Risikomanagement und KonTraG

Rezension von Hans-Jürgen Wieben

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichtet Aktiengesellschaften und große Gesellschaften mit beschränkter Haftung zur Einrichtung eines Überwachungssystems, das bestandsgefährdende Risiken frühzeitig erkennen und bewältigen hilft. Vor diesem Hintergrund stellen Klaus Wolf, Unternehmensberater bei PriceWaterhouseCoopers im Bereich Risikomanagement und Vitalisierung, und Bodo Runzheimer, Professor für Betriebswirtschaftslehre an der Fachhochschule Pforzheim, nunmehr in der zweiten, überarbeiteten Auflage ein strukturiertes Konzept zum Aufbau eines Risikomanagement-Systems vor. Ausgehend von den theoretischen Grundlagen des Risikomanagements wird ein praxisorientierter Risikomanagement-Ansatz in Form eines Beratungskonzeptes für externe Unternehmensberater entwickelt. Das Buch richtet sich aber auch an Entscheidungsträger in Unternehmen und Banken, die sich mit dem Risikomanagement beschäftigen.

Das Buch gliedert sich in fünf Kapitel, ergänzt um einen Anhang, der Auszüge aus dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) beinhaltet, ein Stichwortverzeichnis und ein annähernd 200 Quellen umfassendes Literaturverzeichnis.

Im einführenden ersten Kapitel (Seite 17 bis 26) wird zunächst ein knapper Überblick über den Aufbau des Buches und die Problemstellung gegeben. Ziel der Autoren ist es, einen praxisorientierten Risikomanagement-Ansatz zu entwickeln und seine Komponenten aufzuzeigen.

Das zweite Kapitel (Seite 27 bis 88) soll dem Leser die theoretischen Grundlagen eines systematischen, strukturierten und flächendeckenden Risikomanagements näherbringen. Voraussetzung dafür ist nach Meinung der Autoren die lückenlose Kommunikation der dynamischen Unternehmensstrategie, aus der die Risikomanagementziele abgeleitet werden.

• Als Instrument der Strategieformulierung stellen Wolf und Runzheimer im Kapitel 2.1 das von Kaplan und Norton entwickelte Kennzahlensystem der Balanced-Scorecard vor, in dem sie ein "strategisches Managementsystem" (Seite 29) erkennen. Welchen Beitrag dieses System zum Risikomanagement leistet, erklären die Autoren nicht. Hierzu findet sich lediglich ein Hinweis im Vorwort des Buches (Seite 5). Danach soll mit Hilfe der Balanced-Scorecard das strategische Risikomanagement systematisch, strukturiert und flächendeckend umgesetzt werden. In den folgenden Unterkapiteln widmen sich Wolf und Runzheimer dann den verschiedenen Phasen des Risikomanagement-Prozesses. Sie stellen die Ziele, Aufgaben und Instrumente der Risikoidentifikation, der Risikobewertung, der Risikohandhabung und des Risikocontrollings dar.

• Ziel der im Kapitel 2.2 dargestellten Risikoidentifikation ist es, Störfaktoren und deren Wirkungen im Gesamtzusammenhang des Unternehmensgeschehens zu identifizieren und zu analysieren (Seite 33). Für operative Entscheidungen nennen die Autoren Checklisten, Fehlerbaum-Analysen, Flow-Chart-Analysen sowie Fehlermöglichkeits- und Fehlereinflußanalysen als Instrumente. Für strategische Entscheidungen beschreiben sie das Brainstorming und Brainwriting, die Szenarioanalyse sowie die Delphimethode. Die Instrumente werden mit Ausnahme der Szenarioanalyse jeweils nur in drei bis vier Sätzen beschrieben, so daß der Leser bei stärkerem Interesse wohl auf eine der zahlreichen Literaturquellen angewiesen ist.

• Im Kapitel 2.3 schließt sich die Phase der Risikobewertung an, deren Ziel es ist, die ursächlichen Strukturen und Interdependenzen der Gefahrenpotentiale transparent zu machen und ihre Wirkungen quantifiziert offenzulegen (Seite 45). Als Komponenten des Risikos werden dafür Vorhersehbarkeit, Schadenshöhe und Häufigkeit identifiziert, die in wechselseitiger Beziehung zueinander stehen. Als Verfahren der Risikobewertung stellen die Autoren das Korrekturverfahren, die Sensitivitätsanalyse, die Risikoanalyse und das Risiko-Chancen-Kalkül vor. Ihren Schwerpunkt legen sie dabei auf die Methode der Risikoanalyse mit Hilfe der Monte-Carlo-Methode, die über 16 Seiten mit Hilfe eines anschaulichen Beispiels vorgestellt wird. Für zwei Investitionsprojekte leiten die Autoren die Wahrscheinlichkeitsverteilungen des ROI ab und ermitteln deren Sicherheitsprofile. Abschließend stellen die Autoren in diesem Unterkapitel die Risikomatrix als Instrument der Risikoklassifikation vor. Die Risiken werden dabei nach Schadenshöhe und Eintrittswahrscheinlichkeit in einer Matrix visualisiert.

• Die Risikohandhabung wird in Kapitel 2.4 vorgestellt. Die Maßnahmen des Risikomanagements werden in ursachen- und wirkungsbezogene Maßnahmen strukturiert. Ursachenbezogene Maßnahmen gehen den Risikoentstehungsprozeß an dessen Wurzel an. Sie erfordern zeitnahe Informationen über Einflußfaktoren und deren Beeinflußbarkeit (Seite 68). Mögliche Maßnahmen sind die Risikovermeidung, die Risikoverminderung und die Risikobegrenzung. Wirkungsbezogene Maßnahmen reduzieren dagegen nur das Schadensausmaß. Möglich sind hier die Risikoüberwälzung auf Lieferanten oder Kunden, die aktive oder passive Risikoübernahme und die Risikoüberwälzung auf Versicherungen. Für die optimale Handhabung aller Unternehmensrisiken wird ein Risikomanagement-Mix vorgeschlagen, der sich aus einer optimalen Kombination der risikopolitischen Instrumente unter Beachtung des Kosten-Nutzen-Verhältnisses ergibt.

• Dem Risikocontrolling widmet sich Kapitel 2.5. Der Prozeß des Risikomanagements stellt nach Ansicht der Autoren keine Neuerung für das Controlling dar, sondern bedeutet lediglich eine Fokussierung auf Risiken als Steuerungsobjekt. Die Grundfunktionen des Controllings werden daher unter Risikoaspekten betrachtet. Zunächst stellen Wolf und Runzheimer dar, wie Risikomanagement in die strategische und operative Planung integriert werden kann. Unter risikoorientierter Kontrolle verstehen sie auf strategischer Ebene die Prämissenkontrolle, auf operativer Ebene gilt es, Risikolimits zu überwachen und Ursachenanalysen durchzuführen, um Gegensteuerungsmaßnahmen initiieren zu können (Seite 81). Risikoorientiertes Berichtswesen sollte sich demgemäß auf strategischer Ebene an den strategischen Erfolgsfaktoren und den Unternehmenspotentialen orientieren. Auf operativer Ebene sollte eine Ausrichtung an erfolgsrelevanten Größen erfolgen. Risikoorientierte Steuerung erfolgt nach Ansicht der Autoren idealerweise mit Hilfe von Kennzahlen bzw. Kennzahlensystemen.

• Im Kapitel 2.6 wird schließlich die organisatorische Behandlung des Risikomanagements betrachtet. Im Rahmen der Aufbauorganisation ist die Stellenbildung abhängig von der Risikosituation des Unternehmens. Ist diese stabil, sollte nach Meinung der Autoren eine zentrale Organisation des Risikomanagements gewählt werden, ist sie dagegen durch eine hohe Dynamik gekennzeichnet, sollten dezentrale Risikoeinheiten gebildet werden. Die organisatorische Eingliederung des Risikomanagements kann dabei funktionsorientiert, divisional, mehrdimensional oder teamorientiert erfolgen. Im Rahmen der Ablauforganisation sind Richtlinien in Form von Arbeitsanweisungen, Ablaufbeschreibungen usw. einzuführen, die Unklarheiten beseitigen und das Risikopotential verringern. Die Mitarbeiter haben diese Richtlinien kritisch zu beurteilen.

Ihr praktisches Beratungskonzept stellen die Autoren im dritten Kapitel vor (Seite 89 bis 131).

• Eine Definition von Workshops und eine Beschreibung der Vor- und Nachteile von Moderatoren und Beratern liefern Wolf und Runzheimer im Kapitel 3.1 (Seite 89).

• Im Kapitel 3.2 beschreiben die beiden Autoren den Prozeß der Risikoidentifikation, den sie in die manuelle und fortlaufende Risikoidentifikation unterteilen. Bei der manuellen Risikoidentifikation wird das Risikopotential des Unternehmens im Rahmen eines Workshops erhoben. Die Mitarbeiter werden zunächst für das Thema Risikomanagement sensibilisiert, indem sie verpflichtet werden, ihre tägliche Arbeit systematisch nach Risiken zu durchsuchen und diese aufzuzeichnen. Diese Ergebnisse werden dann in der Gruppe diskutiert. Zu unterscheiden ist dabei zwischen Workshops zur Risikoerhebung operativer oder strategischer Risiken. Letztere sind mit den Mitgliedern der Geschäftsleitung zu diskutieren. Zur fortlaufenden Identifikation operativer Risiken schlagen die Autoren vor, einzelne Risikoarten zu sogenannten Risikofaktoren zusammenzufassen, die sich an einer Bezugsgröße wie dem einzelnen Auftrag orientieren. Strategische Risiken sollten dagegen projektorientiert erfaßt und beurteilt werden. Ist eine Zuordnung zu einem Projekt nicht möglich, sind diese sogenannten "overall-Risiken" durch ein Frühwarnsystem zu erfassen. Die Autoren weisen besonders darauf hin, daß bestandsgefährdende Risiken gesondert zu behandeln sind. Sie dokumentieren das mögliche Vorgehen bei der Risikoidentifikation mit zahlreichen anschaulichen Beispielen und Abbildungen.

• Zur im Kapitel 3.3 behandelten Risikobewertung schlagen die Autoren die Methode der Risikoanalyse für operative Entscheidungen vor. Für strategische Entscheidungen verwenden sie ein Risiko-Chancen-Kalkül. Es findet wieder eine Unterteilung in manuelle und fortlaufende Risikobewertung statt. Die Ermittlung des Risikopotentials (manuelle Risikobewertung) erfolgt im bereits angesprochenen Risiko-Workshop. Die jetzt quantifizierten Risiken können im Rahmen einer Fehlerbaumanalyse dargestellt werden. Die fortlaufende Bewertung operativer und strategischer Risiken verdeutlichen die Autoren dann anhand jeweils eines Beispiels, bei dem einzelne Produkte als Bezugsgröße gewählt werden.

• Die im Kapitel 3.4 besprochene Risikohandhabung dient der Umsetzung der Ergebnisse des Workshops. Nach dem Gegenstromprinzip werden Maßnahmenkataloge abgeleitet, die eine termingerechte und nachvollziehbare Maßnahmendurchführung erlauben. Zur Visualisierung und Klassifikation der Risiken im Rahmen der laufenden Risikobewertung schlagen die Autoren ein Maßnahmen-Portfolio vor, das der in Kapitel 2.3.3 vorgestellten Risiko-Matrix entspricht. Abschließend sprechen die Autoren in diesem Unterkapitel eine Reihe betriebswirtschaftlicher Instrumente der Risikopolitik an - wie zum Beispiel Factoring oder Outsourcing, auf deren Implementierung ein Unternehmensberater ihrer Meinung nach gezielt achten sollte.

• Im Kapitel 3.5 stellen die Autoren das Risikocontrolling dar. Die risikoorientierte Planung hat nach dem Gegenstromprinzip zu erfolgen. Die Ableitung von Plan-Risikobudgets für operative und strategische Entscheidungen erläutern die Autoren anhand eines Beispiels, daß für den strategischen Bereich allerdings wenig aussagekräftig ist. Im Rahmen der risikoorientierten Kontrolle und Steuerung operativer Entscheidungen werden Risikolimits bzw. Risikobudgets der Risikofaktoren permanent im Rahmen der EDV überwacht. Dabei sind Ursachenanalysen durchzuführen, die mittel- und langfristig in Erfahrungswerten für Risikobudgets münden. Für strategische Entscheidungen beschränkt sich die Kontrolle auf die Planfortschrittskontrolle, die manuell in größeren Zeitabständen für die einzelnen Projekte durchzuführen ist. Ein risikoorientiertes Berichtswesen muß am Informationsbedarf der einzelnen Hierarchiestufen orientiert sein. Für operative Entscheidungen ist es dabei nach Meinung der Autoren unerläßlich, eine Berichterstattung bis auf Sachbearbeiterebene einzuführen, die dem Sachbearbeiter Instrumente der Entscheidungsunterstützung bietet. Aktive Risikopolitik beginnt somit auf unterster Unternehmensebene. Für strategische Entscheidungen ist dagegen eine Informationsversorgung der Projektleiter über die Ergebnisse der Projektfortschrittskontrollen erforderlich. Höhere Instanzen sind regelmäßig mit Standardberichten zu versorgen. Bei einer Überschreitung von Risikobudgets sind zusätzlich Abweichungsberichte zu erstellen.

• Im Kapitel 3.6 beschreiben die Autoren dann die Behandlung des Risikomanagements in der Organisation. Zunächst wird die organisatorische Eingliederung einer Risikomanagement-Abteilung vorgenommen, die als zentrales Risikocontrolling für alle risikopolitischen Fragen zuständig ist. Den einzelnen Sachbearbeitern und Abteilungsleitern sind dann risikopolitische Aufgaben zuzuordnen. Die Geschäftsleitung erhält Risikoinformationen über verdichtete Kennzahlen. Desweiteren schlagen die Autoren die Einrichtung eines Frühwarnsystems vor, um das Unternehmensumfeld einer Risiken-Chancen-Analyse zu unterziehen. Sie orientieren sich dabei im wesentlichen an den Erkenntnissen von Krystek und Müller zur strategischen Früherkennung und Frühaufklärung. Ziele, Funktionsweise und organisatorische Eingliederung des Risikomanagement-Systems sind abschließend durch ein Risikomanagement-Handbuch zu dokumentieren, das regelmäßig von der Internen Revision zu überprüfen ist.

Kapitel 4 (Seite 132 bis 136) widmet sich schließlich der Systemeinrichtung. Mit Hilfe anschaulicher Abbildungen beschreiben die Autoren hier kurz die sechs Projektphasen der Systemeinrichtung von der Planung bis zur Einführung. Sie weisen allerdings darauf hin, daß ständige Überprüfungen und Weiterentwicklungen des Systems notwendig sind.

Im fünften und letzten Kapitel (Seite 137 bis 140) schließen die Autoren mit dem Fazit, daß durch die Orientierung ihres Konzeptes am Mitarbeiter und an der Organisation 80 Prozent aller Störpotentiale ausgeschlossen werden. Ob dieses Konzept allerdings wirklich in der Praxis dazu führt, daß alle Risiken, die auf menschliches und organisatorisches Versagen zurückzuführen sind, erkannt und gebannt werden, kann wohl nur der praktische Versuch zeigen.

Insgesamt bleibt festzuhalten, daß das Buch den Lesern eine Reihe von nützlichen Tips und Hilfsmitteln für die Konzeption und Implementierung von Risikomanagement- Systemen aufzeigt. Der theoretische Teil leidet allerdings darunter, daß die Autoren die Vielzahl der Instrumente und Methoden oft nur kurz erläutern. Diese sind damit für den unbedarften Leser ohne Rückgriff auf einen der zahlreichen Literaturhinweise kaum verständlich, geschweige denn umsetzbar. Zudem wird der Lesefluß durch den Zitationsstil der Autoren beeinträchtigt, die im theoretischen Teil nahezu jeden Satz mit einer Fußnote belegen. Dennoch sei das Buch allen Interessierten, die sich mit der Implementierung von Risikomanagement-Systemen beschäftigen, empfohlen. Sie werden ein systematisch strukturiertes Konzept vorfinden, das eine Vielzahl nützlicher Hinweise für den Aufbau eines Risikomanagement-Systems beinhaltet.

Klaus Wolf / Bodo Runzheimer,
Risikomanagement und KonTraG:
Konzeption und Implementierung,
Gabler-Verlag, Wiesbaden,
2. Auflage, 2000,
163 Seiten, EUR 45.90,
ISBN 3-409-21490-9

Erstveröffentlichung im Krisennavigator (ISSN 1619-2389):
3. Jahrgang (2000), Ausgabe 4 (April)