Dipl.-Wirt.-Ing. Jens Gräf
Zusammenfassung
Das Risikomanagement muss als permanenter Prozess verstanden und in die bestehenden Managementsysteme von Unternehmen integriert werden. Risikomanagementsysteme, die lediglich formaljuristische Anforderungen erfüllen, weisen erhebliche Defizite auf.
Die Implementierung eines Risikomanagementsystems muss einhergehen mit der Schaffung eines erhöhten Risikobewusstseins im Unternehmen und damit zu einer verbesserten Früherkennung von Risiken beitragen.
Der Prozess des Risikomanagements gliedert sich in die Phasen Risikoanalyse, Risikoplanung und -steuerung sowie Risikoüberwachung.
Die Arbeitsabläufe in den einzelnen Phasen und ihre Ergebnisse werden anhand eines konkreten durchgängigen Praxisbeispiels erläutert.
In Unternehmen mit Projektgeschäft ist das Risikomanagement zusätzlich projektbezogen aufzubauen, bei Entwicklungs- und Technologierisiken sind zusätzliche Informationen zur Risikobewertung erforderlich.
1 Status quo des Risikomanagements
Einhaltung von Normen steht im Vordergrund
Im Kontext der letzten Wirtschafts- und Finanzkrisen und der sich abzeichnenden Krise aufgrund des Coronavirus gewinnt das Thema "Risikomanagement" stark an Bedeutung. Die Einleitung von Risikomanagementmaßnahmen darf jedoch nicht als Ad-hoc-Antwort auf externe Krisen erfolgen, sondern muss als permanente Aufgabe der Unternehmensführung verstanden werden. Durch die frühzeitige Identifikation und die systematische Steuerung von Risiken werden Wettbewerbsvorteile ausgebaut und die langfristige Existenz des Unternehmens gesichert. Empirische Studien belegen, dass der Großteil der deutschen Unternehmen ein Risikomanagementsystem besitzt. In der Praxis wird es jedoch vornehmlich zur Erfüllung gesetzlicher Mindestanforderungen und nicht zur gezielten Unternehmenssteuerung eingesetzt. Solche formaljuristischen Systeme weisen zum Teil erhebliche Defizite auf, die es mit Blick auf eine effektive Risikobewältigung zu beheben gilt.
Defizit 1: Mangelnde Quantifizierung von Risiken
Risiken sind grundsätzlich anhand der Dimensionen Eintrittswahrscheinlichkeit und Schadensausmaß zu quantifizieren. Eine solche Quantifizierung erfolgt jedoch nur für den überwiegenden Teil der Risiken. Vor allem bei schwer zu quantifizierenden Risiken wird versucht, die Quantifizierung durch verbale Beschreibungen zu umgehen. Durch diese Nichtquantifizierung kommt es faktisch zu einer Nichtberücksichtigung des Risikos bei der Ermittlung der Gesamtrisikoposition des Unternehmens.
Defizit 2: Mangelnde Aggregation von Risiken
Für ein effektives Risikomanagement ist es nicht ausreichend, die einzelnen Risiken zu identifizieren und zu bewerten. Vielmehr gilt es, die Gesamtrisikoposition des Unternehmens mittels Aggregation der Einzelrisiken zu ermitteln und Abhängigkeiten zwischen den verschiedenen Risiken zu berücksichtigen. Allerdings ist die Verdichtung der Risikoposition nur mithilfe von mathematischen Modellen durchführbar. Da diese nicht weit verbreitet sind, kann die Mehrzahl der Unternehmen nur begrenzte Aussagen über die Gesamtrisikoposition treffen.
Defizit 3: Mangelnde Steuerung von Risiken
Obwohl ein breites Spektrum zur Steuerung der analysierten und geplanten Risiken zur Verfügung steht, beschränkt sich die Praxis überwiegend auf die vertragliche Auslagerung von risikobehafteten Aktivitäten im Rahmen von Versicherungslösungen. Zudem erfolgt die Ableitung adäquater Maßnahmen zumeist auf der Ebene der Einzelrisiken, jedoch nicht auf Gesamtunternehmensebene.
Defizit 4: Mangelnde Integration des Risikomanagements
In vielen Unternehmen ist das Risikomanagement nicht mit der strategischen Unternehmensplanung, der Strategieimplementierung (Balanced Scorecard) oder mit dem Wertsteigerungsmanagement verbunden. So basiert die Unternehmensplanung weitgehend auf Erfahrungs- bzw. Mittelwerten, wobei die Risiken allenfalls intuitiv berücksichtigt werden. Parallel dazu werden im Risikomanagement statisch Risiken dokumentiert, ohne diese mit den Planwerten zu verbinden. Die Erfüllung gesetzlicher Anforderungen steht hierbei im Vordergrund. Es gibt also ein Risikomanagementsystem, aber es fehlt die Brücke, um die Erkenntnisse aus dem Risikomanagement in das bestehende Managementsystem zu überführen.
Defizit 5: Mangelnde Dynamik des Risikomanagements
Viele Unternehmen haben bei der Einführung des Risikomanagementsystems eine große Anzahl von Mitarbeitern beteiligt. Zudem wurden im Rahmen der Risikoidentifikation und -bewertung große Anstrengungen unternommen, geeignete Risikoindikatoren zu finden. Weil dieser Prozess sehr aufwendig ist und umfangreiche Mitarbeiterkapazitäten bindet, wird das Risikomanagement in den Folgejahren oftmals weniger konsequent durchgeführt. Im Ergebnis spiegelt die Risikolandkarte daher nicht die aktuelle Risikosituation, sondern die Risikosituation aus dem Jahr der Erfassung wider.
Die dargestellten Defizite liefern Anhaltspunkte für den Ausbau von Risikomanagementlösungen. Wodurch sich die verschiedenen Ausbaustufen von Risikomanagementsystemen unterscheiden, wird im zweiten...