Prof. Dr. Werner Gleißner
Empirische Studien zeigen, dass insbesondere das Risikomanagement bisher noch nicht auf die Vorbereitung unternehmerischer Entscheidungen ausgerichtet ist. Damit ergeben sich in den Entscheidungsvorlagen insbesondere Defizite bei der entscheidungsvorbereitenden Risikoanalyse.
Traditionell ist es die Kernaufgabe des Risikomanagements Transparenz zu schaffen über Einzelrisiken und den aggregierten Gesamtrisikoumfang, um so mögliche den Bestand des Unternehmens gefährdende Entwicklungen (Insolvenzrisiken) früh zu erkennen, um rechtzeitig Gegenmaßnahmen initiieren zu können.
Die Forderung zur Risikoaggregation ist die zentrale Anforderung an ein Risikomanagementsystem (RMS), das der Krisenprävention und Bestandssicherung dient. Die "bestandsgefährdenden Entwicklungen" ergeben sich nämlich meist aus Kombinationseffekten von Einzelrisiken, die durch die Risikoaggregation analysiert werden. Da Risiken nicht addierbar sind, benötigt man für die Aggregation eine Monte-Carlo-Simulation.
Bestandsgefährdende Entwicklungen entstehende heute primär durch (drohende) Illiquidität, womit die alleinige Betrachtung der Möglichkeit einer Überschuldung (und bilanzieller Verluste), wie vor Jahren noch üblich, unzureichend ist. Eine drohende Illiquidität ergibt sich in möglichen Zukunftsszenarien, die eine Verletzung von Mindestanforderungen an das Rating zeigen oder bei denen Covenants verletzt werden, die zu einer Kreditkündigung führen. Die Früherkennung möglicher Krisen und Insolvenzen impliziert also die Aggregation von Risiken mit Bezug auf die Unternehmensplanung unter Auswertung der Auswirkungen für Rating und Covenants (und nicht nur durch Überschuldung).
Risikomanagement wird integriert
Risikomanagement wird heute als Teil der "Second line of Defense" und Komponente eines integrierten risikoorientierten Managements gesehen – und nicht mehr als quasi eigenständiges Managementsystem. Eine Verknüpfung ist mit allen anderen Managementsystemen wichtig, die sich mit Risiko befassen, wie Controlling, Treasury und Qualitätsmanagement. COSO Enterprise Risk Management (2017), ISO 9001 (2015) und ISO 31000 (2018) betonen die Bedeutung von Risiken und die Intention der Schaffung integrierter Managementsysteme. Diese Intention wird durch die Idee von Enterprise Risk Management, Governance, Risk & Compliance (GRC) und Risk Governance aufgegriffen. Vielen GRC-Ansätzen fehlt bisher aber noch die Entscheidungsorientierung und die Verknüpfung mit Controlling und wertorientierten Unternehmensführung. Dafür sieht man oft einen Schwerpunkt im Bereich Compliance, d. h. einen Fokus auf die Einhaltung von Gesetzen und internen Regelungen sowie Risikovermeidung. Eine zentrale Herausforderung eines integrierten und entscheidungsorientierten Risikomanagements ist die Verknüpfung mit Controlling und Unternehmensplanung. Dies ist notwendig, um unter Berücksichtigung der Risiken "erwartungstreue" Planwerte zu erhalten und Ertrag und Risiko bei Entscheidungen konsistent abwägen zu können.
Neben Krisenfrüherkennung soll die Risikoanalyse daher heute der Entscheidungsvorbereitung dienen. Notwendig sind dafür insbesondere leistungsfähige Verfahren für Risikoanalyse, simulationsbasierte Risikoaggregation und risikogerechte Bewertung von Handlungsoptionen. Empfehlenswert ist im Ergebnis ein "entscheidungsorientiertes Risikomanagement", wie es speziell der DIIR Revisionsstandard Nr. 2 skizziert, um die Anforderungen der Business Judgement Rule für die Vorbereitung unternehmerischer Entscheidungen zu erfüllen.