Risikocontrolling
Risikocontrolling ist ein Instrument, das innerhalb des Risikomanagements eine zentrale Rolle einnimmt und unterstützend dazu beiträgt, Risiken zu identifizieren, zu analysieren, zu bewerten und schließlich zu steuern.
Risikocontrolling Definition
Jedes Unternehmen ist in seiner Umwelt bestimmten Risiken ausgesetzt. Daher ist es nicht verwunderlich, dass das Risikocontrolling eine der zentralen Aufgaben des Controllings darstellt. Zudem sind viele Unternehmen gesetzlich zu einer Einführung des Risikocontrollings verpflichtet. Auch in dem von der International Group of Controlling (IGC) herausgegebenen Controlling-Prozessmodell 2.0 ist das Risikocontrolling als eine der Kernaufgaben der sog. 10 Hauptprozesse gelistet. Es gliedert sich als Teil in das Risikomanagement ein und soll dabei unterstützen Risiken zu identifizieren und zu analysieren sowie Maßnahmen zu erarbeiten, um den Risiken entgegenwirken zu können.
Risiko hat keine einheitliche Definition. Grundsätzlich stellt „Risiko“ den Überbegriff zu Chance (Möglichkeit einer positiven Abweichung) und Gefahr (Möglichkeit einer negativen Abweichung). Ein Risiko im Sinne von Gefahr bedeutet damit, dass mit einer bestimmten Wahrscheinlichkeit durch eine Entscheidung oder ein Ereignis ein Schaden entstehen kann oder zumindest ein erwarteter Vorteil nicht eintritt.
Risikocontrolling: Aufgaben und Ziele
Das Risikocontrolling umfasst innerhalb des Risikomanagements die Aufgabenbereiche
- Aufbau einer hierarchieübergreifenden Risikoberichterstattung,
- Sicherstellung der Informationsversorgung
- Risikoidentifikation,
- Analyse und Bewertung sowie
- Risikoüberwachung.
Ziel ist es, das Management dabei zu unterstützen, die zukünftigen, risikoreichen Entwicklungen schnellstmöglich zu erkennen, zu beurteilen, zu steuern und kontinuierlich zu überwachen. Oberstes Ziel ist, wie bei allen anderen unternehmerischen Aktivitäten auch, der Schutz des Unternehmens selbst sowie die Steigerung des Unternehmenswertes.
Risikocontrolling: Kennzahlen
Geeignete Kennzahlen für die Bewertung des Risikomanagements sind:
- Prozessqualität,
- Schnelligkeit und
- Effizienz.
Die Prozessqualität unterteilt sich in zwei Aspekte, erstens die Risikoabweichung und zweitens die Risikoidentifikation.
- Mittels der Risikoabweichung soll die treffergenaue Quantifizierung von Chancen und Risiken bewertet werden. Ausgesagt wird dabei, dass je besser das Risikomanagement funktioniert, desto geringer ist auch die Abweichung zum tatsächlich realisierten Ergebnis.
- Die Risikoidentifikation konzentriert sich auf eine hohe Transparenz der Chancen und Risiken. Hierbei ist unabhängig von der Chancen-Risiko-Strategie ein höchstmöglicher Identifikationsgrad zu beabsichtigen.
Die Prozessqualität des Risikomanagements hängt maßgeblich von der Zusammenarbeit der Führungskräfte und Controller ab.
Die Kennzahl Schnelligkeit zielt auf die Termintreue ab. Ziel sind zeitnahe und termintreue Informationen, die sich in der Verbindlichkeit des Reporting-Kalenders widerspiegeln. Schnelligkeit kann zudem auch ein Hinweis auf Ressourcenengpässe im Risikomanagement-Prozess oder mangelnde Kooperation zwischen den beteiligten Führungskräften und Controllern sein. Die tragende Rolle spielen hierbei die Führungskräfte.
Die letzte Kennzahl Effizienz blickt auf die Kapazitäten, ausgedrückt in der Kennzahl FTEs (Full Time Equivalents). Ein adäquater Ressourceneinsatz kann ein Indikator für eine hohe Effizienz des Risikomanagements sein. Interpretiert werden kann diese Kennzahl, indem aufgezeigt wird, dass die Leistungsanteile im Prozess nicht nur innerhalb, sondern auch außerhalb der Controller-Organisation liegen.
Risikocontrolling: Instrumente
Das erfolgreiche Angehen und Erledigen der oben genannten Aufgaben bedarf gewisser Instrumente im Risikocontrolling. Zu ihnen zählen beispielsweise:
- Wert- und Prozesskettenanalysen,
- Netzwerktechnik,
- Frühaufklärungssysteme wie z.B. die GAP-Analyse oder Lebenszyklusanalyse,
- Risikoportfolios,
- Scoring-Modelle und
- Value- und Cash-Flow-at-Risk-Berechnungsmethoden.
Die Controllinginstrumente verhelfen zu einer besseren Überprüfung und Steuerung sowie letztlich einer Verbesserung des Risikomanagementprozesses.
Risikomanagement und Risikocontrolling
Viele Unternehmen sind durch gesetzliche Anforderungen (z.B. das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich oder der internationale Rechnungslegungsstandard IFRS 7) und den Anspruch der Stakeholder dazu verpflichtet, ein Risikomanagement und dementsprechend auch ein Risikocontrolling einzuführen. Das Risikocontrolling ist Teil des Risikomanagements eines Unternehmens. Mit Hilfe der vom Risikocontrolling identifizierten, analysierten und bewerteten Risiken, trifft das Management Entscheidungen über das Eingehen bzw. Vermeiden von Risiken und die Reduktion bestehender Risiken durch risikopolitische Maßnahmen. Das Risikocontrolling stellt die Auswirkungen der Entscheidungen im Plan und Ist ab.
In der Risikoidentifikation werden in einem ersten Schritt die relevanten Risiken evaluiert. Anschließend erfolgt die Risikobewertung und -aggregation, in der die identifizierten Risiken beurteilt und quantifiziert werden. Die Beurteilung ist eine der Hauptaufgaben des Risikomanagements und erfordert den Einbezug der wechselseitigen Beziehungen von Risiken. Besonderes Augenmerk muss dabei auf die sich verstärkenden Beziehungen gelegt werden. Die Aggregation verhilft im Anschluss zur Feststellung der Größe des Gesamtrisikos, unter Berücksichtigung der Abhängigkeiten der Einzelrisiken. Die Risikosteuerung beurteilt im nächsten Schritt, wie mit analytischen Risiken umgegangen werden soll. Dabei kommen die fünf Strategien
- Risikovermeidung,
- Risikoverminderung,
- Risikobegrenzung,
- Risikoüberwälzung und
- Risikoakzeptanz
zum Einsatz. Den letzten Aufgabenteil macht die Risikokommunikation und -kontrolle aus. Ein Organ der Kommunikation ist das Risikoreporting. Dort werden die identifizierten und bewerteten Risiken aufgelistet sowie deren Maßnahmen zur Steuerung und Bewältigung erläutert. Es werden alle zuvor durchgeführten Prozesse beschrieben. Die Risikokontrolle beinhaltet die Prüfung der Einhaltung von Vorgaben des Managements. Der dynamische Charakter von Risiken erfordert stets eine kontinuierliche Kontrolle.