Teil 3 von 4
Über die Risikoidentifikation habe ich im letzten Blogbeitrag geschrieben. Heute befasse ich mich mit der Risikoanalyse und der Risikobewertung.
Die Risikoanalyse ist der zweite Schritt des Risikomanagementprozesses und gleichzeitig der Kern des Risikomanagements, denn es können nur solche Risiken gesteuert werden, die erfasst beziehungsweise gemessen werden können. Typischerweise entstehen bei der ersten Betrachtung und der Identifikation von Risiken mitunter umfangreiche Listen mit vielen Einzelrisiken. Nachdem die Risiken erkannt wurden, sollten diese deshalb in eine Risikosystematik gebracht beziehungsweise zu Risikokategorien zugeteilt werden.
Die Bewertung der identifizierten Risiken hinsichtlich der risikorelevanten Dimensionen Eintrittswahrscheinlichkeit und Schadenausmaß ist zentral, sie kann beispielsweise im Rahmen von Workshops oder Expertenrunden stattfinden. Ein umfassenderes Bild der Risikosituation erhält man sicherlich, wenn fachübergreifend diskutiert wird.
Die Risikobewertung zeigt auf, in welchem Ausmaß die Unternehmensziele durch die identifizierten Risikoereignisse gefährdet sind. Man fixiert die Wahrscheinlichkeiten für das Eintreten von Risiken und nimmt eine quantitative und/oder qualitative Bewertung der potenziellen Ergebniseffekte vor. Die Risiken können nach dem Schadensgrad in folgende Kategorien unterteilt werden:
- Kritische Risiken, die den Fortbestand des Unternehmens gefährden können;
- Wichtige Risiken, die zur kurzfristigen Kapitalmaßnahmen führen können, um die Geschäftstätigkeit aufrechterhalten zu können;
- Unwichtige Risiken, die keine besonderen Maßnahmen erfordern und aus dem laufenden Geschäft heraus bewältigt werden können.
Risikoportfolio 1
Risikoportfolio 2
Zur Filterung von Risiken nach Priorität empfiehlt sich folgende Formel:
“Schadenshöhe in € x Eintrittswahrscheinlichkeit”
Wie bewerte ich Risiken? Hier hat sich die Nettobewertung bewährt, d.h. man ermittelt die Schadenshöhe, die nach dem Einleiten von Gegenmaßnahmen wahrscheinlich ist und nicht nur das Risiko erfasst. Die 10-20 größten Risiken sollte man sich dann genauer ansehen und monitoren.
Tipp: Berücksichtigen Sie Wirkungszusammenhänge zwischen den verschiedenen Einzelrisiken. Bestimmte Einzelrisiken mögen isoliert betrachtet nur von nachrangiger Bedeutung für das Unternehmen sein, können aber kumulativ ein existenzbedrohendes Risiko darstellen.
Für die Darstellung der verdichteten Risikoinformationen können im Anschluss Indikatoren, wie der Value at Risk und der Return on Risk Adjusted Capital (RORAC), bestimmt werden.
Zur Information
| Definiert wird der Value at Risk als der absolute Wertverlust einer im Unternehmen definierten Risiko-Position, der mit einer zuvor definierten Wahrscheinlichkeit (Konfidenzniveau) innerhalb eines fest bestimmten Zeitraums (Halteperiode) nicht überschritten wird [von Balduin 2003, S. 41 sowie Romeike/Hager 2009, S. 203 und Romeike/Hager 2013, S. 191]. Beim Return on Risk Adjusted Capital (RORAC) wird formal der Gewinn einer Periode ins Verhältnis zum notwendigen Risikokapital (Sicherheitskapital) gesetzt und damit eine Risikoadjustierung (Risikobereinigung) des Gewinns vorgenommen. Das notwendige Risikokapital wird dabei typischerweise auf der Basis des Value at Risk bestimmt. Vgl.: http://wirtschaftslexikon.gabler.de/Archiv/296452/return-on-risk-adjusted-capital-rorac-v3.html |
Eine qualitative Risikobewertung ist erforderlich, wenn eine Quantifizierung nicht möglich ist (z.B. bei Imageverlust). In diesem Fall werden häufig Klassifizierungen vorgenommen, die eine Differenzierung der Gefährdungspotenziale erlauben, wie z.B. auf Basis einer Einteilung in „Existenz bedrohend“, „schwerwiegend“, „mittel“, „gering“ oder „unbedeutend“.
Ein Blick in die Praxis: Wir haben die Unternehmen unserer C4B Benchmarking-Circle Risiken befragt, wie sie Risiken bewerten.
- Alle Unternehmen mit einem RMS benennen Einzelwertrisiken
- Alle Unternehmen mit einem RMS bündeln ähnliche Risiken und
- alle mit einem RMS nehmen Gegensteuerungsmaßnahmen vor.
- Der Betrachtungszeitraum für Risiken ist jedoch unterschiedlich: Er liegt zwischen 2 bis 5 Jahren.
- Nur zwei der Befragten arbeiten bei der Bewertung der Höhe des Risikos mit der Angabe von Bandbreiten
- von unbedeutend (< 5T€) bis existenzbedrohend (> 1Mio.€)
- sowie bis 1 Mio. USD, bis 20 Mio. USD., > 20 Mio. USD netto
- Risikokorrelationen wurden bei den meisten Unternehmen nicht, bei einem Unternehmen nur „gedanklich“ berücksichtigt; nur ein einziges bejahte die Risikokorrelationsbildung.
- Eine Erfassung eines Unternehmensrisikos aus der Addition der gewichteten Einzelrisiken (Eintrittswahrscheinlichkeit * Schadenshöhe in Euro) hielt keiner in unseren Benchmarking-Circles für sinnvoll. Die entstehenden Werte sind einfach zu praxisfremd.
Eine große Bandbreite gab es auch auf die Frage, wie oft die Risikobewertung aktualisiert wurde. Sie reicht von jährlich über zwei Mal jährlich bis hin zu quartalsweise. Als IT-Tool zur Risikoerfassung wurde zumeist Excel genutzt. Als IT-Tool haben die Unternehmen neben Microsoft Excel auch folgende Anbieter genannt:
- Schleupen https://grc.schleupen.de/loesungen/
- Sharepoint http://www.prozessmanagement-sharepoint.de/business-cases/risikomanagement-mit-microsoft-sharepoint
- Deloitte http://www2.deloitte.com/at/de/dienstleistungen/risikomanagement.html?icid=top_risk
- Corporate Planner http://corporate-planning.com/download_files/CP-Risk.pdf
Wie ist es in Ihrem Unternehmen? Welche IT-Tools nutzen Sie zur Risikoerfassung? Und sehr spannend: Wie ist der Prozess der Risikoerfassung bezogen auf „WER erfasst die Risiken“ geregelt (jede Abteilung, nur Management, nur Controlling, wie ist es in Matrixorganisationen)? Ich freue mich auf Ihre Antworten, gerne auch direkt per E-Mail an u.schroeder@c4b-team.de
Im nächsten Beitrag zum Risikomanagement geht es um die Überwachung und Steuerung von Risiken.
[…] ← Vorherige Nächste → […]