1 Grundsätze und Ziele des Risikomanagements
1.1 Ziele und Aufgaben
Mit jeder geschäftlichen Tätigkeit sind Risiken verschiedenster Art verbunden, ohne die keine Tätigkeit ausgeübt werden könnte. Zielsetzung eines Risikomanagement-Systems kann also nicht die Vermeidung jeglichen Risikos sein.
Gleichzeitig besteht ein enger Zusammenhang zwischen geschäftlichem Erfolg (Rendite) und dem Risiko: je höher das eingegangene Risiko ist, desto höher müsste die erzielte Rendite sein. Während die Rendite im Nachhinein gemessen werden kann, ist das Risiko, unter dem diese erzielt wurde, oft nicht bekannt.
Es ist daher erforderlich, sich des eingegangenen Risikos ständig bewusst zu sein und die Größe des Risikos durch geeignete Kontroll- und Steuerungsmaßnahmen aktiv zu steuern.
Zielsetzung des Risikomanagements ist es daher,
- Risiken der betrieblichen Geschäftstätigkeit systematisch zu identifizieren
- bestehende Risiken sowie mögliche Konsequenzen aus der Übernahme von Risiken zu kennen,
um dadurch die Geschäfte risikobewusst steuern zu können, das heißt
- kalkulierte Risiken einzugehen
- existenzgefährdende Risiken auszuschließen.
Das Risikomanagement unterliegt dem Gebot der Wirtschaftlichkeit. Im Detail beschäftigt es sich daher nur mit Risiken, die aus Sicht der jeweiligen Einheit (Konzern-Teilkonzern-Gesellschaft) als wesentlich für den Erfolg oder die Existenz der Einheit anzusehen sind.
Die sinnvolle Handhabung und Steuerung von Risiken, stellen das Risikomanagement durch den im folgenden Abschnitt dargestellten Risikomanagement-Prozess sicher.
Neben der Handhabung und Steuerung aktueller Risiken sind die kontinuierliche Weiterentwicklung und Verbesserung des Risikomanagements und seiner Instrumente eine wichtige Aufgabe des Risikomanagements. So wird sichergestellt, dass das Risikomanagement aus den gemachten Erfahrungen lernt und sich an veränderte Gegebenheiten anpasst.
1.2 Der Risikomanagement-Prozess
Der Risikomanagement-Prozess beschreibt die idealtypische Vorgehensweise zur Erkennung, Bewertung und Steuerung von Risiken. Die Einzelschritte werden in den folgenden Absätzen erläutert.
Das Unternehmen ist den verschiedensten externen und internen Risiken ausgesetzt. Im Rahmen des Risikomanagement-Prozesses müssen die Risiken identifiziert, analysiert und bewertet und schließlich mit den Mitteln des Risikomanagements gesteuert und überwacht werden.
1.2.1 Risikoidentifikation
Ziel der Risikoidentifikation ist die strukturierte und umfassende Erfassung aller wesentlichen Risiken. Dabei sind progressive und retrograde Vorgehensweisen möglich.
Mit einem progressiven Ansatz zur Identifikation von Risiken verfolgt man deren Ursachen und Wirksamwerden bis zu den Sicherheitszielen des Unternehmens. Dies geschieht in der Regel anhand standardisierter Checklisten, die potentielle Risikoereignisse auflisten. Die anschließende Bewertung gibt Aufschlüsse über den Grad der Beeinträchtigung der Sicherheitsziele.
Ausgangspunkt für die Erfassung von Risiken mit retrograder Methodik ist die Benennung der Unternehmensziele und –subziele. Untersucht werden hier Abteilungen / Funktionen in risikobehafteten Unternehmensbereichen, welche die Erfüllung der Unternehmensziele gefährden.
Zur Erreichung der Unternehmensziele sind bestimmte kritische Erfolgsfaktoren unabdingbar. Alle Ereignisse, die einen negativen Einfluss auf diese Erfolgsfaktoren nehmen könnten, sind als potentielle Risiken besonders zu untersuchen.
Um alle denkbaren Risiken besser erfassen und später vergleichen zu können, müssen diese entsprechend klassifiziert werden. Im folgenden Abschnitt wird ein exemplarisches Klassifizierungsmodell vorgestellt.
1.2.2 Risikoklassifikation
Die vollständige Erfassung und Bewertung aller wesentlichen Risiken ist in der Regel nur über eine Erfassung entlang der Wertschöpfungskette möglich. Dabei müssen auch kumulative Risiken beachtet werden! Die auf das Unternehmen wirkenden Risiken lassen sich nach ihrer Ursache in die vier Kategorien
- Externe Risiken,
- Leistungswirtschaftliche Risiken
- Finanzwirtschaftliche Risiken
- Risiken aus Corporate Governance
einteilen.
Die folgenden Klassifikations-Beispiele sollen Anhaltspunkte für die Identifikation von potentiellen Risiken geben. Der Beispielkatalog ist dabei nicht als abschließend zu betrachten, sondern dient als Hinweis auf üblicherweise vorhandene Risikobereiche.
1.2.2.1 Externe Risiken
In diesem Risikofeld sollten alle aufgrund externer Einflussnahme eingeschränkt steuerbaren Risiken abgebildet werden. Diese umfassen im Wesentlichen die Risiken aus rechtlichen Auseinandersetzungen, technologischen Entwicklungen im Markt, Naturgewalten und politischen Verhältnissen.
1.2.2.1.1 Rechtlicher Rahmen
Gesetze, Auflagen, Genehmigungen und alle weiteren von staatlichen Stellen aufgrund hoheitlicher Macht erlassenen Regularien stellen für ein Unternehmen Risikopotential dar, wenn eine Schadenbeseitigung bzw. Anpassung aufgrund einer solchen Vorschrift erforderlich wird.
Gefahren können davon ausgehen, dass
- Gesetze geändert werden (z.B. Mehraufwand für gesetzlich geforderte Umweltauflagen, die mit dem Kunden nicht vertraglich geregelt sind)
- die Unternehmenstätigkeit sich verändert und neuen Regeln unterliegt
- befristete Genehmigungen auslaufen oder nur ungenügenden Handlungsspielraum zulassen (z.B. vorgeschriebene Zeitfenster für Montage)
Umweltschutz- und Altlastenrisiken resultieren im Wesentlichen aus den zur Beseitigung vorhandener oder zu befürchtender Verunreinigungen aufzuwendenden Mitteln.
Bei der Vergabe bzw. Verwendung von öffentlichen Fördermitteln können Risiken bei sich verändernder Förderungswürdigkeit der Investition oder dem nicht erfüllen von Auflagen entstehen.
Strittige Steuernachforderungen, z.B. für Personal bei Projekten im Ausland oder Rückerstattung der Mehrwertsteuer sind keine Seltenheit und sollten schon frühzeitig durch geeignete Maßnahmen vermieden werden.
Gewährleistungsrisiken stellen potentielle Verbindlichkeiten dar, für die weder die Höhe noch der Zeitpunkt des Eintritts angegeben werden kann. Risiken entstehen meist durch eine ungenügende Rückstellungspauschale bzw. lückenhaften vertraglichen Vereinbarungen mit Unterlieferanten (fehlende Möglichkeit Risiken / Schadensfälle durchzureichen).
Produkthaftungsrisiken entstehen aus jedem nachweisbaren vorsätzlichen oder grob fahrlässigen Verstoß gegen übliche Sorgfaltspflichten auch nach der Gewährleistungsperiode. Sie erstrecken sich auf den zu leistenden Schadenersatz und ggf. zusätzlich anfallende Präventions- bzw. Ersatzmaßnahmen für nicht akut gewordene Fälle. Dabei sind speziell die international geltenden äußerst verschiedenen Gesetzesgrundlagen und die Absicherung gegen bei der Produktion verwandte schadhafte Produkte von internationalen Herstellern zu berücksichtigen. Die Haftungsdauer beschränkt sich dabei je nach Legislative und Produkt auf eine bestimmte Zeitspanne (z.B. in Deutschland bei beweglichen Gütern auf 10 Jahre).
Risiken im Zusammenhang mit der Nutzung von Patenten können durch Auslaufen eigener oder verwandter Patente und damit stärkerem Wettbewerb, Streitigkeiten bei der Verwendung von geschützten Technologien und der Verletzung von bestehenden Patenten entstehen.
Mehrforderungen bergen bei vorheriger Aktivierung und erbrachter Mehrleistung hohe Risiken. Besonders Schiedsgerichtsverfahren im Rahmen von gerichtlichen Auseinandersetzungen um Mehrforderungen, bzw. Claims bergen bei mangelnder Projektdokumentation (Beweislage) und ungünstiger Vertragsgestaltung nicht unerhebliche Risiken.
Letztendlich verbleibt bei jeder rechtlichen Auseinandersetzung das Verfahrensrisiko zu verlieren bzw. zu Schadensersatzforderungen verurteilt zu werden, oder keine Möglichkeit einer Vollstreckung eines Urteiles / Zahlung von der verurteilten Partei erwirken zu können.
1.2.2.1.2 Technologie
Technologische Risiken resultieren aus unterschiedlichen Geschwindigkeiten der eigenen und allgemeinen bzw. konkurrierenden technologischen Entwicklung. Fällt die eigene Entwicklung hinter die der Konkurrenz zurück, ist mit dem Verlust von Marktanteilen oder Kostenvorteilen zu rechnen; allzu weitreichende Pionierleistungen bergen andererseits die Gefahr, die Bedürfnisse der Märkte zu verfehlen (zu teuer oder innovativ).
Technologische Risiken sind sowohl für die Produkt- bzw. Leistungs- als auch für die Verfahrenstechnologie bzw. Methodenentwicklung relevant.
1.2.2.1.3 Naturgewalten
Risiken aus Naturgewalten sind üblicherweise in ihrer Eintrittswahrscheinlichkeit ebenso wie in ihrer Vermögens- bzw. Ertragswirkung kaum quantifizierbar. Dem nahezu auszuschließenden Verlust des gesamten Betriebsvermögens in Folge eines einzelnen Katastrophenfalls (Großfeuer, Sturm, Erdbeben, etc.) stehen regelmäßige kleinere Frost- oder Hochwasserschäden geringeren Ausmaßes gegenüber.
1.2.2.1.4 Politische Verhältnisse
Durch Import- oder Exportbeschränkungen wird der Handel mit bestimmten Handelspartnern bzw. –gütern verboten. Für ein Unternehmen besteht daher, insbesondere wenn die Beschränkung neu eingeführt wird, das Risiko des Verlusts von Kunden-/ Lieferbeziehungen. Wird eine Import- oder Exportbeschränkung unwissentlich nicht beachtet, drohen außerdem Strafen.
Eine Verstaatlichung von Unternehmen oder einzelnen Vermögensgegenständen kann sowohl unmittelbar als Enteignung wie auch mittelbar als Verstaatlichung eines Kunden oder Lieferanten Verlustgefahren bergen.
Im ersten Fall bemisst sich das Verlustpotential an dem Marktwert zum Enteignungszeitpunkt abzüglich eventuell zu erhaltender Entschädigungen. Andernfalls kann sich das Verlustpotential an dem entgangenen Umsatz, Ertrag oder ggf. ermittelbaren Opportunitätskosten orientieren.
Das Risiko der Globalisierung und der sich damit verschärfenden Wettbewerbssituation spiegelt sich im Endeffekt in der strukturellen Arbeitslosigkeit der Industrienationen wieder. Das Management der Beschäftigungsrisiken in den Industrieländern kann aufgrund der hohen Kostenstruktur im Personalbereich fast ausschließlich durch Innovation und der Entwicklung von Spitzentechnologien bewältigt werden. Notwendig sind dazu nicht nur staatliche Rahmenbedingungen, sondern auch unternehmenspolitische Entscheide, welche Innovation erleichtern und fördern.
1.2.2.2 Leistungswirtschaftliche Risiken
Risiken aus leistungswirtschaftlichen Aspekten, die aus den Kernprozessen der Abwicklung hervorgehen, sollen in diesem Risikofeld berücksichtigt werden. Diese umfassen im Wesentlichen die Risiken aus Beschaffung, Produktion, Absatz, Forschung & Entwicklung und eingesetzter Informationstechnologie.
1.2.2.2.1 Absatz
Art und Ausmaß von Absatzrisiken sind anhand der Mengen- und Wertkomponenten bestimmbar. Aus der jeweiligen Position des Unternehmens am Markt ergeben sich seine Möglichkeiten, Produkt- bzw. Leistungsmengen zu bestimmten Preisen abzusetzen. Absatzrisiken stehen insofern in engem Zusammenhang mit dem Wettbewerbsumfeld des Unternehmens. Auch langfristige Verschiebungen der Nachfrage zu Substitutionsprodukten stellen ein Risiko in Form des Wegfalls von Geschäftsfeldern dar.
Das Risiko des Auftragszugangs ist in quantitativer und qualitativer Hinsicht von Relevanz. Die Quantität eingehender Aufträge und ihr Wert bestimmen zusammen zukünftige Umsätze und Ergebnisse durch den Grad der Kapazitätsauslastung.
Das Risiko der nicht optimalen Kapazitätsauslastung tritt als negative Abweichung der Leistung von Produktionsanlagen oder personellen Kapazitäten von technisch oder arbeitsrechtlich bestimmten geplanten Größen in Erscheinung. Dies zieht eine unzureichende Deckung der Gemeinkosten nach sich, die in der Regel einer gewissen zeitlichen Bindung unterliegen und daher der Auftragslage nicht kurzfristig angepasst werden können.
Der qualitative Aspekt des Auftragseingangs beschreibt das Deckungsverhältnis vom Bruttoergebnis im Auftragseingang zu den Gemeinkosten und darüber hinaus die Vielzahl von Einzelrisiken, die mit der Entscheidung für die Annahme eines Projektes oder einer langfristigen Geschäftsbeziehung und den damit verbundenen Gefahren einhergehen.
Vertragsrisiken umfassen Gefahren, dass eingegangene Verträge aus verschiedensten Gründen (Formfehler, Unzulässigkeit, Mehrdeutigkeit, Unerfüllbarkeit, Sittenwidrigkeit, etc.) nicht gültig sind. Das Risiko besteht hier in den im Vertrauen auf die Gültigkeit der in Rechtsgeschäften vorgenommenen Dispositionen. Aus einer unzweckmäßigen Vertragsgestaltung (z.B. fehlende Haftungsbeschränkung) können hohe Schadensersatzrisiken entstehen. Außerdem sind bestimmte Pflichten (Dokumentations-, Rechenschafts-, Mitteilungspflichten, etc.) gesetzlich geregelt, deren Nichtbeachtung zu Bußgeldern führen kann. Ein besonders hohes Risiko besteht, wenn in einem unbekannten Rechtssystem Geschäfte abgeschlossen werden.
Risiken aus Leistung vor Auftragserteilung bestehen, wenn produziert wird, ohne dass sichergestellt ist, dass das Produkt auch verkauft werden kann. Wie beim Investitionsrisiko werden liquide Mittel gebunden, wobei der Rückfluss des investierten Kapitals von zukünftigen Umständen abhängt.
Sofern Absatzrisiken nicht in spezielle Kategorien gefasst sind, sind diese den Risiken in sonstigen kritischen Auftragszugängen zuzuordnen.
1.2.2.2.2 Beschaffung
Beschaffungsrisiken äußern sich in der mangelnden Verfügbarkeit bzw. verspäteter Lieferung von Gütern bzw. Leistungen und in der Veränderung der dafür anfallenden Beschaffungs- bzw. Einstandspreise und Pönalen.
Die Abhängigkeit von einem Lieferanten oder Dienstleister aufgrund seiner Monopolstellung am Markt kann in beiden Risikoausprägungen resultieren. Eine mangelnde Verfügbarkeit kann dann ebenso wenig wie steigende Einstandspreise durch ein Ausweichen auf Konkurrenten vermieden werden.
1.2.2.2.3 Produktion
Produktionsrisiken entstehen im Wesentlichen bei der Erstellung einer Anlage / Herstellung eines Produktes. Dabei sind Risiken aus der direkten Arbeit in der Anlage / am Produkt (Arbeitssicherheit und Qualität der Leistung) genauso zu berücksichtigen wie auch Risiken aus der technischen Konzeption der Anlage. Verfahrenstechnisch begründete Mängel treten meist erst während der Durchführung der Inbetriebnahme (Verfügbarkeit und Abnahmemängel) sowie der Analyse der hergestellten Güter / bzw. der Prozessqualität auf.
Störungen im Leistungserstellungsprozeß können aus diversen Problemen (technische Schwierigkeiten, menschliches Versagen, Unfall, Brand, Streik, etc.) resultieren. Gemeinsam ist diesen Störungen, dass diese eine Produktionsunterbrechung oder –einschränkung bewirken. Daraus können Ergebniseinbußen oder Schäden aus Pönalen und Mehrkosten für beschleunigende Maßnahmen, bzw. längere Bauzeiten resultieren.
1.2.2.2.4 Forschung & Entwicklung
Die leistungswirtschaftlichen Risiken aus Forschung & Entwicklung beschränken sich im wesentlichen auf den Verlust der in die Produktentwicklung investierten Mittel, wenn die nötige Verfahrens-/Produktreife nicht erlangt werden kann. Verfahrenstechnische Risiken aus dem Up-scale von Versuchsanlagen müssen in den Produktionsrisiken berücksichtigt werden.
1.2.2.2.5 Informationstechnologie
Die Bedeutung der Informationstechnologie für Unternehmen ist in der Vergangenheit stetig gestiegen. Die gestiegene Bedeutung hat dazu geführt, dass auch die aus der Nichtverfügbarkeit oder dem Missbrauch der Informationstechnologie resultierenden Gefahren stetig zugenommen haben.
Wesentliche Bereiche, in denen Risiken auftreten können sind:
- Datensicherheit / Datenvertraulichkeit / Datenschutz
- Betriebssicherheit / Verfügbarkeit
- Abhängigkeit von Herstellern, Dienstleistern, Personal
1.2.2.3 Finanzwirtschaftliche Risiken
Finanzwirtschaftliche Risiken sind im Wesentlichen durch fehlende bzw. mangelhafte Unterstützungsprozesse begründet. Diese umfassen im Wesentlichen die Risiken des Finanzmarktes, der Verfügbarkeit von Finanzmitteln und der Wirtschaftlichkeit von Investitionen.
1.2.2.3.1 Schuldnerrisiko
Das Schuldnerrisiko lässt sich untergliedern in das Bonitätsrisiko im engeren Sinne und das Länderrisiko.
Das Bonitätsrisiko i.e.S. beinhaltet Gründe, die in der Person des Schuldners liegen. Es besteht das Risiko, dass ein Schuldner seinen Verpflichtungen nicht oder nur teilweise nachkommen kann, zum Beispiel Zahlungsunfähigkeit. Ein Hinweis zur Beurteilung der Bonität eines potentiellen Vertragspartners kann das sogenannte Rating (Bonitätsbeurteilung des Schuldners durch eine unabhängige Rating-Agentur, z.B. Notation von Standard & Poors oder Dunn & Bradstreet) sein. Die Bewertung beruht dabei u.a. auf der Eigenkapitalisierung und dem allgemeinen Zahlungsverhalten des Schuldners.
Ein Länderrisiko ist gegeben, wenn ein ausländischer Schuldner trotz eigener Zahlungsfähigkeit aufgrund fehlender Transferfähigkeit und -bereitschaft seines Sitzlandes seine Zins- und Tilgungsleistungen (z.B. für Anleihen) nicht fristgerecht oder überhaupt nicht leisten kann.
Das Währungsrisiko betrifft Umstände, die sich aus der Konvertibilität von Währungen ergeben (Devisenbewirtschaftungen). Das Währungsrisiko beschreibt die Gefahr, dass eine Forderung oder ein Geldbetrag in einer Währung zahlbar ist, bei der durch den Verfall des Kurses oder durch Devisenbewirtschaftung nicht der kalkulierte Forderungsbetrag in Hauswährung erlöst wird. Das Währungsrisiko wird über die erwartete Volatilität im Wechselkurs bewertet (als Orientierung dient die historische Entwicklung, bzw. Volatilität, die über die Standardabweichung berechnet wird).
Alle sonstigen Risiken, die durch drohende Forderungsausfälle geprägt sind und nicht in spezielle Kategorien gefasst sind, können den Sonstigen kritischen Forderungen zugeordnet werden.
1.2.2.3.2 Finanzmittel
Das Liquiditätsrisiko beschreibt die Gefahr, dass das eigene Unternehmen nicht in der Lage ist, seine fälligen Verbindlichkeiten zu jedem Zeitpunkt zu erfüllen.
Das Liquiditätsrisiko selbst kann kaum quantifiziert werden, da die jederzeitige Zahlungsfähigkeit für das Unternehmen existentiell ist. Der finanzielle Spielraum darf nicht durch zu geringe Kreditlinien eingeschränkt und darf dennoch nach oben nicht zu großzügig bemessen sein, da bei jeder bestehenden Kreditlinienhöhe die Gefahr der vollständigen Limitinanspruchnahme besteht.
Die Absicherung von Zinseinkünften oder Zinsausgaben hat bei Liquiditätsgeschäften eine entscheidende Bedeutung für die Sicherstellung der Kalkulation und Ertragslage. Risiken aus Zinsbewegungen können durch einen Zins-Swap, eine Vereinbarung über den Austausch unterschiedlich gestalteter Zahlungsströme während eines bestimmten Zeitraums, gesteuert werden. Zwischen den Vertragsparteien fließen dabei keine Kapitalsummen, sondern lediglich Ausgleichsbeträge über Zinsdifferenzen.
1.2.2.3.3 Investitionen
Bei einer Investition werden liquide Mittel in langlebige Vermögensgegenstände umgewandelt. Dadurch wird eine längerfristige Bindung an Verfahren, Kapazitäten, Standorte etc. eingegangen. Die damit einhergehende Abhängigkeit von zukünftigen Entwicklungen stellt das Investitionsrisiko dar.
Die Risiken dieser Kategorie lassen sich in Investitionsrisiken aus Investitionen in Sachanlagen und Immateriellen Vermögensgegenständen, sowie Investitionsrisiken, die aus dem Erwerb von Beteiligungen entstehen können, unterteilen.
Bei den Risiken aus einem Beteiligungserwerb gehen neben den allgemein im Vordergrund stehenden Risiken aus Altlasten und der Integration einer fremden Unternehmenskultur, auch spätere Risiken wie die Entwicklung der bilanziellen Bewertung von Unternehmensanteilen hervor.
1.2.2.4 Risiken aus Corporate Governance
Generell lassen sich Risiken aus diesem Risikofeld besonders schwer quantifizieren, können aber bei Vernachlässigung langfristige und schwerwiegende Folgen für ein Unternehmen haben. Die nach Aufbau- und Ablauforganisation unterteilten Risiken aus Personal und Organisation umfassen im Wesentlichen die Risiken aus der Führung und Personalplanung des Unternehmen sowie der organisatorischen Schwachpunkte durch unzureichende Richtlinien oder Kontrollmechanismen.
1.2.2.4.1 Personal, Führung
Der mangelhafte Aufbau einer Organisation kann langfristig Risiken bergen, wenn z.B. durch Mitarbeiterunzufriedenheit, Überlastung und fehlenden Entwicklungsmöglichkeiten eine hohe Fluktuation und damit ein stetiger Know how Abfluss entsteht. Speziell Überalterung kann langfristig den Aktionsradius eines Unternehmens ohne Nachfolgeplanung und Personalentwicklung in Form von schwindender Abwicklungskompetenz beeinträchtigen.
Neben dem Aufbau einer Organisation ist Führung eine der entscheidenden Voraussetzungen für den Erfolg oder Misserfolg des Unternehmens. Schlechte Führung (unklare Anweisungen, unklare Verantwortlichkeiten) kann daher für ein Unternehmen ein Risiko darstellen.
1.2.2.4.2 Richtlinien, Kontrollmechanismen
Die Organisation des Unternehmens soll durch Einbau von Kontrollen und fehlerverhindernden Maßnahmen sicherstellen, dass sich alle Beteiligten im Sinne des Unternehmens verhalten. Die Organisation muss daher so ausgestaltet sein, dass Fehlverhalten (Betrug, Veruntreuung, Korruption, Kartellverstöße etc.) wirksam verhindert wird.
Organisationsrisiken bestehen da, wo die Aufbau- oder Ablauforganisation nicht den Anforderungen genügt. Dies kann darauf beruhen, dass organisatorische Anweisungen nicht in ausreichendem Maß vorhanden bzw. falsch gestaltet sind oder dass diese nicht befolgt werden.
1.2.3 Risikoquantifizierung
Um Risiken in ihrer Auswirkung einschätzen zu können, muss versucht werden, die identifizierten Risiken zu quantifizieren. Jedes Risiko lässt sich dabei anhand der Kriterien
- Wahrscheinliche finanzielle Auswirkungen auf das Unternehmen,
- Maximale finanzielle Auswirkungen auf das Unternehmen,
- Wahrscheinlichkeit des Eintretens und
- der schon getroffenen Vorsorgemaßnahmen
beschreiben. Risiken resultieren regelmäßig aus ungenügender Information über zukünftige Entwicklungen. Aus der Menge der möglichen Entwicklungen müssen Szenarien gebildet werden, die möglichen finanziellen Auswirkungen auf das Unternehmen aufzeigen.
Auch die subjektive Quantifizierung von Risiken ist schwierig. Bei der Ermittlung der subjektiven Einschätzungen kann die Orientierung ähnlichen Ereignissen aus der Vergangenheit helfen.
Außerdem kann die Beschränkung auf Tendenzaussagen helfen, eine ’subjektiv eindeutige‘ Einschätzung einer Wahrscheinlichkeit zu erzielen.
Die vorgeschlagene Vorgehensweise und an rechtlichen Kategorien orientierte Herleitung, dürfte sowohl gutachtlich leistbar als auch entscheidungsrelevant sein. Sie ist zwar pragmatisch, gewährleistet dadurch aber die Vergleichbarkeit der einzelnen Aussagen. In den folgenden vier Abschnitten werden die Bewertungsparameter näher erläutert.
1.2.3.1 Erwartetes Risiko
Zur Abschätzung des wahrscheinlichen Risikowertes bei Eintritt bzw. Realisierung, muß die wahrscheinlichste finanzielle Auswirkung im Schadensfall angegeben werden. Dieser Erwartungswert spiegelt in der Regel den aktuellen Informationsstatus und die in der Vergangenheit gemachten Erfahrungen ähnlicher Vorgänge wider (z.B. gerichtlicher Vergleich).
1.2.3.2 Maximales Risiko
Das maximale Risiko lässt sich meist leichter quantifizieren, da oft vertragliche Haftungsgrenzen gegeben bzw. Forderungshöhen bekannt sind. Dieser Wert, oft auch als Worst-Case-Scenario bezeichnet, stellt die maximale finanzielle Auswirkung bei Eintritt auf das Unternehmen dar (z.B. Zahlung der vertraglich vereinbarten maximalen Pönale bei Verzug).
1.2.3.3 Prozentuale Eintrittswahrscheinlichkeit
Die einzelnen Szenarien müssen mit Wahrscheinlichkeiten versehen werden. Dabei geht es ausschließlich um subjektive Einschätzungen, da sich objektive Wahrscheinlichkeiten wegen der hohen Komplexität meist nicht ermitteln lassen.
Wurden bisher immer die Risiken in absoluten Beträgen quantifiziert, erfolgt mit der prozentualen Bewertung der Eintrittswahrscheinlichkeit eine Gewichtung eines monetären Schadensfalles. Dies mag für den Einzelfall weniger relevant sein, bietet aber bei einer Betrachtung des Gesamtbestandes an Risiken die Möglichkeit der statistischen Auswertung bzw. einer Art Portfolio-Analyse der vorhandenen Risiken.
Klassifizierung von Eintrittswahrscheinlichkeiten | ||||
Stufe | Bezeichnung | Erläuterung | quantifiziert | Risiko Beispiel |
A | sicher | Wirkung wird definitiv / ist eintreten | n=100% | Kunde hat Ziehen der Pönale schriftlich angekündigt / gezogen |
B | sehr wahrscheinlich | Wirkung wird nach praktischer Vernunft eintreten. | 95%<n<100% | Ziehen der Pönale, da Termin überschritten wurde |
C | wahrscheinlich | Wirkung wird in mehr als der Hälfte der Fälle eintreten. | 50%<n<95% | Ziehen der Pönale, Abwicklung bei einem Projekt steht deutlich in Verzug |
D | Möglich | Wirkung kann eintreten, d. h. in weniger als der Hälfte der Fälle, ihr Eintritt ist jedoch nicht von der Hand zu weisen. | 5%<n<50% | Ziehen der Pönale, da Projekt im Verzug – aber Beschleunigungsmaßnahmen eingeleitet |
E | Unwahrscheinlich | Wirkung wird nach praktischer Vernunft nicht eintreten. | 0%<n<5% | |
F | Unmöglich | Wirkung kann nicht eintreten. | n=0% | Verzug durch Erdbeben, aber Haftungsausschluß im Fall von Force Majeure |
G | Unwägbar | Eine Abschätzung ist aufgrund von Unkenntnis nicht vertretbar | ??? |
Tabelle 1 Eintrittswahrscheinlichkeit von Risiken
Nach Möglichkeit ist die Eintrittswahrscheinlichkeit je Risiko so genau wie möglich anzugeben. Tabelle 2 bietet für eine erste Annäherung Trends zur Abschätzung der Eintrittswahrscheinlichkeit.
Dabei ist zu berücksichtigen, dass ein drohender Schadenfall mit der Eintrittswahrscheinlichkeit der Stufe F (unmöglich) durch den damit verbundenen Risikoausschluss nicht als solches in der Risikocheckliste aufgeführt werden muss.
Risiken der Stufe A werden mit Sicherheit eintreten bzw. sind schon eingetreten und sollten deshalb nur so lange in den Listen geführt werden, bis die finanziellen Auswirkungen im Monatsergebnis berücksichtigt sind.
Es kann auch sinnvoll sein, die Wahrscheinlichkeit des umgekehrten Falls – also des Nichteintritts des Risikos – abzuschätzen, um sich auf diese Weise dem betrachteten Fall anzunähern. Eine weitere Möglichkeit, eine Bewertung in schwer abschätzbaren Fällen vorzunehmen, besteht darin, Ranglisten von Wahrscheinlichkeiten zu bilden.
Für identifizierte Risiken lässt sich der mit einer bestimmten Wahrscheinlichkeit nicht überschrittene Verlust (Value at risk oder Money at risk) mit Hilfe von statistischen Verfahren errechnen. Dies gibt in der Regel kein akkurates Ergebnis der Auswirkungen für den Einzelfall, sehr wohl aber für die Gesamtrisiken. Dabei beruht auch diese vorgeschlagene Lösung der subjektiven Einschätzung auf in der Vergangenheit beobachteten Entwicklungen.
In der Gesamtbetrachtung der Risiken im Unternehmen reflektiert die zusätzliche Bewertung der Eintrittswahrscheinlichkeit die Reduzierung des Gesamtrisikos vor Eintritt, da zum Einen aufgrund der Maßnahmen zur Risikosteuerung eine Reduzierung, zum Anderen nicht bei allen Risiken eine Realisierung zu erwarten ist.
1.2.3.4 Vorsorgemaßnahmen
Um die finanziellen Auswirkungen des Nettorisikos ermitteln zu können, müssen je Einzelrisiko die bilanziell getroffenen Vorsorgemaßnahmen wie Rückstellungen bzw. bei Projekten die gemeldeten Auftragsergebnisveränderungen berücksichtigt werden. Die in der Risikocheckliste angeführten Vorsorgemaßnahmen sollten sich dabei alle auf denselben Berichtsstand beziehen.
1.2.3.4.1 Rückstellungen
Für den Fall, dass eine ungewisse Verbindlichkeit (contingent liability) oder ein Verlust aus schwebendem Geschäft (pending loss) droht, wird die Wahrscheinlichkeit, dass das zukünftige Ereignis eintritt und damit zum Entstehen einer Verbindlichkeit oder eines Verlustes nach dem Bilanzstichtag führt, nach US-GAAP folgendermaßen beschrieben:
Probable: Das zukünftige Ereignis wird mit hoher Wahrscheinlichkeit eintreten (> 70%) und ist deshalb entsprechend bilanziell zu berücksichtigen.
Reasonably Possible: Der Eintritt des Ereignisses ist nicht unbedingt wahrscheinlich, aber dennoch möglich.
Remote: Die Eintrittswahrscheinlichkeit ist gering. Der Eintritt des Ereignisses ist unwahrscheinlich (< 10%).
1.2.4 Analyse und Kommunikation der Risiken
Die identifizierten und bewerteten Risiken müssen je nach Alarmschwellenwert für eine Analyse kommuniziert und aufbereitet werden. Während zwar alle Risiken in der Checkliste dokumentiert werden müssen, ist für bestimmte Risiken eine zusätzliche Detailanalyse erforderlich. Die Information über das Vorliegen einer Risikosituation muss hierzu von demjenigen, der Kenntnis über das Auftreten der Risikosituation hat, zu demjenigen, der die Verantwortung für die Steuerung des Risikos hat, gelangen. Für die Analyse sind beide Dimensionen, maximale Schadenshöhe und Wahrscheinlichkeit relevant. Eine Verdichtung dieser beiden Größen zu einer Zahl (im Sinne des „Money at Risk“) ist zunächst, wie auch schon bei der Quantifizierung in der Risiko-Checkliste, nicht sinnvoll, da zur inhaltlichen Analyse genaue Informationen über den Sachverhalt benötigt werden.
Als Mittel zur Kommunikation von Risiken eignen sich vor allem Protokolle, in denen die wesentlichen Informationen über den Sachverhalt strukturiert zusammengefasst werden.
Zur Auswertung und Visualisierung kann außerdem eine Risikomatrix eingesetzt werden, mit der sich die ermittelten Risiken graphisch darstellen lassen.
1.2.5 Steuerung der Risiken
Erkannte und bewertete Risiken müssen mit den Mitteln des Risikomanagements gesteuert werden. Damit diese Steuerung bewusst stattfindet und sich nicht ‚unbewusst‘ aus der Nichtkenntnis von Risiken ergibt, ist es erforderlich, dass die Schritte Identifikation – Bewertung – Analyse/Kommunikation stattgefunden haben.
Abbildung 1 Prozessablauf der Risikosteuerung
Unter Vernachlässigung der eindeutig für das Risikomanagement nicht wesentlichen Entwicklungen und Ereignisse kommen als Handlungsmöglichkeiten folgende fünf Alternativen zur Risikosteuerung in Betracht:
- 1. Vermeiden eines Risikos: Erkannte Risiken können durch Unterlassen der auslösenden Handlung vermieden werden.
- 2. Vermindern eines Risikos: Erkannte Risiken können durch Auswahl einer weniger riskanten Handlungsalternative verringert bzw. deren Auswirkung gemindert werden.
- 3. Begrenzen eines Risikos: Erkannte Risiken können durch Maßnahmen der Risikostreuung und Risikoüberwälzung (ohne Versichern) wie z.B. Factoring oder Leasing begrenzt werden.
- 4. Überwälzen eines Risikos: Erkannte Risiken können durch eine Risikofinanzierung auf Dritte überwälzt werden. Mittel hierzu sind z.B. Versicherungen, Sicherungsgeschäfte, Akkreditive und Bürgschaften.
- 5. Akzeptieren eines Risikos: Erkannte und bewertete Risiken können unter sorgfältiger Abwägung des Risikopotentials und der erwarteten Erträge akzeptiert (passiv), bzw. durch Bildung von positionsbezogenen Rückstellungen für Risiken mit hoher Eintrittswahrscheinlichkeit und Pauschalen für die restlichen Fälle aktiv abgedeckt werden. Von elementarer Bedeutung sind in diesem Zusammenhang die Rückstellungen für Garantieverpflichtungen und Haftungsrisiken (vor allem Produkthaftung), die aufgrund Ihres obligatorischen Charakters nach dem Maßgeblichkeitsprinzip auch steuerrechtliche Anerkennung finden. Auch die in einer Ergebnisrücknahme gemeldete antizipierte Auftragsergebnisveränderung per Monat nach US-GAAP ist eine aktive Methode der Risikoakzeptanz.
Die Problematik, ein Risiko durch mehrere Maßnahmen lösen zu können sowie durch eine Handlungsweise simultan mehrere Risiken zu tangieren, macht die optimale Kombination der risiko-politischen Instrumente schwierig. Die Auswahl alternativer Steuerungsmaßnahmen sollte unter Beachtung des Kosten-Nutzen-Verhältnisses die Sicherheitsziele des Unternehmens unterstützen. Nach dem Festlegen geeigneter Maßnahmen, dient letztendlich das Risikocontrolling der Messung und Überwachung von Risikopositionen sowie der Analyse des damit korrelierenden Risikopotentials. Das System ist entsprechend an die sich verändernden Situationen anzupassen und spiegelt so den Umfang, die Komplexität und den Risikogehalt der Geschäftstätigkeit wider.
Organisation des Risikomanagements
Durch das Risikomanagement sollen keine zusätzlichen Organisationseinheiten aufgebaut werden. Risikomanagement erfordert vielmehr, dass die risiko-relevanten Aktivitäten bestehender Organisationseinheiten gebündelt und in ein gemeinsames Konzept eingebunden werden.
Die wesentlichen am Risikomanagement Prozeß beteiligten Organisationseinheiten sind
- Management
- Controlling
- Interne Revision
- Wirtschaftsprüfer
Jede der Organisationseinheiten hat im Rahmen des Risikomanagement-Prozesses ihre spezifische Funktion. Diese Funktionen werden in den folgenden Abschnitten erläutert.
1.3 Aufgaben des Managements
Die Aufgabe des Managements im Risikomanagement-Prozess besteht in der
- Initiierung des Prozesses,
- Festlegung von risiko-politischen Grundsätzen,
- Zuweisung von Teilaufgaben an die Beteiligten
- Steuerung der Risiken auf Grundlage der Erkenntnisse über die Risikolage.
- Die Erzielung eines wirtschaftlichen Erfolges ist notwendigerweise mit Risiko verbunden.
- Keine Handlung oder Entscheidung darf ein existenzgefährdendes Risiko nach sich ziehen.
- Ertragsrisiken müssen durch die entstehende Rendite angemessen prämiert werden.
- Risiken sind weitestgehend zu vermeiden.
- Nicht vermeidbare Risiken sind so weit wie wirtschaftlich sinnvoll zu versichern.
- Restrisiken müssen mit dem Instrumentarium des Risikomanagements gesteuert werden.
1.4 Aufgaben des Controllings
Die Aufgabe des Controllings im Risikomanagement-Prozess besteht in der Einrichtung eines Planungs- und Berichtswesens für Risiken. Hierzu müssen betriebswirtschaftliche Abläufe festgelegt und als regelmäßiger Prozess umgesetzt werden.
Im budget-orientierten Controlling besteht der Controlling-Prozess aus Planung, Reporting und Analyse. Dieser Prozess findet auch im Risikocontrolling statt. Allerdings müssen, da Risiken sich nicht immer quantifizieren lassen, auch andere Instrumente eingesetzt werden.
1.4.1 Zielvorgabe
Im Kennzahlen-gestützten Controlling findet Planung in Form von Budgets und Zielvorgaben statt. Da Risiken sich nicht zahlenmäßig budgetieren lassen, erfolgt die Vorgabe beim Risikocontrolling in Form von Handlungsanweisungen.
Zur Umsetzung der Grundsätze werden daneben folgende Instrumente eingesetzt:
- Richtlinien, Handbücher, Organisationsanweisungen
- 2. Limitsysteme: Da wo Risiken kalkuliert eingegangen werden, muss darauf geachtet werden, dass die Risiken nicht über ein geplantes Maß hinauswachsen.
Diesem Zweck dienen Limitsysteme. Hierbei werden für bestimmte Personen, Transaktionen und Objekte Mengen- oder Wertgrenzen gesetzt, die nicht überschritten werden dürfen. Die Überschreitung löst eine Berichtspflicht aus.
Diese Limits sind in regelmäßigen Abständen auf ihre Angemessenheit zu kontrollieren. - 3. Persönliche Verantwortlichkeit: In Bereichen, die nicht durch eine Richtlinie oder Arbeitsplatzbeschreibung geregelt werden, wird durch die Übertragung von persönlicher Verantwortung für eine Aufgabe sichergestellt, dass Handlungen so wie geplant durchgeführt werden.
- 4. Genehmigungsverfahren: Durch vorgegebene Abläufe bei Genehmigungsverfahren (z.B. 4-Augen-Prinzip) werden Risiken planmäßig verringert.
- 5. Spezifische Sicherungssysteme: Durch präventive Maßnahmen wird sichergestellt, dass Gefahren abgewehrt bzw. Risiken ausgeschaltet werden. Beispiele sind EDV-Sicherungsmaßnahmen (Datensicherung, Datenschutz, Firewalls, Systeme zum Schutz vor Viren) und Schutz vor kriminellen Handlungen (Alarmanlagen, Bewachung, Sicherung, Krisenmanagement) etc.
1.4.2 Risiko-Reporting
Standards, die schriftlich dokumentiert sind, erhöhen die Transparenz der Risikosituation auf allen Ebenen des Unternehmens.
Da bei der Risikoidentifikation alle denkbaren Risiken erfasst werden sollen, muss die ursprüngliche Risikosituation, d.h. vor eventuellen Kontrollen und Risikosteuerungsmaßnahmen, untersucht werden.
1.4.2.1 Monatsberichte
Die von allen Gesellschaften zu erstellenden Monatsberichte enthalten u.a. Informationen, die eine Einschätzung von Risiken erlauben. Beispiele für solche Daten sind: Auftragsbestand, Auftragseingang, Auslastung, Auftragsbewertung einschl. Restkostenschätzung, etc.
Diese Informationen sind Bestandteil der ‚herkömmlichen‘ Berichterstattung und werden weiterhin auf den existierenden Berichtswegen erhoben.
1.4.2.2 Balanced Scorecards
In den monatlich von jeder Strategischen Geschäftseinheit erhobenen Balanced Scorecards sind zahlreiche Angaben enthalten, die als risiko-relevant anzusehen sind. Diese Angaben werden weiterhin auf diese Weise erhoben.
1.4.2.3 Länderrisiko-Abfrage
Periodisch wird eine Abfrage durchgeführt, in der das Exposure (Forderungsbestand) der Teilkonzerne je Land erfragt wird. Diese Abfrage wird auch in Zukunft erfolgen.
1.5 Risk Assessment and Advisory Committees (RAAC)
Nicht alle risiko-relevanten Informationen lassen sich strukturiert in Form von Zahlen erheben. Es ist daher erforderlich, eine Organisation zu schaffen, mit der auch
- bisher unbekannte Risiken identifiziert und bewertet
- komplexe Sachverhalte ohne Informationsverlust kommuniziert
werden können.
Diesem Ziel dient die Einführung von Risk Assessment and Advisory Committees
1 thought on “Risikomanagement – eine Zusammenfassung”