Risikomanagementprozess und Risikomanagementorganisation

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1. Aufgabe C1: Wesentliche Bestandteile des Risikomanagementprozesses

2. Aufgabe C2: Eckpunkte zum Aufbau eines Risikomanagementsystems

3. Aufgabe C3: Systematischer Entscheidungsprozess unter Berücksichtigung von Risiko und Rating

Literaturverzeichnis

Abkürzungsverzeichnis

Abb. Abbildung

bzw. beziehungsweise

etc. et cetera

f folgend

ggf.

KonTraG gegebenenfalls

Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

S. Seite

Vgl. Vergleiche

Abbildungsverzeichnis

Abb. 1: Risikomanagementprozess

Abb. 2: Zehn Punkte guter unternehmerischer Entscheidungen

1. Aufgabe C1: Wesentliche Bestandteile des Risikomanagementprozesses

Der Risikomanagementprozess besteht aus mehreren Schritten, wobei sich die Grundstruktur in DIN ISO 31000 wiederfindet, und dabei folgende Kernpunkte umfasst, die vollständig integriert und nicht als alleinige Komponenten betrachtet werden dürfen:¹

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1:Risikomanagementprozess. (Quelle: DIN ISO 31000:2018-10, S. 16).

Dabei geht es um weit mehr als das bloße Einhalten von Gesetzen und das Abschließen von Versicherungen. Risikomanagement ein abgestimmter Prozess, mit dem unternehmensweit alle Schlüsselrisiken identifiziert und bewertet werden, um sie dann aktiv zu steuern.²

Risikostrategie

Ziele und Entscheidungen werden in der Geschäftsstrategie beschrieben, wodurch sich Risiken aus unterschiedlichsten Umweltfaktoren ergeben, interne als auch externe. Die Fähigkeit des Unternehmens, mit diesen Risiken umzugehen und dabei auch neu entstehende Risiken zu tragen, wird durch die Risikostrategie beschrieben. Insbesondere wird geschildert, welche Auswirkungen die Geschäftsstrategie auf die vorherrschende Risikosituation im Unternehmen hat. Außerdem werden Leitlinien zur Gestaltung des Risikomanagementprozess statuiert. Die Risikotoleranz wiederum handelt zum einen von Beschränkungen, die sich das Unternehmen selbst auferlegt. Dabei geht es also darum, was sich das Unternehmen erlauben kann. Zum anderen geht es um Beschränkungen durch externe Vorgaben, also darum, was sich das Unternehmen erlauben darf.³ Das menschliche Verhalten sowie die Kultur sollten dabei über den gesamten, iterativen Risikomanagementprozess hinweg berücksichtigt werden.⁴

Kommunikation und Konsultation

Hier werden die Grundlagen geschaffen, mit welchen relevante Stakeholder Risiken, Entscheidungsgrundlagen und Handlungsgründe verstehen können. Es soll das Risikoverständnis und -bewusstsein gefördert werden, sowie Informationen und Feedback zur Entscheidungsfindung enthalten. Damit dies gelingt, müssen aus allen Bereichen Fachkenntnisse vereint werden, verschiedenste Ansichten insbesondere bei der Bewertung der Risiken müssen berücksichtigt werden und Informationen müssen in ausreichender Fülle geliefert werden. Diese Punkte sollten zu jederzeit innerhalb des Prozesses gegeben sein.⁵

Risikoanalyse

Aus der Geschäftsstrategie lassen sich alle operativen Tätigkeiten ableiten, woraus sich wiederum Risiken ergeben. Inhaltlich erstreckt sich die Risikoanalyse von der Identifikation, über die Bewertung und bis hin zur Aggregation dieser Risiken. Damit der Umgang mit eben diesen Risiken vorgegeben werden kann, müssen sie vorerst identifiziert werden, wofür nach Möglichkeit alle Risikobereiche, -Objekte und -bereiche erfasst werden müssen. Es müssen die Einzelrisiken bestimmt und Risikogruppen bzw. -kategorien gebildet werden. Durch Identifikation der Einzelrisiken können relevante Risiken systematisiert, analysiert und bewertet werden. Damit können sich Unternehmen ein Bild über die Risiken verschaffen sowie die daraus resultieren Chancen erkennen und ergreifen.⁶

Unternehmen können mittels Risikokategorisierung verschiedene Risikoarten mit eigens zugeschnittenen Instrumentarien und Maßnahmen steuern, was die Risikoanalyse erleichtert. Um Risiken zu identifizieren, können zum einen Managementmethoden, wie beispielsweise die Balanced Scorecard, die SWOT-Analyse oder auch Wertschöpfungsketten angewendet werden. Des Weiteren können unterstützende Methoden zur Informationssammlung und -generierung angewendet werden. Hierfür eignen sich beispielsweise Szenario-Techniken, Checklisten und Dokumentenanalysen.⁷

Eine in einem Risikokatalog strukturierte Darstellung sämtlicher bestehender und potenzieller Risiken sowie ihrer Auswirkungen ist das Ergebnis der Risikoidentifizierung, wobei eine überschneidungsfreie und möglichst konsistente Bestandsaufnahme aller Risiken das Ziel der Risikoidentifizierung darstellt. Somit wird das Gesamtrisikoprofil des Unternehmens bestimmt.⁸

Bedrohungen, welche von den Risiken ausgehen, werden durch die Festlegung von Wesentlichkeitsgrenzen analysiert und in wesentliche, unwesentliche sowie bestandsgefährdende Risiken eingeteilt wobei zu beachten ist, dass manche Risiken quantitativ und andere nur qualitativ beurteilt werden können.⁹

Ziel der Risikobewertung soll sein, das Gefahrenpotenzial, das von identifizierten Risiken ausgeht, transparent zu machen und die jeweilige Wirkung offen zu legen. Durch allgemeine Bewertungs- und Beurteilungsmethoden (z.B. ABC-Analysen, Scoring-Modelle, etc.) werden die Risiken im ersten Schritt eingeschätzt. Diese verdichten die unterschiedlichsten Risikoaspekte und können sie einem Rating unterziehen, um eine Priorisierung vorzunehmen. Im zweiten Schritt werden relevante Risiken durch den Einsatz statistischer Methoden und eindeutig definierter Größen intensiver untersucht und bewertet. Die Risikobewertung dient dabei als Grundlage für die Maßnahmen der Risikosteuerung sowie zur Bestimmung des Risikokapitalbedarfs im Einzelnen bevor anschließend in der Risikoaggregation der Gesamtrisikokapitalbedarf ermittelt wird.¹⁰

Die Absicht hierbei ist, den gesamten Risikokapitalbedarf eines Unternehmens, der sich auf die Entwicklung von Gewinn und Eigenkapital auswirken kann, zu bestimmen. Die aggregierten Einzelrisiken sind grundsätzlich kleiner als die summierten Einzelrisiken, sofern eine vollständig positive Korrelation ausgeschlossen ist. Dies ist auf die Diversifikation zurück zu führen, wobei zwischen den Einzelrisiken so genannte Risikoausgleichseffekte einkalkuliert werden. Ist der gesamte Risikokapitalbedarf bestimmt schließt sich die Frage an, auf welche Weise das Gesamtrisiko getragen werden kann. Die Antwort stellt das Maß der Risikotragfähigkeit dar, ob also das Unternehmen ausreichend hohes ökonomisches Eigenkapital ausweist und somit Verluste aus Risiken absorbiert werden können, ohne dass existentielle Gefahrfür das Unternehmen besteht.¹¹

Risikosteuerung

Die Risikosteuerung umfasst Themen der Risikovermeidung, -Verminderung und des - transfer. Mittels Risikosteuerung wird versucht, die geplante Soll-Risikosituation herzustellen, damit das Chancen-Risiko-Verhältnis den Zielvorstellungen des Unternehmens entspricht. Die Risikosteuerung soll demnach sicherstellen, dass der Risikoumfang die angestrebte Risikotragfähigkeit nicht übersteigt. Die aktuelle Risikosituation sollte mit den verbundenen Chancen gegeneinander abgewägt werden. Es können Maßnahmen wirkungs- und ursachenbezogene unterschieden werden, wobei wirkungsbezogene Maßnahmen darauf aus sind, die Auswirkungen der Risikorealisation zu verringern. Ursachenbezogene Maßnahmen hingegen, die Eintrittswahrscheinlichkeit des entsprechenden Risikos zu vermindern bzw. zu vermeiden. Zudem können Risiken an einen Dritten transferiert werden, damit es nicht mehr allein getragen werden muss. Das ursprüngliche Risiko bleibt dabei jedoch bestehen. Dieser Transfer kann entweder eine Versicherung darstellen, Lieferanten, Kunden oder auch der Kapitalmarkt selbst, ebenso kann eine Ausgliederung von Gesellschaften als Transfer gesehen werden.¹²

Risikokontrolle und Berichterstattung

Risikokontrolle beschreibt ein innerhalb des Risikomanagementprozesses zusammenfassendes und steuerndes Element, das Wirksamkeit und Effizienz des Risikomanagements beurteilt und dabei eventuell erforderliche Verbesserungspotenziale feststellt.¹³

Zur Sicherstellung, dass eingegangene Risiken tolerierbar bleiben, ist ein unternehmensweites Kontrollsystem zu implementieren. Im Wesentlichen beinhaltet die Risikokontrolle folgende Aspekte:

- Überprüfung der Verhältnismäßigkeit der Maßnahmen, insbesondere den Aufbau und Ablauf des Risikomanagementprozesses betreffend,
- die Sicherstellung, dass alle wesentlichen Risiken vollständig erfasst und angemessen bewertetet wurden,
- durchgehende Anwendung von risikorelevanten Maßnahmen,
- Einhaltung integrierter Kontrollen,
- und Kommunikation.

Damit eine spätere Überprüfung vorgenommen werden kann, verlangt die Risikokontrolle eine systematische Dokumentation, die Risikoberichterstattung. Diese berichtet über das Risikoprofil des Unternehmens und teilt sich in interne und externe Berichterstattung auf. Die interne Berichterstattung berichtet in Abstimmung mit den Unternehmensbereichen an die Geschäftsführung, den Aufsichtsrat und entsprechende Managementebenen. Die externe Berichterstattung hingegen besitzt öffentliches Interesse und folgt gesetzlichen Vorgaben, insbesondere der Lagebericht gemäß den §289-289f HGB ist hier bedeutsam, konkretisiert durch den DRS 20¹⁴, der für den Einzelabschluss zwar nicht zwingend nötig, jedoch empfohlen wird und somit als Rahmenwerk für eine angebrachte öffentliche Berichterstattung gilt.¹⁵

2. Aufgabe C2: Eckpunkte zum Aufbau eines Risikomanagementsystems

Aufgrund einer unvorhersehbaren Zukunft gelten Risiken als Planabweichungen, die aus diesen Unvorhersehbarkeiten resultieren können. Als Querschnittsfunktion hat das Risikomanagement das Ziel, den Risikoumfang transparent zu machen, damit eventuelle bestandsbedrohende Entwicklungen frühzeitig erkannt werden. Um solche bestandsbedrohende Entwicklungen einzuschätzen, ist eine Berechnung bestehender Risiken unumgänglich.¹⁶

Wenn es darum geht, unternehmerisches Handeln, das zwangsläufig risikobehaftet ist, und effektive Risikovorsorge zu vereinen, dann ist es notwendig, eine angemessene Risikokultur in Form eines Risikomanagements im Unternehmen einzuführen. Schlussendlich geht es beim Risikomanagement nicht darum, Risiken vollständig zu eliminieren, sondern darum, Risiken zu verstehen, bei Entscheidungen zu berücksichtigen und anschließend so weit zu minimieren, dass man die Risiken eingehen und die daraus entstehenden Chancen realisieren kann.¹⁷

Damit ein Risikomanagement implementiert werden kann, sollte die Organisation zuerst geeignete Pläne entwickeln und feststellen, wie der Entscheidungsfindungsprozess in der Organisation abläuft. Erst wenn das Rahmenwerk richtig implementiert ist, wird der Risikomanagementprozess ein Teil aller Aktivitäten sein. In der Organisation ist jeder mitverantwortlich dafür, dass mit Risiken richtig umgegangen wird und sollte daher an die Kultur und Bedürfnisse der Organisation nicht nur angepasst sein, sondern ein Teil davon sein.¹⁸

Aufgrund dessen muss das Risikomanagementsystem integraler Bestandteil des Unternehmensmanagements sein und ein Risikofrühwarnsystem, ein Risikoüberwachungssystem sowie ein Risikobewältigungssystem umfassen. Das Risikofrühwarnsystem beinhaltet dabei die Risikoidentifikation, -analyse und -bewertung, welche im weiteren Schritt aggregiert werden. Risikokommunikation und Risikobericht verlaufen idealerweise parallel dazu über ein vorhandenes Informationssystem.¹⁹ Frühwarnsysteme liefern entscheidungsrelevante Informationen und haben zum Ziel, potenzielle Gefahrensituationen frühzeitig zu erkennen, indem Risikotransparenz geschaffen wird. Dabei ist die Steigerung des Value at Risk (Verlusthöhe in Geldeinheiten, die innerhalb eines bestimmten Zeitraums mit einer bestimmten Wahrscheinlichkeit nicht überschritten wird²⁰ ) ein entscheidender Hebel, um ein effektives und effizientes Frühwahnsystem zu gestalten. Um ein geeignetes Frühwarnsystem zu implementieren, ist die Abarbeitung von sechs Projektphasen erforderlich:

1. Um Akzeptanz zu schaffen, ist das Festlegen des Projektteams erforderlich. So werden alle betroffenen und verantwortlichen Mitarbeiter mit einbezogen und es können pragmatische und täglich einsetzbare Lösungen zur Früherkennung von Risiken gestaltet werden.
2. Durch das Auswählen und Detaillieren von Themenfeldern und Annahmen können schlussendlich relevante und beeinflussbare Hypothesen erfasst werden
3. Um eine vollständige Untersuchung aller relevanter Risiken zu gewährleisten, erfolgt eine unternehmensspezifische Identifikation, Analyse und Bewertung aller Risiken. Die Risiken werden dabei priorisiert und auf Unternehmensebene aggregiert.
4. Auf Basis dessen können Handlungsstrategien zur Optimierung der einzelnen Risikopositionen abgeleitet werden.
5. Auf Grundlage dieser Erkenntnisse erfolgt anschließend die Entwicklung und der Aufbau eines Frühwarnsystems.
6. Anschließend werden Empfehlungen für die Neuausrichtung der Geschäftsfelder erarbeitet und Vorschläge zur Umsetzung eines Frühwarnsystems geplant.
7. Schlussendlich wird das Frühwarnsystem eingeführt.^[21]

Der zweite Eckpfeiler stellt das Risikobewältigungssystem dar. Hierunter fallen die Handhabung und Steuerung von Risiken sowie die Gefahrenabwehr.²²

Hauptsächlich wird natürlich versucht, Risiken so gut es geht zu vermeiden. Da dies nicht immer möglich ist spielt auch die Risikominderung bei der Bewältigung eine große Rolle. Zur Verbesserung der Risikolage werden die Maßnahmen definiert, welche Risiken vermeiden und verhindern können. Anschließend werden Änderungen von Eintrittswahrscheinlichkeiten und die jeweilige Schadenshöhe der einzelnen Risiken erfasst und verfolgt. Dies beinhaltet zudem die Überwachung der Wirksamkeit einzelner Maßnahmen zur Vermeidung und Verminderung von Risiken. Werden Abweichungen festgestellt, erfolgt eine Korrektur der Maßnahme. Dieser Schritt wird Risiko-Monitoring genannt. Zum Schluss findet eine Berichterstattung zur Maßnahmenzusammensetzung und Risikolage statt. Maßnahmen vermindern Risiken zwar, können diese oftmals aber nicht gänzlich eliminieren und es bleibt ein Restrisiko bestehen. Dieses Restrisiko muss abgeschätzt werden. Zudem muss ein Zeitpunkt benannt werden, wann die jeweilige Maßnahme einzuleiten ist. Hierfür muss ein Risikoplan erstellt werden, der es ermöglicht, die Risikolage jederzeit zu beurteilen und darüber zu berichten. Nicht alle Risiken können und wollen jedoch vermieden oder vermindert werden, was abhängig von der Risikofreudigkeit des Unternehmens ist und natürlich auch vom Risikoausmaß.²³

Die Maßnahmen zur Risikobewältigung tragen im besten Fall zur Optimierung des Ertrag­Risiko-Profils bei.²⁴

Das Risikoüberwachungssystem stellt den dritten Eckpfeiler des Risikomanagementsystems dar und hat zur Aufgabe, die Einhaltung der getroffenen Maßnahmen zu überwachen und zu gewährleisten.²⁵

Risiken verändern sich im Zeitverlauf ständig, weshalb eine anhaltende Überwachung der wesentlichen Risiken notwendig ist und auch durch das KonTraG gefordert wird. Die Verantwortlichkeit der Überwachung, also auch Umfang und Turnus, muss klar zugeordnet und auch dokumentiert werden.²⁶

Ein internes Kontrollsystem stellt die Voraussetzung einer Risikoüberwachung dar. Auch die interne Revision ist Bestandteil dieses Überwachungssystems, welche insbesondere als unabhängige Instanz das Risikocontrolling überwacht. Durch die Abweichungsanalysen dieser Instanzen sollen mitunter die Zielerreichung als auch die Risikoveränderungen erfasst und kontrolliert werden. Durch diese durchgehende Kontrolle soll die Geschwindigkeit erhöht werden, mit welcher das Unternehmen auf riskante Entwicklungen reagieren kann.²⁷

Risikofrüherkennung, Risikobewältigung und Risikoüberwachung münden schlussendlich in eine existenzsichernde Risikopolitik. In Praxis und Wissenschaft sind zahlreiche

[...]

---

¹ Vgl. Hoffmann (2017), S. 17

² Vgl. Gleißner (2O17),S.4O

³ Vgl. Mahnke/Rohlfs (2020), S. 9-10; Hoffmann (2017), S. 18

⁴ Vgl. DIN ISO 31000:2018-10, S. 17

⁵ Vgl. DIN ISO 31000:2018-10, S. 17

⁶ Vgl. Mahnke/Rohlfs (2020), S. 10, DIN ISO 31000:2018-10, S. 20

⁷ Vgl. Knauf/Bender (2020), S. 24-30

⁸ Vgl. Mahnke/Rohlfs (2020), S. 10-11

⁹ Vgl. DIN ISO 31000:2018-10, S. 20-21

¹⁰ Vgl. Skoma/Nießen (2020), S. 52-53; DIN ISO 31000:2018-10, S: 21

¹¹ Vgl. Mahnke/Rohlfs (2020), S. 12-13; DIN ISO 31000:2018-10, S. 20

¹² Vgl. Mahnke/Rohlfs (2020), S. 13-14; Skoma/Nießen (2020), S. 64; DIN ISO 31000:2018-10, S. 21-22

¹³ Vgl. Vanini (2016), S. 286-288

¹⁴ Gesamtheit aller Regelungen, die einen strukturierten Umgang mit Risiken oder Chancen im Unternehmen bzw. Konzern sicherstellen, vgl. DRS 20, Tz. 11

¹⁵ Vgl. Mahnke/Rohlfs (2020), S. 15; DIN ISO 31000:2018-10, S. 23

¹⁶ Vgl. Gleißner (2017a), S. 525

¹⁷ Vgl. Buchholz/Knorre (2019), S. 177-179

¹⁸ Vgl. DIN ISO 31000:2018-10, S. 13-15

¹⁹ Vgl. Müller/Müller (2020), S. 213

²⁰ Vgl. Stier (2017), S. 20

²¹ Vgl. TCW GmbH & Co. KG (o.J.)

²² Vgl. Müller/Müller (2020), S: 214

²³ Vgl. Rezagholi (2016), S. 99-100; Gleißner/Wolfrum (2019), S. 8-9

²⁴ Vgl. Gleißner/Wolfrum (2019), S. 13

²⁵ Vgl. Müller/Müller (2020), S: 213-214

²⁶ Vgl. Gleißner/Wolfrum (2019), S. 9

²⁷ Vgl. Müller/Müller (2020), S. 225-226