April 2016

Teil 2 von 4

Im ersten Teil meines Beitrags zum Risikomanagement habe ich Ihnen schon ein paar Grundlagen des Risikomanagements erläutert, in diesem Beitrag möchte ich Ihnen weiteren theoretischen Unterbau sowie Praxisbeispiele vorstellen.

Risikomanagement im Unternehmen muss als permanenter Prozess verstanden werden und sollte in die bestehenden Managementsysteme integriert werden. Kurz zur Erinnerung: Die vier Teilprozesse des Risikomanagements:

• Risiken identifizieren
• Risiken analysieren
• Risiken bewerten
• Risiken steuern

Wie geht man im Detail vor?

1. Risikoidentifikation

Im Rahmen der Risikoidentifikation werden alle Risiken, die das Unternehmen betreffen könnten, zuerst identifiziert und anschließend systematisiert. Dies bildet die Grundlage für den sinnvollen und effektiven Umgang mit Risiken. Welcher Art die unternehmerischen Risiken sind, ist natürlich stark von unternehmerischen Besonderheiten abhängig. Ein gutes Risikomanagementsystem (RMS) bildet die individuellen Strukturen des Unternehmens ab. Es gibt verschiedene Ansätze zur Systematisierung, ich finde folgende hilfreich:

• Allgemeine externe Risiken
  wie politische Rahmenbedingungen, konjunkturelle Entwicklung, Technologiesprünge
• Leistungswirtschaftliche Risiken
  Ausfall zentraler Produktionskomponenten,
  alle Gefahren, die innerhalb der gesamten Wertschöpfungskette auftreten können (Beschaffung, Produktion, Absatz, Vertrieb)
• Finanzwirtschaftliche Risiken
  wie Wechselkursschwankungen, Zinsänderungen, Liquidität
• Umweltrisiken
  Naturkatastrophen, Abfallbeseitigung
• Interne Risiken
  oder auch Risiken aus Schnittstellen – also Informations- und Kommunikationsdefizite

Zur Identifikation können zahlreiche Instrumente eingesetzt werden, wie Unternehmens- und Umweltanalysen, Befragungen der Mitarbeiter, Checklisten, Früherkennung und -aufklärung sowie Fehlerbaum- und Flow–Chart–Analysen.

Die in unseren C4B Benchmarking Circle befragten Unternehmen unterscheiden folgende Risiko-Kategorien:

Unternehmen A (Konzern, Produzierend):

• Kartellrecht
• Gesundheit /Sicherheit und Umwelt im Betrieb
• Kommunikation inkl. Reputation
• Rechtlich /Fiskale Risiken
• Joint Ventures
• Qualitätsrisiken
•  Einzelrisiken falls erforderlich

Unternehmen B (Mittelstand, Dienstleister):

• Arbeitsmarktpolitische Veränderungen
• Fachkräftemangel
• Strukturwandel der Förderträger
• techn. Veränderungen (IT)
• Datenverlust
• Liquidität
• Verlust der Zulassung
• Negativkampagnen Wettbewerb

Unternehmen C (Konzern, Produzierend):

4 Beobachtungsfelder, die sich in 18 Risikoobergruppen untergliedern:

• Lieferant (Ausfallrisiko)
• Kunde (Forderungsausfall, Kundenausfall)
• Personal (Ausfallrisiko)
• Finanzen (Währungsrisiko)
• IT (Ausfallrisiko)
• Markt (rechtliche Rahmenbedingungen)

Wir haben unsere Unternehmen auch befragt, ob sie denn auch Chancen-Kategorien unterscheiden. Doch nur zwei der befragten Unternehmen erfassen Chancen, bei einem davon fließen diese jedoch nicht in das RMS ein, sondern nur in die 3-Jahres-Planung. Ein Konzern erfasst folgende Chancen:

• Produktinnovation- und verteilung
• Standortvorteile
• Wachstumschancen
• Personalqualifikation
• Geschäftsbereich-übergreifende Modelle für DE

Warum die Frage nach Chancen?

„Nichts geschieht ohne Risiko, aber ohne Risiko geschieht auch nichts.“ (Walter Scheel)

Insbesondere das strategische Controlling ist von seiner Natur aus auf die Entwicklung möglichst günstiger Strategien und weniger auf die Vermeidung ungünstiger Entwicklungen ausgerichtet. Eine ausschließlich auf Risikovermeidung angelegte Unternehmensführung wäre selbst ein Risikofaktor, weil zum langfristigen Überleben jeder Organisation das Entdecken und Wahrnehmen von in der Regel risikobehafteten Chancen gehört. Ein gesundes Risikomanagement sollte sich daher nicht ausschließlich auf Vermeidung von Risiken konzentrieren, sondern auch auf das Erkennen, Bewerten und sorgfältige Abwägen von Chancen und Risiken ausrichten. Hierzu zählen Wachstumschancen oder Chancen durch Innovationen oder neue Geschäftsmodelle. Das gilt auch für die Kommunikation nach außen – werden in Geschäftsberichten oder Bankenreports nur Risiken genannt, so ist nicht erkennbar, welche Chancen dem gegenüber stehen.

Im nächsten Beitrag meiner Serie zum Risikomanagement wird es um die Analyse und Bewertung von Risiken gehen.

 Teil 1 von 4

„Wenn mich jemand fragt, wie ich meine Erfahrung aus 40 Jahren auf See beschreiben würde, so könnte ich diese Frage mit „unspektakulär“ beantworten. Ich habe weder ein Wrack gesehen noch bin ich selbst in Seenot geraten oder habe mich sonst in misslicher Lage befunden, die drohte, zum Desaster zu werden.“
So das überlieferte Zitat von Edward John Smith, Kapitän der im Jahr 1912 gesunkenen Titanic. Smith ignorierte die Eiswarnungen und ließ die Titanic viel zu schnell fahren. Er ging mit ihr unter.

Im Unternehmensalltag wird Risikomanagement immer noch gerne mit Krisenmanagement verwechselt. Während letzteres rückwärtsgewandt die Fehler der Vergangenheit für die zukünftige Fehlervermeidung oder -minimierung nutzt, ist Risikomanagement als zukunftsorientiertes Verfahren auf die Minimierung beziehungsweise Vermeidung zukünftiger Risiken ausgerichtet. Aus Fehlern der Vergangenheit konnte Kapitän Smith nicht lernen, er hatte offensichtlich keine kritischen Erfahrungen während seiner vorherigen Laufbahn gemacht. Offensichtlich hat er sich aber auch nicht mit möglichen künftigen Risiken befasst.

Das sollten Unternehmen anders machen, denn mit jeder unternehmerischen Tätigkeit sind untrennbar Risiken verbunden, sie können den Prozess der Zielsetzung und Zielerreichung negativ beeinflussen. Unachtsamer Umgang mit Risiken kann sich schnell existenzgefährdend auswirken. Dies gilt ganz besonders für mittelständische Unternehmen.

Da sich das Risikomanagement mit den Ursachen für Planabweichungen (hier sowohl Chancen als auch und Gefahren) befasst, ergeben sich zwangsläufig viele Berührungspunkte zu Planung und Controlling. Deshalb haben wir das Thema Risikomanagement intensiv in unseren C4B Benchmarking Circles behandelt. Ich möchte Ihnen in den vier Blogbeiträgen zum Risikomanagement eine Einführung zum Thema geben sowie Beispiele und Learnings aus der Praxis vorstellen.

Worauf zielt Risikomanagement ab?
Risikomanagement kommt bei allem Praxisbezug nicht ohne theoretischen Unterbau und Systematiken aus. An dieser Stelle deshalb ein kurzer Ausflug. Was bedeutet im unternehmerischen Kontext Risiko? Das Wirtschaftslexikon Gabler definiert Risiko so:
„Kennzeichnung der Eventualität, dass mit einer (ggf. niedrigen, ggf. auch unbekannten) Wahrscheinlichkeit ein (ggf. hoher, ggf. in seinem Ausmaß unbekannter) Schaden bei einer (wirtschaftlichen) Entscheidung eintreten oder ein erwarteter Vorteil ausbleiben kann.“
Einfach gesagt zielt Risikomanagement darauf ab, existenzbedrohende Entwicklungen rechtzeitig zu erkennen und Gegenmaßnahmen einzuleiten.

Wie identifiziere ich nun die für das Unternehmen relevanten Risiken und baue mein Risikomanagement auf? Man kann das Risikomanagement zunächst einmal in vier Teilprozesse zerlegen:

• Risiken identifizieren
• Risiken analysieren
• Risiken bewerten
• Risiken steuern

Mit diesen Teilprozessen haben wir uns im C4B Benchmarking Circle intensiver befasst, deshalb habe ich für Sie den theoretischen Unterbau mit Praxisbeispielen unterfüttert. Bevor wir dazu kommen, ein kurzer Ausflug zu den gesetzlichen Grundlagen:

Gesetzliche Anforderungen an das Risikomanagement nach BILMOG
Durch das Bilanzrechtsmodernisierungsgesetz (BilMoG) wurde der entsprechende § 107 Abs. 3 Satz 2 AktG in das Aktiengesetz eingefügt. Dieser regelt unter anderem erstmalig die Einrichtung eines Prüfungsausschusses aus dem Kreise des Aufsichtsrats und kodifiziert darüber hinaus, dass der Aufsichtsrat bzw. die Mitglieder des eingerichteten Prüfungsausschusses für die Überwachung der Wirksamkeit des internen Kontrollsystems, des internen Revisionssystems sowie des Risikomanagementsystems zuständig sind.

Risikomanagement-Systeme sind nur für kapitalmarktorientierte Unternehmen gesetzlich verbindlich vorgeschrieben. Mittelständler zählen aber immer häufiger dazu. Seit Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Jahr 1998 sind Aktiengesellschaften, Gesellschaften mit beschränkter Haftung (GmbHs) und Kommanditgesellschaften auf Aktien (KGaAs) sowie diesen gleichgestellte Gesellschaftsformen wie GmbH & Co. KGs verpflichtet, ein Risikofrüherkennungssystem einzuführen. Börsennotierte Aktiengesellschaften müssen das System auch durch einen Abschlussprüfer prüfen lassen. Mit der hier geregelten „Früherkennung” sind Risiken gemeint, die das Bestands- und Insolvenzrisiko für eine Gesellschaft erheblich steigern oder hervorrufen können. Rein operative Geschäftsrisiken unterhalb der Schwelle der Bestandsgefährdung sind dagegen nicht einbezogen.

Im nächsten Teil meines Beitrags zum Risikomanagement beleuchte ich den ersten der oben genannten vier Teilprozesse des Risikomanagements, die Risikoidentifikation, und gebe Ihnen dazu Praxisbeispiele. Wie sieht es in Ihrem Unternehmen aus? Ist das Risikomanagement bereits mit der strategischen Unternehmensplanung verbunden? Ich freue mich über Ihr Feedback im Kommentarfeld oder an u.schroeder@c4b-team.de