Prozesse des Risikomanagements. Das Enterprise Risk Management und seine Herausforderungen

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Einleitung

2 Begriffe und Ziele
2.1 Begriffsklärung Effizienz
2.2 Begriffsklärung Risiko
2.3 Begriffsklärung Risikomanagement
2.4 Ziele Risikomanagement
2.5 Gesetzliche Notwendigkeit

3 Prozess des Risikomanagements
3.1 Risikobeurteilung
3.2 Risiko-Assessment Methoden
3.2.1 Top-down-Methode
3.2.2 Bottom-up-Methode
3.2.3 Zusammenfassung

4 Enterprise Risk Management (ERM)
4.1 Unterschiede zum Traditionellen Risikomanagement (TRM)
4.2 Herausforderungen für ERM Implementierung
4.3 Finanzieller Wert von ERM

5 Fallstudie des VW Konzerns
5.1 Ausgangsituation
5.2 Problemstellung
5.3 Lösungsansätze

6 Finanzielle Sicht

7 Fazit

Literaturverzeichnis

Literaturverzeichnis

Literaturverzeichnis

Abbildungsverzeichnis

Abbildung 1: Unterscheidung zwischen Ursachen, Risiken/ Chancen und Wirkungen anhand eines Bow-Tie-Diagramms.

Abbildung 2: Ziele des Risikomanagements

Abbildung 3: Risiken im ERM-Ansatz

Abkürzungsverzeichnis

ERM - Enterprise Risk Management

TRM - Traditionelles Risikomanagement

VW - Volkswagen

CRO - Chief Risk Officer

AG - Aktiengesellschaft

ETF - Exchange Traded Fund

CFO - Chief Financial Officer

1 Einleitung

Das Risikomanagement ist ein System, mit dem Firmen Unternehmensrisiken überwachen, verwalten, und bearbeiten. Hierzu zählt die Identifikation von Risiken, deren Eintrittswahrscheinlichkeit, und Konsequenzen für das Unternehmen. Risiken können in der Form von Finanziellen, wie beispielsweise auf dem Aktienmarkt, oder auch in der Form von Naturkatastrophen und Unfällen auftreten. Aus diesem Grund ist die Verarbeitung und Auswertung von Risiken ist ein Bestandteil von Firmen, um bessere Entscheidungen zu treffen um somit zu versuchen den Profit zu steigern, und Verlust zu minimieren.

Vor allem im 21. Jahrhundert hat das Risikomanagement stark an Popularität bei Firmen und Gesetzgebern gewonnen. Einige Gründe dafür waren geopolitischen und wirtschaftlichen Desaster wie beispielsweise der World Trade Center Anschlag in 2001 und die Finanzkrise 2007 - 2008. Wegen den starken Auswirkungen dieser Geschehnisse, wodurch viele Menschen und Firmen wirtschaftlichen Schaden erlitten haben, entstand ein Trend für Unternehmen ein starkes Risikomanagement zu erstellen.¹ Dies geschah, weil Unternehmen sich besser auf ähnliche Desaster vorbereiten wollten, und um potenzielle Möglichkeiten die daraus entstehen auszunutzen. Dieser Trend warf allerdings neue Fragen auf für Firmen und Wissenschaftler. Nämlich: ob das Risikomanagement es Wert ist, oder ob die Kosten die Vorteile übertreffen?

Infolgedessen untersucht diese Hausarbeit Bestandteil des Risikomanagements und ob das Risikomanagement eine effiziente und wertvolle Investition für Firmen ist. Dies wird getan anhand von mehreren Beispielen und Analyse von Risikomanagement Methoden. Als erstes werden kritische Begriffe im Bereich Risikomanagement geklärt die für die Verständnis von Wichtigkeit sind. Als nächstes werden mehrere Methoden analysiert und deren Vorteile, Nachteile und Effizienz untersucht. Diese umfassen beispielsweise die zwei Managementstile der Top-Down und Bottom-Up Methode. Danach wird das Enterprise Risikomanagement betrachtet, welches ein neuartiger Ansatz zum traditionellen Risikomanagement ist, und ob dieser Ansatz wirtschaftlichen Sinn macht. Als letztes wird ein Fallbeispiel über das Risikomanagement von BMW analysiert sowohl als auch die generelle finanzielle Sicht über das Risikomanagement gegeben.

2 Begriffe und Ziele

2.1 Begriffsklärung Effizienz

In der Fachliteratur wird Effizienz als die Erreichung eines festgelegten Ziels mit der jeweils gewählten Maßnahme beschrieben und Input bzw. Output der Wirtschaft werden in Relation gesetzt.² Aus Sicht des Autors kann anhand des folgenden Beispiels Effizienz gut veranschaulicht werden: Eine Person plant eine Reise mit dem Auto von Brandenburg nach Thüringen. Effizient wäre hier die kürzeste Strecke zu nutzen, um damit auch den geringsten Kraftstoffverbrauch zu erreichen.

Aus Sicht der Autoren beschreibt Effizienz in Bezug auf Risikomanagement ein Verhältnis zwischen Kosten für dessen Implementierung und Nutzen einer Schadensabwendung.

2.2 Begriffsklärung Risiko

Der unternehmerische Erfolg hängt von der Vorbereitung des Unternehmens auf Risiken und von der Nutzung von Chancen ab. Der Begriff “Risiko” ist die mangelnde Beherrschung dessen, was eintreten wird.

Die Vernachlässigung der Risiken gefährdet die Erreichung gesetzter Ziele, die Umsetzung definierter Strategien oder sogar die Existenz des Unternehmens.³

Wöhe bezeichnet: “Als Risiko (Chance) [...] die negative (positive) Abweichung von einem erwarteten Ergebniswert”⁴ Ein Beispiel wäre die Expansion einer Firma ins Ausland durch sich ständig verändernde Wechselkurse und Änderungen in der politischen Lage der Länder. Die Expansion stellt für ein Unternehmen sowohl eine Chance (z. B. Erkundung neuer Märkte, Umsatzsteigerung durch Neukundengewinnung), als auch ein Risiko (z. B. keine Etablierung am Markt) dar.⁵

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Unterscheidung zwischen Ursachen, Risiken/ Chancen und Wirkungen anhand eines Bow-Tie-Diagramms.⁶

2.3 Begriffsklärung Risikomanagement

Das Risikomanagement umfasst alle Maßnahmen zur Erkennung und optimalen Beherrschung der einzelnen unternehmerischen Risiken.⁷

Es ist also ein systematischer, wert- bzw. erfolgsorientierter Ansatz zur Analyse und zum Umgang mit Risiken.⁸

2.4 Ziele Risikomanagement

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Ziele des Risikomanagements⁹

Das Ziel des Risikomanagements ist die Herstellung einer Relation zwischen der erwarteten Wertsteigerung/ dem erwarteten Erfolg und den dazu zu übernehmenden Risiken sowie der Einleitung von Maßnahmen zur gleichzeitigen Optimierung beider Größen.¹⁰

2.5 Gesetzliche Notwendigkeit

Gemäß § 317 Abs. 4 HGB ist bei einer börsennotierten Aktiengesellschaft im Rahmen der Prüfung zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 des Aktiengesetzes (AktG) obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann.¹¹ Börsennotiert nach § 3 AktG sind Gesellschaften, deren Aktien zu einem Markt zugelassen sind, der von staatlich anerkannten Stellen geregelt und überwacht wird, regelmäßig stattfindet und für das Publikum mittelbar oder unmittelbar zugänglich ist.¹²

Gemäß § 91 Abs. 2 AktG hat der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.¹³ Gemäß § 289 HGB haben alle Kapitalgesellschaften in ihrem Lagebericht die Risikomanagementziele bzw. -methoden aufzunehmen.¹⁴

Des Weiteren ist das Risikomanagement unter der ISO Nummer 31000 als Norm weltweit standardisiert.¹⁵

Es ist aus Sicht des Autors festzustellen, dass eine gesetzliche Notwendigkeit zur Implementierung eines Risikomanagements für Aktiengesellschaften, Gesellschaften mit beschränkter Haftung und Kommanditgesellschaften auf Aktien besteht. Die Gesetzlichkeiten treffen jedoch keine Aussage zur Ausgestaltung des Risikomanagements oder ab wann (nicht abhängig von der Anzahl der Mitarbeiter/ Summe des Jahresumsatzes) die Einrichtung eines Risikomanagements erforderlich ist; es ist also dem Unternehmen selbst überlassen.

3 Prozess des Risikomanagements

3.1 Risikobeurteilung

Der Prozess der Risikobeurteilung (Risiko-Assessment) umfasst die folgenden Schritte und Aufgaben:

- Identifikation der Risiken:

Bei der Risikoidentifikation sollen alle relevanten Risiken bzw. Gefahrenquellen und die daraus resultierenden Konsequenzen eines Unternehmens oder eines Teilbereichs (z. B. einer Abteilung) möglichst vollständig identifiziert werden.

- Analyse der Risiken:

Die Risiko-Analyse liefert im nächsten Schritt Ergebnisse über die Ausprägung und Höhe der Risiken in Größen für die Wahrscheinlichkeit (Häufigkeit) sowie dem Ausmaß möglicher Schäden (Schadensfolgen). Die Durchführung der Risiko-Analyse erfolgt dabei „quantitativ“ oder auch „qualitativ“.

- Risiko-Bewertung: Die in der Risiko-Analyse gefundenen Risiken werden im Kontext des Untersuchungs- und Behandlungsgegenstands interpretiert und bewertet. Die Festlegung der Kriterien hierfür erfolgte bereits im Vorfeld. Eine Reduzierung oder Vermeidung der Risiken könnte die Ergreifung von Chancen verhindern. Das Ergebnis der Risiko-Bewertung stellt den Abschluss der Risikobeurteilung dar. Die folgenden Prozesse der Maßnahmeplanung und -Umsetzung werden gesteuert mithilfe der Ergebnisse der Risiko-Bewertung. Des Weiteren erfolgt eine Beurteilung der Risiko-Lage vor und nach der Bewältigung. Die Dokumentation der Ergebnisse ist daher von großer Bedeutung und eine Unterschrift des zuständigen Managements ist erforderlich, um die Risikobeurteilung zu bestätigen.¹⁶

Es ist aus Sicht des Autors festzustellen, dass das Ergebnis der Risiko- Bewertung den abzuwendenden Schaden darstellt. Die Identifikation der Risiken sollte insoweit vollständig sein, um mögliche Risiken frühzeitig erkennen zu können, sodass ein wirtschaftlicher Schaden für das Unternehmen abgewehrt werden kann. Vor allem im Zuge der Corona-Krise steigt in der Gegenwart die Forderung zur Implementierung eines Risikomanagement stark an, um wirtschaftliche Ausfälle zu umgehen.¹⁷ Denn diese können aus Sicht des Autors im schlimmsten Fall zur Insolvenz des Unternehmens führen.

3.2 Risiko-Assessment Methoden

Das Risikomanagement muss gewährleisten, dass alle Risiken aussagekräftig und umfassend erfasst werden. Um in der Praxis zu den erforderlichen Analyseergebnissen zu kommen, wird zwischen zwei Methoden unterschieden: der „Bottom-up-Methode“ und der „Top-down-Methode“.¹⁸

3.2.1 Top-down-Methode

Bei der „Top-down-Methode“ (aus dem Englischen: von oben nach unten) startet die Risikoidentifikation bei der Unternehmensleitung.¹⁹ Einige wenige Personen aus dem Managementbereich, die über einen Gesamtüberblick des Unternehmens verfügen, werden mit der Risikoidentifikation betraut.²⁰

3.2.2 Bottom-up-Methode

Bei der „Bottom-up-Methode“ (aus dem Englischen: von unten nach oben) beginnt der Identifizierungsprozess der Risiken auf der untersten Ebene der Unternehmenshierarchie.²¹

3.2.3 Zusammenfassung

Die „Top-down-Methode“ ist bevorzugt geeignet für kleine und mittelständische Unternehmen, da dies eine effiziente und kostengünstige Vorgehensweise zur Analysierung der Risiken darstellt. Nachteilig ist hierbei das fehlende Fachwissen.

Die „Bottom-up-Methode“ dagegen ist am ehesten für größere Unternehmen geeignet, da diese Methoden höhere Kosten aufgrund des umfangreicheren Prozesses verursacht. Profitabel dagegen ist der Nutzen aus den Erfahrungswerten der Mitarbeiter auf den unteren Hierarchieebenen.²²

Aus Sicht des Autors ist zu sagen, dass die „Bottom-up-Methode“ effizienter ist, da diese ein sehr viel umfangreicheres Repertoire durch verschiedene Expertenmeinungen der Mitarbeiter unterschiedlicher Hierarchieebenen bietet. Mithilfe abteilungsfremder Mitarbeiter oder auch Externer kann die Betriebsblindheit hierbei umgangen werden.²³ Der Erfolg (umfassendere Identifikation der Risiken; dadurch bessere Alternativmöglichkeiten, um wirtschaftliche Schäden abzuwenden) überwiegt dem Aufwand (höhere Kosten, als bei der „Top-down-Methode“).

4 Enterprise Risk Management (ERM)

Enterprise Risk Management (ERM) ist ein Ansatz im Bereich des Risikomanagements der sich mit dem unternehmensweiten Risikomanagement befasst. Dabei handelt es sich an eine Methode die sich in vielen Bereichen mit dem traditionellen Risikomanagement (TRM) unterscheidet. Generell wird das ERM als Erweiterung oder nach manchen Experten sogar als bessere Alternative zum TRM gesehen. Das ERM bleibt aber nicht ohne Kritik, und im Feld Risikomanagement gibt es viele unterschiedliche Ansichten, ob das ERM finanziellen Sinn macht für Firmen.

4.1 Unterschiede zum Traditionellen Risikomanagement (TRM)

Einer der Hauptunterschiede zwischen ERM und dem TRM ist die Silo Mentalität der traditionellen Variante. Traditionell werden Risiken individuell auf Abteilungsebene analysiert, und somit in verschiedenen ‘Silos’ abgeschottet. Beim ERM besteht der Ansatz eines unternehmensweiten und überschneidenden Risikomanagement, welches die Effizienz erhöhen soll und das Gesamtrisiko erniedrigen soll. Aus diesen Gründen hat ein ERM konzentriertes Unternehmen sogar eine Position im Führungsstab für einen Chief Risk Officer, oder ähnliches, um Risiken im ganzheitlichen zu manövrieren.²⁴

Ein anderer Unterschied zwischen ERM und TRM ist, dass sich das ERM meist nur mit den nicht-versicherbaren Objekten befasst. Mit nicht-versicherbaren Objekten sind Dinge oder Situationen gemeint, die durch Versicherungsverträge oder anderes nicht abgesichert sind. Dabei handelt es sich um Risikoanalyse für Merger, Public Relations, strategische Ziele, und andere Bereiche. Beispielsweise, wenn ein Merger schief geht, wird der Verlust nicht von der Versicherung ausgezahlt. Stattdessen soll die Implementierung von ERM dafür sorgen, dass Risiken erkenntlich werden bevor der Merger stattfindet.²⁵

Das ERM ist auch tief in der Geschäftsstrategie eingebettet, nämlich soll das System an den operativen und strategischen Entscheidungen des Unternehmens aktiv teilnehmen und diese informieren. Deswegen werden Risiken nicht nur als etwas Negatives zu betrachten, sondern auch als Gelegenheit für Profit. Wie man in Abbildung 1 sieht, betrachtet die Grafik die Vorteile und Nachteile in jedem Abteil des Unternehmens, und stellt das Potenzial für Gelegenheiten sowie auch für Risiken dar.²⁶

[...]

---

¹ Hubbard, D., 2009. The Failure Of Risk Management. Hoboken, New Jersey: John Wiley & Sons. S. 4.

² Vgl. https://www.business-on.de/effizienz-definition-effizienz-_id40860.html#Anker1; Zugegriffen am 03.01.21.

³ Vgl. Diederichs, M., 2017: Risikomanagement und Risikocontrolling. München, S. 8.

⁴ Wöhe, G., Döring, U., Brösel, G., 2016: Einführung in die Allgemeine Betriebswirtschaftslehre. München, S. 189.

⁵ Vgl. https://www.business-wissen.de/hb/risiken-identifizieren/; Zugegriffen am 03.01.21.

⁶ Romeike, F., Hager, P.; 2020: Erfolgsfaktor Risiko-Management 4.0. Wiesbaden, S. 149.

⁷ Vgl. Wöhe, G., Döring, U., Brösel, G., 2016: Einführung in die Allgemeine Betriebswirtschaftslehre. München, S. 189.

⁸ Vgl. Finke, R., 2005: Grundlagen des Risikomanagements. Weinheim, S. 23.

⁹ Diederichs, M., 2017: Risikomanagement und Risikocontrolling. München, S. 11.

¹⁰ Vgl. Finke, R., 2005: Grundlagen des Risikomanagements. Weinheim, S. 24.

¹¹ https://www.gesetze-im-internet.de/hgb/__317.html; Zugegriffen am 30.12.20.

¹² https://www.gesetze-im-internet.de/aktg/__3.html; Zugegriffen am 30.12.20.

¹³ https://dejure.org/gesetze/AktG/91.html; Zugegriffen am 30.12.20.

¹⁴ https://www.gesetze-im-internet.de/hgb/__289.html; Zugegriffen am 03.01.21.

¹⁵ Vgl. https://www.lifos-gmbh.de/blog/Warum-jedes-Projekt-ein-Risikomanagement-haben.e86d3.php; Zugegriffen am 01.01.21.

¹⁶ Vgl. Königs, H.-P., 2013: IT-Risikomanagement mit System. Olsberg, S. 48 – 56.

¹⁷ Vgl. https://www.springerprofessional.de/risikomanagement/risikotransformation/corona-verdeutlicht-die-notwendigkeit-von-risikomanagement-/17862606; Zugegriffen am 01.01.21.

¹⁸ Vgl. https://www.haufe.de/finance/haufe-finance-office-premium/risikomanagementsystem-grundlagen-und-aufbau-33-risikoidentifikation_idesk_PI20354_HI2711362.html; Zugegriffen am 01.01.21.

¹⁹ Vgl. Ebenda.

²⁰ Vgl. https://www.hslu.ch/-/media/campus/common/files/dokumente/w/w-ibr/integrales-risikomanagement/checklisten/uebersichtsdokumente/2vanalyse.pdf?la=de-ch, Seite 2, Zugegriffen am 01.01.21.

²¹ Vgl. https://www.haufe.de/finance/haufe-finance-office-premium/risikomanagementsystem-grundlagen-und-aufbau-33-risikoidentifikation_idesk_PI20354_HI2711362.html; Zugegriffen am 01.01.21.

²² Vgl. https://www.haufe.de/finance/haufe-finance-office-premium/risikomanagementsystem-grundlagen-und-aufbau-33-risikoidentifikation_idesk_PI20354_HI2711362.html; Zugegriffen am 01.01.21.

²³ Vgl. https://www.hslu.ch/-/media/campus/common/files/dokumente/w/w-ibr/integrales-risikomanagement/checklisten/uebersichtsdokumente/2vanalyse.pdf?la=de-ch, Seite 2, Zugegriffen am 01.01.21.

²⁴ Bromiley, P., McShane, M., Nair, A. and Rustambekov, E., 2015. Enterprise Risk Management: Review, Critique, and Research Directions. Long Range Planning, 48(4), S. 265.

²⁵ Hunziker, S., 2019. Enterprise Risk Management. Rotkreuz: Springer. S. 52.

²⁶ Hunziker, S., 2019. Enterprise Risk Management. Rotkreuz: Springer. S. 7.