Implementierung von Risikomanagementsystemen

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Keine Chance ohne Risiko
1.1 Problemstellung der Arbeit
1.2 Gang der Untersuchung

2 Grundlagen des Risikomanagements
2.1 Was ist Risiko?
2.2 Risikomanagement – Alter Wein in neuen Schläuchen?
2.3 Regulatorische Rahmenbedingungen
2.3.1 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
2.3.2 Basel II – Ein indirekter Risikomanagement-Treiber

3 Konzipierung eines umfassenden RMS
3.1 Risikopolitik als Organisationsrahmen
3.2 Risikoidentifikation
3.2.1 Kategorisierung der Risiken
3.2.2 Standardmethoden zur Risikoidentifikation
3.2.2.1 Kreativitätstechniken als analytische Suchmethoden
3.2.2.2 Checklisten als strukturierte Kollektionsmethoden
3.2.3 Prozessorientierte Identifikation operativer Risiken
3.2.3.1 Prozessmodellierung mit der EPK
3.2.3.2 Risikoadjustierte EPK
3.2.4 Vernetztes Denken zur Identifikation strategischer Risiken
3.2.4.1 Organisation als sozio-technisches System
3.2.4.2 Aufbau eines Wirkungsnetzwerkes anhand eines Fallbeispiels
3.2.5 Frühaufklärungssysteme als Instrument zur Risikoidentifikation
3.2.5.1 Kennzahlenorientierte Frühwarnsysteme
3.2.5.2 Indikatororientierte Früherkennungssysteme
3.2.5.3 Strategische Frühaufklärungssysteme
3.3 Risikobewertung
3.3.1 Qualitative Bewertungsmethodik
3.3.2 Quantitative Bewertungsmethodik
3.3.2.1 Ereignisorientierte Risikobewertung
3.3.2.2 Konsolidierung in der Risk Map
3.3.2.3 Verteilungsorientierte Risikobewertung
3.3.2.4 Value at Risk – Nicht nur für Finanzdienstleister
3.3.2.5 Cash Flow at Risk – Modifikation im industriellen Kontext
3.3.2.6 Risikoaggregation mittels Monte-Carlo-Simulation
3.4 Risikosteuerung
3.4.1 Risikovermeidung
3.4.2 Risikoverminderung
3.4.3 Risikodiversifikation
3.4.4 Risikotransfer
3.4.5 Risikovorsorge
3.4.6 Risikostrategie-Mix
3.5 Risikokontrolle
3.6 Prozessüberwachung

4 IT-Unterstützung des Risikomanagements
4.1 Risk Management-Informationssysteme (RMIS)
4.2 Anforderungen an ein modernes RMIS
4.3 Unterstützungspotenzial eines integrierten RMIS
4.4 Stand der IT-Unterstützung in der Praxis

5 Implementierung eines umfassenden RMS
5.1 Erfolgsfaktor Risikokultur und -kommunikation
5.1.1 Organisatorischer Wandel verursacht Widerstand
5.1.2 Etablierung einer unternehmensweiten Risikokultur
5.2 Generische Vorgehensweisen der Implementierung
5.2.1 Top-down-Ansatz
5.2.2 Bottom-up-Ansatz
5.3 Projektphasen zur Implementierung eines RMS
5.3.1 Projektplanung und -initiierung
5.3.2 Risikoinventur und -analyse
5.3.2.1 Risikoidentifikation im Analyse-Workshop
5.3.2.2 Risikobewertung im Analyse-Workshop
5.3.2.3 Einführung eines VaR-Systems
5.3.3 Entwicklung eines Steuerungskonzeptes
5.3.4 Organisatorische Integration des RM
5.3.4.1 Integrationsprinzip vs. Separationsprinzip
5.3.4.2 Gestaltungsempfehlungen zur RM-Organisation
5.3.4.3 Integriertes Risikoreporting mit Software-Unterstützung
5.3.5 Dokumentation und Freigabe des RMS
5.4 Pionier-Ansatz – Ein alternatives Einführungskonzept

6 Integration in bestehende Managementsysteme
6.1 Grundkonzept der Balanced Scorecard
6.1.1 Perspektivische Sicht der BSC
6.1.2 „Translating Strategy into Action“
6.2 RM als integraler Bestandteil der BSC
6.2.1 Balanced ScorecardPlus
6.2.2 BSC mit eigenständiger Risikoperspektive
6.2.3 Balanced Chance and Risk Card (BCR-Card)
6.2.4 Erfolgsfaktoren-basierte Balanced Scorecard
6.2.5 Kritische Würdigung der Integrationsmöglichkeiten

7 Management Summary

Anhang

Quellenverzeichnis

Abkürzungsverzeichnis

Erklärung

Abbildungsverzeichnis

Abb. 1: Konzeptionelle Bausteine eines RMS

Abb. 2: Risikokategorien nach ROMEIKE

Abb. 3: Ausschnitt einer risikoadjustierten EPK der Beschaffung

Abb. 4: Wirkungsnetzwerk des Gesamtzusammenhangs der CIBA

Abb. 5: Risk Map mit kardinaler Skalierung und Klassifizierung

Abb. 6: Risikoaggregation mittels Monte-Carlo-Simulation

Abb. 7: Studie zur IT-Unterstützung in der Praxis

Abb. 8: Ansatzpunkte zur Verhaltensänderung der Mitarbeiter

Abb. 9: Projektphasen zur Implementierung eines RMS

Abb. 10: Risikoidentifikation nach einer Inside-out-Systematik

Abb. 11: Einstufige RM-Organisation mit RM-Stabsstelle

Tabellenverzeichnis

Tab. 1: Risikopolitische Grundsätze

Tab. 2: Typologisierung von Frühaufklärungssystemen

Tab. 3: Fühwarnindikatoren und Beobachtungsbereiche

Tab. 4: Übersicht Risikosteuerungsstrategien

Tab. 5: Maßnahmenkatalog zur Risikosteuerung

Tab. 6: Anforderungen an ein modernes RMIS

Tab. 7: Projektorganisation zur Implementierung eines RMS

Tab. 8: Relevanzskala

Tab. 9: Verantwortlichkeitsmatrix einer RM-Organisation

Tab. 10: Frequenz der Risikoberichterstattung

Tab. 11: Vergleich der Integrationsmöglichkeiten in die BSC

1 Keine Chance ohne Risiko

Das Erwirtschaften risikoloser Gewinne über einen längeren Zeitraum ist nahezu unmöglich. Zukunft bedeutet Unsicherheit oder anders gesprochen: jede unternehmerische Entscheidung ist zwangsläufig mit Risiken verbunden [WALL04, S. 13].

In den letzten Jahren haben sich jedoch die Rahmenbedingungen für unternehme-risches Handeln hinsichtlich Komplexität und Dynamik grundlegend verändert. Entwicklungen wie die Globalisierung des Wettbewerbs, rasante Innovationen im Bereich der Informations- und Kommunikationstechnologie, der hohe internationale Wettbewerbsdruck sowie ein zunehmender Trend zur Vernetzung von Unternehmen haben dazu geführt, dass sich Unternehmen mit einer drastisch verschärften Risikosituation konfrontiert sehen [ERBE03a, S. 43]. Doch gerade ein kontrollierter und verantwortungsvoller Umgang mit diesen Risikopotenzialen eröffnet dem gewinnorietierten Unternehmen wiederum Chancen, deren Nutzung einen nachhaltigen Wettbewerbsvorteil verspricht [WALL04, S. 13].

Um aus Risiken Chancen zu machen, muss der Unternehmer sein Risiko zunächst einmal ausreichend gut kennen. Allein mit Hilfe unternehmerischer Intuition die komplexe Risikosituation des heutigen Wirtschaftsumfeldes angemessen zu erfassen erscheint illusorisch. Vor diesem Hintergrund wird die Fähigkeit eines Unternehmens, den Umgang mit Risiken durch methodische Unterstützung in Form eines Risikomanagementsystems (RMS) zu operationalisieren, zum entscheidenden Wettbewerbsfaktor [GLEI05, S. 5-6].

„Das größte Risiko unserer Zeit liegt in der Angst vor dem Risiko“

(Helmut Schoeck, österreichischer Soziologe)

1.1 Problemstellung der Arbeit

Trotz leicht rückläufiger Zahlen in jüngster Vergangenheit leidet die deutsche Wirtschaft seit Jahren unter der steigenden Anzahl an Unternehmensinsolvenzen. Allein im Jahr 2006 belief sich die Zahl auf rund 31.300 Betriebe [o.V.06, S. 3]. Nach herrschender Meinung ist diese alarmierende Entwicklung in erheblichem Maße einer mangelnden Sensibilisierung für das Risikophänomen sowie unzureichenden Kontroll- und Informationsmechanismen zuzurechnen. Die betriebswirtschaftliche Notwendigkeit in Verbindung mit neuen gesetzlichen Regelungen (z. B. dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) erfordert einen systematischen Umgang mit unternehmerischen Risiken in Gestalt eines RMS. Allerdings hat sich bisher weder in der Theorie noch in der Praxis eine geschlossene und ganzheitliche Gesamtarchitektur zur konkreten Ausgestaltung eines umfassenden RMS herauskristallisiert. Oftmals werden nur bestimmte Bereiche des Risikomanagements (RM) fokussiert, sodass die unternehmerische Risikosituation nur unvollständig berücksichtigt wird [DIED04, S. 2]. Insbesondere im Bereich der praktischen Implementierung mangelt es an einer strukturierten Vorgehensweise, um ein derartiges System organisatorisch zu verankern und in bestehende Managementsysteme zu integrieren. RM wird immer noch in weiten Teilen als gesetzlich verordnete Pflichtübung verstanden, sodass sich viele Implementierungsbemühungen lediglich auf den bloßen Nachweis eines RMS beschränken [ELFG02, S. 315; KOGL03, S. 258].

In Anbetracht dieser Defizite bleibt das Potenzial eines unternehmensweiten RMS bisher weitgehend ungenutzt. Ziel dieser Arbeit ist die Erstellung eines Leitfadens, mit dessen Hilfe ein umfassendes RM-Konzept, das nicht nur den formalen gesetzlichen Anforderungen entspricht, effektiv im Unternehmen implementiert werden kann und damit einen echten unternehmerischen Mehrwert verspricht.

1.2 Gang der Untersuchung

In Kapitel 2 werden zunächst die Grundlagen für den weiteren Verlauf dargestellt. Darunter fallen sowohl Terminologie als auch ein Überblick über die gesetzlichen Rahmenbedingungen, die in der vorliegenden Arbeit jedoch nur eine untergeordnete Rolle spielen. Im Anschluss daran wird in Kapitel 3 ein Konzept zur Ausgestaltung eines umfassenden RMS vorgestellt, das in der Lage ist, mit Hilfe eines wirkungsvollen Instrumentariums die unternehmerischen Risikopotenziale zu identifizieren und aktiv zu gestalten. Die hohe Komplexität eines in der Praxis vorwiegend dezentral geprägten RM ist ohne IT-Unterstützung kaum mehr zu bewältigen [GLEI05, S. 241]. Kapitel 4 beschäftigt sich daher mit den Möglichkeiten und Potenzialen einer Software-Unterstützung des RM inklusive einer Übersicht zum Stand der IT-Unterstützung in der betrieblichen Praxis. Basierend auf dem erarbeiteten theoretisch-konzeptionellen Fundament behandelt Kapitel 5 die praktische Umsetzung des RMS im Unternehmen. In diesem Zusammenhang werden neben der aufbauorganisatorischen Eingliederung des Systems verschiedene Ansätze zur praktischen Implementierung vorgestellt und an unternehmensspezifische Voraussetzungen geknüpft. Die Integration in bestehende Managementsysteme ist eine Kernaufgabe im Rahmen der Implementierung, denn nur so können die Erkenntnisse aus dem RM in die betrieblichen Führungsprozesse einfließen. Dieser Problemstellung widmet sich gesondert Kapitel 6, in dem verschiedene Möglichkeiten der Synchronisation des RM mit der Balanced Scorecard als ganzheitliches Managementsystem diskutiert werden.

2 Grundlagen des Risikomanagements

Zu Beginn wird aufgrund der enormen Begriffsvielfalt in der einschlägigen Literatur die zentrale Terminologie geklärt, um ein einheitliches Fundament für die weiterführenden Erläuterungen zu schaffen [WOLF03, S. 29]. Die Bedeutung des RM hat mittlerweile auch der Gesetzgeber erkannt. Daher werden im Anschluss die wichtigsten gesetzlichen Treiber für das RM auf nationaler Ebene diskutiert und ihre Auswirkungen auf die inhaltliche Ausgestaltung eines RMS im Unternehmen untersucht.

2.1 Was ist Risiko?

Für den Terminus des Risikos haben sich in der betriebswirtschaftlichen Literatur verschiedene Begriffsdefinitionen herausgebildet. Ausgangspunkt sämtlicher Ansätze ist jedoch die bestehende Unsicherheit zukünftiger Ereignisse und die daraus resultierende Gefahr eines Verlustes [WALL04, S. 6; WOLF03, S. 29]. Für den weiteren Verlauf dieser Arbeit wird eine ursache- und wirkungsbezogene Begriffsauffassung zugrunde gelegt, wonach unter Risiko die „Gefahr verstanden wird, dass Ereignisse (externe Faktoren) oder Entscheidungen und Handlungen (interne Faktoren) das Unternehmen daran hindern (ursachenbezogene Komponente), definierte Ziele zu erreichen bzw. Strategien erfolgreich zu realisieren (wirkungsbezogene Komponente)“ [DIED04, S. 10].

Neueren Sichtweisen gemeinsam ist die Erweiterung des klassischen Risikobegriffs um eine inhärente Chance in Form einer positiven Zielabweichung eines vorher festgelegten Zielwertes (spekulatives Risiko) [WOLF03, S. 30; MART02, S. 71]. Dementsprechend bezieht sich das Risiko nicht nur auf die Gefahr negativer Entwicklungen und Ereignisse, sondern auch auf das Versäumnis oder die mangelhafte Nutzung positiver Entwicklungsmöglichkeiten und Chancen [WALL04, S. 6].

2.2 Risikomanagement – Alter Wein in neuen Schläuchen?

RM ist sicherlich keine Modeerscheinung. Schon seit jeher ist der Umgang mit Risiken impliziter Bestandteil jeder Unternehmensführung, die mit der erforderlichen kaufmännischen Sorgfalt betrieben wird [GLEI04, S. 9]. Das entscheidende Charakteristikum traditionelle Ansätze ist in einer vorwiegend retrospektiven bzw. situativen Ausrichtung des RM zu sehen, d. h. reagiert wurde erst, wenn das Unternehmen bereits „in stürmischer See oder gar in akuter Seenot“ war. Der Schwerpunkt lag in erster Linie auf der Vermeidung von Schäden sowie der Einhaltung gesetzlicher Vorschriften (z. B. Brand- oder Arbeitsschutz) oder versicherungstechnischer Auflagen [MEIE01, S. 17; ROME03a, S. 66]. Angesicht der gestiegenen Komplexität und Dynamik der Unternehmensumwelt dürfte es jedoch kaum mehr möglich sein, allein mit Hilfe reaktiver Steuerungsmaßnahmen die verschärfte Risikosituation zu beherrschen [GLEI05, S. 7]. RM darf den Fokus nicht einseitig auf die Folgen bereits eingetretener Ereignisse richten, sondern muss den Blickwinkel um die Chancen und Risiken der zukünftigen Entwicklung erweitern. [MEIE01, S. 18]. Ein effektives RM muss zum integralen Bestandteil der Unternehmensführung avancieren. Im Sinne eines proaktiven RM-Ansatzes gilt es, zukünftige risikobehaftete Entwicklungen frühzeitig zu identifizieren, zu bewerten, zu steuern und fortlaufend zu überwachen, um die kontinuierliche Anpassung des Unternehmens an sich stetig verändernde Umfeldbedingungen sowie die Sicherung der unternehmerischen Existenz zu gewährleisten. Während die Unternehmensführung auf das Erreichen der determinierten Unternehmensziele ausgerichtet ist, betont das RM den Sicherheitsaspekt, indem Bedrohungen dieser Ziele systematisch aufgedeckt und abgewendet werden [DIED04, S. 12-13]. Die Zielsetzung des RM besteht jedoch keineswegs in der vollständigen Eliminierung aller Risiken; dies würde einem unternehmerischen Stillstand gleichkommen. Vielmehr werden durch umfassende Kenntnisse der Risiken und der Konsequenzen ihrer Übernahme Handlungsspielräume eröffnet, die ein kontrolliertes Eingehen dieser Risiken erlauben, um langfristig Erfolgspotenziale zu sichern und auszubauen [WALL04, S. 4; DENK05, S. 65].

2.3 Regulatorische Rahmenbedingungen

Insbesondere die spektakulären Unternehmenskrisen und Insolvenzen namhafter Unternehmen in den letzten Jahren (z. B. Holzmann AG, Enron, Barings, Kirch-Gruppe) haben Gesetzgeber und andere Regulierungsorgane in vielen Ländern dazu veranlasst, die Anforderungen an das RM in Unternehmen drastisch zu verschärfen [KAJÜ04, S. 12]. In Deutschland mündete diese Offensive bereits Ende der neunziger Jahre in das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das zu umfassenden Änderungen des Aktien- und Handelsrechts geführt hat [MART02, S. 37].

2.3.1 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Am 1. Mail 1998 trat das KonTraG in Kraft, das die Vorstände von Aktiengesellschaften zur Einrichtung eines Risikofrüherkennungs- und Überwachungssystems verpflichtet. Im Falle einer Verletzung dieser Organisationspflicht haben die Vorstände gemäß § 93 Abs. 2 AktG mit Schadensersatzforderungen zu rechnen, für die sie auch mit ihrem Privatvermögen haften [GLEI04, S. 10]. Im § 91 Abs. 2 AktG heißt es konkret: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ [ROME03a, S. 67]. Daraus leitet sich nach herrschender Meinung eine zweistufige Verpflichtung für die Vorstände ab [KAJÜ04, S. 14]:

- zum einen hat der Vorstand geeignete Maßnahmen zur frühzeitigen Erkennung bestandsgefährdender Entwicklungen zu treffen (Risikofrüherkennungssystem);
- zum anderen muss die Einhaltung der vom Vorstand ergriffenen Maßnahmen zur Risikofrüherkennung überwacht werden (Überwachungssystem).

Darüber hinaus wurde die Pflicht zur Berichterstattung im Lagebericht durch den Gesetzgeber risikoorientiert modifiziert. Durch die ausführliche Darstellung der wirtschaftlichen Lage des Unternehmens unter Berücksichtigung von Risiken der künftigen Unternehmensentwicklung (§ 289 Abs. 1 HGB) soll dem Informationsinteresse der Kapitalgeber Rechnung getragen werden. Dem Abschlussprüfer obliegt schließlich die Verpflichtung, das Risikofrüherkennungs- und Überwachungssystem sowie den Risikobericht gutachterlich zu prüfen (§ 317 Abs. 2 und Abs. 4 HGB) [ROME03a, S. 67-69]. In diesem Zusammenhang wurde vom Institut der Wirtschaftsprüfer (IDW) ein Prüfungsstandard ausgearbeitet (IDW PS 340), der die Anforderungen an ein KonTraG-konformes RMS erheblich konkretisiert [MOTT01, S. 200].

Nach dem KonTraG richtet sich die Verpflichtung zur Einrichtung eines Risikofrüherkennungs- und Überwachungssystems primär an die Vorstände von Aktiengesellschaften, allerdings wurde in der Gesetzesbegründung auf eine implizite Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführung anderer Rechtsformen verwiesen, wie z. B. der GmbH ab bestimmter Größe und Komplexität gemäß § 93 Abs. 1 AktG i. V. m. § 43 Abs. 1 GmbHG [DIED04, S. 38; KAJÜ04, S. 15; GLEI04, S. 10]. Allgemein anerkannte Kriterien zur Eingrenzung dieser Ausstrahlungswirkung haben sich bisher nicht herauskristallisiert, sodass es auch künftig Sache der Rechtsprechung bleibt, den konkreten Einzelfall zu beurteilen [KAJÜ04, S. 15].

Aus dem Gesetzeswortlaut sowie dessen Begründung lassen sich keine Vorgaben zur konkreten inhaltlichen Ausgestaltung eines derartigen RMS entnehmen. Das KonTraG ist lediglich als Zielvorgabe zu verstehen, bei deren praktischer Umsetzung der Unternehmensleitung ein großer Spielraum in instrumenteller und institutioneller Hinsicht zugestanden wird [KAJÜ04, S. 14; DENK05, S. 60].

Im August 2002 wurden die Vorschriften des KonTraG zum RM mit dem Deutschen Corporate Governance Kodex nochmals hervorgehoben und durch zahlreiche Verhaltensempfehlungen weiter konkretisiert [KAJÜ04, S. 14].

2.3.2 Basel II – Ein indirekter Risikomanagement-Treiber

Unter dem Begriff Basel II verbirgt sich eine vom Baseler Ausschuss für Bankenaufsicht konzipierte internationale Kreditrichtlinie für Banken, die seit dem 1. Januar 2007 in Deutschland Anwendung findet [o.V.07a]. Regelungsgegenstand dieser Richtlinie ist die gesetzlich geforderte Eigenkapitalausstattung der Banken, mit der vergebene Kredite zu unterlegen sind. Eine ausreichende Eigenkapitalausstattung übernimmt die Funktion eines Puffers für mögliche Kreditausfälle und trägt somit zur Stabilität des internationalen Bankensystems bei [ROME03a, S. 74-75].

Während nach bisheriger Rechtslage (Basel I) die mit der Kreditvergabe verbundenen Eigenkapitalkosten für Banken auf einem noch weitgehend pauschalierten Ansatz basierten (rund 8 % des Kreditbetrags), rückt durch Basel II das individuelle Kreditrisiko in den Vordergrund [REIC03, S. 1]. Im Rahmen von externen oder bankinternen Prüfungsprozessen (sog. Rating-Verfahren) werden neben traditionellen Marktpreis- und Kreditrisiken vor allem operationelle Risiken miteinbezogen, um das individuelle Kreditausfallrisiko und damit die geforderte Eigenkapitalunterlegung zu ermitteln. Somit bestimmt die Bonität des Kunden maßgeblich den Kreditzinssatz.

Nach herrschender Meinung verbessert RM das Rating. Ein implementiertes RMS seitens der Kapitalnehmer schafft die für das Rating notwendige Informationstransparenz und wirkt sich positiv auf die Modalitäten einer Fremdfinanzierung aus [EHRM05, S, 21; ROME03a, S. 75-77; KEIT04, S. 199]. Gerade deutsche Unternehmen leiden chronisch an einer viel zu niedrigen Eigenkapitalausstattung, sodass der Bankkredit im Vergleich zu anderen Volkswirtschaften eine viel höhere Bedeutung zur Sicherung der Liquidität einnimmt. Vor diesem Hintergrund entwickelt sich Basel II zu einem maßgeblichen Treiber für das RM in deutschen Unternehmen, insbesondere auch für den Mittelstand [MERB04, S. 65].

In der Versicherungswirtschaft bildet das Pendant zu Basel II die europäische Eigenmittelausstattungsverordnung Solvency II, die voraussichtlich 2010 in Kraft treten wird. Durch eine grundlegende Überarbeitung derzeitiger Versicherungsrichtlinien soll eine stärkere Orientierung der Mindestkapitalausstattung an den tatsächlich übernommenen Risiken erfolgen, um die Versicherungsnehmer angemessen zu schützen [ROME06, S. 316].

3 Konzipierung eines umfassenden RMS

Ein umfassender RM-Ansatz – wie er in dieser Arbeit vertreten wird – hebt sich durch die folgenden wesensbestimmenden Charakteristika von den bisherigen traditionellen Ansätzen des RM ab:

- Im Gegensatz zu traditionellen RM-Ansätzen, die häufig spezielle Risikoarten fokussierten (z. B. Finanzrisiken), strebt ein umfassender Ansatz ein RM unter Berücksichtigung aller betrieblichen Risiken an [HÖLS02, S. 8].
- Im Mittelpunkt eines umfassenden Ansatzes steht nicht die isolierte Betrachtung von Einzelrisiken, sondern die Gesamtrisikoposition eines Unternehmens als Konglomerat der wechselwirkenden Einzelrisiken [WOLF03, S. 31].
- Ein umfassendes Konzept ist proaktiv ausgerichtet und betont den strategischen Charakter des RM [MEIE01, S. 17-18].

Anhand dieser Grundsätze erfolgt nun die inhaltliche Ausarbeitung der konzeptionellen Bausteine eines solchen RMS (vgl. Abb. 1). Das Herzstück dieses Konzeptes bildet der RM-Prozess, der frühzeitig und systematisch Risiken identifiziert, bewertet, steuert und fortlaufend überwacht [ROME03e, S. 147].

Schwerpunkt der weiteren Ausführungen bildet die Entwicklung eines praktischen Instrumentariums, das die jeweiligen Prozessschritte wirkungsvoll unterstützt. Insbesondere im Bereich der Risikoidentifikation sind diesbezüglich in der betrieblichen Praxis noch erhebliche Defizite zu konstatieren [DIED04, S. 94].

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Konzeptionelle Bausteine eines RMS

in Anlehnung an [FIEG06, S. 96]

3.1 Risikopolitik als Organisationsrahmen

Die Festlegung der Risikopolitik bildet den Ausgangspunkt und fixiert zugleich die Rahmenbedingungen für den Aufbau des RMS. Auf oberster Ebene erfolgt die Formulierung der risikopolitischen Grundsätze als Ausdruck der individuellen Wertvorstellung respektive Risikopräferenz der Unternehmensführung. Die risikopolitischen Grundsätze dokumentieren Verhaltensregeln, die alle Mitarbeiter des Unternehmens zu einem bewussten Umgang mit Risiken anleiten sollen (Tab. 1). Dabei handelt es sich um abstrakte Grundgedanken die noch unabhängig von den operativen Gegebenheiten formuliert werden und dementsprechend einen geringen Konkretisierungsgrad aufweisen.

Tab. 1: Risikopolitische Grundsätze

in Anlehnung an [DIED04, S. 18]

Abbildung in dieser Leseprobe nicht enthalten

Ihr Zweck besteht in erster Linie im Anstoß eines nachhaltigen Prozesses zur Etablierung eines Risikobewusstseins im Unternehmen. Dadurch soll der RM-Gedanke im Unternehmen verbreitet und zugleich eine Basis für eine unternehmensweit einheitliche Kommunikation beim Umgang mit Fragen des RM geschaffen werden. Diese Leitsätze sollten sich auf einige wenige prägnante Stichpunkte beschränken und für jeden Mitarbeiter greifbar sein. Werden diese Leitsätze weitreichend auf allen Hierarchieebenen kommuniziert (z. B. über Intranet) und in das Denken und Handeln übernommen, dann ist der erste Umsetzungserfolg bereits erreicht [NÜCK98, S. 10-12; IBER05, S. 49; GLEI04, S. 135].

Auf der nachgelagerten Ebene sind die risikopolitischen Grundsätze durch strategische Entscheidungen innerhalb einer Risikostrategie zu operationalisieren. Die Formulierung der Risikostrategie ist „Chefsache“, d. h. die Geschäftsleitung ist diesbezüglich die höchste Entscheidungsinstanz. Hier werden die risikopolitischen Grundsätze aufgegriffen und zu einer konkreten Rahmenarchitektur für ein konsistentes operatives RM in den verschiedenen Teilbereichen des Unternehmens ausgebaut. Ausgangspunkt für die Definition der Risikostrategie sind stets die übergeordneten Unternehmensziele. Das RMS muss in seiner Ausgestaltung auf die Erreichung der Gesamtunternehmensziele ausgerichtet sein [FÜSE99, S. 753; IBER05, S. 50-51].

Im Rahmen der Implementierung eines RMS ist jedoch zu beachten, dass eine konkrete Formulierung der Risikostrategie erst auf Basis der Ergebnisse der Risikoidentifikation und -bewertung stattfinden kann.

3.2 Risikoidentifikation

Die Phase der Risikoidentifikation steht chronologisch am Anfang des RM-Prozesses. Sie beinhaltet eine möglichst strukturierte und detaillierte Erfassung aller Gefahrenquellen, Störpotenziale und Schadensursachen eines Unternehmens, die sich negativ auf die Erreichung der Unternehmensziele sowie die daraus abgeleiteten Subziele auswirken können [ROME03b, S. 165; NÜCK98, S. 18].

Ausgangspunkt eines systematischen Suchprozesses ist damit immer die Definition der maßgeblichen Ziele und Strategien des Unternehmens [GLEI01a, S. 112]. Besteht Unklarheit hinsichtlich dieser Unternehmensziele, so muss der Risikoidentifikation eine Analyse der Unternehmensstrategie (z. B. durch SWOT-Analyse) vorangestellt werden, aus der sich eine konkrete Zielsystematik ableiten lässt [NÜCK98, S. 17]. Die Identifikationsphase liefert die Informationsbasis für die nachgelagerten Prozess-Stufen und trägt damit maßgeblich zur Effektivität des RMS bei. Schließlich können nur solche Risiken aktiv gesteuert werden, die im Vorfeld eindeutig identifiziert wurden. Andernfalls besteht die Gefahr, dass auf existenzgefährdende Entwicklungen nicht mehr rechtzeitig bzw. nur noch mit erheblichem Aufwand reagiert werden kann [ROME03b, S. 165; DIED04, S. 96].

Um die Effizienz des Suchprozesses und damit eine angemessene Ergebnisqualität zu gewährleisten, werden der Risikoidentifikation vier elementare Postulate zugrunde gelegt. Das Postulat der Vollständigkeit verlangt eine lückenlose und detaillierte Erfassung aller aktuellen (bestehenden) und potenziellen (zukünftigen) Risiken. In den Identifikationsprozess sind dementsprechend alle Funktionsbereiche und Geschäftsprozesse auf sämtlichen Hierarchieebenen, sowie die gesamte Unternehmensumwelt einzubinden [DIED04, S. 97-98; WOLF03, S. 41]. Weiterhin wird die ständige Aktualität risikorelevanter Informationen verlangt. Es gilt, mit zeitlichem Vorlauf an den Ursachen der Risiken anzusetzen und sich nicht auf die Bekämpfung der Symptome zu beschränken. Prinzipiell erfordert die Risikobehebung in einem früheren Stadium weitaus weniger Aufwand als nachträgliche Maßnahmen zur Schadensbegrenzung [GLEI04, S. 38]. Insbesondere die steigende Dynamik des wirtschaftlichen Handlungsumfeldes setzt eine kontinuierliche Prüfung der Aktualität der Informationen voraus, damit Veränderungen der Risikosituation zeitnah erfasst werden können. Unter dem Aspekt der Wirtschaftlichkeit wird verlangt, dass die Kosten der Risikoidentifikation in einem angemessenen Verhältnis zum Nutzen aus den gewonnenen Erkenntnissen stehen. Auch im RM gilt die 80:20-Faustregel, d. h. 20 % der Risiken verursachen 80 % der Schäden. Nach Maßgabe des Wirtschaftlichkeitsprinzips sollten daher nur die wichtigsten Risiken erfasst werden, dafür aber umfassend und vollständig. Als problematisch erweist sich jedoch, dass in einem frühen Stadium die künftige Entwicklung der Risiken nur schwer abschätzbar ist, sodass in erster Linie die „Kleinstrisiken“ außer Acht gelassen werden können [IBER05, S. 106; DIED04, S. 98]. Letztendlich trägt das Risikobewusstsein der am Suchprozess beteiligten Mitarbeiter erheblich zur Güte der Ergebnisse bei. Nach dem Postulat der Akzeptanz muss daher eine Risikokultur etabliert werden, die eine offene Kommunikation risikorelevanter Sachverhalte entgegen psychologischer und organisatorischer Widerstände im Unternehmen begünstigt [WOLF03, S. 42].

Die Ergebnisse der Identifikationsphase werden schließlich in einem Risikokatalog (Risikoinventar) zusammengefasst, der die Grundlage für die weiteren Prozessschritte bildet [NÜCK98, S. 21].

Im Folgenden wird mit einer allgemeinen Risikokategorisierung eine erste Orientierungshilfe zur groben Identifikation risikobehafteter Bereiche entwickelt.

3.2.1 Kategorisierung der Risiken

Zur strukturierten und überschneidungsfreien Darstellung der Risiken muss im Vorfeld eine allgemeine Systematik mit übergeordneten Kategoriebezeichnungen entwickelt werden. Eine allgemein anerkannte Klassifizierung hat sich bisher noch nicht herauskristallisiert, stattdessen existiert eine Vielzahl dichotomischer Begriffspaare die einander gegenübergestellt werden können, wie z. B. [ROME03b, S. 167]:

- Geschäftsrisiken vs. Finanzrisiken,
- versicherbare vs. nicht versicherbare Risiken,
- operative vs. strategische Risiken und
- externe vs. interne Risiken.

Ein allgemein sinnvoller Gliederungsansatz aus vier übergeordneten Risikokategorien, denen ein Unternehmen ungeachtet branchen- und unternehmensspezifischer Besonderheiten ausgesetzt ist, findet sich in Abb. 2 wieder. Je nach Relevanz können die übergeordneten Kategorien detaillierter aufgeschlüsselt und durch weitere Risikosubtypen unternehmensindividuell konfiguriert werden (vgl. Anhang 1) [ROME03b, S. 169; MERB04, S. 81].

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Risikokategorien nach ROMEIKE

in Anlehnung an [ROME03b, S. 169]

Herkömmliches RM – insbesondere bei Finanzdienstleistern – beschäftigte sich primär mit der Abdeckung finanzieller Risiken, die auf erster Stufe in Markt- und Kreditrisiken unterteilt werden können. Allgemein versteht man unter Marktrisiken die Gefahr einer möglichen Veränderung der Vermögenslage eines Unternehmens in Folge von Schwankungen der Marktpreise z. B. Zinssätze, Wechselkurse, Rohstoffpreise und Aktienkurse. Insbesondere für Nicht-Finanzdienstleister ist das Risiko der Veränderung von Rohstoffpreisen von entscheidender Bedeutung. Schließlich sind die Rohstoffe eines Unternehmens zugleich die Produkte anderer Unternehmen, sodass sich eine Veränderung der Marktpreise zumindest indirekt bei vielen Unternehmen niederschlägt [MERB04, S. 82]. In den Bereich der Kreditrisiken fällt die Gefahr potenzieller Wertverluste von Forderungen eines Unternehmens aufgrund unerwarteter vollständiger, partieller oder temporärer Zahlungsunfähigkeit oder -unwilligkeit eines Schuldners. Vor allem Banken verfügen bereits über umfangreiche Erfahrungen bei der Einschätzung der Bonität von Kreditnehmern, während außerhalb des Finanzdienstleistungssektors meist keine adäquaten Bonitätsbewertungsmodelle zur Verfügung stehen. Kreditrisiken sind hier vor allem bei Forderungsbeständen aus Lieferungen und Leistungen von Relevanz [MERB04, S. 84-85].

Zur Definition der operationellen Risiken existieren unterschiedliche Standpunkte in der einschlägigen Literatur, was eine saubere Abgrenzung dieser Risikokategorie schwierig macht [WALL04, S. 21]. Für den weiteren Verlauf der Arbeit wird der Gliederungsansatz nach ROMEIKE zugrunde gelegt, nach dem eine weitere Differenzierung in die Bereiche operative und strategische Risiken vorgenommen wird. Beim operativen Risiko handelt es sich um die Gefahr von unmittelbaren oder mittelbaren Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen (z. B. mangelnde Qualifikation von Mitarbeitern, Ausfall von Computer- oder Produktionsanlagen) oder von externen Ereignissen (z. B. Naturkatastrophen, Terroranschläge) auftreten [ROME03b, S. 169-170]. Reputationsrisiken können ebenfalls in den operationellen Bereich eingeordnet werden. Imageschäden, z. B. verursacht durch öffentlichkeitswirksame Kampagnen von Verbraucher- und Umweltschützern, können teilweise zu erheblichen Umsatz- und Ergebnisverlusten führen [MERB04, S. 88].

Unter den strategischen Risiken – als zweites Standbein der operationellen Kategorie – versteht man die Gefahr, dass die verfolgte Unternehmensstrategie nicht den erwarteten Ertrag auf das eingesetzte Kapital erzielt. Denkbar wäre z. B. die Gefahr fehlerhafter Entscheidungen hinsichtlich des Auf- oder Abbaus von Geschäftsfeldern oder Produkten [ROME03b, S. 169]. Strategische Risiken wirken sich negativ auf die Realisierung von langfristigen Zielen aus und beeinträchtigen das Unternehmen in seinem Fortbestand als Ganzes [SAIT99, S. 77]. Doch trotz ihres bestandsgefährdenden Charakters wurden diese Risiken in der Vergangenheit oftmals außer Acht gelassen [NÜCK98, S. 6].

Im Gegensatz zu ROMEIKE klammert der Baseler Ausschuss für Bankenaufsicht in seiner Definition die Reputationsrisiken und die strategischen Risiken explizit aus der operationellen Risikokategorie aus, was die momentanen Abgrenzungsschwierigkeiten demonstriert [WALL04, S. 22].

Die hier dargestellte Risikosystematik liefert eine allgemein brauchbare Grundstruktur zur Risikoidentifikation für viele Unternehmen. In Abhängigkeit branchen- und unternehmensspezifischer Charakteristika gilt es, diese individuell zu konfigurieren bzw. je nach Bedarf schrittweise zu verfeinern [DENK05, S. 78].

Im nächsten Schritt wird ein praktisches Instrumentarium vorgestellt, das eine umfassende Risikoidentifikation unter Berücksichtigung der zugrunde liegenden Postulate ermöglicht.

3.2.2 Standardmethoden zur Risikoidentifikation

Zu Beginn werden einige grundlegende Standardmethoden zur Risikoidentifikation vorgestellt, die in der Praxis weit verbreitet sind. Mit dem Anspruch einer möglichst vollständigen Risikoerfassung erweist sich die alleinige Verwendung dieser Instrumente jedoch als unzureichend. Ihr Einsatz sollte vielmehr umfassendere Analyse-Methoden sinnvoll ergänzen oder in einem ersten Schritt einen groben Überblick über die Risikosituation erlauben [BURG02, S. 71; DENK05, S. 81].

3.2.2.1 Kreativitätstechniken als analytische Suchmethoden

Kreativitätsmethoden „basieren auf kreativen Prozessen, die durch divergentes Denken charakterisiert sind, um relativ flüssig und flexibel zu neuartigen Einfällen und originellen Lösungen zu gelangen“ [ROME03b, S. 177]. Der Grundgedanke des Brainstormings ist die Generierung von Problemlösungen zu einer vorgegebenen Aufgabenstellung durch freie Assoziation innerhalb einer kleinen Gruppe (ca. 5-7 Teilnehmer). Eine ungezwungene Atmosphäre und eine bedachte Auswahl der Teilnehmer ist Voraussetzung für eine brauchbare Ergebnisqualität. In Anbetracht des heterogenen Spektrums der Risikokategorien ist eine interdisziplinäre Gruppenstruktur unterschiedlicher Hierarchieebenen, evtl. unterstützt durch externe Berater, empfehlenswert.

Dagegen erfolgt beim Brainwriting („Methode 635“) die Ideenäußerung zu vorgelegten Problemstellungen auf schriftlichem Wege. Durch anschließenden rotierenden Austausch der Lösungsvorschläge werden kreative Ideen anderer Teilnehmer aufgegriffen und auf Basis des individuellen Kenntnisstandes ergänzt bzw. weiterentwickelt.

Die Delphi-Methode ist ein mehrstufiges Verfahren der Expertenbefragung, das üblicherweise mit einer Gruppenstärke von 50-100 Personen durchgeführt wird. Dabei werden die Experten in einer ersten Stufe anhand eines Fragebogens über die Problemstellung unterrichtet und anschließend befragt. Die Ergebnisse werden in einem Zwischenbericht ausgewertet und den Teilnehmern wieder zur Verfügung gestellt, um ihre Prognosen zu überprüfen oder um neue Aspekte zu ergänzen.

Dieser Vorgang wird mehrmals wiederholt bis sich letztendlich ein stabiles Gruppenurteil eingestellt hat [ROME03b, S. 177-178; EHRM05, S. 68-70].

Ein wesentlicher Vorteil der Kreativitätstechniken liegt in ihrer uneingeschränkten Suche nach Risiken außerhalb methodischer oder systematischer Zwänge. In der Praxis werden sie verstärkt zur Identifikation strategischer Risiken eingesetzt [BURG02, S. 69-70].

3.2.2.2 Checklisten als strukturierte Kollektionsmethoden

In der Praxis ist die Risikocheckliste wohl das am häufigsten eingesetzte Instrument zur Risikoidentifikation. Checklisten sind ein äußerst flexibles Instrument zur Erfassung von bestehenden und offensichtlichen Risiken, das in nahezu allen Bereichen des Unternehmens eingesetzt werden kann [ROME03b, S. 174-175]. Dabei handelt es sich um standardisierte Fragebögen, die nach einem vorgegebenen Prüfungsraster Fehlentwicklungen gezielt erfassen sollen [BURG02, S. 82]. Grundsätzlich können bei der Erstellung der Checklisten offene sowie geschlossene Fragestellungen zum Einsatz kommen. Im Hinblick auf die Einheitlichkeit der erhobenen Daten und eine konsistente Weiterverarbeitung beschränkt man sich vorwiegend auf geschlossene Fragestellungen, die sowohl eine duale Ausprägung (Ja/Nein-Antwortmöglichkeit) aufweisen können, als auch eine ordinale Bewertung anhand von Bewertungsskalen ermöglichen [EHRM05, S. 64; BURG02, S. 88].

Der ausschließliche Einsatz von Checklisten erweist sich unter dem Postulat der Vollständigkeit jedoch als problematisch. Das hohe Aggregationsniveau der Ergebnisse verschleiert die ursprünglichen Einzelrisiken und deren Interdependenzen, während die starre Erfassungsstruktur der Checkliste zu erheblichen informatorischen Lücken führen kann [WOLF03, S. 44; ROME03b, S. 175].

Mittlerweile existiert eine Vielzahl abstrakter oder auch branchenspezifisch angepasster Standardchecklisten, die auf zahlreichen praktischen Erfahrungen beruhen, und nahezu universell in vielen Unternehmen eingesetzt werden können [GIET05, S. 47; DENK05, S. 84].

Nach der Darstellung dieser universell einsetzbaren Standardmethoden werden im Folgenden zwei umfassende Ansätze zur Identifikation operativer und strategischer Risiken ausführlich diskutiert.

3.2.3 Prozessorientierte Identifikation operativer Risiken

Eine nahezu unüberschaubare Vielzahl von unternehmerischen Risiken resultiert aus dem operativen Tagesgeschäft. Dieses wird bestimmt durch die Geschäftsprozesse in all ihren Ausprägungen. Eine methodisch sinnvolle und durchgängige Prozessanalyse bildet damit das Fundament für ein effektives Management operativer Risiken [BRAB03, S. 329-331].

3.2.3.1 Prozessmodellierung mit der EPK

Unter einem Geschäftsprozess versteht man eine Folge von logisch zusammengehörigen Aktivitäten (oder Geschäftsvorgängen), die für das Unternehmen einen Beitrag zur Wertschöpfung (bzw. Wertzuwachs) leistet und sich dabei am Kunden orientiert. Geschäftsprozesse sind in der Regel bereichsübergreifend ausgerichtet, d. h. an der Durchführung der Prozesse sind mehrere Funktionsbereiche bzw. Organisationseinheiten beteiligt [STAH02, S. 210-211]. Im Rahmen einer Ersterhebung ist zu Beginn der Ist-Zustand sämtlicher Unternehmensprozesse detailliert zu erfassen. Zu diesem Zweck existieren in der Praxis verschiedene Erhebungstechniken. Zu den gängigsten Methoden gehören [STAH02, S. 235-237]:

- protokollierte Interviews anhand eines definierten Fragenkatalogs,
- schriftliche Befragungen mittels strukturierter Fragebögen,
- moderierte Workshops mit mehreren ausgewählten Teilnehmern,
- Aufnahme und Interpretation der Arbeitsabläufe durch Beobachtung.

In Anbetracht des enormen Ressourcenverbrauchs einer Ersterhebung der Geschäftsprozesse ist aus Wirtschaftlichkeitsaspekten soweit wie möglich auf bereits existente Prozessdokumentationen zurückzugreifen. Denkbar wären vorhandene Dokumentationen aus der Implementierung eines ERP-Systems (Enterprise Resource Planning-System) oder aus der Zertifizierung von Qualitätsmanagementsystemen [MAYE05, S. 535]. Anhand der Informationen aus der Erhebungsphase werden die Geschäftsprozesse mittels geeigneter Beschreibungsmethoden abgebildet. Neben den verbalen, mathematischen und tabellarischen Modellierungstechniken eignet sich vor allem eine graphische Beschreibungsform, die unternehmenskritische Abläufe besonders gut hervorhebt und zur Engpassfindung eingesetzt werden kann [DIED04, S. 111]. Mit der Ereignisgesteuerten Prozesskette (EPK) existiert eine wirkungsvolle graphische Modellierungstechnik zur umfassenden und übersichtlichen Darstellung operativer betrieblicher Arbeitsabläufe. Die EPK ist das wohl bekannteste Prozessmodell des Modellierungskonzeptes ARIS (Architektur integrierter Informationssysteme), das Anfang der 1990er Jahre entwickelt wurde und sich mittlerweile als Standardmethodik für die Prozessanalyse in zahlreichen Unternehmen durchgesetzt hat [STAH02, S. 239; GADA02, S. 3; BRAB03, S. 333-334]. Durch ihre – auch für Nicht-Methodenexperten – anschauliche und selbsterklärende Beschreibungstechnik eignet sich die EPK hervorragend als unternehmensweite Grundlage zur Identifikation operativer Prozessrisiken. In Abhängigkeit des Verwendungszwecks ermöglicht die EPK die Darstellung der Prozesse in unterschiedlichen Komplexitätsstufen, indem verschiedene Beschreibungssichten und Aggregationsebenen verwendet werden. Das Grundmodell der EPK enthält dabei folgende Bausteine [STAH02, S. 239; GADA02, S. 94-97]:

- Funktionen sind Tätigkeiten innerhalb eines Prozesses;
- Ereignisse sind Auslöser und Resultat ausgeführter Funktionen;
- Kanten verknüpfen Ereignisse und Funktionen;
- Konnektoren verbinden Funktionen und Ereignisse zu einem Prozess.

In die hier dargestellte Funktionssicht des Grundmodells kann in der erweiterten EPK (eEPK) eine Organisations- und Datensicht integriert werden, um die Geschäftsprozesse realitätsnah und vollständig zu beschreiben. Auf diese Weise werden die an der Durchführung der einzelnen Prozessschritte beteiligten Organisationseinheiten sowie die benötigten bzw. generierten Datenobjekte ergänzend dargestellt [DIED04, S. 113].

3.2.3.2 Risikoadjustierte EPK

Mit Hilfe der EPK können schließlich die dokumentierten Prozesse schrittweise nach potenziellen Risiken an den einzelnen Funktionen durchleuchtet werden. In diesem Zusammenhang sollte stets das Fachwissen der involvierten Mitarbeiter bzw. der Prozessverantwortlichen miteinbezogen werden. Sie sind mit dem detaillierten Prozessablauf bestens vertraut und verfügen dementsprechend auch über umfassende Kenntnisse hinsichtlich potenzieller Störanfälligkeiten aus internen und externen Risikoquellen [BRAB03, S. 338; DIED04, S. 113-114].

Folgende Faktoren liefern in der Regel erste Anhaltspunkte für defizitäre Abläufe und sollten stets in einen systematischen Suchprozess mit eingebunden werden [BRAB03, S.338]:

- Mehrfachbearbeitungen und Rückschleifen,
- manuelle Datenerfassung anstatt automatischer Datenerfassung,
- Medienbrüche (Papier/Software),
- mangelnde Qualität der Systemunterstützung,
- redundante Datenerfassung in verschiedenen Systemen,
- fehlende Schnittstellen zwischen den Systemen und
- heterogene und veraltete Infrastruktur.

Zur transparenten Darstellung der Risikosituation können die kritischen Bereiche durch eine entsprechende Risikoadjustierung der EPK kenntlich gemacht werden. Denkbar ist z. B. eine graphische Differenzierung risikobehafteter Prozessschritte durch farbliche Markierungen (Color Coding) oder eine direkte Verknüpfung betroffener Funktionen mit speziellen risikoorientierten Objekttypen. Mit Hilfe der Modellierungssoftware ARIS Toolset besteht die Möglichkeit, zahlreiche Informationen in Form von Attributen (z. B. Risk Owner oder Frühwarnindikatoren) an den Funktionen oder Risiken in einer zentralen Datenbank zu speichern [DIED04, S. 114; BRAB03, S. 338-339].

Abb. 3 veranschaulicht exemplarisch die Vorgehensweise der prozessorientierten Risikoidentifikation anhand eines Ausschnitts aus einem klassischen Beschaffungsprozess. Die wesentlichen Vorteile der Nutzung einer EPK zur Risikoidentifikation liegen in ihrer Anschaulichkeit und Nachvollziehbarkeit. Durch ihre einfache graphische Notation in Kombination mit verschiedenen Detaillierungsstufen bietet sich dem Betrachter ein vollständiges und verständliches Bild der Unternehmensprozesse. Auf diese Weise können zahlreiche interne und externe Risikoquellen intuitiv in den Prozessschritten aufgedeckt werden. Im Gegensatz zur alleinigen Verwendung anderer Instrumente (Workshops, Besichtigungen, Checklisten etc.) wird durch eine visuelle Prozessdokumentation verhindert, dass wichtige Teilfunktionen übersehen oder nicht benannt werden. Weitere Instrumente können jedoch durchaus komplementär eingesetzt werden, um die systematische Erfassung von Störpotenzialen einzelner Prozessabläufe zu unterstützen. Die konzentrierte Sicht auf einen Prozessschritt und seine unmittelbare Prozessumgebung erleichtert zudem die Aufdeckung existenter Ursache-Wirkungsbeziehungen [DIED04, S. 117].

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3: Ausschnitt einer risikoadjustierten EPK der Beschaffung

in Anlehnung an [DIED04, S. 115]

Eine Risikoidentifikation entlang der Geschäftsprozesse reicht jedoch alleine nicht aus, um ein vollständiges Bild der Risikolandschaft eines Unternehmens zu erhalten. Neben den operativen Risiken müssen zudem die langfristigen strategischen Risiken, die aus den Entscheidungen des oberen Managements resultieren, miteinbezogen werden.

3.2.4 Vernetztes Denken zur Identifikation strategischer Risiken

Entscheidungen der strategischen Führungsebene zeichnen sich vor allem durch ihren langfristigen Charakter und eine komplexe Entscheidungsgrundlage mit vielfältigen Einfluss- und Handlungsfaktoren aus [HERM96, S. 29]. Um die systemimmanente Gefahr langfristig bindender Fehlentscheidungen zu reduzieren, muss die Verkettung von Entscheidung und Wirkung im dynamischen Umfeld transparent gemacht werden. Klassisches monokausales Ursache-Wirkungs-Denken wird den Anforderungen einer komplexen Problemstruktur jedoch nicht gerecht, da Ursachen verschiedene Wirkungen hervorrufen können, genauso wie Wirkungen auf verschiedene Ursachen zurückzuführen sind. Im Rahmen einer ganzheitlichen Betrachtungsweise wird der Informationszustand erweitert, indem risikobehaftete Auswirkungen strategischer Entscheidungen mit Hilfe von multidimensionalen Wirkungsnetzwerken aufgedeckt werden [DIED04, S. 117; GOME99, S. 16].

3.2.4.1 Organisation als sozio-technisches System

Der Ursprung ganzheitlicher Lösungsansätze für komplexe Problemstellungen geht auf die Systemtheorie zurück. Unter einem System versteht man „ein dynamisches Ganzes, das als solches bestimmte Eigenschaften und Verhaltensweisen besitzt. Es besteht aus Teilen, die so miteinander verknüpft sind, dass kein Teil unabhängig ist von anderen Teilen und das Verhalten des Ganzen beeinflusst wird vom Zusammenwirken aller Teile“ [ULRI88, S. 30]. So stellt jede beliebige Organisation eine sozio-technische Ganzheit dar, in der die Elemente verschiedener Ebenen in eine gedankliche Ordnung gebracht werden. Letztendlich entscheidet die individuelle Betrachtungsebene des Beobachters, inwieweit ein System als abgeschlossen oder als Bestandteil eines größeren Systems wahrgenommen wird.

Überträgt man diesen Gedanken auf die Phase der Risikoidentifikation, ist die Systemtheorie dahingehend zu begreifen, dass strategische Entscheidungen in ihren Gesamtkontext eingeordnet werden müssen. Werden wichtige Systembeziehungen übersehen, kann dies zu einer fehlerhaften strategischen Ausrichtung führen und die zukünftige Entwicklung des Unternehmens gefährden [DIED04, S. 119; SAIT99, S. 77]. Neben den vielfältigen Wechselbeziehungen zeichnen sich strategische Entscheidungssituationen vor allem durch ihre dynamische Veränderung aus. Intensität und Art der Wechselbeziehungen befinden sich in einem permanenten Veränderungsprozess, wodurch ständig neue Muster und Konstellationen entstehen. Hier leistet der systemtheoretische Ansatz des vernetzten Denkens Hilfestellung, indem er über die Entwicklung eines mehrdimensionalen Wirkungsnetzwerkes eine transparente Grundlage für strategische Entscheidungen schafft [GOME99, S. 22].

3.2.4.2 Aufbau eines Wirkungsnetzwerkes anhand eines Fallbeispiels

Der methodische Aufbau eines Wirkungsnetzwerks wird anhand des Chemie- und Pharmaunternehmens CIBA verdeutlicht. In einem ersten Schritt muss eine mehrdimensionale Sichtweise auf die Entscheidungssituation generiert werden. Eine ganzheitliche Sicht auf den Entscheidungstatbestand erfordert, dass nicht nur individuelle bzw. gruppenspezifische Wertvorstellungen, Visionen und Zielsetzungen berücksichtigt werden, sondern differierende Absichten vieler Anspruchsgruppen Beachtung finden. Nur durch Einbeziehung vieler Interessengruppen und Wertvorstellungen wird vermieden, dass wesentliche Aspekte der Entscheidungssituation durch eine selektive Wahrnehmung übersehen werden. CIBA hat dies bereits früh erkannt und seine Führung nicht nur nach Maßgabe des wirtschaftlichen Erfolgs ausgerichtet, sondern verschiedene Perspektiven (Interessengruppen) in die strategischen Entscheidungsprozesse eingebunden [DIED04, S. 119-120; GOME99, S. 60-61]:

- Schaffung von Aktionärsnutzen oder Shareholder Value (wirtschaftlicher Erfolg)
- Auswahl des Produktprogramms und der Produktionsverfahren unter ökologischen Gesichtspunkten (Umweltverträglichkeit)
- Unterstützung eines gesunden Fortschritts der Bevölkerung und ein verantwortungsbewusster Einsatz neuer wissenschaftlicher Erkenntnisse und Techniken (soziale Verantwortung)
- Ständiger Dialog mit der Öffentlichkeit (Öffentlichkeitsarbeit)

[...]