Risikomanagement als Instrument zur Stabilisierung der Ergebnisse

Die Geschäftsführung von Unternehmen muss im Rahmen einer „guten Unternehmensführung" (Corporate Governance, KonTraG, § 91 Abs. 2 AktG, § 43 Abs. 1 GmbHG) geeignete Maßnahmen treffen, um verantwortungsbewusst mit Risiken umzugehen und den Fortbestand des Unternehmens zu sichern. Die Einführung und Weiterentwicklung eines hierzu notwendigen Risikomanagements sind häufig mit einem nicht unerheblichen Aufwand verbunden. Andererseits können Risikokosten (inklusive ratingabhängiger Finanzierungskosten) und Haftungsrisiken reduziert werden. Eine Beschränkung auf eine Risikofrüherkennung ist aber weder ausreichend noch zielführend. Ein umfassendes Risikomanagement dient dazu, das Ergebnisniveau zumindest zu stabilisieren, den Unternehmenswert zu steigern und nachhaltig das Überleben von Unternehmen zu sichern.

Eine Chance oder ein Risiko ist eine durch ein Ereignis, eine Entscheidung oder einen Umstand bedingte positive oder negative Abweichung von einem Ziel, welches unter dem Einfluss von Unsicherheit geplant worden ist. Es entsteht bei jeder Entscheidung ein Spannungsfeld zwischen Chancen und Risiken.

Die Übernahme von Risiken (und spiegelbildlich die Nutzung von Chancen) ist das Kernelement unternehmerischer Tätigkeit und unabdingbar für den Geschäftserfolg. Der Verzicht auf jegliche Risiken ist allerdings das größte Risiko. Was wir tun, ist riskant. Was wir nicht tun, ist es aber auch! Risikomanagement hat damit die Aufgabe, das Unternehmensrisiko so zu reduzieren, dass eine Existenzgefährdung vermieden wird und gleichzeitig das Unternehmen die vorhandenen Chancen nutzen kann.

Damit Risiken kalkulierbar werden, müssen diese systematisch identifiziert und die relevanten Risiken herausgefiltert werden. Hierzu werden entsprechend Abbildung 1 umfassend alle potenziellen Risiken zusammengetragen. Das systematische Identifizieren von Risiken wird gestützt durch Checklisten, Fragebögen, (Experten-)Interviews, Brainstorming, Fehlermöglichkeitsanalysen, PESTLE-/SWOT/Bilanz-/Szenario-Analysen und die Analyse von Risiken entlang der Wertschöpfungskette des Unternehmens. Nach der Schwerpunktsetzung erfolgt eine Bewertung der Risiken nach Relevanz für das Unternehmen, sodass abschließend ein unternehmensindividuelles Risikoinventar entsteht. Hierbei ist es auch sinnvoll, die Risiken dahingehend zu klassifizieren, ob das Risiko von einer einzelnen Abteilung bearbeitet werden soll oder ob es sich um ein abteilungsübergreifend zu bearbeitendes Risiko handelt. Mit der Risikoinventarisierung wird eine konsistente Ausgangsbasis für die nachfolgenden Schritte des Risikomanagementprozesses geschaffen.

Abb. 1 RisikoinventarisierungAbb. 1 Risikoinventarisierung

Für die Risiken muss ein Risikobewusstsein im Unternehmen geschaffen werden. Des Weiteren muss im Rahmen der Risikokultur die Einstellung zu Risiken bzw. die Neigung, Risiken einzugehen, klar und eindeutig geregelt werden. Nur so kann sichergestellt werden, dass die gewünschte Risikoneigung im gesamten Unternehmen umgesetzt werden kann. Es ist eine Obergrenze für den Gesamtumfang der Risiken des Unternehmens (Gesamtrisikoportfolio, Abbildung 2) zu definieren.

Das in Abbildung 2 dargestellte Gesamtrisikoportfolio zeigt auf, wie die Risiken im Unternehmen nach Schadenshöhe und Eintrittswahrscheinlichkeit verteilt sind. Hier bietet sich eine Klassifizierung anhand einer Rating-Skala (CCC = sehr kritisches Risiko, AAA = sehr geringes Risiko) und nach Norm-/Risikobewältigungsstrategien an.

Abb. 2 GesamtportfolioAbb. 2 Gesamtportfolio

Je weiter ein Risiko in Abbildung 2 in der oberen rechten Ecke des Portfolios liegt, desto mehr kann das Unternehmen durch das Risiko beeinträchtigt werden. Hier besteht grundsätzlich akuter Handlungsbedarf.

Im Rahmen der Risikopolitik müssen dann Entscheidungskriterien definiert werden, die ein Abwägen von Schadenshöhe und eingegangenem Risiko erlauben (z. B. durch Limite für einzelne Risiken zur Vermeidung, dass bestandsgefährdende Risiken eingegangen werden).

Hierzu dient die Festlegung von Verhaltensregeln (Ordnungs-/Handlungsrahmen) zum Umgang mit Risiken. Darin wird geregelt, bei welchen Risiken welche Risikobewältigungsstrategien (siehe Abbildung 3) genutzt und welche Risiken bewusst eingegangen werden sollen. Da durch den Eintritt von Risiken mittelbar oder unmittelbar ein zusätzlicher Aufwand entsteht und finanzielle Mittel beansprucht werden, wird die Risikotragfähigkeit eines Unternehmens durch die Höhe des Eigenkapitals und die Größe der Liquiditätsreserven bestimmt.

Übersteigen die Risiken die Risikotragfähigkeit, so ist das Übersteigen die Risiken die Risikotragfähigkeit, so ist das Gesamtrisikoportfolio durch Identifizierung und Umsetzung von Maßnahmen zu reduzieren (z. B. Verzicht auf Eintritt in einen neuen Markt) und/oder Eigenkapital bzw. Liquidität (z. B. durch zusätzliche Kontokorrentlinien) zu erhöhen.

Je geringer die risikobedingten Ergebnisschwankungen sind, umso geringer muss die Risikotragfähigkeit (Eigenkapital, Liquidität) des Unternehmens ausgestaltet sein.

Einsatz der Risikobewältigungsstrategien

Bei den auszuwählenden Risikobewältigungsstrategien (siehe Abbildung 3) lassen sich Maßnahmen zur Vermeidung, Verringerung, zum Übertragen und das bewusste Übernehmen unterscheiden. Die Auswahl der Steuerungsmaßnahmen ist unter Abschätzung und Bewertung der Kosten und Nutzen zu treffen. Hierbei gibt es Maßnahmen, die die Ursachen von Risiken vermeiden bzw. vermindern sollen. Sie zielen insbesondere auf die Verringerung der Eintrittswahrscheinlichkeit von Risiken ab. Hierzu gehören die Informationsgewinnung (Identifikation von Risiken, Priorisierung von Maßnahmen, Bandbreitenplanung/Szenarien), die Risikoverhütung (z. B. Schutz-und Sicherheitsvorkehrungen, Wartung von Anlagen, Institutionalisierung von Arbeitsabläufen, Bonitätsprüfung) und die Risikomeidung (Unterlassen riskanter Unternehmensaktivitäten).

Des Weiteren gibt es wirkungsbezogene Maßnahmen. Sie sollen die Folgen (Schadenshöhe) des Eintritts von Risiken reduzieren. So können risikobehaftete Unternehmensaktivitäten in mehrere Teilaktivitäten (z. B. parallele Rechenzentren, Verbesserung Kunden-/Lieferantenstruktur, Einrichtung Stellvertreterregelungen) unterteilt werden. Des Weiteren können Risiken auf andere Unternehmen übertragen werden (Versicherungen, Vertragsstrafen/Garantien, Gründung eines Gemeinschaftsunternehmens bei größeren Bauprojekten). Die ausgewählten Maßnahmen sind im Risikoinventar zu hinterlegen. Die verbleibenden Rest(-Risiken) sind vom Unternehmen zu tragen und Bestandteil der unternehmerischen Tätigkeit. Für die Überwachung dieser Risiken ist ein Regelkreis/Monitoring aufzusetzen.

Abb. 3. Risikomanagementkreislauf mit RisikobewältigungsstrategienAbb. 3. Risikomanagementkreislauf mit Risikobewältigungsstrategien

Mit zunehmendem Einsatz der Risikobewältigungsstrategien Vermeidung, Verringerung und Übertragen steigen die Kosten des Risikomanagementsystems.

Reifegrad des Risikomanagementsystems

Risikomanagement ist Bestandteil und eine Kernaufgabe einer zeitgemäßen, verantwortungsvollen Unternehmensführung. Damit ist es Teil der Entscheidungsfindung und der Wertschöpfung. Ziel des Risikomanagements ist das Vermeiden von Unternehmenskrisen durch rechtzeitiges Erkennen und Handhaben von Risiken bzw. zumindest das Sichern oder Erweitern von Handlungsspielräumen (Erhöhung des Reaktionszeitraums und der Erfolgswahrscheinlichkeit von Gegensteuerungsmaßnahmen).

Es dient zudem der Erfüllung der Anforderung der Kapital-und Finanzmärkte an Unternehmen (u. a. Rating) und trägt zur Glättung von Ertragsschwankungen und zur Erhöhung des Unternehmenswertes bei. Das Risikomanagement ist maßgeschneidert für jedes Unternehmen zu entwickeln (Optimierung Chancen-Risiken-Rendite-Profil) und muss kontinuierlich entsprechend den laufenden Veränderungen des Unternehmens und seines Umfeldes weiterentwickelt werden. So ist die Identifizierung von Risiken laut den Grundsätzen ordnungsmäßigen Risikomanagements (GoR) zyklisch, mindestens einmal im Jahr durchzuführen. Lernfähigkeit und kontinuierliche Verbesserungsfähigkeit sind essentielle Punkte eines Risikomanagementsystems. Der Reifegrad des Risikomanagements sollte regemäßig überprüft werden (siehe Abbildung 4).

Abb. 4: Reifegradmodell RisikomanagementAbb. 4: Reifegradmodell Risikomanagement

Stufe 1:Kein ausgeprägtes Risikobewusstsein:

Ein systematisches Denken und Handeln im Umgang mit Risiken ist kaum vorhanden. Unsicherheiten/Risiken werden bei unternehmerischen Entscheidungen nur sporadisch berücksichtigt.

Stufe 2:Schadensmanagement:

Die Unternehmensführung ist sich wesentlicher Risiken (Eintrittswahrscheinlichkeit, Schadenshöhe) bewusst, ohne diese genauer mittels eines Instruments zu quantifizieren oder abzuwägen. Übertragbare Risiken werden durch Versicherungen abgesichert.

Stufe 3: Risikomanagement nach KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich):

Es existiert ein den Vorschriften des KonTraG erfüllendes, durchgängiges Risikofrühinformationssystem. Bei wesentlichen Entscheidungen werden explizit die damit verbundenen Risiken berücksichtigt, allerdings nicht formalisiert (und nicht quantifiziert).

Stufe 4: Performance-orientiertes Risikomanagement:

Einzelrisiken werden zu einem Gesamtrisikoumfang zusammengefasst und einer Risikodeckungsmasse gegenübergestellt. Die Konsequenzen der Risiken für wichtige Zielgrößen des Unternehmens und für das Unternehmensrating werden aufgezeigt. Es existiert ein ausgeprägtes Risikobewusstsein im Unternehmen und das Risikomanagementsystem ist in die Abläufe des Unternehmens integriert und wird effizient durch eine IT-Lösung umgesetzt.

Stufe 5: Wertorientiertes Risikomanagement:

Der Risikomanagement-Prozess und die unterstützenden Instrumente sind mit den operativen Systemen des Unternehmens verbunden. Die Planung wird im Sinne einer „stochastischen Planung" durchgeführt, das heißt, alle Planungen können durch Zuordnung von Risiken beschrieben

werden (als Wahrscheinlichkeitsverteilung). Risikoinformationen in Unternehmen können genutzt werden, um das Unternehmen wertorientiert zu betrachten. Es wird ein individuelles Risiko-Nutzen-Kalkül eingesetzt, in dem sich die individuellen Risikopräferenzen (und die individuellen Restriktionen) der Eigentümer widerspiegeln. Sämtliche wichtigen Entscheidungen werden in ihrer Abbildung auf den Risikonutzen beurteilt, was ein ganzheitliches Nachdenken über den erwarteten Ertrag und das Risiko ermöglicht.

Ein Risikomanagement muss in die Kultur der Organisation integriert und gelebt werden. Sinnvollerweise integriert es sich kosteneffizient in die bestehenden Unternehmensstrukturen. Redundanzen werden vermieden, sodass Entscheidungen auf einer einheitlichen Informationsbasis getroffen werden können. Dies geschieht durch:

Führung und Strategie

– Klare Kommunikation der Ziele des Risikomanagements und der Werte im Risikomanagement

– Klare Definition der Prozesse und Verantwortlichkeiten im Risikomanagement

– Vorbildfunktion des Top-Managements

Kommunikation

– Darstellung als Wertetreiber

– Nutzung diverser Medien (Intranet, Mitarbeiterzeitschrift, Hausmessen,…)

– Auch unangenehme Wahrheiten müssen kommuniziert werden

– Akzeptanz von Unsicherheit (Nichteintritt von Szenarien)

– Informationsaustausch über alle Abteilungen und Hierarchieebenen hinweg

Organisation

– Verankerung und Koordination des Risikomanagements in einer zentralen Abteilung, die Schnittstellen zu wesentlichen Steuerungsprozessen und Organisationseinheiten hat, sinnvollerweise das Controlling

–Eindeutige Verantwortlichkeiten (Risikokoordinator und dezentrale Risikoverantwortliche in den einzelnen Organisationseinheiten/Abteilungen)

– Nutzung der Informationen aus dem Risikomanagement für Bandbreitenplanungen, Szenarien, Rendite-/Risikoanalysen oder Risikotragfähigkeitsanalyse Schulungen (Hard-und Softskills)

– Aufnahme von risikorelevanten Aspekten in Zielvereinbarungen der Mitarbeiter

–Kontrolle der Prozesse

– Einbeziehung aller Mitarbeiter (z. B. interdisziplinäre Teams)

– Unterstützung durch geeignete Tools

Fazit

Ein systematischer, zeitgerechter und strukturierter Risikomanagementansatz trägt zur Leistungsfähigkeit/-steigerung des Unternehmens und zu beständigen, vergleichbaren und verlässlichen Ergebnissen bei. Durch Abstimmung des Gesamtrisikoportfolios mit der Risikotragfähigkeit (Eigenkapital und Liquidität) des Unternehmens wird das nachhaltige Überleben sichergestellt. Eine Reduzierung der Ergebnisschwankungen führt zu einer Unternehmenswertsteigerung. Das Risikomanagement ist in die Unternehmensorganisation zu integrieren und maßgeschneidert für jedes Unternehmen (weiter) zu entwickeln. Hierbei sind die identifizierten Maßnahmen zur Weiterentwicklung des Risikomanagements hinsichtlich Wirkung und Umsetzungsgeschwindigkeit zu priorisieren. Gerne sind wir Ihnen bei der Bewertung und Weiterentwicklung Ihres Risikomanagements behilflich.

Hartmut Ibershoff, Head of Manager Finance, Buchalik Brömmekamp Unternehmensberatung GmbH

Dr. Dirk Dümpelmann, Leiter Competence Center Operations, Buchalik Brömmekamp Unternehmensberatung GmbH