 2005), S. 25]

Typ 1 ist ein interaktives Risiko, es hat sowohl hohe Führungstendenz, als auch hohe Folgetendenz. Typ 2 ist ein proaktives Risiko, ein Führungsrisiko, das andere Risiken auslöst. Typ 3 stellt ein Einzelrisiko dar, ein sogenanntes de- oder inaktives Risiko. Typ 4 ist ein rein reaktives Risiko, diese Art von Risiko wird als Folgerisiko bezeichnet.^[12]

Neben dem Folge- oder Führungscharakter von Risiken kann es zwischen Risiken auch zu additiven oder substraktiven Effekten kommen. So können sich beispielsweise Folge- und Führungsrisiko akkumulieren. Gleiches gilt für zwei unterschiedliche Risiken, die den gleichen Schaden auslösen. Im Gegenzug kann es aber auch zwei Risiken geben, die sich gegenseitig aufheben. Dies kann entweder aus der Wirkung der Abweichung heraus geschehen, oder beispielsweise, da es sich bei den Risiken um ein Risiko-Chance Paar handelt.^[13]

An jedem Risiko sind verschiedene Personen bzw. Personengruppen beteiligt. Jedem Risiko lässt sich, wie bereits erwähnt, ein Risikonehmer zuordnen, der direkt vom Risiko betroffen ist. Auf der Entstehungsseite des Risikos kann man den Risikoerzeuger, in dessen Verantwortungsgebiet wissentlich oder unwissentlich Risiko entsteht, den Risikoeigentümer, der das Risiko beeinflussen kann, und den Risikoverantwortlichen, der das Risiko gegenüber Dritten zu vertreten hat, unterscheiden. Dabei kann eine Person alle drei Merkmale erfüllen. Eine dritte Gruppe stellt der Regulierer von Risiko dar. Dieser hat die Aufgabe die Werte der Allgemeinheit zu schützen. Diese Funktion wird zumeist von amtlichen Institutionen im öffentlichen Auftrag wahrgenommen.

1.2 Quantitative Beschreibung von Risiko

Formal lässt sich Risiko über das Zahlenpaar M für Bruttoschaden und P für Eintrittswahrscheinlichkeit als Nettorisiko N definieren:

N = M E P mit [0 ≤ M ≤ ¥] und [0 ≤ P ≤ 1] (1)

Stellt man dieses Nettorisiko in einem Koordinatensystem mit der Abszisse Eintrittswahrscheinlichkeit und der Ordinate Bruttoschaden dar, so ergibt sich das in Abbildung 3 dargestellte Bild. Kurven, die sich jeweils asymptotisch der P- und M-Achse nähern, stellen dabei jeweils Orte gleichen Risikos dar.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Nettorisiko [Quelle: eigene Darstellung in Anlehnung an Meier (Risikomanagement in Technologieunternehmen 2005), S. 35]

Im Risikomanagement hat es sich als nützlich erwiesen, Risiken durch halbquantitative Attribute zu beschreiben.^[14] Vorteile sind die direkte Bewertung eines Risikos und die vereinfachte Kommunikation. Die Größe eines Risikos im Sinne des Nettorisikos N wird dabei zumeist in fünf relativen Stufen angegeben, die durch Konvention zuvor unternehmensspezifisch festgelegt werden:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Halbquantitative Risikokategorisierung [Quelle: eigene Darstellung in Anlehnung an Meier (Risikomanagement in Technologieunternehmen 2005), S. 35]

Eine weitere verbreitete Darstellung ist die halbquantitative Korrelation Bruttoschaden M gegen Nettorisiko N. Man kann hier zwischen vier Risikoklassen unterscheiden:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Bruttoschaden gegen Nettorisiko [Quelle: eigene Darstellung in Anlehnung an Meier (Risikomanagement in Technologieunternehmen 2005), S. 41]

Aus der Risikowahrnehmung und -bewertung lassen sich jedoch auch weitere Kriterien gewinnen um Risiko genauer zu beschreiben. Eigenschaften zur genaueren Beschreibung von Risiko sind:^[15]

- Irreversibilität (ir) (Schäden sind nicht wieder auszugleichen.)
- Persistenz (pe) (Schäden akkumulieren sich über lange Zeit.)
- Mobilisierung (mo) (Risiken führen zu Konflikten und ängstigen die Bevölkerung.)
- Verzögerungswirkung (ve) (Vergeht zwischen dem schadenauslösenden Ereignis und dem Schadenseintritt eine längere Zeitspanne, werden Risiken unterschätzt bzw. verdrängt.)

Auch wenn es durch diese nähere Beschreibung möglich ist, eine grobe Risikokategorisierung durchzuführen („Risikokategorisierung nach Renn“ siehe Anhang), fehlt teilweise der unmittelbare Bezug zu den quantitativen Daten N, M und P. Um diesen Bezug wiederherzustellen, kann man auf folgende halbquantitativen Faktoren zurückgreifen:

- Dringlichkeit (vereinigt pe, mo und ve)
- Bekanntheit (indirekt ve und pe)
- Beherrschbarkeit

So kann auf der Basis quantitativer Daten eine Priorisierung (Dringlichkeit korreliert mit Nettorisiko), eine Vorsortierung (Beherrschbarkeit korreliert mit Nettorisiko) der Risiken, die nicht intern über das Risikomanagement gelöst werden können, als auch eine Identifizierung des Informationsbedarfs (Bekanntheit korreliert mit Nettorisiko) durchführen.^[16]

Als letzter quantitativer Aspekt ist die Zeitabhängigkeit zu nennen. Aufgrund von Veränderungen aus der Eigenentwicklung des Risikos heraus, als auch durch Eingreifen des Risikomanagements kann man eine zeitliche Abhängigkeit feststellen:

N = N (t) (2)

Daraus folgend entspricht der Trend erster Ordnung, daher die Geschwindigkeit mit der sich das Risiko nähert, der Ableitung erster Ordnung d/dt N (t), und der Trend zweiter Ordnung, d/dt (d/dt N (t)), der Schnelligkeit, mit der sich diese Geschwindigkeit verändert. Halbquantitativ dargestellt kann man jeweils drei Stufen definieren:

Geschwindigkeit Änderung der Geschwindigkeit

- abnehmendes Risiko - beschleunigte Änderung
- gleichbleibendes Risiko - gleichbleibende Änderung
- zunehmendes Risiko - verzögerte Änderung

Der Nutzen für das Risikomanagement besteht darin, Risikofelder, die von besonderer Bedeutung sind, wie z.B. beschleunigtes, zunehmendes Risiko (Gefahr außer Kontrolle zu geraten) oder verzögerte Zunahme von Risiko (eventuell Grenzwert der Schadensauswirkung), abzubilden.^[17]

Qualitative als auch quantitative Beschreibungen werden vor allem im Bereich der Risikoanalyse und -bewertung angewendet und sind im später dargestellten Risikomanagementprozess den Phasen Risiken erkennen und beurteilen zugeordnet.

1.3 Wahrnehmung und Messung von Risiko

Die Wahrnehmung von Risiko ist immer vom Kenntnisstand abhängig und davon, welcher Gruppe von Beteiligten man zuzuordnen ist (Risikogeber, Risikonehmer, Regulierer). Entscheider können risikoaffin, risikoneutral oder risikoavers handeln.^[18] Diese Art der Kategorisierung der Risikoneigung ist allerdings nur für das symmetrische Paar Risiko / Chance anwendbar. Betrachtet man das reine Schadensrisiko so ist bereits die Existenz des Risikomanagement ein Zeichen für die Risikoaversion der Unternehmung.

Für das Risikomanagement ist eine objektive Beurteilung des Risikos notwendig.^[19] Dabei stellt sich die Frage, ob Risiko überhaupt messbar ist. Aus der Definition des Risikos N = MEx P (1), ergeben sich die zu messenden Größen Bruttoschaden und Wahrscheinlichkeit. Die drei Grundvoraussetzungen des Messens sind:

- Die zu messende Größe muss eindeutig definiert sein.
- Die Bezugsgröße oder Einheit muss vereinbart oder durch Konvention festgelegt sein.
- Das Messverfahren muss mit allen Randbedingungen, die sich auf den Messwert auswirken, eindeutig festgelegt sein.

Als Bezugsgröße für Risiko werden monetäre Werte in Form von Geldeinheiten festgelegt. Eine typische Einheit ist N in tausend Euro. Die Frage nach dem Messverfahren gestaltet sich dagegen komplizierter, da ein Verfahren gefunden werden muss, das den Gegenwert des drohenden Schadens isoliert betrachtet. Dies ist oft nicht möglich, da der Bruttoschaden M eines Risikos von möglichen anderen Schäden oder Entwicklungen überlagert sein kann. Dementsprechend sind auch die Randbedingungen der Messung sehr komplex und nur schwer eindeutig festzulegen. Die zu messende Größe ist der Bruttoschaden des Risikos. Der Bruttoschaden an sich ist dabei nur sehr schwer zu definieren. Der unmittelbare Schaden wie z.B. durch Zerstörung eines Betriebsmittels oder Wiederaufbau einer Produktionslinie ist relativ einfach einem Risiko zuzuordnen. Deutlich komplexer wird die Zuordnung mittelbarer Schäden, wie z.B. durch Gewinnausfall. Werden zudem noch intangible Ressourcen wie z.B. Image oder Mitarbeitermotivation geschädigt, sind diese, einem Risiko zurechenbare Schäden, nur sehr schwer zu quantifizieren Der Bruttoschaden ist nicht mehr eindeutig definiert. Ähnlich verhält es sich mit der Eintrittwahrscheinlichkeit P. Durch den Zukunftsbezug ist eine direkte Messung nicht möglich. Die einzige Möglichkeit besteht darin, auf der Basis von Vergangenheitswerten und Simulationen mit Hilfe der Statistik Eintrittwahrscheinlichkeiten abzuschätzen. Man kann also argumentieren, dass Risiko nicht durch Messung zu bestimmen ist, sondern nur durch Abschätzung mit einer gewissen Unsicherheit.

Es gibt zwei Quellen von Daten, die Informationen für diese Abschätzung bereitstellen: Vergangenheitsbezogene, reale Daten aus Schadensfällen und zukunftsbezogene, virtuelle Daten aus Schadenszenarien. Um ein Schadenszenario zu entwerfen sind zuerst die Randbedingungen und Zusammenhänge zu klären, in deren Rahmen sich Fehler und Schäden entwickeln können. Szenarien erhalten besonders in Fällen, in denen es aus wirtschaftlichen (großtechnische Anlagen), technischen (zerstörende Prüfung) oder ethischen Gründen (Gesundheitsrisiken) nicht möglich ist reale Daten zu gewinnen, erhöhte Bedeutung. So weit vorhanden, können reale Daten genutzt werden um Randbedingungen und Quantifizierung des Schadens zu verbessern.^[20]

Während das Risiko nur abgeschätzt werden kann, gibt es bestimmte, messbare Indikatoren, die auf ein Risiko oder ein Schadensereignis hinweisen. Das Auffinden und Zuordnen aussagekräftiger Frühindikatoren ist ein wesentlicher Bestandteil des Risikomanagements. Beispiel für einen Frühindikator im Bereich Vertrieb ist eine rückläufige Tendenz im Auftragseingang, ein Beispiel im Bereich Finanzen ist die Deckung des Anlagevermögens durch langfristiges Kapital (Eigenkapital und langfristiges Fremdkapital). Im technischen Bereich ist ein mögliches Beispiel die Temperatur eines Lagers, die Aufschluss über Abnutzung und damit eventuelles Ausfallrisiko geben kann. Über repräsentative Stichproben können die Merkmale eines Prozesses überwacht werden. Das Verhalten von Prozessen lässt sich anhand von Qualitätsregelkarten darstellen, wodurch Aussagen über das Risiko von Ausschussprodukten ermöglicht werden. Entsprechend stellt z.B. Statistical Process Control (SPC) und die Festlegung von Eingriffsgrenzen eine risikovermindernde Handlung aufgrund von Frühindikatoren dar.

[...]

---

^[1] Vgl. Keller (Auf sein Auventura und Risigo handeln 2004), S. 61; vgl. Bitz (Risikomanagement nach KonTraG 2000), S. 13.

^[2] Knight (Risk, Uncertainty and Profit 1921), S. 233.

^[3] Vgl. Finke (Grundlagen des Risikomanagements 2005), S. 17.

^[4] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 86.

^[5] Finke (Grundlagen des Risikomanagements 2005), S. 18.

^[6] von Eucken (Grundlagen der Nationalökonomie 1989), S. 141.

^[7] Vgl. Keitsch (Risikomanagement 2004), S. 5.

^[8] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 15f.

^[9] Vgl. Leitner (Die Unternehmensrisiken 1915), S. 7f.

^[10] Vgl. Leitner (Die Unternehmensrisiken 1915), S. 7.

^[11] Vgl. Meier ( Risikomanagement in Technologieunternehmen 2005), S. 21.

^[12] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 24f.

^[13] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 26.

^[14] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 39.

^[15] Vgl. Renn (Risikowissenschaft und Risikomanagement 2000), S. 11.

^[16] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 48f.

^[17] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 53.

^[18] Vgl. Finke (Grundlagen des Risikomanagements 2005), S. 19.

^[19] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 69.

^[20] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 74f.