• C4B ‐ Ihre Plattform zum Benchmarking und Vernetzen

Beiträge mit den Schlagworten :

Risikofrüherkennungssystem

Überwachung und Steuerung von Risiken als Bestandteil des Risikomanagements 150 150 C4B

Überwachung und Steuerung von Risiken als Bestandteil des Risikomanagements

Teil 4 von 4
In meiner Serie zum Risikomanagement habe ich die verschiedenen Aspekte sowie Prozessschritte des Risikomanagements unter die Lupe genommen:

Teil 1: Einführung Risikomanagement
Teil 2: Risikoidentifikation
Teil 3: Risikoanalyse und Risikobewertung

Im vierten und letzten Beitrag zum Risikomanagement geht es um die Überwachung und Steuerung von Risiken. Die Basis für die Risikosteuerung bildet die Risikostrategie, da auf ihrer Grundlage zu entscheiden ist, welche Risiken akzeptiert werden und welche aktiv gesteuert werden sollen. Ziel ist die Veränderung der Risikosituation gemäß der Ziele und Vorgaben des Unternehmens beziehungsweise die Herstellung einer ausgewogenen, dem Risikoprofil entsprechenden Relation von Chancen und Risiken.

Risikosteuerung
Ziel der sich anschließenden Risikosteuerung ist es, Aktionspläne zur aktiven Beeinflussung der analysierten und geplanten Risiken zu entwickeln. Grundsätzlich stehen dem Unternehmen dabei vier Risikosteuerungsalternativen zur Verfügung:

  1. Risikovermeidung: Vollständiger Verzicht auf risikobehaftete Aktivitäten; z.B. Ausstieg aus riskanten Projekten, Verzicht auf unausgereifte Technologien, Vorkasse bei insolvenzgefährdeten Kunden.
  2. Risikoverminderung: Reduzierung von Eintrittswahrscheinlichkeit oder Schadensausmaß; z.B. Diversifikation des Produktportfolios, Festlegung von Risikolimits.
  3. Risikoüberwälzung: Transfer von risikobehafteten Aktivitäten an Dritte; z.B. Factoring, Versicherungslösungen (z.B. über Betriebshaftpflicht-Versicherungen, Betriebsunterbrechungsversicherungen etc.), Outsourcing, Währungsswap-Geschäfte.
  4. Selbstbehalt von Risiken und aktives Management (Risikoakzeptanz): Durch Früherkennung, organisatorische Sicherungsmaßnahmen und interne Revision. Bewusstes Eingehen von Risiken mit vertretbarem Risikopotenzial; aktive Vorsorge durch ausreichendes Risikodeckungspotenzial (Eigenkapitalausstattung).

Der konkrete Steuerungsmix als Kombination der gerade beschriebenen Maßnahmen wird schließlich auf Basis einer zuvor definierten Risikostrategie determiniert. Zentral hierbei ist der Punkt 4 – das aktive Management. Hier hat sich die in meinem letzten Beitrag zum Risikomanagement vorgestellt Matrix und die Filterung von Risiken nach Priorität bewährt.

Risikoüberwachung und –kontrolle
Die Entwicklung der unternehmerischen Risikostruktur und der Fortschritt der eingeleiteten Steuerungsmaßnahmen müssen laufend überwacht werden. Dies dient dazu festzustellen, ob ein neues Risiko eingetreten ist oder ob sich Veränderungen der Risikostruktur erkennen lassen. Zur Unterstützung der Kontrolle ist es sinnvoll, ein Berichtswesen in der Unternehmung zu implementieren, das die Risikosituation aufzeigt, die Risiken im Zeitablauf darstellt und einen Gesamtüberblick ermöglicht.

Risiko- und Systemdokumentation
Gemäß den Anforderungen des KonTraG müssen die Elemente des Risikomanagementprozesses, die risikopolitischen Grundsätze, die Aufbau- und Ablauforganisation sowie die definierten Risikolimits für interne und externe Adressaten nachvollziehbar dokumentiert werden. Dies geschieht in der Risiko- und Systemdokumentation. Ein sogenanntes Risikomanagement-Handbuch fasst die zentralen Aspekte zusammen. Wie das Risikomanagement-Handbuch aufgebaut sein muss, ist unternehmensindividuell zu beantworten. Nehmen Sie für Tipps gerne persönlich Kontakt zu mir auf: u.schroeder@c4b-team.de

Prozessbegleitend ist eine Risikokommunikation im Unternehmen erforderlich, die eine rechtzeitige Weiterleitung der relevanten Informationen an die jeweils Verantwortlichen sicherstellt und das Risikobewusstsein in der Unternehmung stärken soll.

Wichtig: Die Kommunikationsschnittstelle zwischen Verantwortlichen des Risikomanagements und den Verantwortlichen im Controlling muss auf jeden Fall besprochen und transparent geklärt sein im Unternehmen. Beispielsweise muss geklärt sein, ob in einer Planung die Risiken eingearbeitet wurden oder nicht.
Das Thema Risiko hat vielfältige Aspekte, dazu zählt letztendlich auch das Thema Krisenmanagement und Krisenkommunikation. Krisenmanagement ist ein umfangreiches Thema für sich, deshalb hier nur kurz ein paar Gedanken: Die wirkliche Gefahr der Unternehmenskrise ist, dass sie außer Kontrolle gerät und damit unternehmensbedrohend wird. Durch eine Krise können in kürzester Zeit Glaubwürdigkeit und Vertrauen in die Kompetenz des Unternehmens verloren gehen. Krisenmanagement bezeichnet den systematischen Umgang mit Krisensituationen. Dies beinhaltet die Identifikation und Analyse von Krisensituationen, die Entwicklung von Strategien, sofern nicht bereits im Rahmen des Risikomanagementgeschehens, zur Bewältigung einer Krise, sowie die Einleitung und Verfolgung von Gegenmaßnahmen. Also: Krisenmanagement beginnt nicht erst mit dem Eintreten einer Krise im Unternehmen oder Projekt. Im Wesentlichen besteht es aus den drei Bereichen

  • Krisenprävention
  • Krisenfrüherkennung und
  • Krisenbewältigung

Geklärt sein muss u.a. im Unternehmen:

  • Krisenhandbuch mit definierten Verfahren – Was haben wir für Krisenmanagementszenarien?
  • Wie vermeide ich Reputationsrisiken?
  • Wie geht man im Krisenfall vor? Wer spricht im Namen des Unternehmens?
Risikomanagement: Vorbeugung als strategischer Erfolgsfaktor 150 150 C4B

Risikomanagement: Vorbeugung als strategischer Erfolgsfaktor

Teil 1 von 4
Kleine und mittelständische Unternehmen haben es nicht nur durch schwankende und globalisierte Märkten mit den gleichen Risiken zu tun wie Großunternehmen, sondern beispielsweise auch durch das Thema Cyberkriminalität: Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden drei von vier aller deutschen Unternehmen im Jahr 2017 Opfer von Cyber-Attacken. Ob Datenschutzverletzungen, Manipulation, Beschädigung oder Verlust von Daten oder zum Internetbetrug – der Schaden, der der Deutschen Wirtschaft durch Spionage, Sabotage und Datendiebstahl entsteht, wird auf jährlich 55 Milliarden Euro beziffert, so eine Studie des Digitalverbands Bitkom. Dabei zeigt sich, dass kleine und mittlere Unternehmen die Gefahren von Cyber-Schäden zu einem großen Teil unterschätzen und als weniger kritisch beurteilen.

Meine Erfahrung ist, dass im Unternehmensalltag Risikomanagement immer noch gerne mit Krisenmanagement verwechselt wird. Während letzteres rückwärtsgewandt die Fehler der Vergangenheit für die zukünftige Fehlervermeidung oder -minimierung nutzt, ist Risikomanagement als zukunftsorientiertes Verfahren auf die Minimierung beziehungsweise Vermeidung zukünftiger Risiken ausgerichtet. Deshalb möchte ich hier auf dem Blog noch einmal das Thema Risikomanagement beleuchten.

Mit jeder unternehmerischen Tätigkeit sind untrennbar Risiken verbunden, sie können den Prozess der Zielsetzung und Zielerreichung negativ beeinflussen. Unachtsamer Umgang mit Risiken kann sich schnell existenzgefährdend auswirken. Dies gilt ganz besonders für mittelständische Unternehmen. Da sich das Risikomanagement mit den Ursachen für Planabweichungen (hier sowohl Chancen als auch und Gefahren) befasst, ergeben sich zwangsläufig viele Berührungspunkte zu Planung und Controlling. Deshalb haben wir das Thema Risikomanagement intensiv in unseren C4B Benchmarking Circles behandelt. Ich möchte Ihnen in den kommenden Blogbeiträgen zum Risikomanagement eine Einführung zum Thema geben sowie Beispiele und Learnings aus der Praxis vorstellen.

Worauf zielt Risikomanagement ab?
Risikomanagement kommt bei allem Praxisbezug nicht ohne theoretischen Unterbau und Systematiken aus. An dieser Stelle deshalb ein kurzer Ausflug. Was bedeutet im unternehmerischen Kontext Risiko? Das Wirtschaftslexikon Gabler definiert Risiko so:
„Kennzeichnung der Eventualität, dass mit einer (ggf. niedrigen, ggf. auch unbekannten) Wahrscheinlichkeit ein (ggf. hoher, ggf. in seinem Ausmaß unbekannter) Schaden bei einer (wirtschaftlichen) Entscheidung eintreten oder ein erwarteter Vorteil ausbleiben kann.“
Einfach gesagt zielt Risikomanagement darauf ab, existenzbedrohende Entwicklungen rechtzeitig zu erkennen und Gegenmaßnahmen einzuleiten.

Wie identifiziere ich nun die für das Unternehmen relevanten Risiken und baue mein Risikomanagement auf? Man kann das Risikomanagement zunächst einmal in vier Teilprozesse zerlegen:

  • Risiken identifizieren
  • Risiken analysieren
  • Risiken bewerten
  • Risiken steuern

Mit diesen Teilprozessen haben wir uns im C4B Benchmarking Circle intensiver befasst, deshalb habe ich für Sie den theoretischen Unterbau mit Praxisbeispielen unterfüttert. Bevor wir dazu kommen, ein kurzer Ausflug zu den gesetzlichen Grundlagen:

Gesetzliche Anforderungen an das Risikomanagement nach BILMOG
Durch das Bilanzrechtsmodernisierungsgesetz (BilMoG) wurde der entsprechende § 107 Abs. 3 Satz 2 AktG in das Aktiengesetz eingefügt. Dieser regelt unter anderem erstmalig die Einrichtung eines Prüfungsausschusses aus dem Kreise des Aufsichtsrats und kodifiziert darüber hinaus, dass der Aufsichtsrat bzw. die Mitglieder des eingerichteten Prüfungsausschusses für die Überwachung der Wirksamkeit des internen Kontrollsystems, des internen Revisionssystems sowie des Risikomanagementsystems zuständig sind.

Risikomanagement-Systeme sind nur für kapitalmarktorientierte Unternehmen gesetzlich verbindlich vorgeschrieben. Mittelständler zählen aber immer häufiger dazu. Seit Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Jahr 1998 sind Aktiengesellschaften, Gesellschaften mit beschränkter Haftung (GmbHs) und Kommanditgesellschaften auf Aktien (KGaAs) sowie diesen gleichgestellte Gesellschaftsformen wie GmbH & Co. KGs verpflichtet, ein Risikofrüherkennungssystem einzuführen. Börsennotierte Aktiengesellschaften müssen das System auch durch einen Abschlussprüfer prüfen lassen. Mit der hier geregelten „Früherkennung” sind Risiken gemeint, die das Bestands- und Insolvenzrisiko für eine Gesellschaft erheblich steigern oder hervorrufen können. Rein operative Geschäftsrisiken unterhalb der Schwelle der Bestandsgefährdung sind dagegen nicht einbezogen.

Im nächsten Teil meines Beitrags zum Risikomanagement beleuchte ich den ersten der oben genannten vier Teilprozesse des Risikomanagements, die Risikoidentifikation, und gebe Ihnen dazu Praxisbeispiele.

Risikomanagement: Risiken überwachen und steuern 150 150 C4B

Risikomanagement: Risiken überwachen und steuern

Teil 4 von 4

SSUCv3H4sIAAAAAAAEAJ1X3W/bNhB/H7D/gdCz0dlNk3V9S7SsC1AvRjIgD0MJ0PJZJiyRGkk5Tov87zuKks0PuXX3JOlH3pH39bvT159/IiRbMs2L7AP5ar/wm1dVq41ihkuB8HTS47DiRirOKgta7LVbybRhptWgrYoeKpiBEvc6sJcfzvnHfZNhoVtECVzKblrNBWj9yx9cMFFANvH26HZp9yxANhVkw8Lr5Bv6+r0jWuYgjircy+fBUlaCKF6OV7dO0UYW22YjjfRNwJVAefAx3V/tL2dvZpeHgz4flrOVAlZrw2s4W9/76ZiiJS//x90GR79xjrZRPeh2L69eiBVUwFyIe/XZu3eDvuzi107W3SnbPhtQdRB4Jbeg/Ktlfyu2AkUPh5P7omgbl3JRMEy39WzpSbCLi5Lmsq5BdfuuC8N33LzEZyx7bwSnDC6i8e7O3cHWR4uQOVNbMHRI3Uiq7lYDsV7gAQzjFVlULJVa98p8sf6A5F7GGZy46kwnwL7YMFGGZ932IHnAkj5lWiHrpjVRkPIepMMLuf235U0NwsTycr3mkY33HUTuBApyqWjnHCLX5EmqbSzfuCr35V3h0+sK/erzRRLymonRqCNOh3dUofRIZkKxEbKS5Uvo8gNMHwuOTAKEiRU5wrEeLnagTecYX8/dAT7ld82NiQP+6DC62Lwg3WK4FxK3jdRVl8VkNOgunYfQe3V20/KqS7FI1wpYFV/kd4fRudzh42TWPWM8Y9Enhx1tOCW8YoaFhyJA78RaqrqjAzLHrtXWSS1CGHRsBnTO0iRZH8jxnPrTG6bGHJmDMhzT2VaQ9x6Ll4o1m0D8o0VojmqTkimkaqSyWsYp60iD+bCTHFaHl5E6rlthL+daf1DMx5XEcH50eJTBcSCC2Jzkg1LJZxO7wkIp5WETtRkUFaADkXlkA2q0qyyZSNLuxmGnqq1Rco1OQ2VRPtzuGxtVDb7bF95urz/R040O9lC0mOfjIe05iD5tOIYyl1XFVEeGSLsJHXZsFdCpgEHBX229RDJGKh0nRl0ogCT6jsHnUtgZkC7ypKKkgJAG81YpO0Z59HFnIClFhv55+RKH4npA6ScptyOM49jLzQY66XhnjhZlJZdRLD920PdLxSZeknQUs7RtyP3BtZMfyklsOTh5hl107jB6Ip2SCmYNN5FJucNIjm0A0mmmcJPB94nEjSlogNAtSnCd0mp32aSRfYIuShve+OruVckE/3KKUWzvk2qEd8OQnuuY7ocGok792IPJ8WiBggbTF9rwCrfeAv2zRYPJgwwC/QP1ah/9gL3jK5DeDxRrV1x6I/ROYhu0eX7hCRX4myZrbxerWB3+tuBF0BZ02fbZSvejeF83ZJiBiKsmN6GSfuQk/VR2NE1amp25T//vYOXaUDa7mL6/ent1efV2djn7bXoxm6Glr/8Bs3TAiGUOAAA=

In meiner Serie zum Risikomanagement habe ich die verschiedenen Aspekte sowie Prozessschritte des Risikomanagements unter die Lupe genommen:

Teil 1: Einführung Risikomanagement

Teil 2: Risikoidentifikation

Teil 3: Risikoanalyse und Risikobewertung

Im vierten und letzten Beitrag zum Risikomanagement geht es um die Überwachung und Steuerung von Risiken. Die Basis für die Risikosteuerung bildet die Risikostrategie, da auf ihrer Grundlage zu entscheiden ist, welche Risiken akzeptiert werden und welche aktiv gesteuert werden sollen. Ziel ist die Veränderung der Risikosituation gemäß der Ziele und Vorgaben des Unternehmens beziehungsweise die Herstellung einer ausgewogenen, dem Risikoprofil entsprechenden Relation von Chancen und Risiken.

Risikosteuerung
Ziel der sich anschließenden Risikosteuerung ist es, Aktionspläne zur aktiven Beeinflussung der analysierten und geplanten Risiken zu entwickeln. Grundsätzlich stehen dem Unternehmen dabei vier Risikosteuerungsalternativen zur Verfügung:

  1. Risikovermeidung: Vollständiger Verzicht auf risikobehaftete Aktivitäten; z.B. Ausstieg aus riskanten Projekten, Verzicht auf unausgereifte Technologien, Vorkasse bei insolvenzgefährdeten Kunden.
  2. Risikoverminderung: Reduzierung von Eintrittswahrscheinlichkeit oder Schadensausmaß; z.B. Diversifikation des Produktportfolios, Festlegung von Risikolimits.
  3. Risikoüberwälzung: Transfer von risikobehafteten Aktivitäten an Dritte; z.B. Factoring, Versicherungslösungen (z.B. über Betriebshaftpflicht-Versicherungen, Betriebsunterbrechungsversicherungen etc.), Outsourcing, Währungsswap-Geschäfte.
  4. Selbstbehalt von Risiken und aktives Management (Risikoakzeptanz): Durch Früherkennung, organisatorische Sicherungsmaßnahmen und interne Revision. Bewusstes Eingehen von Risiken mit vertretbarem Risikopotenzial; aktive Vorsorge durch ausreichendes Risikodeckungspotenzial (Eigenkapitalausstattung).

Der konkrete Steuerungsmix als Kombination der gerade beschriebenen Maßnahmen wird schließlich auf Basis einer zuvor definierten Risikostrategie determiniert. Zentral hierbei ist der Punkt 4 – das aktive Management. Hier hat sich die in meinem letzten Beitrag zum Risikomanagement vorgestellt Matrix und die Filterung von Risiken nach Priorität bewährt.

Risikoüberwachung und –kontrolle
Die Entwicklung der unternehmerischen Risikostruktur und der Fortschritt der eingeleiteten Steuerungsmaßnahmen müssen laufend überwacht werden. Dies dient dazu festzustellen, ob ein neues Risiko eingetreten ist oder ob sich Veränderungen der Risikostruktur erkennen lassen. Zur Unterstützung der Kontrolle ist es sinnvoll, ein Berichtswesen in der Unternehmung zu implementieren, das die Risikosituation aufzeigt, die Risiken im Zeitablauf darstellt und einen Gesamtüberblick ermöglicht.

Risiko- und Systemdokumentation
Gemäß den Anforderungen des KonTraG müssen die Elemente des Risikomanagementprozesses, die risikopolitischen Grundsätze, die Aufbau- und Ablauforganisation sowie die definierten Risikolimits für interne und externe Adressaten nachvollziehbar dokumentiert werden. Dies geschieht in der Risiko- und Systemdokumentation. Ein sogenanntes Risikomanagement-Handbuch fasst die zentralen Aspekte zusammen. Wie das Risikomanagement-Handbuch aufgebaut sein muss, ist unternehmensindividuell zu beantworten. Nehmen Sie für Tipps gerne persönlich Kontakt zu mir auf: u.schroeder@c4b-team.de

Prozessbegleitend ist eine Risikokommunikation im Unternehmen erforderlich, die eine rechtzeitige Weiterleitung der relevanten Informationen an die jeweils Verantwortlichen sicherstellt und das Risikobewusstsein in der Unternehmung stärken soll.

Wichtig: Die Kommunikationsschnittstelle zwischen Verantwortlichen des Risikomanagements und den Verantwortlichen im Controlling muss auf jeden Fall besprochen und transparent geklärt sein im Unternehmen. Beispielsweise muss geklärt sein, ob in einer Planung die Risiken eingearbeitet wurden oder nicht.

Das Thema Risiko hat vielfältige Aspekte, dazu zählt letztendlich auch das Thema Krisenmanagement und Krisenkommunikation. Krisenmanagement ist ein umfangreiches Thema für sich, deshalb hier nur kurz ein paar Gedanken: Die wirkliche Gefahr der Unternehmenskrise ist, dass sie außer Kontrolle gerät und damit unternehmensbedrohend wird. Durch eine Krise können in kürzester Zeit Glaubwürdigkeit und Vertrauen in die Kompetenz des Unternehmens verloren gehen. Krisenmanagement bezeichnet den systematischen Umgang mit Krisensituationen. Dies beinhaltet die Identifikation und Analyse von Krisensituationen, die Entwicklung von Strategien, sofern nicht bereits im Rahmen des Risikomanagementgeschehens, zur Bewältigung einer Krise, sowie die Einleitung und Verfolgung von Gegenmaßnahmen. Also: Krisenmanagement beginnt nicht erst mit dem Eintreten einer Krise im Unternehmen oder Projekt. Im Wesentlichen besteht es aus den drei Bereichen

  • Krisenprävention
  • Krisenfrüherkennung und
  • Krisenbewältigung

Geklärt sein muss u.a. im Unternehmen:

  • Krisenhandbuch mit definierten Verfahren – Was haben wir für Krisenmanagementszenarien?
  • Wie vermeide ich Reputationsrisiken?
  • Wie geht man im Krisenfall vor? Wer spricht im Namen des Unternehmens?

„Wer nicht wagt, der nicht gewinnt“ ist ein alter Kaufmannsspruch. Und wie zu den Zeiten der Hanse unterscheiden sich auch heute im Umgang mit dem Risiko die guten von den schlechten Unternehmern.

Risikomanagement: Risiken analysieren und bewerten 150 150 C4B

Risikomanagement: Risiken analysieren und bewerten

Teil 3 von 4Magnifying Glass.

Über die Risikoidentifikation habe ich im letzten Blogbeitrag geschrieben. Heute befasse ich mich mit der Risikoanalyse und der Risikobewertung.

Die Risikoanalyse ist der zweite Schritt des Risikomanagementprozesses und gleichzeitig der Kern des Risikomanagements, denn es können nur solche Risiken gesteuert werden, die erfasst beziehungsweise gemessen werden können. Typischerweise entstehen bei der ersten Betrachtung und der Identifikation von Risiken mitunter umfangreiche Listen mit vielen Einzelrisiken. Nachdem die Risiken erkannt wurden, sollten diese deshalb in eine Risikosystematik gebracht beziehungsweise zu Risikokategorien zugeteilt werden.

Die Bewertung der identifizierten Risiken hinsichtlich der risikorelevanten Dimensionen Eintrittswahrscheinlichkeit und Schadenausmaß ist zentral, sie kann beispielsweise im Rahmen von Workshops oder Expertenrunden stattfinden. Ein umfassenderes Bild der Risikosituation erhält man sicherlich, wenn fachübergreifend diskutiert wird.

Die Risikobewertung zeigt auf, in welchem Ausmaß die Unternehmensziele durch die identifizierten Risikoereignisse gefährdet sind. Man fixiert die Wahrscheinlichkeiten für das Eintreten von Risiken und nimmt eine quantitative und/oder qualitative Bewertung der potenziellen Ergebniseffekte vor. Die Risiken können nach dem Schadensgrad in folgende Kategorien unterteilt werden:

  • Kritische Risiken, die den Fortbestand des Unternehmens gefährden können;
  • Wichtige Risiken, die zur kurzfristigen Kapitalmaßnahmen führen können, um die Geschäftstätigkeit aufrechterhalten zu können;
  • Unwichtige Risiken, die keine besonderen Maßnahmen erfordern und aus dem laufenden Geschäft heraus bewältigt werden können.

Risikoportfolio 1

Risikoportfolio 1

Risikoportfolio 2

Risikoportfolio 2

Zur Filterung von Risiken nach Priorität empfiehlt sich folgende Formel:
“Schadenshöhe in €  x  Eintrittswahrscheinlichkeit”

Wie bewerte ich Risiken? Hier hat sich die Nettobewertung bewährt, d.h. man ermittelt die Schadenshöhe, die nach dem Einleiten von Gegenmaßnahmen wahrscheinlich ist und nicht nur das Risiko erfasst. Die 10-20 größten Risiken sollte man sich dann genauer ansehen und monitoren.

Tipp: Berücksichtigen Sie Wirkungszusammenhänge zwischen den verschiedenen Einzelrisiken. Bestimmte Einzelrisiken mögen isoliert betrachtet nur von nachrangiger Bedeutung für das Unternehmen sein, können aber kumulativ ein existenzbedrohendes Risiko darstellen.

Für die Darstellung der verdichteten Risikoinformationen können im Anschluss Indikatoren, wie der Value at Risk und der Return on Risk Adjusted Capital (RORAC), bestimmt werden.

Zur Information

Definiert wird der Value at Risk als der absolute Wertverlust einer im Unternehmen definierten Risiko-Position, der mit einer zuvor definierten Wahrscheinlichkeit (Konfidenzniveau) innerhalb eines fest bestimmten Zeitraums (Halteperiode) nicht überschritten wird [von Balduin 2003, S. 41 sowie Romeike/Hager 2009, S. 203 und Romeike/Hager 2013, S. 191].
Beim Return on Risk Adjusted Capital (RORAC) wird formal der Gewinn einer Periode ins Verhältnis zum notwendigen Risikokapital (Sicherheitskapital) gesetzt und damit eine Risikoadjustierung (Risikobereinigung) des Gewinns vorgenommen. Das notwendige Risikokapital wird dabei typischerweise auf der Basis des Value at Risk bestimmt. Vgl.: http://wirtschaftslexikon.gabler.de/Archiv/296452/return-on-risk-adjusted-capital-rorac-v3.html

Eine qualitative Risikobewertung ist erforderlich, wenn eine Quantifizierung nicht möglich ist (z.B. bei Imageverlust). In diesem Fall werden häufig Klassifizierungen vorgenommen, die eine Differenzierung der Gefährdungspotenziale erlauben, wie z.B. auf Basis einer Einteilung in „Existenz bedrohend“, „schwerwiegend“, „mittel“, „gering“ oder „unbedeutend“.

Ein Blick in die Praxis: Wir haben die Unternehmen unserer C4B Benchmarking-Circle Risiken befragt, wie sie Risiken bewerten.

  • Alle Unternehmen mit einem RMS benennen Einzelwertrisiken
  • Alle Unternehmen mit einem RMS bündeln ähnliche Risiken und
  • alle mit einem RMS nehmen Gegensteuerungsmaßnahmen vor.
  • Der Betrachtungszeitraum für Risiken ist jedoch unterschiedlich: Er liegt zwischen 2 bis 5 Jahren.
  • Nur zwei der Befragten arbeiten bei der Bewertung der Höhe des Risikos mit der Angabe von Bandbreiten
    • von unbedeutend (< 5T€) bis existenzbedrohend (> 1Mio.€)
    • sowie bis 1 Mio. USD, bis 20 Mio. USD., > 20 Mio. USD netto
  • Risikokorrelationen wurden bei den meisten Unternehmen nicht, bei einem Unternehmen nur „gedanklich“ berücksichtigt; nur ein einziges bejahte die Risikokorrelationsbildung.
  • Eine Erfassung eines Unternehmensrisikos aus der Addition der gewichteten Einzelrisiken (Eintrittswahrscheinlichkeit * Schadenshöhe in Euro) hielt keiner in unseren Benchmarking-Circles für sinnvoll. Die entstehenden Werte sind einfach zu praxisfremd.

Eine große Bandbreite gab es auch auf die Frage, wie oft die Risikobewertung aktualisiert wurde. Sie reicht von jährlich über zwei Mal jährlich bis hin zu quartalsweise. Als IT-Tool zur Risikoerfassung wurde zumeist Excel genutzt. Als IT-Tool haben die Unternehmen neben Microsoft Excel auch folgende Anbieter genannt:

Wie ist es in Ihrem Unternehmen? Welche IT-Tools nutzen Sie zur Risikoerfassung? Und sehr spannend: Wie ist der Prozess der Risikoerfassung bezogen auf „WER erfasst die Risiken“ geregelt (jede Abteilung, nur Management, nur Controlling, wie ist es in Matrixorganisationen)? Ich freue mich auf Ihre Antworten, gerne auch direkt per E-Mail an u.schroeder@c4b-team.de

Im nächsten Beitrag zum Risikomanagement geht es um die Überwachung und Steuerung von Risiken.

Risikomanagement: Risiken, aber auch Chancen identifizieren 150 150 C4B

Risikomanagement: Risiken, aber auch Chancen identifizieren

Teil 2 von 4

Risikomanagement 2

Im ersten Teil meines Beitrags zum Risikomanagement habe ich Ihnen schon ein paar Grundlagen des Risikomanagements erläutert, in diesem Beitrag möchte ich Ihnen weiteren theoretischen Unterbau sowie Praxisbeispiele vorstellen.

Risikomanagement im Unternehmen muss als permanenter Prozess verstanden werden und sollte in die bestehenden Managementsysteme integriert werden. Kurz zur Erinnerung: Die vier Teilprozesse des Risikomanagements:

  • Risiken identifizieren
  • Risiken analysieren
  • Risiken bewerten
  • Risiken steuern

Wie geht man im Detail vor?

  1. Risikoidentifikation

Im Rahmen der Risikoidentifikation werden alle Risiken, die das Unternehmen betreffen könnten, zuerst identifiziert und anschließend systematisiert. Dies bildet die Grundlage für den sinnvollen und effektiven Umgang mit Risiken. Welcher Art die unternehmerischen Risiken sind, ist natürlich stark von unternehmerischen Besonderheiten abhängig. Ein gutes Risikomanagementsystem (RMS) bildet die individuellen Strukturen des Unternehmens ab. Es gibt verschiedene Ansätze zur Systematisierung, ich finde folgende hilfreich:

  • Allgemeine externe Risiken
    wie politische Rahmenbedingungen, konjunkturelle Entwicklung, Technologiesprünge
  • Leistungswirtschaftliche Risiken
    Ausfall zentraler Produktionskomponenten,
    alle Gefahren, die innerhalb der gesamten Wertschöpfungskette auftreten können (Beschaffung, Produktion, Absatz, Vertrieb)
  • Finanzwirtschaftliche Risiken
    wie Wechselkursschwankungen, Zinsänderungen, Liquidität
  • Umweltrisiken
    Naturkatastrophen, Abfallbeseitigung
  • Interne Risiken
    oder auch Risiken aus Schnittstellen – also Informations- und Kommunikationsdefizite

Zur Identifikation können zahlreiche Instrumente eingesetzt werden, wie Unternehmens- und Umweltanalysen, Befragungen der Mitarbeiter, Checklisten, Früherkennung und -aufklärung sowie Fehlerbaum- und Flow–Chart–Analysen.

Die in unseren C4B Benchmarking Circle befragten Unternehmen unterscheiden folgende Risiko-Kategorien:

Unternehmen A (Konzern, Produzierend):

  • Kartellrecht
  • Gesundheit /Sicherheit und Umwelt im Betrieb
  • Kommunikation inkl. Reputation
  • Rechtlich /Fiskale Risiken
  • Joint Ventures
  • Qualitätsrisiken
  •  Einzelrisiken falls erforderlich

Unternehmen B (Mittelstand, Dienstleister):

  • Arbeitsmarktpolitische Veränderungen
  • Fachkräftemangel
  • Strukturwandel der Förderträger
  • techn. Veränderungen (IT)
  • Datenverlust
  • Liquidität
  • Verlust der Zulassung
  • Negativkampagnen Wettbewerb

Unternehmen C (Konzern, Produzierend):

4 Beobachtungsfelder, die sich in 18 Risikoobergruppen untergliedern:

  • Lieferant (Ausfallrisiko)
  • Kunde (Forderungsausfall, Kundenausfall)
  • Personal (Ausfallrisiko)
  • Finanzen (Währungsrisiko)
  • IT (Ausfallrisiko)
  • Markt (rechtliche Rahmenbedingungen)

Wir haben unsere Unternehmen auch befragt, ob sie denn auch Chancen-Kategorien unterscheiden. Doch nur zwei der befragten Unternehmen erfassen Chancen, bei einem davon fließen diese jedoch nicht in das RMS ein, sondern nur in die 3-Jahres-Planung. Ein Konzern erfasst folgende Chancen:

  • Produktinnovation- und verteilung
  • Standortvorteile
  • Wachstumschancen
  • Personalqualifikation
  • Geschäftsbereich-übergreifende Modelle für DE

Warum die Frage nach Chancen?

Nichts geschieht ohne Risiko, aber ohne Risiko geschieht auch nichts.“ (Walter Scheel)

Insbesondere das strategische Controlling ist von seiner Natur aus auf die Entwicklung möglichst günstiger Strategien und weniger auf die Vermeidung ungünstiger Entwicklungen ausgerichtet. Eine ausschließlich auf Risikovermeidung angelegte Unternehmensführung wäre selbst ein Risikofaktor, weil zum langfristigen Überleben jeder Organisation das Entdecken und Wahrnehmen von in der Regel risikobehafteten Chancen gehört. Ein gesundes Risikomanagement sollte sich daher nicht ausschließlich auf Vermeidung von Risiken konzentrieren, sondern auch auf das Erkennen, Bewerten und sorgfältige Abwägen von Chancen und Risiken ausrichten. Hierzu zählen Wachstumschancen oder Chancen durch Innovationen oder neue Geschäftsmodelle. Das gilt auch für die Kommunikation nach außen – werden in Geschäftsberichten oder Bankenreports nur Risiken genannt, so ist nicht erkennbar, welche Chancen dem gegenüber stehen.

Im nächsten Beitrag meiner Serie zum Risikomanagement wird es um die Analyse und Bewertung von Risiken gehen.

Risikomanagement: Aus dem Titanic-Unglück lernen 150 150 C4B

Risikomanagement: Aus dem Titanic-Unglück lernen

 Teil 1 von 4

Pfeil von einem Kompass zeigt auf Risikomanagement Konzept

„Wenn mich jemand fragt, wie ich meine Erfahrung aus 40 Jahren auf See beschreiben würde, so könnte ich diese Frage mit „unspektakulär“ beantworten. Ich habe weder ein Wrack gesehen noch bin ich selbst in Seenot geraten oder habe mich sonst in misslicher Lage befunden, die drohte, zum Desaster zu werden.“
So das überlieferte Zitat von Edward John Smith, Kapitän der im Jahr 1912 gesunkenen Titanic. Smith ignorierte die Eiswarnungen und ließ die Titanic viel zu schnell fahren. Er ging mit ihr unter.

Im Unternehmensalltag wird Risikomanagement immer noch gerne mit Krisenmanagement verwechselt. Während letzteres rückwärtsgewandt die Fehler der Vergangenheit für die zukünftige Fehlervermeidung oder -minimierung nutzt, ist Risikomanagement als zukunftsorientiertes Verfahren auf die Minimierung beziehungsweise Vermeidung zukünftiger Risiken ausgerichtet. Aus Fehlern der Vergangenheit konnte Kapitän Smith nicht lernen, er hatte offensichtlich keine kritischen Erfahrungen während seiner vorherigen Laufbahn gemacht. Offensichtlich hat er sich aber auch nicht mit möglichen künftigen Risiken befasst.

Das sollten Unternehmen anders machen, denn mit jeder unternehmerischen Tätigkeit sind untrennbar Risiken verbunden, sie können den Prozess der Zielsetzung und Zielerreichung negativ beeinflussen. Unachtsamer Umgang mit Risiken kann sich schnell existenzgefährdend auswirken. Dies gilt ganz besonders für mittelständische Unternehmen.

Da sich das Risikomanagement mit den Ursachen für Planabweichungen (hier sowohl Chancen als auch und Gefahren) befasst, ergeben sich zwangsläufig viele Berührungspunkte zu Planung und Controlling. Deshalb haben wir das Thema Risikomanagement intensiv in unseren C4B Benchmarking Circles behandelt. Ich möchte Ihnen in den vier Blogbeiträgen zum Risikomanagement eine Einführung zum Thema geben sowie Beispiele und Learnings aus der Praxis vorstellen.

Worauf zielt Risikomanagement ab?
Risikomanagement kommt bei allem Praxisbezug nicht ohne theoretischen Unterbau und Systematiken aus. An dieser Stelle deshalb ein kurzer Ausflug. Was bedeutet im unternehmerischen Kontext Risiko? Das Wirtschaftslexikon Gabler definiert Risiko so:
„Kennzeichnung der Eventualität, dass mit einer (ggf. niedrigen, ggf. auch unbekannten) Wahrscheinlichkeit ein (ggf. hoher, ggf. in seinem Ausmaß unbekannter) Schaden bei einer (wirtschaftlichen) Entscheidung eintreten oder ein erwarteter Vorteil ausbleiben kann.“
Einfach gesagt zielt Risikomanagement darauf ab, existenzbedrohende Entwicklungen rechtzeitig zu erkennen und Gegenmaßnahmen einzuleiten.

Wie identifiziere ich nun die für das Unternehmen relevanten Risiken und baue mein Risikomanagement auf? Man kann das Risikomanagement zunächst einmal in vier Teilprozesse zerlegen:

  • Risiken identifizieren
  • Risiken analysieren
  • Risiken bewerten
  • Risiken steuern

Mit diesen Teilprozessen haben wir uns im C4B Benchmarking Circle intensiver befasst, deshalb habe ich für Sie den theoretischen Unterbau mit Praxisbeispielen unterfüttert. Bevor wir dazu kommen, ein kurzer Ausflug zu den gesetzlichen Grundlagen:

Gesetzliche Anforderungen an das Risikomanagement nach BILMOG
Durch das Bilanzrechtsmodernisierungsgesetz (BilMoG) wurde der entsprechende § 107 Abs. 3 Satz 2 AktG in das Aktiengesetz eingefügt. Dieser regelt unter anderem erstmalig die Einrichtung eines Prüfungsausschusses aus dem Kreise des Aufsichtsrats und kodifiziert darüber hinaus, dass der Aufsichtsrat bzw. die Mitglieder des eingerichteten Prüfungsausschusses für die Überwachung der Wirksamkeit des internen Kontrollsystems, des internen Revisionssystems sowie des Risikomanagementsystems zuständig sind.

Risikomanagement-Systeme sind nur für kapitalmarktorientierte Unternehmen gesetzlich verbindlich vorgeschrieben. Mittelständler zählen aber immer häufiger dazu. Seit Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Jahr 1998 sind Aktiengesellschaften, Gesellschaften mit beschränkter Haftung (GmbHs) und Kommanditgesellschaften auf Aktien (KGaAs) sowie diesen gleichgestellte Gesellschaftsformen wie GmbH & Co. KGs verpflichtet, ein Risikofrüherkennungssystem einzuführen. Börsennotierte Aktiengesellschaften müssen das System auch durch einen Abschlussprüfer prüfen lassen. Mit der hier geregelten „Früherkennung” sind Risiken gemeint, die das Bestands- und Insolvenzrisiko für eine Gesellschaft erheblich steigern oder hervorrufen können. Rein operative Geschäftsrisiken unterhalb der Schwelle der Bestandsgefährdung sind dagegen nicht einbezogen.

Im nächsten Teil meines Beitrags zum Risikomanagement beleuchte ich den ersten der oben genannten vier Teilprozesse des Risikomanagements, die Risikoidentifikation, und gebe Ihnen dazu Praxisbeispiele. Wie sieht es in Ihrem Unternehmen aus? Ist das Risikomanagement bereits mit der strategischen Unternehmensplanung verbunden? Ich freue mich über Ihr Feedback im Kommentarfeld oder an u.schroeder@c4b-team.de