Prof. Dr. Robert Rieg, Prof. Dr. Ute Vanini
Risikomanagement (RM) umfasst alle organisatorischen Regelungen zur systematischen, regelmäßigen und unternehmensweiten Umsetzung des RM-Prozesses sowie dessen Unterstützung durch geeignete Instrumente und Methoden mit den Zielen der langfristigen Existenzsicherung, der Eröffnung von Handlungsspielräumen, der Erreichung der geplanten Unternehmensziele und der Senkung der Risiko- und Kapitalkosten.
RM ist keine einmalige Handlung im Unternehmen. Aufgrund der Umweltdynamik muss eine systematische und permanente Analyse und Steuerung der Risiken erfolgen. Daher werden die einzelnen Aktivitäten als operativer RM-Prozess mit den Phasen Risikoidentifikation, -bewertung, -berichterstattung, -steuerung und -überwachung strukturiert. Der operative RM-Prozess kann als kybernetischer Regelkreis aufgefasst werden, da die einzelnen Phasen aufeinander aufbauen und zwischen ihnen zahlreiche Interdependenzen bestehen.
Das Risikocontrolling (RC) unterstützt das RM der Entscheidungsfindung und -umsetzung durch die Bereitstellung risikorelevanter Informationen sowie geeigneter Instrumente und Methoden, insbesondere zur Risikoidentifikation und -bewertung. Direktes Ziel des RC ist die Verbesserung der Entscheidungsqualität des RM, indirekt soll es jedoch auch zur langfristigen Existenzsicherung und Erreichung der Unternehmensziele beitragen.
Die Qualität der Unterstützung des RM durch das RC hängt wesentlich von dessen Informationsgrundlage ab. Es lassen sich mehrere Argumente für die verstärkte Nutzung von Daten und die Erzeugung von risikobezogenen Analysen und Informationen durch Business Analytics-Werkzeugen im RC vorbringen:
- Einerseits steigen die regulatorischen Anforderungen an die Risiko- und Krisenfrüherkennungssysteme von Unternehmen ständig an. Die daraus resultierenden Dokumentations- und Überwachungspflichten erhöhen den Arbeitsaufwand im RM deutlich (s. Tab. 1).
- Zudem lassen sich deutliche Verbesserungspotenziale in Bezug auf die Effektivität aber auch die Effizienz des RM feststellen. So erfolgt insbesondere in mittelständischen Unternehmen die Risikoidentifikation vielfach noch manuell, teilweise auch informell, unstrukturiert oder auf Zuruf. Die fehlende Digitalisierung führt nicht nur zu Ineffizienzen, sondern erschwert vor allem die Identifikation externer und relativ neuer Risiken wie z. B. das Eintreten einer Pandemie und die Einschätzung der daraus resultierenden Konsequenzen, so dass diese erst unmittelbar bei Risikoeintritt festgestellt werden.
- Andererseits steigen die digital verfügbare Datenmenge sowie die zu deren Auswertung einsetzbaren Verfahren und Tools, die zur Identifikation, Analyse und Bewertung von Risiken genutzt werden kann, ebenfalls ständig an. Insbesondere kann durch das RC stärker auf externe, qualitative Daten zurückgegriffen werden, die insbesondere für die schnellere Identifikation und Einschätzung neuer Risiken ("emerging risks") liefern kann.
- Die Digitalisierung selbst erzeugt neue Risiken ("Cyber-Risiken"), die erkannt, bewertet und gesteuert werden müssen.
Rechtsgrundlage |
Bedeutung |
"Business Judgment Rule" § 93 AktG |
Unternehmerische Entscheidungen bedürfen einer auf angemessenen Informationen über Chancen und Risiken beruhenden Entscheidungsvorlage. |
Gesetz über den Stabilisierungs- Restrukturierungsrahmen für Unternehmen (StaRUG), ab 01.01.2021 |
Alle Kapitalgesellschaften haben ein Risikofrüherkennungssystem einzuführen. |
Finanzmarktintegritätsstärkungsgesetz (FISG), ab 01.07.2021 |
Vorstände börsennotierter Unternehmen haben ein internes Kontroll- und Risikomanagementsystem einzurichten (§ 91 Abs. 3 AktG) |
Tab. 1: Neuere rechtliche Anforderungen an das Risikomanagement
Die oben genannten Entwicklungen lassen auf ein Potenzial für die Implementierung eines datengetriebenen RCs schließen. Daher erstaunt es nicht, dass im Rahmen des PwC Global Risk Survey 2022 65 % der Unternehmen angaben, ihr Budget für den Einsatz von Technologien im Bereich Risikomanagement zu erhöhen. Allerdings scheint eine bloße Beschaffung neuer Technologien für die erfolgreiche Implementierung eines datengetriebenen RM nicht ausreichend. So gaben 38 % der befragten Führungskräfte an, dass ihre Risikofunktion nicht aktiv nach externen Risiken sucht, 75 % kritisierten, dass ihre IT-Systeme im RM nicht gut zusammenarbeiten.
Im Folgenden werden daher grundsätzliche Ansätze eines datengetriebenen Risikomanagements und -controllings vorgestellt und beispielhaft konkretisiert. Anschließend werden Veränderungen in den Aufgaben und Rollen von Risikocontrollern thematisiert bevor schließlich auf aktuelle Herausforderungen eingegangen wird.