Mai 2016

Teil 4 von 4

In meiner Serie zum Risikomanagement habe ich die verschiedenen Aspekte sowie Prozessschritte des Risikomanagements unter die Lupe genommen:

Teil 1: Einführung Risikomanagement

Teil 2: Risikoidentifikation

Teil 3: Risikoanalyse und Risikobewertung

Im vierten und letzten Beitrag zum Risikomanagement geht es um die Überwachung und Steuerung von Risiken. Die Basis für die Risikosteuerung bildet die Risikostrategie, da auf ihrer Grundlage zu entscheiden ist, welche Risiken akzeptiert werden und welche aktiv gesteuert werden sollen. Ziel ist die Veränderung der Risikosituation gemäß der Ziele und Vorgaben des Unternehmens beziehungsweise die Herstellung einer ausgewogenen, dem Risikoprofil entsprechenden Relation von Chancen und Risiken.

Risikosteuerung
Ziel der sich anschließenden Risikosteuerung ist es, Aktionspläne zur aktiven Beeinflussung der analysierten und geplanten Risiken zu entwickeln. Grundsätzlich stehen dem Unternehmen dabei vier Risikosteuerungsalternativen zur Verfügung:

1. Risikovermeidung: Vollständiger Verzicht auf risikobehaftete Aktivitäten; z.B. Ausstieg aus riskanten Projekten, Verzicht auf unausgereifte Technologien, Vorkasse bei insolvenzgefährdeten Kunden.
2. Risikoverminderung: Reduzierung von Eintrittswahrscheinlichkeit oder Schadensausmaß; z.B. Diversifikation des Produktportfolios, Festlegung von Risikolimits.
3. Risikoüberwälzung: Transfer von risikobehafteten Aktivitäten an Dritte; z.B. Factoring, Versicherungslösungen (z.B. über Betriebshaftpflicht-Versicherungen, Betriebsunterbrechungsversicherungen etc.), Outsourcing, Währungsswap-Geschäfte.
4. Selbstbehalt von Risiken und aktives Management (Risikoakzeptanz): Durch Früherkennung, organisatorische Sicherungsmaßnahmen und interne Revision. Bewusstes Eingehen von Risiken mit vertretbarem Risikopotenzial; aktive Vorsorge durch ausreichendes Risikodeckungspotenzial (Eigenkapitalausstattung).

Der konkrete Steuerungsmix als Kombination der gerade beschriebenen Maßnahmen wird schließlich auf Basis einer zuvor definierten Risikostrategie determiniert. Zentral hierbei ist der Punkt 4 – das aktive Management. Hier hat sich die in meinem letzten Beitrag zum Risikomanagement vorgestellt Matrix und die Filterung von Risiken nach Priorität bewährt.

Risikoüberwachung und –kontrolle
Die Entwicklung der unternehmerischen Risikostruktur und der Fortschritt der eingeleiteten Steuerungsmaßnahmen müssen laufend überwacht werden. Dies dient dazu festzustellen, ob ein neues Risiko eingetreten ist oder ob sich Veränderungen der Risikostruktur erkennen lassen. Zur Unterstützung der Kontrolle ist es sinnvoll, ein Berichtswesen in der Unternehmung zu implementieren, das die Risikosituation aufzeigt, die Risiken im Zeitablauf darstellt und einen Gesamtüberblick ermöglicht.

Risiko- und Systemdokumentation
Gemäß den Anforderungen des KonTraG müssen die Elemente des Risikomanagementprozesses, die risikopolitischen Grundsätze, die Aufbau- und Ablauforganisation sowie die definierten Risikolimits für interne und externe Adressaten nachvollziehbar dokumentiert werden. Dies geschieht in der Risiko- und Systemdokumentation. Ein sogenanntes Risikomanagement-Handbuch fasst die zentralen Aspekte zusammen. Wie das Risikomanagement-Handbuch aufgebaut sein muss, ist unternehmensindividuell zu beantworten. Nehmen Sie für Tipps gerne persönlich Kontakt zu mir auf: u.schroeder@c4b-team.de

Prozessbegleitend ist eine Risikokommunikation im Unternehmen erforderlich, die eine rechtzeitige Weiterleitung der relevanten Informationen an die jeweils Verantwortlichen sicherstellt und das Risikobewusstsein in der Unternehmung stärken soll.

Wichtig: Die Kommunikationsschnittstelle zwischen Verantwortlichen des Risikomanagements und den Verantwortlichen im Controlling muss auf jeden Fall besprochen und transparent geklärt sein im Unternehmen. Beispielsweise muss geklärt sein, ob in einer Planung die Risiken eingearbeitet wurden oder nicht.

Das Thema Risiko hat vielfältige Aspekte, dazu zählt letztendlich auch das Thema Krisenmanagement und Krisenkommunikation. Krisenmanagement ist ein umfangreiches Thema für sich, deshalb hier nur kurz ein paar Gedanken: Die wirkliche Gefahr der Unternehmenskrise ist, dass sie außer Kontrolle gerät und damit unternehmensbedrohend wird. Durch eine Krise können in kürzester Zeit Glaubwürdigkeit und Vertrauen in die Kompetenz des Unternehmens verloren gehen. Krisenmanagement bezeichnet den systematischen Umgang mit Krisensituationen. Dies beinhaltet die Identifikation und Analyse von Krisensituationen, die Entwicklung von Strategien, sofern nicht bereits im Rahmen des Risikomanagementgeschehens, zur Bewältigung einer Krise, sowie die Einleitung und Verfolgung von Gegenmaßnahmen. Also: Krisenmanagement beginnt nicht erst mit dem Eintreten einer Krise im Unternehmen oder Projekt. Im Wesentlichen besteht es aus den drei Bereichen

• Krisenprävention
• Krisenfrüherkennung und
• Krisenbewältigung

Geklärt sein muss u.a. im Unternehmen:

• Krisenhandbuch mit definierten Verfahren – Was haben wir für Krisenmanagementszenarien?
• Wie vermeide ich Reputationsrisiken?
• Wie geht man im Krisenfall vor? Wer spricht im Namen des Unternehmens?

„Wer nicht wagt, der nicht gewinnt“ ist ein alter Kaufmannsspruch. Und wie zu den Zeiten der Hanse unterscheiden sich auch heute im Umgang mit dem Risiko die guten von den schlechten Unternehmern.

Teil 3 von 4

Über die Risikoidentifikation habe ich im letzten Blogbeitrag geschrieben. Heute befasse ich mich mit der Risikoanalyse und der Risikobewertung.

Die Risikoanalyse ist der zweite Schritt des Risikomanagementprozesses und gleichzeitig der Kern des Risikomanagements, denn es können nur solche Risiken gesteuert werden, die erfasst beziehungsweise gemessen werden können. Typischerweise entstehen bei der ersten Betrachtung und der Identifikation von Risiken mitunter umfangreiche Listen mit vielen Einzelrisiken. Nachdem die Risiken erkannt wurden, sollten diese deshalb in eine Risikosystematik gebracht beziehungsweise zu Risikokategorien zugeteilt werden.

Die Bewertung der identifizierten Risiken hinsichtlich der risikorelevanten Dimensionen Eintrittswahrscheinlichkeit und Schadenausmaß ist zentral, sie kann beispielsweise im Rahmen von Workshops oder Expertenrunden stattfinden. Ein umfassenderes Bild der Risikosituation erhält man sicherlich, wenn fachübergreifend diskutiert wird.

Die Risikobewertung zeigt auf, in welchem Ausmaß die Unternehmensziele durch die identifizierten Risikoereignisse gefährdet sind. Man fixiert die Wahrscheinlichkeiten für das Eintreten von Risiken und nimmt eine quantitative und/oder qualitative Bewertung der potenziellen Ergebniseffekte vor. Die Risiken können nach dem Schadensgrad in folgende Kategorien unterteilt werden:

• Kritische Risiken, die den Fortbestand des Unternehmens gefährden können;
• Wichtige Risiken, die zur kurzfristigen Kapitalmaßnahmen führen können, um die Geschäftstätigkeit aufrechterhalten zu können;
• Unwichtige Risiken, die keine besonderen Maßnahmen erfordern und aus dem laufenden Geschäft heraus bewältigt werden können.

Risikoportfolio 1

Risikoportfolio 2

Zur Filterung von Risiken nach Priorität empfiehlt sich folgende Formel:
“Schadenshöhe in €  x  Eintrittswahrscheinlichkeit”

Wie bewerte ich Risiken? Hier hat sich die Nettobewertung bewährt, d.h. man ermittelt die Schadenshöhe, die nach dem Einleiten von Gegenmaßnahmen wahrscheinlich ist und nicht nur das Risiko erfasst. Die 10-20 größten Risiken sollte man sich dann genauer ansehen und monitoren.

Tipp: Berücksichtigen Sie Wirkungszusammenhänge zwischen den verschiedenen Einzelrisiken. Bestimmte Einzelrisiken mögen isoliert betrachtet nur von nachrangiger Bedeutung für das Unternehmen sein, können aber kumulativ ein existenzbedrohendes Risiko darstellen.

Für die Darstellung der verdichteten Risikoinformationen können im Anschluss Indikatoren, wie der Value at Risk und der Return on Risk Adjusted Capital (RORAC), bestimmt werden.

Zur Information

Eine qualitative Risikobewertung ist erforderlich, wenn eine Quantifizierung nicht möglich ist (z.B. bei Imageverlust). In diesem Fall werden häufig Klassifizierungen vorgenommen, die eine Differenzierung der Gefährdungspotenziale erlauben, wie z.B. auf Basis einer Einteilung in „Existenz bedrohend“, „schwerwiegend“, „mittel“, „gering“ oder „unbedeutend“.

Ein Blick in die Praxis: Wir haben die Unternehmen unserer C4B Benchmarking-Circle Risiken befragt, wie sie Risiken bewerten.

• Alle Unternehmen mit einem RMS benennen Einzelwertrisiken
• Alle Unternehmen mit einem RMS bündeln ähnliche Risiken und
• alle mit einem RMS nehmen Gegensteuerungsmaßnahmen vor.
• Der Betrachtungszeitraum für Risiken ist jedoch unterschiedlich: Er liegt zwischen 2 bis 5 Jahren.
• Nur zwei der Befragten arbeiten bei der Bewertung der Höhe des Risikos mit der Angabe von Bandbreiten
  • von unbedeutend (< 5T€) bis existenzbedrohend (> 1Mio.€)
  • sowie bis 1 Mio. USD, bis 20 Mio. USD., > 20 Mio. USD netto
• Risikokorrelationen wurden bei den meisten Unternehmen nicht, bei einem Unternehmen nur „gedanklich“ berücksichtigt; nur ein einziges bejahte die Risikokorrelationsbildung.
• Eine Erfassung eines Unternehmensrisikos aus der Addition der gewichteten Einzelrisiken (Eintrittswahrscheinlichkeit * Schadenshöhe in Euro) hielt keiner in unseren Benchmarking-Circles für sinnvoll. Die entstehenden Werte sind einfach zu praxisfremd.

Eine große Bandbreite gab es auch auf die Frage, wie oft die Risikobewertung aktualisiert wurde. Sie reicht von jährlich über zwei Mal jährlich bis hin zu quartalsweise. Als IT-Tool zur Risikoerfassung wurde zumeist Excel genutzt. Als IT-Tool haben die Unternehmen neben Microsoft Excel auch folgende Anbieter genannt:

• Schleupen https://grc.schleupen.de/loesungen/
• Sharepoint http://www.prozessmanagement-sharepoint.de/business-cases/risikomanagement-mit-microsoft-sharepoint
• Deloitte http://www2.deloitte.com/at/de/dienstleistungen/risikomanagement.html?icid=top_risk
• Corporate Planner http://corporate-planning.com/download_files/CP-Risk.pdf

Wie ist es in Ihrem Unternehmen? Welche IT-Tools nutzen Sie zur Risikoerfassung? Und sehr spannend: Wie ist der Prozess der Risikoerfassung bezogen auf „WER erfasst die Risiken“ geregelt (jede Abteilung, nur Management, nur Controlling, wie ist es in Matrixorganisationen)? Ich freue mich auf Ihre Antworten, gerne auch direkt per E-Mail an u.schroeder@c4b-team.de

Im nächsten Beitrag zum Risikomanagement geht es um die Überwachung und Steuerung von Risiken.