III. Prozesselemente des Risikomanagements

Risikomatrix

Abb. Risikomanagementprozess4

Eine effektive Auseinandersetzung mit Risiken erfordert prozessuale Strukturen und Abläufe: vergleichbar einem kybernetischen Kreislauf folgen der Identifikation von Risiken die Abläufe der Bewertung, Einordnung, Bewältigung, Risiko-Kostenermittlung sowie das Controlling.
 
Outputs eines Vorgangs stellen einen Input für die nachfolgende Aktivität dar und machen damit den Ablauf des Risikomanagements zu einem – in die Geschäftsabläufe integrierten – dynamischen Steuerungskreislauf.

 

i. Risikoidentifikation

Den Einstieg in das Risikomanagement bildet der systematische Prozess des Suchens und Erkennens von Risiken. Dabei beschränkt sich die Identifikation keineswegs nur auf eine formale Inventur von Risiken im Sinne der Eintrittsmöglichkeit von Schadensereignissen. Vielmehr sollte dieser Schritt auch den Blick auf Risikosequenzen insgesamt richten, um risikogebundene Zusammenhänge zwischen Ursache, Schadensereignis und seiner Tragweite erfassen zu können.

Risikolandschaft und Systemzusammenhang

Vor diesem Hintergrund kann es sich empfehlen, mögliche Risiken aus einer Modellierung der (Gesamt)Risikosituation abzuleiten. Den Zielgrößen des Unternehmens (Sach- und Formalziele) werden Risikofaktoren gegenübergestellt, die zunächst nach dem Grad der Beeinflussbarkeit gruppiert werden: Den in der Einflusssphäre des Unternehmen liegenden Risikofaktoren stehen nicht beeinflussbare, externe, Faktoren gegenüber.
 

Risikoherkunft

Abb. Risikoherkunft5

Zugleich gibt dieser Analyseansatz Aufschluss über Wirkungsbeziehungen und Abhängigkeiten zwischen Zielen, Risikopositionen und Einflussgrößen, an Hand derer systematische Risikoklassifikationen und -aggregationen vorgenommen und „Risk-Exposures“ ermittelt werden können.
Die Palette an möglichen Methoden reicht vom Einsatz intuitiv un/strukturierter Instrumente bis hin zu systematischen Erhebungsformen; diese sind – den Gegebenheiten und Anforderungen des Einzelfalls – entsprechend zu kombinieren.

ii. Risikobewertung

Gegenstand der Risikobewertung ist die Prognose über Realisation und Folgen von Risiken, die im Ergebnis als statistischer Erwartungswert abgebildet werden.

Querverweis zum Thema

Dieser gibt Auskunft darüber, in welchen Umfang Risiken auf den betriebswirtschaftlichen Erfolg durchschlagen können, weil sie bspw. die Liquidität, die Rentabilität oder den Firmenwert (Marktstellung, Kompetenz, Kundenzufriedenheit, Reputation oder Markenwert) verändern.

Quantitative und qualitative Risikobewertung

Operationalisierbar sind Risiken und ihre Folgen jedoch nur in dem Umfang, als die dazu notwendige Information über ihre Eintrittswahrscheinlichkeit und Tragweite bekannt ist bzw. erhoben werden kann: Eintrittswahrscheinlichkeiten können objektiv messbar sein, werden in der Vielzahl der Fälle allerdings meist nur subjektiv einschätzbar sein. Liegen multivariate Risiken vor, wird eine valide und reliable Skalierung von Eintrittswahrscheinlichkeiten auf meist komplexere computergestützte Simulationsrechnungen und anerkannte statistische Verfahren zurückgreifen müssen.

Weitere Methoden zur Risikomessung stellen Sensitivitäts-, und Szenarioanalysen sowie Risikoabschätzungen und Stresstests dar. In diesem Zusammenhang ist auf „Values at Risk“ hinzuweisen, die abseits ihres ursprünglichen Einsatzbereiches zunehmende Verbreitung finden: dargestellt werden zeitraumbezogene Verlustpotenziale, die – unter vorheriger Annahme einer bestimmten statistischen Eintrittswahrscheinlichkeit – schlagend werden können.

Wirkungsanalyse und Risikoaggregation

Aus der Perspektive eines integrierten Risikomanagements beschränkt sich die Risikobewertung allerdings nicht auf das isoliert-betrachtete, absolute Potenzial dokumentierter Einzelrisiken. Bestehen zwischen Risiken Wechselwirkungen und Abhängigkeiten, liegt es auf der Hand, derartige Korrelationen zu berücksichtigen und im Rahmen der Risikobewertung abzubilden: erst diese relative Dimension von Risikopotenzialen eröffnet die Möglichkeit, Einzelrisiken zusammenzufassen und Aggregate im Sinne von Klassen, Bereichen oder Feldern zu bilden.

iii. Risikobewältigung

Die Risikobewältigung befasst sich mit dem Umgang der zuvor erkannten und bewerteten Risiken. Dabei wird sich die bewusste und planmäßige Auseinandersetzung an bereits unternehmensintern vorhandenen Richtlinien orientieren, die durch seine Risikobereitschaft und etwaige Risikostrategien vorgezeichnet sind.

Risikobereitschaft einerseits …

Maßgeblich beeinflusst werden inhaltliche Planung und Ausgestaltung der Risikosteuerung durch die Qualität des Risikos und des vom Unternehmen vorgefundenen Handlungsspielraums: Beeinflussbaren Risiken kann durch aktive Maßnahmen gegengesteuert werden; unbeeinflussbaren Risiken kann hingegen nur durch reaktives Verhalten, insbesondere durch Aufbau einer adäquaten Risikodeckung, begegnet werden.

… und Risikofähigkeit andererseits

Überlegungen über die Möglichkeiten der Risikosteuerung haben zugleich auch den Aspekt der Fähigkeit zur Risikosteuerung miteinzuschließen. Angesprochen ist damit die Risikofähigkeit und die Frage danach, ob das Unternehmen auch wirtschaftlich in der Lage ist, die mit Risiken verknüpften Folgen überhaupt tragen zu können: Demgemäß verpflichtet Risikomanagement dazu, Risiken nur in dem Umfang einzugehen, als das nach Maßnahmenplanung und Risikosteuerung verbleibende Nettorisiko vom Unternehmen wirtschaftlich „geschultert“ werden kann. Erste Aufschlüsse über die Risikofähigkeit des Unternehmens geben bspw. die Höhe des vorgehaltenen Risiko- bzw. Haftkapitals oder Liquiditätsindikatoren.

Steuerungsmaßnahmen

Im Kern verfolgen Steuerungsmaßnahmen das Ziel, auf einen – aus Sicht des Unternehmens – gewünschten Ausgleich zwischen Risiken und Chancen hinzuwirken und das Verhältnis zwischen Erträgen und Aufwendungen zu optimieren.
 

Strategien der Risikobewältigung

Abb. Strategien der Risikobewältigung6

Dabei wird die Qualität des Risikos maßgeblichen Einfluss auf die Wahl der einsetzbaren Instrumente nehmen: kontrollierbare Risiken indizieren aktiv gestaltende Maßnahmen, die geeignet sind, den Eintritt und / oder die Tragweite des Risikos zu reduzieren; unkontrollierbaren Risiken hingegen werden Maßnahmen entgegenzustellen sein, die Auswirkungen von Risiken (bspw. durch Versicherung, back-to-back Vertragsgestaltungen etc.) abfedern.
Das nach Steuerungsmaßnahmen verbleibende Restrisiko fällt dem Unternehmen zu, das es gleichsam als “Selbstversicherung” zu tragen hat. An dieser Stelle sind die zuvor angesprochenen Überlegungen zur Risikotragung zu beachten.

iv. Risikokosten

Der mit Blick auf die bisherigen Arbeitsschritte vorliegende Informationsstand bildet die (Daten)Grundlage für die Ermittlung des Gesamtrisikoumfangs, dem das Unternehmen unter Berücksichtigung seiner Risikomanagementmaßnahmen ausgesetzt ist.
Dieses „Risk-Exposure“ verkörpert den bewerteten aggregierten (und nicht bloß addierten) Bestand an betrieblich- unternehmerischen Einzel-, Gruppen und Bereichsrisiken.
 
Innerhalb dieses Risikosystem ist auf mögliche Wechselwirkungen und Kopplungseffekte zu achten, deren Komplexität über deterministische Rechenmodelle nicht mehr abgebildet werden kann. An deren Stelle treten quantitative Verfahren, die empirische Daten und Zufallsereignisse durch Simulation von Ereignis- und Risikoszenarien nachbilden; damit können etwa einer vorab festgelegten Art und Anzahl von Szenarien statistische Eintrittswahrscheinlichkeiten zugeordnet werden, die letztendlich zur Ermittlung von (aggregierten) Risikoerwartungswerten führen. Um eine angemessene Güte der angewendeten Verfahren zu gewährleisten, ist jedoch auf eine hinreichende Anzahl an Simulationsdurchläufen zu achten.

v. Risikocontrolling & Berichterstattung

Planung und Steuerung von Unternehmensaktivitäten zählen zum Aufgabenkreis der Unternehmensführung. Effektive Führung benötigt allerdings entsprechende Grundlagen, auf die Führungsentscheidungen gestützt und Planungs-, Lenkungs- oder Kontrollmaßnahmen bezogen sind. Die Voraussetzung dafür schafft ein betriebliches Controlling, das Informationen systematisch erhebt, aufbereitet und den Entscheidungsträgern zur Verfügung stellt.
 
In diesen Bezugsrahmen sind Inhalt und Umfang des Risikomanagements zu setzen: Risikocontrolling adressiert ein breites Spektrum an risikospezifischen Funktionen, Instrumenten, Maßnahmen und Handlungen. Naturgemäß weist es damit zahlreiche Schnittstellen zu betrieblichen Geschäftsprozessen, dem Rechnungswesen oder der Revision auf und sollte daher entsprechend integraler Bestandteil der betrieblichen Organisation sein.

Dokumentation und Risikohandbuch

Ausdruck eines systematischen Umgangs mit Risiken ist die Dokumentation des Risikomanagements. Diese legt Rechenschaft über den Umgang des Unternehmens mit Risiken, beschreibt die dafür geltenden Grundsätze und Abläufe und erlaubt es, ihre Anwendung und Einhaltung zu überprüfen.

Das Kernelement dazu bildet das Risikohandbuch: es setzt einen normativen Rahmen, definiert Prozesse, Abläufe und Inhalte des Risikomanagements, es schafft Verantwortung durch Zuweisung von Aufgaben, Funktionen und Befugnissen. Dementsprechend wird ein Risikohandbuch – nach Maßgabe der jeweiligen Gegebenheiten und Anforderungen des Einzelfalls – nachstehende, beispielhaft genannte, Themenbereiche behandeln:

  • Aufbauorganisation
    • risikopolitische Grundsätze
    • Definitionen und Anwendungsbereiche
    • Risikomanagementorganisation
    • Risikoprofil
    • Analyse und Festlegungen von Risikoaggregaten
    • Definition risikospezifischer Schwellenwerte und Limiten
    • Festlegungen von Kompetenzen und Verantwortlichkeiten
  • Ablauforganisation
    • Schnittstellen mit Subsystemen der Unternehmensführung
    • Prozess der Identifikation, Analyse, Bewertung von Risiken
    • “Methodologische“ Risikosteuerung
    • Festlegung kontrollgegenständlicher Indikatoren und Messzahlen
  • Risikoberichterstattung
    • Adressatenkreis
    • Inhalt und Umfang und Frequenz der Berichterstattung
    • Compliance-Berichterstattung