Einführung in das Risikomanagement

Das moderne Risikomanagement stammt ursprünglich aus den USA, wo es bei der Versicherungswirtschaft zum Einsatz kam. Es wurde weiterhin um die systematischen Risikoanalysen sowie um Sicherungsmaßnahmen zur Schadensverhütung weiterentwickelt, was als "spezielles Risikomanagement" bezeichnet wird.

Des Weiteren werden im Rahmen des "generellen Risikomanagements", was sich mit den gleichen Problemstellungen wie die Unternehmensführung unter Betonung des Risikoaspektes befasst [1], sämtliche relevanten Risikoursachen und deren Auswirkungen auf die Zielerreichung berücksichtigt, um Fehlentscheidungen vorzubeugen. In diesem Zusammenhang wird auch der Ausdruck "strategisches Risikomanagement" verwendet [2].

Allgemein kann festgehalten werden, dass das Risikomanagement verhindern soll, dass Unternehmen eine Schieflage geraten. Es trägt somit zur Sicherung der erfolgreichen Weiterentwicklung des Unternehmens bei. Dabei wird unter Berücksichtigung der Einflussfaktoren, die Risikopolitik und die Risikostrategie konzipiert [3]. Als Unternehmen wird hier- bei die Koalition von Individuen verstanden, die eine Beziehung zu einem Unternehmen ein- gehen, um ihre individuellen Ziele zu erreichen [4].

Beim Risikomanagement gilt es, potenzielle Risiken "zu entdecken, zu bewerten, zu beobachten und wirksam zu reduzieren bzw. auszuschalten" [5], die in der Zukunft negative Auswirkungen auf das Unternehmen haben können. Unternehmen wählen dabei traditionell zwischen zwei Varianten:

• Risiken Vermeiden oder 
• Risiken akzeptieren. 

Richtig verstandenes Risikomanagement beschäftigt sich jedoch auch mit der Ausnutzung von Geschäfts- und Gewinnpotenzialen [6]. Die systematische Anwendung von Managementstrategien, Praktiken und Verfahren, Aktivitäten der Kommunikation sowie die Ermittlung, Analyse, Bewertung, Behandlung, Überwachung und Überprüfung von Risiken, wird als Risikomanagement-Prozess bezeichnet (siehe Abbildung 1) [7]. Jedoch zeigt sich bei einer idealtypischen Betrachtung, dass es sich beim Managementprozess es sich um einen Entscheidungsprozess handelt, der sich von den Leistungsprozessen im Unternehmen differenziert. Dabei sind die Kernentscheidungen z. B. Entscheidungen zur Bestimmung der Unternehmensorganisation, das Design einzelner Werbemaßnahmen oder die finanziellen Ressourcen der Funktionsbereiche [8].


Abb. 1: Der Risikomanagementprozess [9]


Bei einem effizienten Risikomanagementprozess werden Probleme präventiv identifiziert, analysiert, bewertet und somit bewältigt. Risikomanagement bietet durch neue Informationen über das Unternehmen aber auch die nötigen Grundlagen für eine verbesserte ökonomische Planung. Es kann somit zur Verbesserung der Wettbewerbsfähigkeit beigetragen und bildet ebenfalls die Basis für eine wertorientierte Unternehmensführung [10].

Um eine Abgrenzung zu Qualitätsmanagement herzustellen, wird im nachfolgenden durch ein Beispiel versucht, das Verständnis über Risikomanagement auszuweiten, so reicht es z. B. bei der Brandbekämpfung nicht aus, den Schutz der Mitarbeiter und die Branschäden durch Versicherungen abzudenken, wie es vom Qualitätsmanagement gefordert wird, es wird beim Risikomanagement auch die weiterdenkende Frage gestellt, was durch die beschädigten Maschinen passieren kann, wenn das Unternehmen nicht mehr lieferfähig sein wird.

Des Weiteren tendieren Qualitätsmanager dazu, Null-Fehler als Qualitätsziel zu setzen, das es zu erreichen gilt. Jedoch stellt sich hier die Frage, ob die Null-Fehler-Qualitätspolitik sinnvoll ist, zumal die Fehler nur geringe oder gar keine Fehler nach sich ziehen können [11]. Dabei wird deutlich, dass Risikomanagement die Schutzansätze Managementsysteme zusammenfassen kann. Es bildet somit nicht nur ein weiteres Managementsystem für Organisationen, es ist vielmehr als Bindeglied von Managementsystemen zu begreifen. Professor Weis geht in seinem Buch über "Risikomanagement nach ISO 31000" sogar soweit, zu hinterfragen, ob "Vielleicht, und das wird die weitere Entwicklung erweisen, [...] mit dem Risikomanagement das fehlende Bindeglied zur Integration aller Managementsysteme gefunden worden [ist]" [12].

Die größere Bedeutung des Risikomanagements im 21. Jahrhundert

Globalisierung bringt Volatilität mit sich und ist mit Standardisierung verbunden, womit Preisdruck ausgelöst wird [15]. Lokale Ereignisse senden in der heute zunehmend vernetzten Welt globale Schockwellen aus, wobei auch die Zahl der Terror- und Naturkatastrophen steigt [16].  In Deutschland ist die Zahl der Insolvenzen ebenfalls gesteigen, wobei Merbecks als Ursache der geringen Eigenkapitalquote von deutschen Unternehmen als bedeutsam herausstellt. Die nächste Abbildung zeigt die Eigenkapitalquote deutscher Unternehmen.



Abbildung 2: Eigenkapitalquote deutscher Unternehmen in Prozent [18]

Dabei leidet die Bonität der Unternehmen und durch weniger Sicherheiten für Fremdkapitalgeber, erhalten diese von den betreffenden Ratingunternehmen negative Ratings. Daraus folgt, dass die Kapitalkosten für die Unternehmen in Deutschland hoch sind. Der Kapitalmarkt, die Ratingagenturen und der Gesetzgeber verlangen daher ein aktives Risikomanagement, um einen günstigen Zugang zu Fremd- und Eigenkapital zu erhalten [19].

Risikomanagement kann weiterhin klar unterscheiden zwischen monetären Verlusten durch menschliches Verhalten und dem Wertverlust durch falsche Abläufe [20]. Somit zwingt Risikomanagement das Führungspersonal, den gesamten Wirkungszusammenhang der Geschäfte zu verstehen [21]. Die Frage, ob man Katastrophen verhindern kann, beantwortet Prof. Dr. Udo Weis mit Ja und fügt hinzu, dass es dafür einer umfangreichen Analyse der Risiken bedarf sowie einer fundierte Bewertung, um schließlich auf gesicherten Erkenntnisse basierende Entscheidung zu treffen.

Dabei bietet Risikomanagement einen generischen Ansatz, der auf allen Arten von Risiken und Risikobereichen, wie z.B. technische, organisatorische oder die Risiken die beim Menschen ihren Ursprung haben, angewendet werden kann [22].

Gesetzliche Regelungen zum Risikomanagement

Angesichts verschiedener Probleme, wie dem Fehlverhalten von Managern oder zu wenig Interessenfokus auf die Aktionäre, sind zahlreiche Schritte unternommen worden, "um die Kontrolle der Unternehmen zu verbessern" [23], daher sind gesetzliche Regelungen wie etwa das KonTraG, aber auch der "Deutsche Corporate Governance Kodex" [24] zu benennen [25]. Das Gesetz zur Kontrolle und Transparenz (KonTraG), das 1998 in Deutschland eingeführt wurde, nimmt die Unternehmensleitung stärker in die Pflicht in Sachen Risikokontrolle und Risikomanagement [26].

Das KonTraG fordert ein Früherkennungs- und Überwachungssystem, eine interne Revision, sowie ein (Risiko-) Controlling nach § 91 Abs. 2 AktG, wonach die Vorstände geeignete Maßnahmen zu treffen haben, um gefährdende Entwicklungen für das Weiterbestehen des Unternehmens rechtzeitig zu erkennen [27]. Neben Kostensenkungsaspekten ist also Risikomanagement auch geeignet, um die aktuellen aufsichtsrechtlichen Anforderungen bei vielen Unternehmen zu erfüllen. So verlangt das seit Mai 1998 geltende Gesetz, dass Überwachungssysteme angewendet werden sollen, um Entwicklungen zu vermeiden, die den Fort- bestand von Unternehmen gefährden [28].

Des Weiteren konkretisiert das Institut der Wirtschaftsprüfer Anforderungen an das Risikomanagement Prüfungsstandards gemäß § 317 Abs. 4 HGB. Basel II fordert die Unternehmen zu Risiko-Dokumentation und Risikoklassifizierung auf, um die Transparenz von unternehmerischen Risiken zu fördern. Manche Auftraggeber definieren weiterhin bei der Lieferantenwahl Anforderungen, wie z.B. die Zertifizierung nach DIN ISO 9000, die die Unternehmen berücksichtigen müssen, um z.B. als zugelassene Lieferanten angesehen zu werden.


Durch das Gebot eines Überwachungssystems hat das Risikomanagement an Bedeutung gewonnen, indem nun auch Aktiengesellschaften und Kommanditgesellschaften auf Aktien dazu verpflichtet werden, ein Überwachungssystem einzurichten, das auch den Kern des Risikomanagementsystems darstellt [32]. Eine neue Risikomanagementaufgabe, die durch das KonTraG gefordert wird, ist die externe Berichterstattung, die wesentliche Risiken des Unternehmens, z. B. im Lagebericht, darstellt.

Die gesetzliche Neufassung konkretisiert zugleich die schon geltende Sorgfaltspflicht des Vorstands von Aktiengesellschaften, die auch für andere Rechtsformen besteht. Der Gesetzgeber spricht hierzu die Erwartung aus, dass auch eine Ausstrahlungswirkung auf die Kontrollsysteme anderer Rechtsformen, insbesondere von Gesellschaften mit beschränkter Haftung auftreten wird. Im Detail hat sich bei solchen Aktiengesellschaften, die Aktien mit amtlicher Notierung ausgegeben haben, der gesetzliche Auftrag an den Abschlussprüfer erweitert.

"Er hat zu beurteilen, ob der Vorstand die ihm gemäß § 91 Abs. 2 AktG obliegenden Maßnahmen in einer geeigneten Form getroffen hat" [33] und ob das Überwachungssystem seine Aufgaben erfüllt (§ 317 Abs. 4 HGB). Der Inhalt des Lageberichts sowie des Konzernberichts (§315 Abs. 1 HGB) wurde insoweit bei allen Kapitalgesellschaften präzisiert, sodass bei der Vermittlung eines den tatsächlichen Verhältnissen entsprechenden Bildes, auch die Risiken künftiger Entwicklungen betrachtet werden sollen (§289 Abs. 1 HGB). Die allgemeine Sorgfaltspflicht wurde ergänzt, und die in der nachfolgenden Abbildung dargestellten Punkte wurdenkonkretisiert [34].


Abbildung 3: Neue gesetzliche Regelungen zum Risikomanagement [35]


Die Einführung der Pflicht zur Einrichtung eines Überwachungssystems hat das Augenmerk vieler Unternehmen auf die unzureichende systematische Früherkennung von Risiken gelenkt. Ein wesentliches Element des Risikomanagements wird von einem Frühwarnsystem gebildet, wobei dieses auch für die interne Revision vom Nutzen ist. Dabei wird der Fokus im Rahmen der Prüfung direkt auf die kritischen Bereiche gelenkt [35]. Da jedoch die Vorgaben, an nicht deckungsgleiche Unternehmenskreise gerichtet und inhaltlich weitestgehend offengelassen sind, wird hierbei kritisiert, dass der Gesetzgeber die Ersteller und Prüfer mit Interpretations- und Umsetzungsproblemen konfrontiert [36]. Daher sind die mit den neu eingeführten Vorschriften verbundenen Erwartungen, nicht zu hoch anzusetzen, da weitere grundlegende Probleme wie z.B. Informationsdefizite des Wirtschafts- prüfers, Managementqualität, verbleibende Mängel der "Corporate Governance" [37] weiterhin bestehen.

Risikomanagement ist auch in den USA mit dem "Sarbanes-Oxley Act" gesetzlich verankert, der weit über die Forderungen des KonTraG hinausgeht. So sind z. B. bei unzureichenden Angaben zur Vermögens-, Finanz- und Ertragslage für die Verantwortlichen strafrechtliche Maßnahmen vorgesehen sind [38].

Die ISO 31000 zum Risikomanagement

Die ISO 31000 wurde in die Wege geleitet, nachdem Australien den Standard AS/NZS [39] zum Risikomanagement als neue Norm der Dachorganisation ISO (International Standards Organisation) vorschlug, in der ca. 150 nationale Normungsorganisationen vertreten sind [40]. Seit 2008 bildet die ISO 31000 einen weltweit gültigen Standard zum Risikomanagement. Dabei soll Risikomanagement als Führungsaufgabe verinnerlicht werden, sowie ein allgemeiner Ansatzpunkt für die Berücksichtigung aller Risiken in Unternehmen erschaffen werden, das mithilfe des Top-down-Ansatzes umgesetzt wird [41]. Top-down-Ansatz bedeutet dabei, dass die oberste Führungsebene und die einzelnen Hierarchieebenen in den Risikomanagementprozess einbezogen werden [42].

Im Unterschied zu anderen Managementsystemen wie z.B. für Brandschutz, Datenschutz oder Umweltschutz, die jeweils eine spezifische Betrachtung aufweisen, besteht mit der ISO 31000 die Möglichkeit, Probleme integrativ und ganzheitlich zu durchleuchten [43]. Jedoch stellt die ISO 31000 nur eine allgemeine Richtlinie da, die nicht verpflichtend für Unternehmen ist. Zudem ist sie nicht vorgesehen, um die Einheitlichkeit des Risikomanagements im gesamten Unternehmen zu fördern. Vielmehr sollen das Design und die Umsetzung des Risikomanagements, wie Pläne und Frameworks (Rahmenstruktur), an die unterschiedlichen Bedürfnisse der Unternehmen angepasst werden [44]. Dabei zeigt sich, dass die Methodik ISO 31000 zu einem einheitlichen Ergebnis führt, das alle sektoralen Forderungen berücksichtigt. Das heißt, dass ein Gesamtrisikostatus des Unternehmens erstellt wird [45]. Der nächste Abschnitt beschäftigt sich mit Führungsaufgaben.


Fußnoten:

[1] Vgl. Götze U., (FN 19), S. 10 ff. 
[2] Vgl. Seifert W. G., Risk-Management, S. 748. 
[3] Vgl. Wiederkehr B., Züger R.-M., 2010, Risikomanagement, S. 15. 
[4] Vgl. Hungenberg H., Strategisches Management, 2008, S. 27.
[5] Gerd F. Kamiske, Jörg-Peter Brauer, Qualitätsmanagement, 2008, S. 280. 
[6] Vgl. Merbecks A., Stegemann U., Frommeyer J., Risikomanagement, 2004, S. 15 f. 
[7] Vgl. Weis U., Risikomanagement nach ISO 31000, 2008, S. 95. 
[8] Vgl. Hungenberg H., (FN 24), S. 23.
[9] Quelle: management-praxis.de
[10] Vgl. Weis U., Risikomanagement nach ISO 31000, 2008, S. 86 f. 
[11] Vgl. Weis U. (FN 30), S. 83 ff. 
[12] Weis U., (FN 30), S. 40. 
[13] Vgl. Wolke T., Risikomanagement, 2008, S. 1.
[14] Thom A., Risiken in Produktionsnetzwerk
[15] Vgl. Merbecks A., Stegemann U., Frommeyer J., Risikomanagement, 2004, S. 71.
[16] Vgl. Merbecks A., (FN 35), S. 26.
[17] Vgl. Merbecks A., (FN 35), S. 66 ff.
[18] Quelle: Deutsche Bundesbank (2006)
[19] Vgl. Merbecks A., (FN 35), S. 26 f. 
[20] Vgl. Weis U., Risikomanagement nach ISO 31000, 2008, S. 81. 
[21] Vgl. Merbecks A., (FN 35), S. 74. 
[22] Vgl. Weis U., Risikomanagement nach ISO 31000, 2008, S. 38. 
[23] Hungenberg H., Strategisches Management, 2008, S. 34. 
[24] Der Begriff "Corparate Governance" wird hier nicht weiter erläutert. 
[25] Vgl. Hungenberg H., (FN 43), S. 34 f. 
[26] Vgl. Merbecks A., (FN 41), S 43.
[27] Vgl. Risikomanagement nach ISO 31000, Weis, Seite 10
[28] Vgl. Suyter A., Risikomanagement, 2004, S. 47.
[29] Vgl. Luhmann N., Geschichte als Prozess, 1981, S. 94 ff.
[30] Vgl. Zhijia Zhou, Risikomanagement durch Systemverzahnung, 2002, S. 59. 
[31] Vgl. Luhmann N., (FN 49), S. 151 f.
[32] Vgl. Kless, T.: Unternehmensrisiken, 1998, S. 96.
[33] Götze U., Henselmann K., Mikus B., (Hrsg.),Risikomanagement, 2001, S. 34. 
[34] Vgl. Götze U., (FN 53), S. 29 ff.
[35] Vgl. Suyter A., Risikomanagement, 2004, S. 47 f.
[36] Vgl. Götze U., Henselmann K., Mikus B., (Hrsg.),Risikomanagement, 2001, S 31. 
[37] Vgl. Götze U., (FN 56), S. 29.
[38] Vgl. Weis U., Risikomanagement nach ISO 31000, 2008, S. 13.
[39] AS/NZS: Dieser Standard besteht aus drei Hauptelementen, dem Risikomanagementworkflow, die Überwachung und Überprüfung sowie die Kommunikation und Befragung.
[40] Vgl. Brühwiler B., Risikomanagement-Standard ISO 31000, 2008, S. 14 ff.
[41] Vgl. VOREST AG, risikomanagement-wissen.de/ISO_31000.htm, Stand: 07/2011.
[42] Vgl. Weis U., (FN 58), S. 55.
[43] Vgl. Weis U., (FN 58), S. 90. 
[44] Vgl. International Organization for Standardization, iso.org/iso/catalogue_detail?csnumber=43170, Stand: 08/2011.
[45] Vgl. Weis U., (FN 63), S. 91 ff. 

letzte Änderung W.V.R. am 19.10.2022 Autor:  Konstantinos Kourouklidis Bild:  panthermedia.net / tashatuvango