Kurz: Risikomanagement bezeichnet die systematische Erfassung und Bewertung von Risiken für den Geschäftsbetrieb eines Unternehmens.
Gemäß Deutschem Corporate Governance Codex ist das Risikomanagement daher ein wesentliches Element einer guten und verantwortungsvollen Unternehmensführung.
Zu einem umfassenden und vorausschauenden Risikomanagement gehören damit idealerweise
- eine systematische und kontinuierliche Risikobeurteilung, die aus den Schritten Risikoidentifikation, -analyse und -bewertung besteht,
- die Risikobewältigung, bei der die Faktoren und Aspekte mit Risikopotenzial überwacht und – möglichst proaktiv – beeinflusst werden, sowie
- die Risikokommunikation als Sammlung und gezielte Weitergabe von Informationen zum Status quo und zu den geplanten und bereits umgesetzten Maßnahmen.
Das Risikomanagement ist eine Querschnittfunktion, die von der Leitungsebene einer Organisation verantwortet wird. Da sie alle Bereiche dieser Einrichtung betrifft, sollte sie mit anderen Managementsystemen wie dem Finanz-, dem Personal-, dem Qualitäts- und dem Umweltmanagement zu einem integrierten Managementsystem (IMS) zusammengeführt werden.
Rechtliche Grundlagen
Für das Risikomanagement gelten gesetzlich festgelegte Mindestanforderungen. Betroffen sind davon insbesondere Kapitalgesellschaften, die als GmbH oder AG firmieren, also meist größere Unternehmen. Da sie als Arbeitgeber von wirtschaftlicher Bedeutung für die Allgemeinheit sind, werden sie damit verpflichtet, Risiken angemessen abzuschätzen und abzufedern. Grundlage ist unter anderem das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), in dem die Risikofrüherkennung als Teilbereich des Risikomanagements zur Pflicht wird, um den Erhalt des Unternehmens sicherzustellen. Das GmbH-Gesetz spezifiziert dies für GmbHs (§ 43 GmbHG); der GmbH-Geschäftsführer hat darüber hinaus sogar Pflichten nach dem Aktiengesetz zu erfüllen (§ 91 Abs. 2 AktG):
„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“
Bei der Vorbereitung unternehmerischer Entscheidungen haben Vorstandsmitglieder ihrer Sorgfaltspflicht zu genügen und die Risiken, die damit verbunden sind, zu berücksichtigen (§ 93 AktG; Business Judgement Rule).
Weitere Regelungen ergänzen die rechtliche Basis. Das KonTraG wird ergänzt durch den auf diesem Gesetz aufbauenden Standard des Instituts der Wirtschaftsprüfer zur Prüfung des Risikofrüherkennungssystems (IDW PS 340) und zusätzlich den DIIR Revisionsstandard Nr. 2 des Deutschen Instituts für Interne Revision. Rechtsgrundlage ist das Handelsgesetzbuch (§ 317 Abs. 4 HGB). Gefordert wird eine systematische und regelmäßige Risikoidentifikation und Risikoquantifizierung. Per Risikoaggregation sind zudem mögliche „bestandsgefährdende Entwicklungen“, die sich aus der Kombination von Einzelrisiken ergeben könnten, zu identifizieren. Die Risikoberichterstattung erfolgt nach dem Deutschen Rechnungslegungsstandard (DRS 20). Weitere branchenbezogene Regelungen und Mindestanforderungen an das Risikomanagement (MaRisk) gibt es unter anderem im Finanzbereich für Banken, Versicherungen und Investmentgesellschaften.
Im europäischen und internationalen Umfeld haben sich die Normen DIN EN ISO 31000:2018 – „Risikomanagement“ – und DIN EN ISO 9001:2015 – „Qualitätsmanagement“ – als Unterstützung der Integration von Qualitäts- und Risikomanagement sowie die COSO-Norm Enterprise Risk Management (COSO ERM:2017) als Standards im Risikomanagement etabliert.
Das Lieferkettensorgfaltspflichtengesetz – kurz: Lieferkettengesetz – fordert seit dem 01.01.2023 von Unternehmen ab 3.000 Beschäftigte (ab 01.01.2024 ab 1.000 Beschäftigte) die Einführung eines Risikomanagements. Unternehmen sollen dadurch verhindern, dass es bei ihren Lieferanten zu Menschenrechtsverletzungen, zur Aushöhlung von Arbeitnehmerrechten oder zur Verletzung von Umweltstandards kommt.
Aufgabe des Risikomanagements
Im Zentrum des Risikomanagements steht immer die strategische Planung und Kontrolle für den Umgang mit drohenden Schäden für ein Unternehmen. Durch systematische Überwachung aller für ein Unternehmen wesentlichen Umstände und Faktoren, sollen Gefahren minimiert werden, denn unternehmerische Handlungen sind ohne Risiken nicht möglich, weil die Zukunft und die Auswirkungen von Entscheidungen nicht sicher vorhersehbar sind.
Das Risikomanagement soll also im Sinne eines Risikocontrollings Transparenz über die Risikosituation in der Organisation herstellen und als Risikosteuerung dabei helfen, das Verhältnis von Ertrag und Risiko zu optimieren. Die durch das Controlling in seiner Monitoring- und Überwachungsfunktion unterstützte Steuerung bzw. Lenkung des Risikomanagements ist damit eine Führungsaufgabe. Diese wird in der DIN EN ISO 31000:2018 spezifiziert.
Die Aufgaben der Führungsebene sind, die – gegebenenfalls auch über die gesetzlichen Mindestanforderungen hinausgehenden – Ziele des Unternehmens in Bezug auf das Risikomanagement festzulegen und Strategien zu dessen Einführung, Umsetzung und Kontrolle zu finden und zu vereinbaren. Im Einzelnen umfasst dies:
- die Einführung von definierten Kriterien, um Risiken einordnen und bewerten zu können;
- die Auswahl von Methoden und Instrumenten, um Risiken zu ermitteln;
- die Festlegung von Zuständigkeiten, um die Risiken bei Entscheidungen im operativen Bereich von dort verantwortlichen Personen managen zu lassen;
- die Bereitstellung von Ressourcen wie Finanzmitteln, Personal und Material, um Risiken vorbeugen und diese abwehren zu können;
- die zielgerichtete Information der Stakeholder sowie die Kommunikation mit internen und externen Stellen über identifizierte Risiken;
- Personalentwicklungsmaßnahmen zur Qualifikation der Mitarbeiter.
Inhalte des Risikomanagements
Das Risikomanagement besteht aus den Teilbereichen Risikobeurteilung, Risikobewältigung und Risikokommunikation. Bei der Risikobeurteilung können zudem die Phasen Risikoidentifikation, Risikoanalyse und Risikobewertung unterschieden werden.
Der gesamte Risikomanagement-Prozess besteht dabei aus den folgenden Schritten:
- Erkennen und Charakterisieren von Risiken durch Beschreibung ihrer Art, der Ursachen und der möglichen Auswirkungen;
- Analysieren der erkannten Risiken hinsichtlich Eintrittswahrscheinlichkeit und Schadensausmaß;
- Bewerten der Risiken anhand festgelegter Kriterien – mindestens gemäß Standards oder Normen, darüber hinaus auch auf Basis individuell für die eigene Organisation festgelegter Aspekte;
- Steuern und Bewältigen von Risiken durch Maßnahmen, welche die Eintrittswahrscheinlichkeit und das Schadensausmaß vermindern und/oder die Folgen abfedern;
- Controlling über Risikoindikatoren, die das aktuelle Gefährdungspotenzial anzeigen (Daten, Messwerte, Kennzahlen);
- Dokumentieren aller Vorgänge, die im Rahmen der Risikoanalyse und -beurteilung ablaufen.
Als Management-Prozess läuft das Risikomanagement kontinuierlich ab; es sollte – auch ohne gesetzliche Vorgabe – über die gesamte Lebensdauer der Organisation fortgeführt werden. Hier kann der PDCA-Zyklus (Plan – Do – Check – Act) mit den Phasen Planung, Umsetzung, Überwachung und Verbesserung angewendet werden. Anzustreben ist eine Kultur der Risikovermeidung bzw. -lenkung.
Der Risikomanagement-Prozess ist komplex und oftmals sind große Mengen an Daten zu erheben, zu analysieren und zu beurteilen. In vielen Fällen wird daher eine Risikomanagement-Software eingesetzt, um auf einer soliden Datenbasis die Risiken einer Organisation abbilden sowie zukünftige Risiken simulieren zu können. Eine solche Computerunterstützung ist notwendig, um ein modernes strategisches Risikomanagement implementieren zu können.
Reifegrade des Risikomanagements
Risikomanagement ist nicht gleich Risikomanagement. Je nach Bewusstsein im Unternehmen, Fähigkeiten der Organisationsmitglieder und Stand der Technik können verschiedene Reifegrade unterschieden werden. Anhand dieser Reifegrade lassen sich die Risikomanagement-Systeme auch unternehmens- und branchenübergreifend bewerten. Dies ermöglicht ein Benchmarking als Vergleich mit anderen Organisationen.
Nach Gleißner und Mott gibt es sechs Entwicklungsstufen:
Stufe 1: Kein Risikomanagement
Risiken wird erst beim Eintritt begegnet, da die Unternehmensleitung kein Risikobewusstsein zeigt. Unternehmerische Entscheidungen werden situativ getroffen, das Vorgehen beim Umgang mit Risiken ist weder systematisch noch standardisiert.
Stufe 2: Schadensmanagement
Der Unternehmensführung sind spezifische Risiken bekannt. Um diese zu reduzieren, werden Maßnahmen etwa in den Bereichen Arbeitsschutz und Umweltschutz umgesetzt. Risiken aufgrund seltener oder nicht absehbarer Schadensereignisse werden versichert. Die Beurteilung des Gefährdungspotenzials erfolgt unsystematisch anhand einzelner bekannter Methoden. Spezielle Teams entwerfen Maßnahmenpläne für den Eintritt eines Schadensfalls.
Stufe 3: Regulatorisches Risikomanagement („KonTraG-Risikomanagement“)
In der Organisation wird ein Risikomanagement-System eingesetzt, um Risiken kontinuierlich beurteilen zu können. Es existiert darüber hinaus ein Risikoinventar, das alle möglichen Risiken auflistet und beschreibt. Dokumentiert werden nach Vorgabe des KonTraG zudem Informationen über Zuständigkeiten sowie Umfang und Turnus von Maßnahmen. Für spezielle Fälle mit besonders hohem Risiko werden Bewältigungsstrategien entworfen.
Stufe 4: Ökonomisches, entscheidungsorientiertes Risikomanagement
In der Unternehmensführung ist das Risikobewusstsein stark ausgeprägt und es wird ein ganzheitlicher Ansatz verfolgt: Risiken werden nicht nur als Gefahr, sondern auch als Chancen gesehen – als positive Abweichungen vom festgelegten Ziel. Das Risikomanagement-System ist Software-gestützt und wird eingesetzt, um durch Aggregation der Einzelrisiken ein Gesamtrisiko zu berechnen. Simulationen verdeutlichen zudem „bestandsbedrohende Entwicklungen“. So entsteht ein flexibles Risikomanagement, das unvorhergesehene Entwicklungen antizipiert und eine darauf abgestimmte Strategieentwicklung ermöglicht.
Von hoher Bedeutung ist dabei auch die ökonomische Bewertung von Risiken. Ziel der Unternehmensleitung ist dabei, trotz sich ändernder Rahmenbedingungen die Liquidität und das Rating der Organisation zu erhalten. Dazu werden Kapitalmarktmodelle wie das Capital Asset Pricing Model (CAMP) eingesetzt. Diese Systeme ermöglichen es auch bei einem diversifizierten Angebotsportfolio, die wirtschaftlichen Folgen von unternehmerischen Entscheidungen abzuwägen, indem potenzielle Risiken realisierbaren Erträgen gegenübergestellt werden. Im Rahmen der Risikoreduktion werden auch Verlust- und Haftungsbeschränkungen einbezogen.
Stufe 5: Integriertes, wertorientiertes Risikomanagement
Das Risikomanagement als Prozess ist eng mit der operativen Ebene der Organisation verbunden. Dabei werden alle Vorhaben in Bezug auf mögliche Risiken bewertet (stochastische Planung), um die Sicherheit der Planung zu erhöhen. Berechnet wird dann der Wertbeitrag, der durch eine Optimierung der Risikobewältigung zustande kommt. Dieser wird auf den Unternehmenswert bezogen. Damit lassen sich letztlich strategische Handlungsoptionen hinsichtlich ihrer finanziellen Auswirkungen bewerten.
Bei der Berechnung werden alle für die Organisation relevanten Risiken einbezogen und es wird ein Risikodeckungssatz berechnet. Für die Bewertung des Risikos und die gegebenenfalls anschließende Anpassung des Angebotsportfolios werden als Kennzahlen Risikomaße wie Eigenkapitalbedarf, Ausfallwahrscheinlichkeit und Value-at-Risk genutzt.
Stufe 6: Embedded Risikomanagement (holistisch)
Das Risikomanagement ist im unternehmerischen Denken und in der Unternehmenskultur fest verankert. Die Risikoanalyse nimmt bereits die möglichen Reaktionen auf die Entwicklung der intern vorgegebenen Zielgrößen sowie des externen wirtschaftlichen Umfelds vorweg. Die Einstellung der Unternehmensleitung gegenüber den Risiken zeigt sich in der Bewertung des risikogerechten Ertragswerts und des Nutzens, der aus Risiken gezogen werden kann. Das Risikomanagement ist damit die Basis für strategische und operative Entscheidungen.
Risikomanagement und digitale Methoden
Potenzielle unternehmerische Entscheidungen und Maßnahmen bergen meist auch Chancen, denen das Risikomanagement nicht entgegenwirken sollte. Durch die Digitalisierung hat sich auch das Risikomanagement in KMU und Großkonzernen massiv verändert. Neben den vielen Erleichterungen aufgrund der digitalen Methoden, sorgen sie aber genauso für neue Anforderungen. Gerade die vermehrte Auswertung von vielen Daten in kurzer Zeit ist für Risikomanager sehr komplex. Sie sind daher oft dazu angehalten, selbst bei der Programmierung digitaler Prozesse mitzuwirken.
Heute erleichtern in vielen Bereichen Software-Tools das Risikomanagement. Sie ermöglichen es, Risiken zu bündeln und zu bewerten. Darüber hinaus erleichtern professionelle Tools die Bewertung und Steuerung potenzieller Gefahren.
Digitale Tools im Risikomanagement ermöglichen:
- Risiken mit einer Zeiterfassung zu versehen und durch rechtzeitige Benachrichtigungen eine bessere Planung zu ermöglichen;
- die Bedeutung und Bewertung von Risiken für betriebliche Anforderungen systematisch zu erfassen;
- Transparenz durch Kommunikation, indem Risiken mit Kollegen geteilt werden können sowie im Anschluss Planungen und Strategien zu entwickeln.
Fazit
Ein strategisch ausgerichtetes und auch auf operativer Ebene tief verankertes Risikomanagement ist ein Erfolgsfaktor für jede Organisation. Die Führungsaufgabe beim Risikomanagement besteht unter anderem darin, allen Organisationsmitgliedern – ganz gleich, auf welcher Ebene oder in welcher Abteilung – diesen Ansatz zu vermitteln und sie zum Umsetzen zu motivieren. Nur bei diesem umfassenden Einbezug aller Mitarbeiter können bestehende und potenzielle Risiken richtig erfasst und bewertet werden. Dies ist die Voraussetzung dafür, Gefährdungen zu minimieren.
Die Geschäftsführung hat die Aufgabe, das Risikomanagement strategisch auszurichten. Dazu sind grundlegende Entscheidungen über die Art und den Umfang des Risikomanagements zu fällen. Langfristig sollten Vorgehensweisen als Standardverfahren festgelegt werden. Organisatorisch sind Methoden zu entwickeln und zu etablieren, um mögliche „bestandsbedrohende Entwicklungen“ frühestmöglich zu erkennen.
¹ Gleißner, W.; Mott, B. (2008): Risikomanagement auf dem Prüfstand – Nutzen, Qualität und Herausforderungen in der Zukunft. ZRFG (Zeitschrift für Risk, Fraud & Governance) 02/2008, S. 55–63.