Das Risikomanagement zielt auf den Umgang mit Wagnissen ab. Zu diesen Wagnissen gehören alle Entscheidungen, Handlungen, Prozesse und Abläufe sowie Situationen oder Zustände, deren Tragweite nicht mit hinreichender Genauigkeit abgeschätzt werden kann und die insbesondere negatives Entwicklungspotenzial aufweisen. Negatives Entwicklungspotenzial bedeutet, dass möglicherweise Nachteile, Verluste oder Schäden daraus resultieren. Wagnisse mit positivem Entwicklungspotenzial sind dagegen als Chancen einzuordnen.
Beim Risikomanagement muss, wie bei jedem Management-Ansatz, prinzipiell zwischen einer institutionalen und einer funktionalen Perspektive differenziert werden:
- Als Institution umfasst das Risikomanagement alle Einrichtungen und (Leitungs-)Positionen der Aufbauorganisation, die sich mit dem Eintreten von potenziell negativen Ereignissen befassen. Oft ist das Risikomanagement dabei in eine der Geschäftsführung unterstellte Stabsstelle ohne Weisungsbefugnisse oder disziplinarische Kompetenzen ausgegliedert.
- Die Funktion des Risikomanagements ist dabei auf strategischer Ebene – in Abstimmung mit der Geschäftsführung – die Festlegung von Zielen sowie die Entwicklung von Strategien zur Zielerreichung. Auf operativer Ebene sind die Organisation und Koordination von Maßnahmen zur Identifizierung, Steuerung und Minimierung von Gefährdungen angesiedelt sowie die weitestgehende Reduktion der Auswirkungen von eingetretenen Negativeinflüssen.
Ein nachhaltiges Risikomanagement ist ein wesentlicher Bestandteil einer guten und verantwortungsvollen Unternehmensführung – dies stellt der Deutsche Corporate Governance Codex klar. Es beinhaltet insbesondere drei Elemente:
- die systematische und kontinuierliche Risikobeurteilung. Grundlage dafür sind die Risikoidentifikation, -analyse und -bewertung.
- die Risikobewältigung. Dazu gehören die Steuerung und die Überwachung der Faktoren und Aspekte, die Gefährdungspotenzial aufweisen.
- die Risikokommunikation. Hier kann unterschieden werden in die (organisations-)interne und die externe Verbreitung von Informationen. Intern können Unterweisungen oder Arbeitsschutzmaßnahmen dazugerechnet werden. Extern handelt es sich beispielsweise um die Öffentlichkeitsarbeit.
Risikomanagement ist als umfassender Ansatz zu sehen und sollte daher ganzheitlich und proaktiv gestaltet werden. Es liegt im Verantwortungsbereich der Organisationsleitung und sollte idealerweise mit anderen Managementsystemen wie dem Qualitätsmanagement und dem Umweltmanagement zu einem integrierten Managementsystem (IMS) kombiniert werden.
Rechtsgrundlagen
Um Risiken besser abschätzen und abfedern zu können, sind auf Bundesebene bestimmte Mindestanforderungen für das Risikomanagement rechtsverbindlich festgeschrieben worden. Insbesondere Unternehmensformen wie Kapitalgesellschaften, speziell in der Form einer Aktiengesellschaft (AG) oder einer Gesellschaft mit beschränkter Haftung (GmbH), haben ein Risikomanagement gemäß Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) durchzuführen: Die Risikofrüherkennung ist als Teilbereich des Risikomanagements obligatorisch, um die Fortführung der unternehmerischen Aktivitäten auf wirtschaftlicher Basis zu gewährleisten. GmbHs werden hier explizit in die Pflicht genommen (§ 43 GmbHG). Der GmbH-Geschäftsführer hat dabei sogar Regelungen nach dem Aktiengesetz zu beachten (§ 91 Abs. 2 AktG):
„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“
Bei der Vorbereitung unternehmerischer Entscheidungen haben Vorstandsmitglieder gemäß ihrer Sorgfaltspflicht (§ 93 AktG) insbesondere auch die mit diesen Entscheidungen verbundenen Risiken zu betrachten (Business Judgement Rule).
Weitere Regelungen betreffen das KonTraG ergänzende Standards. Dazu gehören der Standard des Instituts der Wirtschaftsprüfer zur Prüfung des Risikofrüherkennungssystems (IDW PS 340) sowie der DIIR Revisionsstandard Nr. 2 des Deutschen Instituts für Interne Revision. Das Handelsgesetzbuch bietet dafür mit § 317 Abs. 4 HGB die rechtliche Basis. Gefordert werden die systematische und regelmäßige Identifikation sowie die Quantifizierung von Risiken (Risikoidentifikation, Risikoquantifizierung). Zudem muss eine Risikoaggregation durchgeführt werden, um mögliche „bestandsgefährdende Entwicklungen“ durch Kombinationseffekte von Einzelrisiken zu ermitteln. Die Risikoberichterstattung erfolgt nach dem Deutschen Rechnungslegungsstandard (DRS 20). Für Banken, Versicherungen, Investmentgesellschaften und andere Unternehmen im Finanzbereich gelten darüber hinaus branchenbezogene Risikomanagement-Regelungen mit Mindestanforderungen an das Risikomanagement (MaRisk).
Das Risikomanagement ist auch auf internationaler Ebene streng geregelt. Die Normen DIN EN ISO 31000:2018 „Risikomanagement“ sowie DIN EN ISO 9001:2015 „Qualitätsmanagement“ unterstützen die Integration von Qualitäts- und Risikomanagement. Sie gelten als ebenso wichtige Standards wie die COSO-Norm „Enterprise Risk Management“ (COSO ERM:2017).
Aufgaben des Risikomanagements
Das Risikomanagement soll vorrangig zwei Aufgaben erfüllen: Es soll einerseits dazu dienen, die Risikosituation der Organisation im Sinne eines Risikocontrollings transparent darzustellen, um über vorhandene und mögliche Risiken zu informieren und so die Basis für Gegenmaßnahmen zu schaffen. Andererseits soll es im Sinne einer Risikosteuerung das Verhältnis von Ertrag und Risiko optimieren, also den größten Nutzen bei geringstmöglichem Aufwand liefern. Damit ist das Risikomanagement, wie in der DIN EN ISO 31000:2018 beschrieben, eine Führungsaufgabe.
Auf Führungsebene sind zur Erfüllung dieser Aufgaben zunächst die übergeordneten Ziele des Risikomanagements festzulegen. Auf dieses Basis werden die dazu notwendigen Strategien zur Einführung, Umsetzung und Kontrolle des Risikomanagements erarbeitet und aufeinander abgestimmt.
Wichtige Elemente dieses Prozesses sind:
- die Definition von Kriterien zur Einstufung und Bewertung von Wagnissen;
- die Auswahl und die Vorgabe von Methoden und Instrumenten der Risikoermittlung;
- die Zuordnung der Verantwortlichkeiten bei mit Risiken behafteten Entscheidungen;
- die Bereitstellung von Ressourcen zur Risikoabwehr;
- die Festlegung der Verfahren und Wege der internen und externen Kommunikation über identifizierte Risiken;
- die Qualifizierung der Organisationsmitglieder.
Inhalte des Risikomanagements
Ein umfassendes Risikomanagement integriert die Felder Risikobeurteilung, Risikobewältigung und Risikokommunikation. Die Risikobeurteilung kann dabei weiter in die aufeinander folgenden Schritte Risikoidentifikation, Risikoanalyse und Risikobewertung untergliedert werden.
Das Risikomanagement als Prozess durchläuft dabei folgende Phasen:
- Identifikation der Risiken. Hier stehen die Beschreibung ihrer Art, der Ursachen und der möglichen (qualitativen) Auswirkungen als Aufgaben an.
- die Analyse der identifizierten Risiken. Dazu sind die Eintrittswahrscheinlichkeiten und das Schadensausmaß zu bestimmen.
- die Risikobewertung. Die Bewertungskriterien sind von der Leitungsebene festzulegen. Als Basis sind Standards und Normen heranzuziehen.
- die Risikobewältigung und -steuerung. Für das „Handling“ des Risikos sind Maßnahmen festzulegen bzw. zu ergreifen, die die Eintrittswahrscheinlichkeit und das Schadensausmaß reduzieren und/oder die Folgen beherrschbar machen.
- das Risikocontrolling. Dazu sind Risikoindikatoren festzulegen, die als Parameter Aufschluss über die bestehenden Risiken geben. Genutzt werden können dazu beispielsweise Messwerte, Daten oder Kennzahlen(-systeme).
- die Risikoaufzeichnung. Die Dokumentation aller bei der Risikoanalyse und -beurteilung ablaufenden Vorgänge ist einerseits wichtig als Beleg gegenüber offiziellen Stellen. Andererseits kann die Organisation selbst diese Aufzeichnungen für die Bewältigung weiterer Risiken nutzen.
Das Risikomanagement ist als fortlaufender Prozess über die gesamte Lebensdauer der Organisation anzusehen. Idealerweise findet das Risikomanagement in regelmäßig wiederkehrenden Zyklen statt – etwa als PDCA-Zyklus, auch Deming-Kreis genannt. Die Phasen Plan – Planung, Do – Umsetzung, Check – Überwachung und Act – Verbesserung sollten in der Unternehmensphilosophie fest verankert werden und auf jeder Hierarchieebene in allen Organisationseinheiten zu einer Kultur der Risikovermeidung bzw. -lenkung führen.
Der Risikomanagement-Prozess ist komplex. Um ein nachhaltiges Risikomanagement auf strategischer wie operativer Ebene zu implementieren, sind oft große Datenmengen zu verarbeiten und zu analysieren. Eine Risikomanagement-Software hilft dabei, die Risiken einer Organisation abzubilden und zukünftige Entwicklungen zu simulieren.
Die Reifegrade
Risikomanagement ist nicht gleich Risikomanagement – dazu sind die Ausprägungen und Ausgestaltungen zu verschieden. Bei aller Individualität kann das existierende Risikomanagement aber unterschiedlichen Reifegraden zugeordnet werden. Dies macht eine Bewertung des Risikomanagement-Systems und ein Benchmarking im Sinne eines Vergleichs mit anderen Organisationen – so etwa Unternehmen derselben Branche – möglich.
Die Diplom-Wirtschaftsingenieure Dr. Werner Gleißner und Bernd P. Mott differenzieren zwischen den folgenden sechs Entwicklungsstufen.
Stufe 1: Kein Risikomanagement
Die Organisationsleitung verfügt über ein nur schwach ausgeprägtes Risikobewusstsein. Die Vorgehensweisen im Umgang mit Risiken sind unstrukturiert und unsystematisch. Entscheidungen werden nur bei akutem Handlungsbedarf als Reaktion auf Gefährdungen getroffen.
Stufe 2: Schadensmanagement
Die Führungsebene der Organisation kennt und fokussiert bestimmte Risiken. Um dieses Gefahrenpotenzial zu reduzieren, werden präventiv Maßnahmen ausgewählt und umgesetzt. Oft handelt es sich um regulatorisch vorgegebene Vorgehensweisen in den Bereichen Arbeitsschutz oder Umweltschutz. Weitergehende Risiken, die seltener auftreten und größer sind, werden auf Versicherungen übertragen, um finanziellen Schäden vorzubeugen. Die Beurteilung der Gefahrenlage erfolgt unsystematisch und ohne konzeptionelle Integration verschiedener Methoden. Maßnahmenpläne für bestimmte Risiken werden in separaten Teams ohne Abstimmung untereinander erarbeitet.
Stufe 3: Regulatorisches Risikomanagement („KonTraG-Risikomanagement“)
In der Organisation besteht ein Risikomanagement-System, das eine kontinuierliche Beurteilung der bestehenden und der eventuell auftretenden Risiken ermöglicht. Die Gesamtheit der identifizierten Gefährdungen wird in einem Risikoinventar abgebildet. Zudem werden Informationen über Verantwortlich- und Zuständigkeiten, den Umfang der inventarisierten Wagnisse sowie den Turnus der Überprüfung gemäß KonTraG dokumentiert. Für Ereignisse mit potenziell hohem Schadensausmaß werden Risikobewältigungsstrategien entwickelt.
Stufe 4: Ökonomisches, entscheidungsorientiertes Risikomanagement
Die Leitung der Organisation hat ein ausgeprägtes Risikobewusstsein: Risiken werden gesamtheitlich als Abweichungen vom prognostizierten Soll definiert. Differenziert wird daher zwischen negativen und positiven Entwicklungen, die dementsprechend als Gefahren oder als Chancen eingeordnet werden. Das Risikomanagement-System ist umfassend und aufgrund der Vielzahl der zu verarbeitenden Daten Software-gestützt. So wird es möglich, durch Aggregation der Einzelrisiken ein Gesamtrisiko zu berechnen. Simulationen verdeutlichen zusätzlich „bestandsbedrohende Entwicklungen“. Erreicht werden soll so ein flexibles Risikomanagement mit engen Beziehungen zur Strategieentwicklung, das auch eine Anpassung an nicht vorhergesehene Situationen erlaubt.
Zudem werden die identifizierten Risiken und Chancen auch aus ökonomischer Sicht beurteilt. Die Betrachtung der finanziellen Auswirkungen von Wagnissen hilft Organisationen dabei, ihre Liquidität und ihr Rating beizubehalten. Um unternehmerische Entscheidungen zu überprüfen, werden Kapitalmarktmodelle wie das Capital Asset Pricing Model (CAMP) eingesetzt. Auch bei einer breiten Diversifikation des Angebots- oder Leistungsportfolios sowie Verlust- und Haftungsbeschränkungen leisten diese Modellberechnungen wertvolle Hilfe bei der Risikoreduktion.
Stufe 5: Integriertes, wertorientiertes Risikomanagement
In der Organisation läuft der Risikomanagement-Prozess nicht nur auf Leitungs- und damit strategischer Ebene ab, sondern auch auf operativer. Für alle Planungen wird eine Risikobewertung durchgeführt, um die Sicherheit zu erhöhen. Auf Basis dieser sogenannten „stochastischen Planung“ wird der Wertbeitrag ermittelt, den eine am Wert der Organisation orientierte Optimierung der Risikobewältigung liefern kann. So ist es möglich, strategische Handlungsoptionen hinsichtlich bestehender Risiken zu bewerten.
Berücksichtigt werden alle für die Unternehmensbewertung relevanten Risiken. Aus den vorliegenden Daten wird dann – unter der Annahme eines unvollkommenen Kapitalmarkts –ein Risikodeckungssatz berechnet, der Risikomaße wie Eigenkapitalbedarf, Ausfallwahrscheinlichkeit oder Value-at-Risk berücksichtigt. Auf dieser Basis findet dann eine Bewertung der Gefährdungslage statt, anhand derer das Produkt- und Leistungsportfolio optimiert werden kann.
Stufe 6: Embedded Risikomanagement (holistisch)
In der Organisation ist das Risikomanagement im unternehmerischen Denken sowie in der gelebten Kultur fest verankert. Über die Risikoanalyse werden die Reaktionen auf die Entwicklung interner Zielgrößen und externer Randbedingungen vorweggenommen. Die Risikopräferenz des Managements wird an der Bewertung des risikogerechten Ertragswerts oder des Risikonutzens sichtbar und ist der Ausgangspunkt für Entscheidungen auf sowohl strategischer als auch operativer Ebene.
Fazit
Das Risikomanagement sollte von Organisationen nicht als notwendiges, weil oftmals verordnetes Übel angesehen werden. Es kann sich vielmehr, richtig umgesetzt, als Erfolgsfaktor erweisen.
Die Organisationsleitung hat dabei die Aufgabe, die Entscheidungen über Art und Umfang des Risikomanagements zu treffen. Sie muss Strategien festlegen und organisatorische Maßnahmen und Methoden definieren, um mögliche „bestandsbedrohende Entwicklungen“ frühzeitig zu erkennen.
Auch wenn das Risikomanagement Führungsaufgabe ist, ist es nur dann umfassend und damit nachhaltig, wenn alle Mitglieder der Organisation das Risikomanagement bewusst leben und mittragen. Nur wenn auf allen Ebenen und in allen Bereichen bestehende und potenzielle Risiken richtig erfasst und bewertet werden, können Gefährdungen minimiert werden.