Aufbau eines Risikomanagements

Risikomanagement

Die diversen Krisen der letzten Jahre haben eindrücklich die Relevanz eines Risikomanagements vor Augen geführt. Fundiertes Risikomanagement findet dabei in einem systematischen Rahmen statt, von der Festlegung der Risikopolitik und -strategie über die Identifikation, Messung, Bewertung und Steuerung von Risiken bis hin zum Risikoberichtswesen.

 

Aufgabe des Risikomanagements ist es, Chancen und Risiken des unternehmerischen Handelns zu identifizieren und zu managen und damit das Unternehmen bei der Erreichung der Unternehmensziele sowie der Verhinderung von Ressourcenverlusten zu unterstützen.

Darüber hinaus trägt das Risikomanagement dazu bei, Gesetze und Vorschriften einzuhalten, ein ausgewogenes Verhältnis zwischen Ergebniszielen und korrespondierenden Risiken zu ermöglichen, die Kommunikation sowie den Umgang mit Chancen und Risiken zu verbessern und Stakeholdern Transparenz und Sicherheit zu verschaffen.

Unter dem Begriff Risiko werden die Wahrscheinlichkeit des Eintretens eines negativen Ereignisses und dessen Konsequenzen verstanden, die sich aus der Abweichung von einer erwarteten bzw. geplanten Zielgröße ergeben.

Risikopolitik und Risikostrategie

Ausgangspunkt des Risikomanagements ist die Risikopolitik, die einen groben Handlungsrahmen darstellt, Verhaltensregeln und Verantwortlichkeiten festlegt und im Einklang mit der allgemeinen Unternehmenspolitik zu erstellen ist und sich aus ihr ableiten sollte.

Die Risikopolitik bildet die Basis für die Risikokultur und gibt die Art der Risikohandhabung im Unternehmen vor.

Neben den unternehmensindividuellen Vorgaben zur Risikopolitik lassen sich weitere Inhalte aus gesetzlichen Anforderungen ableiten (z.B. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), Sarbanes-Oxley Act (SOA), Mindestanforderungen an das Risikomanagement (MaRisk) oder Basel II).

Die unternehmensspezifisch auszugestaltende Risikostrategie stellt die Basis für den gesamten Risikomanagementprozess dar. Sie bestimmt das Verhältnis von Chancen und Risiken für das gesamte Unternehmen und welche maximalen Risiken eingegangen werden dürfen. Darüber hinaus werden Grundsätze für die Risikoprävention und die anzuwendenden Verfahren und Methoden vorgegeben.

Ziel ist nicht immer die Minimierung des Unternehmensrisikos, sondern vielmehr eine Optimierung des Chancen-/Risiko-Profils, das von der Unternehmensstrategie und der Risikobereitschaft des Unternehmens bestimmt wird.

Mögliche Risikostrategien sind:

  • Risikovermeidung (z.B. Vorhaben stoppen)
  • Risikoverminderung (z.B. Qualitätsmanagement)
  • Risikobegrenzung (z.B. durch Diversifikation oder definierte Obergrenzen)
  • Risikoabwälzung (z.B. durch Versicherung)
  • Risikoakzeptanz (Übernahme von Risiken)

Identifikation von Risiken

Die Risikoidentifikation beinhaltet eine ganzheitliche und detaillierte Bestandsaufnahme der Risiken und dient somit der frühzeitigen und laufenden Erkennung von bestehenden und potenziellen Risiken, welche die Existenz des Unternehmens bzw. die Erreichung der Unternehmensziele gefährden können.

Das Erkennen von Risiken unterstützen z.B. Frühwarnsysteme, (Experten-)Interviews, Checklisten, Fragebögen, das Brainstorming, die Fehlermöglichkeitsanalyse, die PEST-Analyse, SWOT-Analyse oder die Analyse von Risiken entlang der Wertkette.

Zur strukturierten Darstellung der Risiken wird im Hinblick auf die weiteren Phasen des Risikomanagements eine Systematik mit übergeordneten Risikokategorien erstellt.

Die Unternehmensrisiken werden meist in Betriebs-, Geschäfts- und Finanzrisiken eingeteilt.

Messung von Risiken

Im Anschluss an die Risikoidentifikation erfolgt die Risikomessung. Nur solche Risiken, die identifiziert und darauf folgend gemessen und bewertet werden, können gesteuert werden.

Die Risikomessung sollte mittels einheitlicher Risikomaße bzw. Bewertungskriterien zu vergleichbaren Ergebnissen führen, um damit eine konsistente Entscheidungsbasis für die nachfolgenden Schritte des Risikomanagementprozesses zu schaffen. Mögliche quantitative und qualitative Verfahren sind z.B. die Value at Risk-Methode (Methode zur Berechnung des Verlustpotenzials, das aus Markt- und Zinsrisiken resultiert), die Sensitivitätsanalyse oder Scoring-Modelle.

Zu beachten ist weiterhin, dass Einzelrisiken in Wechselbeziehung zueinander stehen und sich verstärken oder kompensieren können. Vor diesem Hintergrund ist neben den Einzelrisiken auch die Gesamtrisikoposition des Unternehmens zu ermitteln (Risikoaggregation).

Bewertung von Risiken

Die Risikobewertung zeigt auf, in welchem Ausmaß die Unternehmensziele durch die identifizierten Risikoereignisse gefährdet sind. Hierzu sind die Wahrscheinlichkeiten für das Eintreten von Risiken zu fixieren und eine quantitative und/oder qualitative Bewertung der potenziellen Ergebniseffekte vorzunehmen.

Im Rahmen der quantitativen Bewertung wird ein Schadenserwartungswert ermittelt, der sich aus der Multiplikation der Eintrittswahrscheinlichkeit und Schadenhöhe des einzelnen Risikos ergibt. Eine qualitative Risikobewertung ist erforderlich, wenn eine Quantifizierung nicht möglich ist (z.B. bei Imageverlust). In diesem Fall werden häufig Klassifizierungen vorgenommen, die eine Differenzierung der Gefährdungspotenziale erlauben, wie z.B. auf Basis einer Einteilung in „Existenz bedrohend", „schwerwiegend", „mittel", „gering" oder „unbedeutend".

Die Bewertung der Risiken zielt darauf ab, eine Rangordnung hinsichtlich des Gefährdungspotenzials herzustellen und nachfolgend eine Abbildung in einem Risikoportfolio vorzunehmen. Mit Hilfe dieser Darstellungsform können Normstrategien bzw. Steuerungsimpulse zur Handhabung der unterschiedlichen Risiken generiert werden.

Risikopotenziale

Risikosteuerung

Die Basis für die Risikosteuerung bildet die Risikostrategie, da auf ihrer Grundlage zu entscheiden ist, welche Risiken akzeptiert werden und welche aktiv gesteuert werden sollen. Ziel ist die Veränderung der Risikosituation gemäß der Ziele und Vorgaben des Unternehmens bzw. die Herstellung einer ausgewogenen, dem Risikoprofil entsprechenden Relation von Chancen und Risiken. Eine optimale Risikosteuerung trägt dabei zur Sicherung des Unternehmensfortbestandes und zur Steigerung des Unternehmenswertes bei.

Aus der Risikostrategie wird abgeleitet, wie die identifizierten Risiken gehandhabt werden sollen und ob die Risiken akzeptiert, vermieden, vermindert oder überwälzt werden sollen.

Die Auswahl der Steuerungsmaßnahmen sollte unter Abwägung von Kosten und Nutzen getroffen werden.

Zur Beurteilung der Wirksamkeit und der Effizienz des Risikomanagements ist eine laufende Risikokontrolle zur Identifizierung von möglichen Verbesserungspotenzialen notwendig.

Die Überwachung des Risikomanagements erfolgt durch eine prozessbegleitende Kontrolle und prozessunabhängige Prüfung, z.B. durch die interne Revision. Die neutrale Prüfung beurteilt die Funktionsfähigkeit und Wirksamkeit des Risikomanagementprozesses und unterstützt die Weiterentwicklung sowie Verbesserung des Risikomanagements.

Im Sinne des Regelkreises des Risikomanagements wird durch die Risikokontrolle nach einem bestimmten Zeitraum oder bei Veränderungen der Risikosituation ein neuer Risikozyklus initiiert.

Risikoberichtswesen

Das Risikoberichtswesen beinhaltet die fortlaufende Berichterstattung über die identifizierten und bewerteten Risiken sowie die eingeleiteten Maßnahmen zur Risikobewältigung an die entsprechenden Interessengruppen.

Das Risikoberichtswesen hat sicherzustellen, dass die Erkenntnisse der Risikokontrolle frühzeitig und in nachvollziehbarer, aussagefähiger Form kommuniziert werden. Das Berichtswesen beinhaltet die Darstellung und Beurteilung der Risikosituation sowie ggf. Handlungsvorschläge zur Verbesserung der Risikoposition. Es sorgt damit für eine angemessene Kommunikation im Unternehmen und ermöglicht die Entscheidung über notwendige Maßnahmen zur Risikobewältigung.

Zudem werden Rechenschaftsfunktionen (Nachweisen des pflichtgemäßen Verhaltens), die Sicherungsfunktionen (Fehler verhindernde Maßnahmen) und die Prüfbarkeitsfunktionen (Grundlage für die Prüfung des Aufsichtrats, interne Revision etc.) durch das Risikoberichtswesen abgedeckt.

 

 

Risikomanagementansatz

A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000

PPT Download Visualisierung der Risikopotenziale

PPT Download Risikomanagementansatz

Autor: Achim Sztuka

© 2024 Manager Wiki | Joomla Template by vonfio.de
Auf Twitter folgen
Auf Facebook teilen
Auf Xing teilen