Prof. Dr. Werner Gleißner
6 Reifegrade des Risikomanagements
Nachfolgend werden für das 6-Stufen-Modell des Risikomanagements jeweils die wichtigsten Kriterien in Fragenform angegeben. Sie helfen zu beurteilen, ob das eigene Risikomanagement den entsprechenden Entwicklungsgrad ("Reife") bereits erreicht hat.
Abb. 1: Die 6 Stufen des Risikomanagements
Stufe 1: Kein Risikomanagement
Es existieren kein ausgeprägtes Risikobewusstsein und kein formalisiertes System zum Umgang mit Risiken. Eine Berücksichtigung von Risiken im Rahmen unternehmerischer Entscheidungen findet nur sporadisch statt.
Stufe 2: Schadensmanagement
Die Unternehmensführung ist sich der Existenz bestimmter Risiken, speziell wesentlicher Gefahren, bewusst und setzt punktuell Maßnahmen zur Abwehr dieser Gefahren ein. Dabei wird auf die Einhaltung von (z. T. gesetzlich vorgegebenen) Regelungen wie Umweltschutz und Arbeitsschutz geachtet. Versicherungen werden eingesetzt, um seltene, schwerwiegende Schäden zu überwälzen. Im Rahmen unternehmerischer Entscheidungen wird eine mögliche, gravierende Gefahr diskutiert, ohne dass für dieses Abwägen ein spezifisches Instrument eingesetzt wird. Oft finden Risikomanagementaktivitäten in separaten "Silos" statt.
Stufe 3: Regulatorisches Risikomanagement ("KonTraG-Risikomanagement")
KonTraG-Anforderungen erfüllen
Im Unternehmen existiert ein durchgängiges Risikomanagementsystem, das sämtliche wichtige Risiken kontinuierlich überwacht, bewertet und in einem Risikoinventar zusammenfasst. Die wesentlichen Regeln der Risikoüberwachung sind (im Sinne des KonTraG) schriftlich erfasst, sodass insbesondere Umfang, Verantwortlichkeit und Turnus der Risikoüberwachung fixiert sind. Die wesentlichen (insbesondere operativen) Risiken werden jeweils individuell im Hinblick auf geeignete Risikobewältigungsstrategien diskutiert. Bei allen wesentlichen unternehmerischen Entscheidungen wird explizit über die damit verbundenen Risiken nachgedacht und sie werden – allerdings nicht formalisiert und quantifiziert – in betriebliche Entscheidung (z. B. bei Investitionen) mit einbezogen. Risiken werden oft nur einheitlich durch Schadenshöhe und Eintrittswahrscheinlichkeit beschrieben. Eine einfache Risikoaggregation wird durchgeführt.
3 |
Regulatorisches Risikomanagement |
erfüllt |
teilweise erfüllt |
nicht erfüllt |
3.1 |
Sind Zuordnung von Aufgaben und Verantwortlichkeiten im Risikomanagement klar festgelegt? |
|
|
|
3.2 |
Werden geeignete Arten von Wahrscheinlichkeitsverteilungen für die Risikoquantifizierung genutzt (bspw. Dreiecksverteilung mit Mindestwert, wahrscheinlichstem Wert und Maximalwert)? |
|
|
|
3.3 |
Werden die existierenden Risikobewältigungsmaßnahmen im Rahmen der Risikoquantifizierung und der Risikoaggregation berücksichtigt? |
|
|
|
3.4 |
Gibt es ein geeignetes und einheitliches Risikomaß, um einzelne Risiken quantitativ vergleichen und priorisieren zu können? |
|
|
|
3.5 |
Kann beurteilt werden, ob ein Risiko "bestandsbedrohend" ist (Wirkung auf das zukünftige Rating)? |
|
|
|
3.6 |
Wird eine regelmäßige Risikoaggregation durchgeführt? |
|
|
|
3.7 |
Erfolgt die Risikoaggregation auch "über die Zeit" (also über mehrere zeitlich verknüpfte Planperioden (Pfadsimulation)? |
|
|
|
3.8 |
Werden Ergebnisse neben dem aggregierten Gesamtrisikoumfang abgeleitet bspw. hinsichtlich der Bedrohung von Rating und Covenants? |
|
|
|
3.9 |
Sind die Wege für ein effizientes internes Risikoreporting und die Risikokommunikation (mit Bezug auf geeignete Schwellenwerte) festgelegt? |
|
|
|
3.10 |
Gibt es eine adäquate Verfahrensweise bzgl. "Ad-hoc"-Meldungen zu Risiken? |
|
|
|
3.11 |
Werden Unternehmensführung und Aufsichtsrat regelmäßig über Risiken informiert |
|
|
|
Tab. 1: Fragen zur Beurteilung eines regulatorischen Risikomanagements
Stufe 4: Ökonomisches, entscheidungsorientiertes Risikomanagement
Mögliche "Bestandsbedrohungen" aus Kombinationen von Einzelrisiken erkennbar machen
Risiko wird als Überbegriff über Gefahren (mögliche negative Abweichungen) und Chancen (mögliche positive Abweichungen) verstanden. Aus den Einzelrisiken wird mittels Risikoaggregation unter Bezugnahme auf die Unternehmensplanung ein Gesamtrisikoumfang berechnet, aus dem z. B. der Eigenkapitalbedarf zur Deckung möglicher risikobedingter Verluste abgeleitet werden kann. Mittels Monte-Carlo-Simulation werden mögliche "bestandsbedrohende Entwicklungen" aus Kombinationseffekten von Einzelrisiken erkennbar, wie § 91 AktG fordert. Die Konsequenzen der Risiken für wichtige Zielgrößen des Unternehmens und auch das Unternehmensrating (auch in einem Stressszenario) werden aufgezeigt. Es existiert ein ausgeprägtes Risikobewusstsein in der Unternehmensführung und das Risikomanagementsystem wird durch eine IT-Lösung unterstützt. Bei besonders wichtigen Entscheidungen der Unternehmensführung werden entscheidungsvorbereitend die Implikationen für Gesamtrisikoumfang und zukünftiges Rating betrachtet. Die Implikationen für Ertrag und Risiko werden abgewogen.
Robustes Unternehmen als strategisches Ziel
Die Unternehmensführung betrachtet Risiko – ähnlic...