Prof. Dr. Werner Gleißner
Die hier umrissenen grundlegenden Überlegungen werden nachfolgend ausgebaut und in den Implikationen für eine risiko- und wertorientierte Unternehmenssteuerung, und damit für Controlling und ein modernes Risikomanagement, diskutiert. Ausgangspunkt der Betrachtung ist die in Abb. 2 dargestellte "traditionelle" Risikomanagement-Sichtweise.
Abb. 2: Traditioneller Ablauf von Risikomanagementprozessen
- Ein an die Anforderungen von KonTraG und IDW PS 340 ausgerichtetes Risikomanagement umfasst zunächst die Identifikation und Quantifizierung der Risiken (Risikoanalyse), um die wesentlichen Einzelrisiken zu erkennen und z. B. in Form eines Risikoinventars priorisiert zusammenzufassen.
- Ein leistungsfähiges Risikomanagement aggregiert anschließend diese Risiken zur Bestimmung des Gesamtrisikoumfangs, z. B. ausgedrückt im Eigenkapitalbedarf, was eine Monte-Carlo-Simulation erfordert., Nur durch die Aggregation der Risiken, also der Berechnung einer großen risikobedingt möglichen Anzahl von Zukunftsszenarien, können die Kombinationseffekte von Risiken ausgewertet werden. Und gerade solche Kombinationen von Risiken – und nicht Einzelrisiken – sind es, die Unternehmenskrisen oder Insolvenzen auslösen.
- Bei der Initiierung von Risikobewältigungsmaßnahmen werden typischerweise die bestehenden Risiken betrachtet und Maßnahmen initiiert, die auf die Vermeidung, Verminderung der Eintrittswahrscheinlichkeit, Begrenzung der Schadenshöhe oder den Transfer der Risiken ausgerichtet sind (z. B. Versicherungen oder das redundante Auslegen von Produktionsanlagen).
Hier wird deutlich: Der Fokus der nun gerade durch das Risikomanagement initiierten Aktivitäten sind meist die bekannten Einzelrisiken und nicht etwa Veränderungen der Gesamtrisikoposition, ausgelöst durch die Entscheidung bezüglich neuer Aktivitäten (wie Investitionen). Andere wesentliche Handlungsoptionen und Maßnahmenbündel, über die die Unternehmensführung in der Vorbereitung einer Entscheidung nachdenkt, werden oft nicht konsequent daraufhin untersucht, welche Veränderungen des aggregierten Risikoumfangs diese zur Konsequenz haben würden. Stattdessen wird versucht durch traditionelle Risikobewältigungsmaßnahmen die Risikoposition zu verändern – und hier wird oft sogar durch die singuläre Betrachtung von "Sicherheits-Zielen" angestrebt, den Risikoumfang zu minimieren. Dies ist natürlich nicht sinnvoll, da Unternehmertum mit dem Eingehen von Chancen und Gefahren (Risiken) verbunden ist und eine "optimale Risikoposition" eine Optimierung des Ertrag-Risiko-Profils, also des risikogerechten Unternehmenswerts, anstreben sollte.
Risikoüberwachung
Die laufende Risikoüberwachung wird flankiert durch eine kontinuierliche oder regelmäßige Überprüfung des Gesamtrisikoprofils, also Risikoidentifikationsaktivitäten, sowie eine Überarbeitung der Risikoquantifizierung (Risikoanalyse). Traditionell wird in einem isolierten Risikomanagement-Ansatz viel Energie aufgewendet, um geeignete Prozesse und (Software-) Tools vorzuhalten, um diese Risiken kontinuierlich zu überwachen. Eine Veränderung des Risikoumfangs sollte durch eine Überwachung natürlich erkannt werden. Allerdings erfährt das Risikomanagement oft von Veränderungen des Risikoumfangs erst im Detail, wenn risikopositionsverändernde Entscheidungen der Unternehmensführung bereits getroffen sind.