Ratschläge für ein leistungsfähiges Risikomanagement

von Dr. Werner Gleißner

Überblick

Seit Inkrafttreten des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Mai 1998 gibt es umfangreiche Erfahrungen mit der Risikoanalyse sowie mit der Einführung von Risikomanagementsystemen in börsennotierten Aktiengesellschaften. Es hat sich hier insbesondere gezeigt, daß die meisten Unternehmen erfreulicherweise die Pflicht, das KonTraG, mit der Kür einer Verbesserung der ökonomischen Planung durch die neuen Informationen aus dem Risikomanagement verbinden. Das Risikomanagement ist in dieser Weise sicherlich sehr gut geeignet, die Wettbewerbsfähigkeit von Unternehmen zu verbessern und die Basis für eine wertorientierte Unternehmensführung auszubauen.

Viele Unternehmen wollen jedoch mehr erreichen als die Erfüllung der formalen Pflichten des KonTraG, die im Prüfungsstandard des Instituts der Wirtschaftsprüfer (IDW) konkretisiert worden sind. Diese Unternehmen sollten darauf achten, daß bei der Risikoanalyse und der organisatorischer Gestaltung des Risikomanagementsystems mit möglichst hoher Effizienz vorgegangen wird. In der Praxis häufig erprobte methodische Ansätze - wie die Methodik des Risk Management Competence Center Europe (RMCE) - umfassen alle Phasen von der Risikoanalyse über die Risikoaggregation und die Risikobewältigung bis hin zur organisatorischen Gestaltung eines Risikomanagementsystems. Sie zeigen, daß mit einem solchen fundierten und fokussierten Konzept in kurzer Zeit ein ökonomisch wertvolles Risikomanagementsystem aufgebaut werden kann.

Auf Grund fehlender Erfahrung in der Vergangenheit haben sich jedoch viele Unternehmen - durchaus auch mit Unterstützung von Beratern - unnötig schwer beim Aufbauen eines Risikomanagementsystems getan - oder tun dieses noch immer. Nicht selten ist die anfängliche Euphorie über die Möglichkeiten des Risikomanagements in Resignation umgeschlagen, weil trotz hohem Aufwand und einer Vielzahl von erhobenen Daten über Risiken sinnvolle Entscheidungsgrundlagen für die Unternehmensführung nicht entstanden sind. Die WIMA Gesellschaft für angewandte Betriebswirtschaft mbH hat die Erfahrungen vieler Unternehmen ausgewertet und daraus das folgende Profil von Ratschlägen erarbeitet. Diese sollen dazu beitragen, das Risikomanagement möglichst effizient anzugehen und die checklistenartig zusammengefaßten und nach den Phasen des Risikomanagement-Prozesses gruppierten Fehler zu vermieden.

Risikoidentifikation

Die Risikoidentifikation stellt den ersten Schritt eines Risikomanagementprojektes dar. Dieser Phase obliegt die vom KonTraG geforderte systematische Identifikation aller auf das Unternehmen einwirkenden Risiken - insbesondere der bestandsgefährdenden Risiken. Dabei sind die folgenden Risikofelder zu betrachten: Strategische Risiken, Marktrisiken, Finanzmarktrisiken, rechtliche und politische Risiken, Risiken aus Corporate Governance sowie Leistungsrisiken aus der primären Wertschöpfungskette und den Unterstützungsfunktionen. Verschiedene Fehler können bei der Risikoidentifikation in der Unternehmenspraxis beobachtet werden:

• Keine fokussierte, hierarchische Systematik zur Risikoidentifikation: In vielen Unternehmen werden nach einem "Jäger und Sammler-Ansatz" möglichst alle Mitarbeiter schriftlich oder mündlich befragt, um die ihnen einfallenden Risiken zu erheben und zusammenzutragen. Diese Methodik ist äußerst arbeits- und zeitaufwendig und zudem nicht besonders leistungsfähig. Zum einen ist die Gefahr relativ groß, daß man von den Mitarbeitern diejenigen Informationen bekommt, die gerade besonders aktuell sind, nicht aber unbedingt diejenigen mit besonderer Bedeutung für das Unternehmen. Hier spielt eine große Anzahl auch psychologisch bedingter Fehleinschätzungen eine Rolle. Erinnert sei beispielsweise an die Verfügbarkeit und Repräsentativitäts-Heuristik der Prospekt-Theorie. Insbesondere führt dieses Verfahren zwangsläufig dazu, daß man ganz ähnliche Risiken in unterschiedlichster Formulierung erhält. Die Anzahl der Risiken ist groß und kaum mehr zu bearbeiten. Bei der Verdichtung der Vielzahl einzelner Informationen entstehen oft "Datenberge", die bei vielen Unternehmen schon zum Scheitern des gesamten Projektes führen. Erschwerend kommt zum einen hinzu, daß eine große Menge an Arbeitszeit bei diesem Ansatz verbraucht wird. Zum anderen ist noch nicht einmal gewährleistet, daß man die tatsächlich maßgeblichen Risiken identifiziert hat, da eine entsprechende Systematik fehlt.

Eine leistungsfähige Risikoidentifikation sollte daher durch eine klare Fokussierung des Vorgehens gekennzeichnet sein. In einem Unternehmen müssen zunächst durch vorbereitende Analysen diejenigen Risikofelder identifiziert werden, bei denen die größten Risiken zu erwarten sind. Außerdem ist bekannt, daß Unternehmen mit bestimmten Unternehmenscharakteristika oder bestimmten Umfeldsituationen (z.B. Marktbedingungen) immer wieder ähnliche Risikoprofile aufweisen. Es erscheint daher naheliegend, sich diese typischen Risikofelder besonders intensiv anzusehen. Beispielsweise ist zu erwarten, daß sich bei einem Anlagebauunternehmen erhebliche Risiken im Bereich der Projektkalkulation verbergen. Daher sollte bei diesem Unternehmenstyp die Projektkalkulation wesentlich intensiver durchleuchtet werden als andere Risikofelder. Entscheidend für eine strukturierte, fokussierte Risikoidentifikation ist es, geeignete Abbruchkriterien zu finden, mit denen entschieden wird, ob ein Risikofeld noch weiter zu durchleuchten ist.

• Fehlender Bezug zur Unternehmensstrategie und den Erfolgsfaktoren: Ein erheblicher Schwachpunkt der Risikoidentifikation ist das Fehlen eines klaren strategischen Bezuges. Dieser sollte systematisch ableiten, welche Risiken die Erreichung der maßgeblichen strategischen Ziele gefährden. Dazu gehören u.a. alle Arten von Bedrohungen zentraler Erfolgsfaktoren - wie beispielsweise die Kernkompetenzen. Risikoidentifikationen ohne Bezug zur Unternehmensstrategie laufen Gefahr, von den wirklich wesentlichen bestandsgefährdenden Risiken abzulenken. Wirkliche Bestandsgefährdungen werden in der Regel nicht von Betriebsunfällen, Bränden oder "Derivate-Unglücken" ausgelöst, sondern durch ein Scheitern der Unternehmensstrategie in zentralen Punkten - beispielweise durch das nicht rechtzeitige Erkennen von Marktentwicklungen oder durch das Eingehen von Risiken in einem Umfang, der nicht durch verfügbares Eigenkapital - als Risikopuffer - abgefangen werden kann.

• Fehlender Einsatz von Fachexperten bei der Risikoanalyse: Risikoidentifikationen dürfen keines Falls nur als Brain-Storming-Veranstaltungen mißverstanden werden. Eine fundierte und objektive Risikoidentifikation erfordert, daß

• Fachexperten eingesetzt werden, die die Risikolandschaft objektiv beurteilen (z.B. unternehmensexterne Berater) und zugleich

• das entsprechende Fach-Know-how haben, ein bestimmtes Spezialgebiet (sei es die Projektkalkulation, der Derivate-Einsatz oder ein Fertigungsprozess) beurteilen zu können.

Die bei den Risikoidentifikationen eingesetzten Fachleute sollten grundsatzlich unabhängig von dem zu identifizierenden Risikobereich sein und ein Fachwissen haben, das dem der dort tätigen Mitarbeiter mindestens ebenbürtig ist.

Risikoanalyse/ Risikoquantifizierung

Die in der Identifikationsphase erfaßten Risiken werden im Rahmen der Risikoanalyse hinsichtlich ihrer Eintrittswahrscheinlichkeit und ihrer quantitativen Auswirkungen bewertet. Im folgenden werden einige schwerwiegende Fehler bei Risikoanalysen dargestellt:

• Fehlen einer einheitlichen Risikobewertungseinheit für die Risiken: Es wird keine einheitliche Risikobewertungseinheit (z.B. Ertrag) zugrundegelegt. Stattdessen werden beispielsweise einmal Umsatzgrößen und ein anderes Mal Ertragsgrößen zum Messen eines Risikos betrachtet.

• Fehlende Begründung der Risikobewertung: Obwohl objektive Daten (z.B. Zeitreihen) verfügbar sind, werden subjektive Werte - also Schätzungen - verwendet. Diese subjektiven Daten sind insbesondere dann von geringer Qualität, wenn keine detaillierte und nachvollziehbare Herleitung oder Begründung zur Plausibilitätsprüfung angegeben wird. Schätzungen von Schadenshöhen, die nicht detailliert begründet oder hergeleitet werden, sind für Dritte nicht prüfbar und verstoßen gegen den Transparenzanspruch des Risikomanagements.

• Addition von Schadenswerten auf Ordinalskalen: Die Addition von Schadenswerten auf ordinalen Skalen ("Schadensklassen", "Tragweite") führt bei der Risikoaggregation zu falschen Resultaten und ist mathematisch unsinnig.

• Verwechslung von Risiken und sicheren Schäden: Sicher erwartete und in der Unternehmensplanung bereits erfaßte Entwicklungen werden zusätzlich als Risiken eingestuft (z.B. sicherer Verlust eines Großkunden). Solche Ereignisse, die zwar unangenehm, aber sicher sind, stellen definitionsbedingt kein Risiko dar.

• Vernachlässigung der Wirkungsdauer von Risiken: Risiken, die nur einen einmaligen Schaden verursachen können und solche mit langanhaltenden Wirkungen, werden nicht unterschieden. Häufig wird bei der Bewertung von Risiken nicht explizit fixiert, auf welchen Zeitraum sich die Schadenshöhen beziehen bzw. welche Wirkungsdauer ein eingetretener Schadensfall hat.

• Unreflektierte Verwendung einer digitalen Schadensverteilung mit Eintrittswahrscheinlichkeit und Schadenshöhe: Grundsätzlich wird nur eine "digitale" Schadensverteilung angenommen - der Schaden hat also beim Eintreten annahmegemäß immer den gleichen Umfang. Außerdem erfolgt die Beschreibung von Risiken mittels Schadenshöhe und Eintrittswahrscheinlichkeit. Dieses ist bei manchen Risiken - wie zum Beispiel unerwarteten Umsatzrückgängen, offensichtlich ungeeignet. Absatzmengenrisiken können - mit unterschiedlicher Wahrscheinlichkeit - einen Umfang von einem Prozent, zwei Prozent, drei Prozent usw. haben und sind oft besser durch eine Normalverteilung zu beschreiben.

• Fehler bei der Abgrenzung von Risiken: Überschneidungen zwischen separat identifizierten Risiken werden nicht erkannt und Risiken damit "doppelt gezählt".

• Vernachlässigung von kleinen Schäden mit hoher Frequenz: "Kleinschäden", die aber in der Summe eine hohe Bedeutung haben, werden tendenziell im Vergleich zu seltenen "schrecklich" erscheinenden, katastrophenartigen Risiken vernachlässigt. Ebenfalls oft übersehen werden sehr gravierende, aber unspektakuläre Risiken, wie beispielsweise unerwartete Zinsänderungen.

• Vernachlässigung von Abhängigkeiten zwischen den Risiken (Korrelationen): In der Phase der Risikoaggregation werden die komplexen Wechselwirkungen zwischen den Risiken nicht berücksichtigt. Eine isolierte Betrachtung einzelner Risiken ist grundsätzlich wenig aussagefähig, weil deren Relevanz sich oft erst im Gesamtkontext bewerten läßt.

• Risikoanalyse auf Basis von Risikoerwartungswerten: Bei der Risikoanalyse werden einseitig entweder nur "Schadenserwartungswerte" oder "Höchstschäden" betrachtet. Beides liefert nur eine unvollständige Information über die Charakteristika eines Risikos und kann zu Fehleinschätzungen führen.

Risikoaggregation

Zielsetzung der Risikoaggregation ist die Bestimmung der Gesamtrisikoposition ("Risk exposure") der Unternehmung sowie der relativen Bedeutung der Einzelrisiken. Dabei sind Wechselwirkungen durch Risikosimulationsverfahren explizit zu berücksichtigen. Hierzu werden Wirkungen der Einzelrisiken im Kontext der im Unternehmen genutzten Planungsmodelle integriert - beispielsweise Plan-Gewinn- und Verlust-Rechnung (G&V) oder Economic-Value-Added-Modell (EVA). Dieses ermöglicht die Verbindung von Risikomanagement und "traditioneller" Unternehmensplanung. Hierbei sind nicht selten die folgenden Fehler zu beobachten:

• Addition von Risiken statt Aggregation: Hierbei werden die Schadenshöhen verschiedener Risiken einfach addiert. Eine solche Addition von Schadenshöhen einzelner Risiken ist jedoch nur für den völlig unrealistischen Fall angemessen, daß alle denkbaren Risiken des Unternehmens gleichzeitig eintreten.

• Aggregation von Einzelrisiken ohne Bezugnahme zur Unternehmensplanung: Risiken führen letztendlich zu Abweichungen der tatsächlichen und geplanten Unternehmensergebnisse. Für einen ökonomisch sinnvollen Umgang mit Risiken ist es daher erforderlich, daß die einzelnen Risiken in den Kontext einer Unternehmensplanung gestellt werden. Risikomanagement zielt im Ergebnis darauf ab, die durch die einzelnen Risiken hervorgerufenen Schwankungen der tatsächlichen Werte mittels festgesetzter Planwerte messbar und "managebar" zu machen.

• Fehlende Berechnung des Gesamtrisikoumfangs: Der aggregierte Gesamtrisikoumfang - beispielsweise ausgedrückt als Value-At-Risk - gibt an, wie hoch der Eigenkapitalbedarf für das Unternehmen ist, um die ermittelten Risiken zu tragen. Wird eine solche Risikoaggregation und damit eine Berechnung des Eigenkapitals nicht vorgenommen, ist die fundierte Beurteilung einer angemessenen Eigenkapitalausstattung nicht möglich und der Grad der Bestandsgefährdung eines Unternehmens nicht bestimmbar. Eine zentrale Aufgabe des Risikomanagements wird damit nicht gelöst und zudem die Chance vergeben, auf Basis des ermittelten Eigenkapitalbedarfs fundierte Kapitalkosten zu berechnen. Letztere sollten wiederum in den wertorientierten Steuerungsansatz einfließen.

• Fehlende Definition eines risikoorientierten Erfolgsmaßstabs: Traditionelle Rentabilitätsmaßstäbe - wie die Eigen- oder Gesamtkapitalrendite - erfassen keine Risikowirkungen. Daher werden eher riskante Aktivitäten mit hohen erwarteten Renditen - aber eben auch hohen Risiken - durchgeführt. Diese müssen jedoch nicht zwangsläufig einen positiven Effekt auf den Unternehmenswert haben. Ein zentrales Thema des Risikomanagements ist daher die Festlegung eines Erfolgsmaßstabs für unternehmerische Entscheidungen, der Rentabilität und Risiko erfaßt - wie beispielsweise der Unternehmenswert, der Economic-Value-Added (EVA) oder Return-on-Risk-adjusted-Capital (RORAC).

Risikobewältigung

Es genügt natürlich nicht, Risiken nur zu analysieren. Es müssen auch geeignete Maßnahmen getroffen werden, die Risikoposition des Unternehmens zu optimieren - nicht jedoch zu minimieren, da dadurch gleichzeitig auf Chancen verzichtet würde. Hierbei werden häufig die folgenden Fehler gemacht:

• Ausschließliche Betrachtung von Versicherungslösungen: Der Risikobewältigung können völlig unterschiedliche Strategien dienen:

• Risikoreduzierung,

• ursachenorientierte Minderung der Eintrittswahrscheinlichkeit oder eine

• wirkungsorientierte Minderung der Schadenshöhe,

• Überwälzen von Risiken (z.B. durch Versicherungen, geeignete Verträge mit Lieferanten),

• Risiko selbst tragen (und Schaffung eines adäquaten Risikodeckungspotentials, in der Regel in Form von Eigenkapital- und Liquiditätsreserven).

Selbst unter den Risiko-Transfer-Möglichkeiten stellt das Versichern nur einen Weg dar. Ebenfalls zu berücksichtigen ist die Alternative, Risiken über Kapitalmärkte zu transferieren. Welche Risikobewältigungsstrategie die beste ist, kann nicht a priori entschieden werden. Hierzu sind detaillierte Analysen erforderlich, die leider zu oft unterbleiben.

Die folgende Checkliste zeigt Ansatzpunkte für die Reduzierung des Unternehmensrisikos in verschiedenen Bereichen:

Finanzieller Bereich Erhöhung des Eigenkapitals durch Einlagen der bisherigen Gesellschafter oder neuer Gesellschafter (zum Beispiel Kapitalbeteiligungsgesellschaften), Vermeiden der Abhängigkeit von nur einem Kreditinstitut, langfristige Finanzierung aller langfristig im Unternehmen verbleibender Aktiva, Vermeiden von Bürgschaften, Verlustübernahmeverträgen, Darlehen an andere Unternehmen, Wechselrisiken etc., Sicherstellen ausreichender Liquiditätsreserven und freier Kreditlinien, Verkauf nicht betriebsnotwendiger Bestandteile des Anlagevermögens (zum Beispiel Grundstücke) zur Tilgung von Schulden, Abbau der Kapitalbindung im Umlaufvermögen (Forderungen aus Lieferung und Leistung, Vorräte) durch eine verbesserte betriebswirtschaftliche Planung und Organisation (Mahnwesen, Lagerhaltungsplanung, Bestellwesen), kritische Prüfung vor einer Investition, ob diese tatsächlich im geplanten Umfang und sofort nötig ist (Branchenvergleichszahlen nutzen), Reduzierung des Anteils fixer Kosten durch Reduzierung der Fertigungstiefe und "Outsourcing" von Randaufgaben (Konzentration auf "Kernkompetenzen"), sorgfältige Planung unwiederbringlicher Ausgaben ("sunk costs") - wie zum Beispiel der Kosten für den Aufbau von Markennamen oder sehr unternehmensspezifischer Investitionen, da diese bei einem Marktaustritt in der Regel verloren sind, Schaffung eines ausreichenden Versicherungsschutzes für wesentliche versicherbare Risiken, wie Haftpflichtschäden, Betriebsunterbrechung oder Sachschäden (zum Beispiel bei Naturkatastrophen), Absicherung gegenüber Marktpreisschwankungen (zum Beispiel Zinsen, Währungskurse oder Rohstoffpreisschwankungen) durch Derivate (Optionen, Futures). Strategie und Marketing Ausbau von Kernkompetenzen, die nachhaltig von den Wettbewerbern abheben und auf möglichst verschiedenen Märkten wertvoll sind, Aufgabe oder Verkauf unrentabler Geschäftsfelder bzw. von Geschäftsfeldern ohne Wettbewerbsvorteile, Vermeiden der Abhängigkeit von nur einem Produkt oder einem Geschäftsfeld, Reduzierung der Abhängigkeit von wenigen Kunden oder Lieferanten, Vermeiden von Preiswettbewerb durch eine wirksame Differenzierung von den Wettbewerbern, regelmäßige Marktbeobachtung zur Früherkennung von Änderungen in Kundenwünschen, Technologien oder Konkurrenzverhalten (zum Beispiel durch quantitative Prognosesysteme, "Frühwarnsysteme"). Organisation, Mitarbeiter, Führung, Planung Aufbau eines funktionierenden Führungsinformationssystems, regelmäßige Beauftragung eines unabhängigen Unternehmensberaters mit einer kompletten Unternehmensanalyse (Vermeiden von "Betriebsblindheit"), Sicherstellen der Vertret- und Ersetzbarkeit jedes Mitarbeiters ("Schlüsselpersonenproblem"), Aufbau eines dokumentierten Risikomanagementsystems mit regelmäßigen Risikoberichten für die Unternehmensführung (einschließlich eines internen Kontrollsystems), Erstellung und risikoorientierte Analyse fundierter Geschäftspläne, Organisatorische und funktionale Trennung der Stellen zur Durchführung und zur Überwachung risikosensitiver Tätigkeiten im Unternehmen (zum Beispiel Treasury), Klare Kompetenz- und Unterschriftenregelungen ("Vier-Augen-Prinzip"), Regelungen für die systematische Vorbereitung wichtiger unternehmerischer Entscheidungen.

• Vernachlässigung von Diversifikationseffekten zwischen Risiken: Häufig wird bei der Risikobewältigung versucht, gezielt Maßnahmen für die Beherrschung einzelner Risiken zu erarbeiten. Da hierbei risikomindernde Diversifikationseffekte zwischen Risiken ("Pooleffekt") vernachlässigt werden, ist dieses im Allgemeinen zu "teuer". Beispielsweise ist es wesentlich günstiger eine kombinierte Versicherungslösung für Feuer und Haftpflicht zu realisieren als beide getrennt abzusichern.

• Aufbau von Kontrollsystemen statt geeigneter Anreizsysteme: Der Aufbau von bürokratischen Kontrollsystemen kann oft unterbleiben, wenn es durch geeignete Anreizsysteme (zum Beispiel Prämien) gelingt, die Interessen der Mitarbeiter mit den Unternehmensinteressen abzustimmen und so Risiken zu vermeiden.

• Fehlende Beachtung unternehmerischer Entscheidungsrisiken: Die psychologische Forschung belegt, daß die für den betrieblichen Erfolg maßgeblichen Entscheidungen der Unternehmer und Führungskräfte nicht nur von deren Fach- bzw. Methodenkompetenz und von der Qualität der verfügbaren Informationen abhängt. Nicht selten führen psychologisch bedingte "Denkfallen" zu bestimmten typischen Fehlentscheidungen und hohen unternehmerischen Risiken. Piattelli-Palmanini nennt in seiner 1997 erschienenen Schrift "Die Illusion zu wissen" auszugsweise die folgenden "Hauptsünden" bei Entscheidungen:

• Selbstüberschätzung: Dem eigenen Selbstbewußtsein sollte man kritisch gegenüberstehen. Gerade dann, wenn man sich besonders sicher fühlt, werden oft gravierende Fehler gemacht.

• Magisches Denken: Ein Mensch versucht tendenziell, mit immer neuen - auch falschen - Begründungen ("ad hoc Annahmen") eine Gesetzmäßigkeit zu verteidigen, von der er einmal überzeugt ist.

• Nachträgliches Besserwissen: Menschen sind im nachhinein davon überzeugt, daß sie ein eingetretenes Geschehen vorausgesehen hätten.

• Ankereffekt: Ein intuitives erstes Urteil wird - auch bei später völlig widersprechenden Informationen - kaum mehr vollständig revidiert.

• Eingängigkeit: Menschen halten Ereignisse häufig für eingängiger, wenn sie sich diese besser vorstellen können oder stark mit Emotionen verbunden sind.

• Blindheit für Wahrscheinlichkeiten: Wahrscheinlichkeitsschätzungen von Menschen sind sehr oft vollkommen falsch. Beispielsweise können Sie kaum mit "bedingten Wahrscheinlichkeiten" umgehen.

• Beeinflußbarkeit durch "Szenarien": Wahrscheinlichkeitseinschätzungen werden durch die Darstellung der zugehörigen Szenarien beeinflusst. Eine überzeugende und anschauliche Darstellung wird als wahrscheinlicher empfunden ("Framing").

Bei wichtigen Entscheidungen lassen sich viele potentielle Fehler durch eine Systematisierung und methodische Untermauerung von Entscheidungsabläufen vermeiden. Dieses reduziert unternehmerische Entscheidungs- und Führungsrisiken. Konkret bedeutet dieses beispielsweise, daß Entscheidungsprozesse für wichtige Entscheidungen präzisiert, die jeweiligen Ziele operationalisiert und der erforderliche Informationsbedarf explizit festgehalten wird.

• Fehlende Abgrenzung von Kern- und Randrisiken: Kernrisiken sind Risiken, die im unmittelbaren Zusammenhang mit dem Aufbau bzw. mit der Nutzung von Erfolgspotentialen stehen und kaum sinnvoll auf Dritte übertragen werden können. Durch den Transfer aller anderen "peripheren Risiken" (= Randrisiken) kann ein Unternehmen mehr Risiken beim Aufbau von Erfolgspotentialen eingehen, ohne das Risikodeckungspotential des vorhandenen Eigenkapitals zu überziehen. Eine unterlassene Trennung von Kern- und Randrisiken verhindert die systematische Prüfung, welche Risken das Unternehmen überhaupt selbst tragen soll.

• Fehlende (quantitative) Frühaufklärungssysteme: Frühwarnsysteme (Frühaufklärungssysteme) sind eine spezielle Art von Informationssystemen. Diese zielen darauf ab, zukünftige Entwicklungen und Ereignisse mit Bedeutung für das Unternehmen vorab zu erkennen - also Prognosen zu erstellen. Damit schaffen sie die Möglichkeit, diese Entwicklungen durch geeignete präventive Maßnahmen zu antizipieren. Frühwarnsysteme können operativ-quantitativer Natur sein (zum Beispiel ökonometrische Umsatzprognosesysteme) oder qualitativ-strategischer Natur (zum Beispiel Balanced Scorecard). Fehlende Frühwarnsysteme haben negative Auswirkungen auf die Zukunftsorientierung des Risikomanagements und letztlich auf die Steuerbarkeit des Unternehmens.

Die organisatorische Gestaltung des Risikomanagementsystems

Wirksames Risikomanagement erfordert dessen vollständige Verankerung in den Geschäftsprozessen des Unternehmens sowie die Einbeziehung aller Mitarbeiter bei der Umsetzung. Die sich ständig ändernden Umweltbedingungen wirken auch auf die Risikosituation des Unternehmens ein. Das Risikomanagementsystem hat daher durch organisatorische Regelungen - insbesondere eine klare Verantwortungszuordnung - sicherzustellen, daß Risiken frühzeitig identifiziert und regelmäßig bewertet werden. Außerdem sind für ein KonTraG-konformes Risikomanagementsystem die Berichtswege zu Vorstand und Aufsichtsrat bzw. Geschäftsführung festzulegen. Die folgenden Fehler sind bei der organisatorischen Gestaltung des Risikomanagementsystems immer wieder zu beobachten:

• Fehlende Schwerpunktsetzung und vermeidlicher bürokratischer Aufwand: Auch bei der organisatorischen Gestaltung des Risikomanagementsystems gilt der Grundsatz, daß nur dort größere organisatorische Maßnahmen sinnvoll sind, wo auch größere Risiken behandelt werden sollen. Gestützt auf die Daten der Risikoanalyse und die anschließende Risikoaggregation muß klar festgelegt werden, welche Risiken eine so große Bedeutung für das Unternehmen haben, daß Arbeitsanweisungen für eine regelmäßige Risikoüberwachung erforderlich sind. An allen anderen Stellen sollte eine unnötige und die Akzeptanz des Risikomanagements insgesamt gefährdende bürokratische Regelungsdichte vermieden werden.

• Fehlende Integration in bestehende Organisations-, Planungs- und Berichtssysteme: Risikomanagement wird teilweise als eigenständiges organisatorisches und planerisches System verstanden. So begriffen wird das Risikomanagement auf wenig Akzeptanz im Unternehmen stoßen und nur unnötigen bürokratischen Aufwand auslösen. Richtig ist es demgegenüber, das Risikomanagement - soweit irgendwie möglich - mit den vorhandenen Systemen zu vernetzen. Dieses bedeutet, daß beispielsweise die Informationen des Risikomanagements in die Unternehmensplanung miteinfließen. Umgekehrt sind schon vorhandene Daten der Unternehmensplanung selbstverständlich auch dem Risikomanagement zur Verfügung zu stellen.

Auch bei der organisatorischen Gestaltung der Risikoüberwachung sollten so weit wie möglich vorhandene Berichtssysteme und organisatorische Systeme genutzt werden. Beispielsweise können wesentliche Teile des Risikomanagements bei den technisch orientierten Risiken zugleich über das Qualitätsmanagementsystem abgewickelt werden. Es hat sich beispielsweise gezeigt, daß Budgetierungssitzungen und Geschäftsleitungssitzungen mit einigen zusätzlichen Informationen und Hilfsmitteln leicht zum Zwecke des Risikomanagements genutzt werden können. Der organisatorische Mehraufwand für ein eng mit den vorhandenen Systemen vernetztes Risikomanagementsystem ist relativ gering.

• Mangelhafte Dokumentation im Risikomanagement: Ein nachvollziehbares Risikomanagementsystem benötigt eine ordentliche, für Dritte (zum Beispiel Wirtschaftsprüfer) verständliche Dokumentation. Zudem müssen auch alle Erkenntnisse des Risikomanagements (zum Beispiel über Veränderungen bei bestimmten Risiken) sinnvoll und möglichst einheitlich aufbereitet, dokumentiert und an die Entscheidungsträger weitergeleitet werden. Selbst in Unternehmen, die sich durch einen disziplinierten und verantwortungsbewußten Umgang mit Risiken auszeichnen, gibt es gerade bei den Berichtswegen noch Defizite. Es fehlt eine risikoübergreifende einheitliche Systematik der Risikobeschreibung sowie ein zusammenfassender "Risikobericht" für die Geschäftsführung oder den Vorstand. Dieser sollte schnell und standardisiert über alle maßgeblichen Risiken informieren und so die im Unternehmen verteilten Risikoinformationen zusammenfassen.

• Unklare Aufgabenzuordnung im Risikomanagement und Fehlen eines Verantwortlichen für das Gesamtsystem: Für alle maßgeblichen Risiken, die regelmäßig zu überwachen sind, sollte ein Verantwortlicher ("RiskOwner") eindeutig benannt werden. Nur so ist Gewähr gegeben, daß das Risiko tatsächlich im gewünschten Umfang betrachtet wird. Zudem muß geklärt sein, welche Stelle - Risikomanager oder Risikocontroller - die Gesamtverantwortung für das Risikomanagementsystem trägt. Dieser muß über ausreichende Kompetenzen sowie Reputation im Unternehmen verfügen, damit seine Aussagen den nötigen Stellenwert erhalten.

• Fehlende organisatorische Trennung zwischen Risikomanagement und Interner Revision: Spätestens nach der Phase des Aufbaus sollten Risikomanagementsystem und interne Revision getrennt werden. Nur so wird sichergestellt, daß das Risikomanagement - wie jedes andere Organisationssystem im Unternehmen - durch eine neutrale Stelle bezüglich seiner Arbeitsweise und insbesondere auch seiner Effizienz geprüft werden kann.

• Unbefriedigende Einbindung der Mitarbeiter ins Risikomanagement: Nicht selten existiert ein Risikomanagementsystem nur auf dem Papier. Die Mitarbeiter - oft einschließlich der Führungskräfte - engagieren sich nicht für das Risikomanagement und sehen dessen Bedeutung als unwesentlich an. Neben Kommunikationsproblemen - oft schon beim Aufbau des Risikomanagementsystems - sind oft Schwächen in dessen Organisation (zum Beispiel zu viel Bürokratie) Ursache für diese Haltung. Besonders kritisch wird die Situation, wenn - unabhängig vom formalen Risikomanagementsystem - Mitarbeiter entweder aus Angst keine betriebsnotwendigen Risiken eingehen wollen, oder umgekehrt keine ausreichende Sorgfalt bei risikobehafteten Aktivitäten zeigen (Defizite in der Risikokultur).

• Fehlende Risikopolitik und Limitsysteme: Die Risikopolitik stellt den Teil der Unternehmensstrategie dar, der explizit Aussagen zur Risikobereitschaft und zum Umgang mit Risiken trifft. Sie setzt damit auch die Rahmenbedingungen für den Aufbau des Risikomanagementsystems. Die Risikopolitik hat insbesondere Aussagen zu treffen zu

• Entscheidungskriterien, die ein Abwägen von Rendite und Risiko erlauben,

• der Obergrenze für den Gesamtumfang der Risiken bzw. zur erforderlichen Eigenkapitalausstattung,

• der Aufteilung der Risiken in Kern- und Randrisiken sowie

• Limits für einzelne Risiken.

Ohne eine fixierte Risikopolitik fehlt der Orientierungsrahmen zum Umgang mit Risiken.

Zusammenfassung

Insgesamt ist festzuhalten, daß der Erfolg von Risikomanagementprojekten - nämlich die Steigerung des Unternehmenswertes durch Verbesserung der Risikoposition des Unternehmens - durch eine Reihe häufig beobachtbarer Fehlerquellen bedroht ist. Für sämtliche Phasen eines Risikomanagementprojektes bestehen schwerwiegende methodische Gefahren. Diese können dazuführen, daß Risikomanagementprojekte in der Praxis trotz massiven Einsatzes an Zeit- und Mitarbeiterressourcen keinen befriedigenden Erfolg zeigen und oft die in sie gesetzten Erwartungen nicht erfüllen.

Der nachfolgende, auf der Grundlage von Unternehmenserfahrungen erarbeitete Katalog von Ratschlägen zu den Problemfeldern des Risikomanagementsystems kann einige wertvolle Anregungen geben. Hierdurch können sowohl künftige als auch laufende Projekte effektiver gestaltet werden, um sinnvolle und fundierte Entscheidungsgrundlagen für die Unternehmensführung bereitzustellen.

Autor

Erstveröffentlichung im Krisennavigator (ISSN 1619-2389):
4. Jahrgang (2001), Ausgabe 3 (März)