Was ist Risikomanagement?

Ein Risikomanagement müssen alle Unternehmen mit mehr als 3.000 Mitarbeitenden laut dem neuen Lieferkettengesetz seit dem 01.01.2023 zwingend einführen. Ab Januar 2024 soll dies zudem bereits für Unternehmen ab 1.000 Beschäftigten gelten.

Unter Risikomanagement wird ein nachvollziehbarer, alle Unternehmensaktivitäten umfassender Regelkreislauf verstanden, der ein einheitliches und permanentes Vorgehen umfasst. Risiken sind unerwartete Ereignisse und mögliche Entwicklungen, die sich negativ auf die Erreichung von gesetzten Zielen und Erwartungen auswirken. Die Risikoeinschätzung erfolgt auf Basis von

  • Informationen über die aktuelle und künftige Situation,
  • Erwartungen und Zielsetzungen des Beurteilers sowie
  • subjektiven Beurteilungsmaßstäben (Risikobereitschaft).

Aufgrund der Unsicherheit zukünftiger Entwicklungen ist jede unternehmerische Betätigung mit Chancen und Risiken verbunden. Es stellt sich deshalb nicht das Eingehen von Risiken ein Problem dar, sondern das unkontrollierte Vorhandensein und das Nichtbeherrschen von Risiken.

Was sind die rechtlichen Grundlagen des Risikomanagements?

Mit der Einführung des Gesetzes zur Kontrolle und Transparenz von Unternehmen (KonTraG) im Mai 1998 wurden verschiedene Ziele verfolgt. Das KonTraG soll Unternehmen dazu veranlassen, ihre Risikosituation systematisch zu beobachten, um Fehlentwicklungen in den Geschäftsprozessen zeitgerecht zu erkennen und ihnen entgegenzuwirken.

In diesem Rahmen soll auch die Zusammenarbeit zwischen Aufsichtsrat, Vorstand und Wirtschaftsprüfern verbessert werden. Außerdem sollen die Qualität der Abschlussprüfung und die Transparenz im Unternehmen verbessert sowie die Kontrolle durch die Hauptversammlung erhöht werden.

Zu den bedeutendsten Änderungen durch das KonTraG gehört dabei die Einführung des § 91 Abs. 2 AktG, der die Etablierung eines Risikomanagementsystems (RMS) bei allen börsennotierten Unternehmen vorschreibt.

Was sind Aufgaben und Ziele des Risikomanagements?

Das Ziel des Risikomanagements ist die Planung, Koordination, Ausführung und Kontrolle von Maßnahmen, die dazu dienen, dass Risiken nicht eintreten und die Systemziele wie geplant erreicht werden können. Dabei orientiert sich das Risikomanagement immer an den Unternehmenszielen und der Unternehmensstrategie. Das Risikomanagement hat unabhängig von der konkreten Zielsetzung der jeweiligen Unternehmung auch einige grundlegende Aufgaben.

Die Vernichtung der Existenz ist der größte Schaden, die eine Unternehmung erleiden kann. Die wichtigste Aufgabe des Risikomanagements ist es daher, den Fortbestand des Unternehmens dauerhaft sicherzustellen, d. h. das Unternehmen vor einer Existenzgefährdung oder gar Existenzvernichtung aufgrund von auftretenden Risiken zu schützen.

Des Weiteren sollen die Maßnahmen des Risikomanagements durch eine Verringerung des eingegangenen Risikos und die Reduktion der Ausfallwahrscheinlichkeit von beispielsweise Kreditrückzahlungen die Eigen- und Fremdkapitalkosten senken und somit die Unternehmensgewinne und den Unternehmenswert steigern.

RisikomanagementFür Unternehmen ist die Außenwirkung sehr wichtig. Die Kunden und die Öffentlichkeit sollen Vertrauen in das Unternehmen, seine Leistungsfähigkeit sowie in seine Produkte gewinnen. Neben der Notwendigkeit, dass die angebotenen Leistungen die Bedürfnisse der Kunden erfüllen, ist es daher umso wichtiger, sicherzustellen, dass keine Schädigungen von Personen oder Ressourcen aufgrund von fehlerhaften Produkten oder mangelhaften Leistungsprozessen auftreten.

Durch das Risikomanagement im Unternehmen soll gewährleistet werden, dass Prozesse störungsfrei ablaufen können, Fehlerquellen frühzeitig erkannt, behoben und in ihrer Wirkung beherrscht werden.

Was sind die Hauptelemente eines Risikomanagementsystems?

Das Risikomanagement unterteilt sich in die Hauptelemente Risikostrategie, Risikoorganisation und Risikokultur.

Risikostrategie

Die Risikostrategie als fester Bestandteil der Unternehmensstrategie bildet den Grundstein für den eigentlichen Risikomanagementprozess, da diese die grundsätzliche risikopolitische Ausrichtung des Unternehmens enthält.

Risikopolitische Grundsätze können in die bestehende Qualitätspolitik integriert werden und Qualitätsziele können entsprechend um Risikomanagementziele ergänzt werden. Für eine wirksame Risikostrategie müssen Verantwortungen und Zuständigkeiten für das Risikomanagement festgelegt und angemessene Rahmenbedingungen geschaffen werden.

Risikoorganisation

Bei der Entwicklung der Organisation wird eine Ablauforganisation und Aufbauorganisation für das Risiko geschaffen, d. h. die Verantwortung der einzelnen Aufgaben des Risikomanagements werden auf einzelne Personen und / oder Organisationseinheiten aufgeteilt.

Dazu muss zuerst der Aufgabenumfang genau definiert und entschieden werden, ob eine zentrale oder dezentrale Risikoorganisation zweckmäßiger ist und wo das Risikomanagement in der Organisationshierarchie eingeordnet werden soll.

Risikokultur

Risikomanagement muss ein fester Bestandteil des täglichen Handelns und Denkens eines jeden Mitarbeiters sein, mit anderen Worten, Risikomanagement ist irreversibel in der Unternehmenskultur zu verankern.

Was sind die Phasen des Risikomanagements?

Das Risikomanagement umfasst verschiedene Phasen, die der Identifizierung, Bewertung und Bewältigung potenzieller Risiken dienen.

Sie verweisen auf diverse Aktivitäten und gestalten sich dabei als wiederholter Prozess, der sowohl die Risiken als auch die Chancen des Unternehmens verstehen und nutzen soll.

Risikoidentifikation

Der erste Schritt bei einem Risikomanagementprozess ist die Risikoidentifikation. Das KonTraG fordert für diese Phase eine systematische Identifikation aller auf das Unternehmen einwirkenden Risiken. Besonders zu beachten sind dabei bestandsgefährdende Risiken sowie schwerwiegende Risiken, die möglicherweise in Verbindung mit anderen Risiken eine bestandsbedrohende Entwicklung im Sinne § 91 Abs. 2 AktG verursachen könnten.

Für die Identifikation von Risiken gibt es verschiedene Verfahren. Es wird unterschieden zwischen der Erfahrungsmethode (regressive Verfahren) und analytischen Methode (progressive Verfahren) und zwischen der qualitativen und quantitativen Methode.

Bei der Erfahrungsmethode werden bereits eingetretene Schadensfälle zur Identifikation herangezogen. Auf Grundlage der bereits gesammelten Erfahrung sollen sie nähere Informationen über die Struktur eines Sachverhaltes liefern, damit gleiche oder ähnliche Situationen vermieden werden können. Die analytische Methode soll dazu dienen, Gefahren und Risiken, die noch keinen Schaden anrichten konnten und noch zu beeinflussen sind, zu erkennen.

Bei der quantitativen Methode beruhen die Daten aus einer Sammlung und Analyse, aus denen das Risiko mittels geeigneter Verfahren abgeleitet wird. Beim qualitativen Ansatz basieren die Daten dagegen auf subjektiven, erfahrungsbezogenen Werteinschätzungen in systematischer und unsystematischer Form, die die Risikolage abbilden sollen.

Risikobewertung

Im Rahmen der Risikobewertung werden die Wahrscheinlichkeit des Eintritts des erfassten Risikos (Eintrittswahrscheinlichkeit) und die Intensität der Auswirkung (Schadenshöhe) bewertet. Ziel ist es aufgrund dieser Informationen die Risiken nach ihrer Schwere zu kategorisieren und die Notwendigkeit für Handlungen zur Risikobewältigung abzuleiten.

Risiken können zum Beispiel in folgende Kategorien eingeteilt werden:

  • Hohes Risiko: Das eintretende Risiko bedroht das Bestehen des Unternehmens. Ein derartiges Risiko sollte nach Möglichkeit nicht ohne Versicherungsschutz bleiben. Eine detaillierte Analyse und ein sofortiges Handeln zur Risikoreduzierung sind zwingend.
  • Mittleres Risiko: Das eintretende Risiko zwingt das Unternehmen zu Veränderungen der Unternehmensziele. Der Aufwand der näheren Risikoanalyse und Risikobewältigung sollte den potenziellen Risikowirkungen gegenübergestellt werden. Das Risiko kann in der Regel akzeptiert werden. Es sollte jedoch vorher versucht werden, das Risiko mit einfachen Maßnahmen so weit wie möglich auf ein annehmbares Maß zu reduzieren.
  • Geringes Risiko: Das eintretende Risiko veranlasst das Unternehmen zur Veränderung der Abläufe. Hoher Aufwand sollte für eine Detailanalyse dieser Risiken nicht aufgebracht werden, weil eine derartige Analyse nur geringe Zusatzerkenntnisse bringt. Diese Risiken werden normalerweise nicht versichert, da der Risikotransfer zu kostspielig ist.

Ausgehend von der Klassifizierung der Eintrittswahrscheinlichkeiten und der Auswirkung des Risikos lässt sich eine Risikomatrix erstellen. Dieses Instrument bietet die Möglichkeit der Darstellung, aus welchen Risiken in Abhängigkeit von Eintrittswahrscheinlichkeit zu erwartender Schadenshöhe welcher Handlungsbedarf resultiert und hilft auf diese Weise, Prioritäten in der Risikobewältigung zu setzen.

Risikobewältigung

Nach der Analyse der Risiken müssen geeignete Maßnahmen ergriffen werden, die Risikoposition des Unternehmens zu optimieren, jedoch nicht zu minimieren, da dadurch gleichzeitig auf Chancen verzichtet würde. Die Risikobewältigung zielt nicht darauf ab, das Risiko komplett zu unterdrücken.

Das Ziel ist also, das Risiko auf ein akzeptables Maß an Restrisiko zu reduzieren, sodass das Risikodeckungspotenzial des Unternehmens nicht überschritten wird. Zu den ursachenbezogenen Maßnahmen gehören die Risikovermeidung und die Risikominderung.

Bei der Risikovermeidung umgeht oder unterlässt man wirtschaftliche Aktivitäten, um damit verbundene Risiken zu eliminieren. Im Zuge der Risikominderung werden die Eintrittswahrscheinlichkeiten oder die Tragweiten von Risiken auf ein akzeptables Maß reduziert.

Risikoüberwachung

Die Risikoüberwachung ist die kontinuierliche Kontrolle des Risikoprozesses und die laufende Überprüfung der Wirksamkeit. Diese Erkenntnisse werden an die Verantwortlichen weitergegeben, um auf diese Weise die Transparenz über die Risikolage der Unternehmung sicherzustellen.

Die Risikoüberwachung dient darüber hinaus der kontinuierlichen Erfassung von risikospezifischen Veränderungen, wodurch das rechtzeitige Einleiten von Steuerungsmaßnahmen sichergestellt werden soll.

Das Wichtigste zum Risikomanagement in Kürze

Zusammenfassend lässt sich feststellen, dass ein wirksames Risikomanagement

  • kontinuierlich und systematisch durchgeführt wird,
  • alle Unternehmensbereiche abdeckt,
  • in die Geschäftsprozesse integriert ist,
  • zur Aufgabe aller Mitarbeiter gehört,
  • gleichzeitig auf die Unternehmensziele und die wesentlichen Unternehmensrisiken ausgerichtet ist,
  • auf richtigen und rechtzeitigen internen und externen Informationen basiert,
  • Risiken zeitnah ermittelt,
  • der Risikokontrolle und Chancennutzung dient,
  • dynamisch auf sich ändernde Risikosituationen reagiert, fortwährender Überwachung unterliegt,
  • Bestandteil der Unternehmensorganisation und Unternehmenskultur ist.

Aufgaben

  1. Welche Hauptelemente des Risikomanagementsystems unterscheidet man?
  2. Welche Phasen umfasst das Risikomanagement?

Lösung

  1. Risikostrategie, Risikoorganisation, Risikokultur.
  2. Risikoidentifikation, Risikobewertung, Risikobewältigung, Risikoüberwachung.

Literaturhinweise

  1. Gleißner, Werner (2017): Grundlagen des Risikomanagements. Mit fundierten Informationen zu besseren Entscheidungen, 3. Auflage, München 2017.