Risikomanagement: Wie Sie sichere Entscheidungen treffen

Unter dem Begriff „Risikomanagement“ (engl. Risk Management) werden sämtliche Maßnahmen zur Identifikation und Beeinflussung solcher Chancen und Gefahren zusammengefasst, die aus dem unternehmerischen Handeln entspringen und sich positiv wie negativ auf den unternehmerischen Erfolg auswirken können.

Aufgabe des Risikomanagements ist es nicht, alle Gefahren zu beseitigen – denn das ist praktisch unmöglich. Vielmehr soll ein optimales Verhältnis von Chancen und Risiken geschaffen werden. Somit trägt erfolgsreiches Risikomanagement zur Entscheidungs- und Planungssicherheit bei, minimiert das Insolvenzrisiko und stabilisiert die Ertragssituation.

Gesetzliche Regelungen und internationale Standards für das Risikomanagement

Risikomanagement ist für Unternehmen nicht nur wirtschaftlich sinnvoll, sondern auch gesetzlich verpflichtender Bestandteil der Unternehmensführung. Allerdings regelt kein einzelnes Gesetz bzw. kein einzelnes Gesetzbuch das Risikomanagement – vielmehr gibt es in Deutschland eine Vielzahl unterschiedlicher Gesetze, die sich auf das Risikomanagement auswirken.

Nach mehreren Unternehmenskrisen Anfang der 1990er-Jahre hat der Gesetzgeber 1998 in einer großen Reform ein Gesetz zur Kontrolle und Transparenz von Unternehmen (KonTraG) erlassen, das kein eigenständiges Artikelgesetz ist, sondern dessen Normen in insgesamt zehn Gesetze und Verordnungen eingeflossen sind. Die wichtigsten Regelungen finden sich heute im Aktiengesetz (AktG), im Handelsgesetzbuch (HGB), im Publizitätsgesetz (PublG) sowie im Genossenschaftsgesetz (GenG).

Eine zentrale gesetzliche Regelung, die sowohl im KonTraG als auch im Aktiengesetz (§ 91 II AktG) festgeschrieben ist, verpflichtet die Unternehmensführung zur Risikofrüherkennung, um den Fortbestand des Unternehmens zu sichern. § 93 AktG legt darüber hinaus fest, dass bei jedweder unternehmerischen Entscheidung auch die Risiken angemessen zu berücksichtigen sind (die sogenannte Business Judgement Rule).

Darüber hinaus existieren noch einige nationale Standards, die nicht rechtsverbindlich sind oder deren Rechtsverbindlichkeit zumindest umstritten ist: Hier sind z. B. der Deutsche Rechnungslegungsstandard (DRS 20) zu nennen sowie der Standard zur Risikofrüherkennung des Instituts der Wirtschaftsprüfer (IDW PS 340).

Zu den wichtigsten internationalen Standards zählen die Risikomanagement-Norm ISO 31000:2009, die Qualitätsmanagement-Norm ISO 9001:2015 sowie das COSO Enterprise Risk Management Framework (COSO ERM 2017). Das auch als COSO-Würfel bekannte Rahmenwerk kategorisiert Risikomanagement nach Komponenten, Zielkategorien und Organisationseinheiten.

Die in diesen Standards dargestellten Leitlinien sollen Unternehmen dabei unterstützen, ihr eigenes Risikomanagement zu implementieren und weiterzuentwickeln. Sowohl die ISO- also auch die COSO-Standards werden regelmäßig geprüft und bei Bedarf angepasst, damit sie den aktuellen Entwicklungen der Unternehmenwelt gerecht werden.

Bedeutung des Risikomanagements im Unternehmen und Wechselwirkungen

Häufig wird Risk Management in Unternehmen in Zusammenhang mit der Compliance und Corporate Governance gebracht, da alle drei Disziplinen eng miteinander verknüpft sind. Sie alle tragen zu einer ordnungsgemäßen und effizienten Unternehmensführung bei.

Betriebliches Risikomanagement lässt sich in strategisches und operatives Risikomanagement gliedern. Der strategische Aspekt umfasst die Definition von Zielen des Risikomanagements, die Formulierung einer übergeordneten Strategie und die Definition operativer Prozesse. Die Umsetzung dieser Prozesse ist Aufgabe des operativen Risk Managements.

Die vier Phasen des betrieblichen Risikomanagements

Operatives Risk Management besteht nicht aus einer einmalig durchgeführten Maßnahme, sondern ist ein kontinuierlicher Prozess: Chancen und Risiken, die den unternehmerischen Erfolg beeinflussen könnten, müssen permanent überwacht werden.

Zur systematischen Erfassung aller relevanten Faktoren müssen Unternehmen Risikomanagement-Prozesse implementieren. Diese lassen sich als Regelkreis darstellen, bei dem die unterschiedlichen Phasen in einer Dauerschleife durchlaufen werden.

Der Regelkreis des operativen Risikomanagements lässt sich in vier Phasen gliedern:

  1. Risikoidentifikation (Risikoanalyse I)
  2. Risikoquantifizierung (Risikoanalyse II)
  3. Risikosteuerung
  4. Risikocontrolling

Risikoidentifikation

Zu Beginn steht die Risikoerfassung, in der alle bestehenden Risiken einzeln und nach Risikobereich sortiert, erfasst und qualitativ beschrieben werden. Das kann sowohl auf Ebene des Gesamtunternehmens als auch auf Projektebene geschehen. Entscheider können verschiedene Methoden nutzen, um den Identifikationsprozess zu strukturieren und sicherzustellen, dass sämtliche Gefahren und Schadensquellen erkannt werden:

  • Experten- und Mitarbeiterbefragungen
  • Auswertung vorhandener Daten und Dokumente
  • Interne Risiko-Workshops
  • Werks- und Ortsbesichtigungen

Am Ende dieser Phase sollte ein vollständiger Risikokatalog (auch: Risikoinventar) vorliegen.

Risikoquantifizierung

Im nächsten Schritt wird jedes Einzelrisiko hinsichtlich seiner Eintrittswahrscheinlichkeit und seiner potenziellen Auswirkungen quantitativ bewertet. Bei der Bewertung ist nicht nur jeweils ein Risiko isoliert zu betrachten, sondern auch, welche Folgen sich durch das Zusammenwirken mehrerer Risiken oder durch eine Kumulation im Zeitverlauf ergeben. Dieser Aspekt wird auch als Risikoaggregation bezeichnet.

In der Quantifizierung kommen Wahrscheinlichkeitsverteilungen oder Häufigkeitsverteilungen zum Einsatz. Die konkrete Messzahl zur Einschätzung eines Risikos nennt man Value at Risk.

Schritt 1 und 2 werden zusammenfassend auch als Risikoanalyse bezeichnet. Diese Analyse gilt als der schwierigste Schritt im Risikomanagement-Prozess, da nicht nur gegenwärtige, sondern auch künftig aufkommende Risiken erfasst und beurteilt werden müssen. Nachdem man die Ergebnisse der Risikoanalyse ausgewertet hat, lassen sich solche Risiken priorisiert eindämmen, die eine besonders hohe Eintrittswahrscheinlichkeit und Schadensauswirkung aufweisen.

Risikosteuerung

Unter dem Begriff „Risikosteuerung“ (oft auch Risikobewältigung genannt) werden alle Maßnahmen zusammengefasst, mit denen Unternehmen auf Risiken reagieren können. Grundsätzlich unterscheidet man zwei Reaktionsoptionen: die aktive präventive Reaktion und die passive korrektive Reaktion.

Aktive Maßnahmen dienen dazu, die Eintrittswahrscheinlichkeit der in der Risikoanalyse identifizierten Gefahren zu senken oder das Schadensausmaß zu minimieren, indem sie bei den Ursachen ansetzen: Unternehmen könnten ihr Produkt z. B. verbessern und so Haftungsrisiken reduzieren. Auch die Risikovermeidung ist ein Mechanismus der aktiven Prävention – etwa, wenn auf die Markteinführung eines gesundheitsgefährdenden Produkts ganz verzichtet wird.

Passive Reaktionen sollen die Folgen des Risikoeintritts auf andere Risikoträger übertragen (Risikotransfer) – beispielsweise durch den Abschluss von Versicherungen oder durch Übertragungen auf den Kapitalmarkt.

Darüber hinaus besteht häufig ein Restrisiko, dass das Unternehmen trotz aller Steuerungsmaßnahmen letztlich selbst für einen Schaden aufkommen muss. Dieses Risiko lässt sich nicht komplett ausräumen. Es bleibt nahezu immer ein Rest an unbekannten Risiken bestehen – selbst bei sehr guten Analysen.

Risikocontrolling

Im Rahmen des Risikocontrollings werden die angewandten Methoden auf ihre Effizienz, Angemessenheit und Wirksamkeit hin überprüft. Das Controlling kann auf zwei Arten erfolgen, die sich im Idealfall ergänzen: als fortlaufendes Monitoring in Echtzeit und als periodische tiefergehende Risikoprüfung. Die Ergebnisse werden zeitnah an die jeweils Verantwortlichen weitergeleitet.

Verantwortlichkeiten im Risikomanagement

Risikomanagement ist nicht die Aufgabe eines Einzelnen, sondern betrifft jeden Mitarbeiter im Unternehmen. Strategie und grundlegende Ausrichtung des Risikomanagements werden zwar von der Unternehmensführung festgelegt, doch im operativen Geschäft sind weitere Instanzen beteiligt.

Zur Einteilung der Verantwortlichkeiten im Risk Management verwendet man häufig das Modell der Three Lines of Defense:

  • Erste Linie: Manager und Mitarbeiter reagieren im operativen Betrieb gemäß den festgelegten Strategien auf Risiken – dabei werden sie durch ein internes Kontrollsystem unterstützt.
     
  • Zweite Linie: Mitarbeiter, die direkt mit Risikomanagement-Aufgaben betraut sind, unterstützen und überwachen die erste Linie, z. B. durch Vorgabe von Methoden oder Coaching.
     
  • Dritte Linie: Eine unabhängige Instanz überwacht das Risikomanagement. Diese interne Revision wird von IDW-Prüfungsstandard 340 gefordert.

Fazit: Risikomanagement als Grundpfeiler des Erfolgs

Das Erkennen und Steuern von Risiken ist integraler Bestandteil der Unternehmenskultur. Denn Risikomanagement findet nicht im Elfenbeinturm der Geschäftsführung statt, sondern betrifft jeden einzelnen Mitarbeiter in seinem täglichen Tun.

Wer die möglichen negativen Auswirkungen seiner Entscheidungen nicht im Vorfeld einkalkuliert, der gefährdet letztlich die wirtschaftliche Stabilität eines Unternehmens. Risikomanagement bietet mit seinen Methoden das notwendige Handwerkszeug, um Risiken klar zu erfassen, statt sich auf ein diffuses Bauchgefühl zu verlassen. Damit wird es Unternehmen möglich, kalkulierte Risiken einzugehen, die für Wachstum und Erfolg notwendig sind.

Bitte beachten Sie den rechtlichen Hinweis zu diesem Artikel.