Was ist ein Risiko?

Um Risikomanagement zu verstehen, ist es notwendig zuerst den Begriff des Risikos zu klären. Risiko bedeutet eine ungeplante positive oder negative Abweichung, die aus der Unvorhersehbarkeit der Zukunft resultiert. Wichtig ist, dass Risiko immer in Zusammenhang mit einem Plan bzw. Ziel betrachtetet wird. In der DIN ISO 31000 wird der Risikobegriff kurz als „Auswirkungen von Unsicherheit auf Ziele“ beschrieben. Auch wenn im deutschen Sprachraum mit Risiko vor allem eine negative Abweichung verbunden wird, ist explizit auch eine positive Abweichung als Risiko definiert. So kann zum Beispiel die Entwicklung der Rohstoffpreise positiv oder negativ vom Plan abweichen.

Was versteht man unter Risikomanagement?

Ausgehend vom Risikobegriff umfasst das Risikomanagement alle Maßnahmen und Steuerungs-elemente, die helfen, ungeplante Abweichungen von einem Plan bzw. einer Unternehmensstrategie zu begrenzen und frühzeitig auf potenzielle Abweichungen hinzuweisen.

Die wesentlichen Bestandteile eines erfolgreichen Risikomanagements sind:

• Kultur,
• Organisation,
• Prozess,
• Methoden.

Ein erfolgreiches Risikomanagement muss im Unternehmen gelebt werden und in die Organisation integriert sein. Die Risikokultur im Unternehmen beinhaltet den Umgang mit und die Einstellung zu Risiken. Dies ist nicht gleichzusetzen mit einer Kultur, die Risiken vermeidet, sondern mit einer Kultur, in der bei allen Entscheidungen die Chancen und Risiken ausgewogen vor dem Hintergrund der Risikostrategie und des Risikoappetits des Unternehmens berücksichtigt werden. Für die Implementierung einer gelebten Risikokultur ist der „Tone from the Top“ entscheidend. Die Unternehmensführung muss mit gutem Beispiel vorangehen und die Ziele und Werte des Risikomanagements kommunizieren. Eine gelebte Risikokultur beruht auf einer guten Kommunikation und einer Fehlerkultur, in der offen mit Kritik umgegangen wird, das Lernen aus Fehlern und die Vermeidung zukünftiger Fehler im Vordergrund steht und nicht deren Bestrafung. Wichtig ist auch eine klare Zuordnung von Verantwortlichkeiten für die einzelnen Risiken („Risk-owner“). Die Risk-owner sind in der Regel die operativen Einheiten, die als erstes mit dem Risiko in Berührung kommen und den Umgang mit diesem verantworten. Diese Regelung sollte auch im Organisationsmodell abgebildet werden.

Als ein funktionsfähiges Organisationsmodell in der Praxis hat sich das Modell der „Three Lines of Defence“ bewährt. Hier bilden die operativen Einheiten die „First Line of Defense“ im Umgang mit Risiken. Als „Second Line of Defense“ fungiert eine zentrale Stelle im Unternehmen, z.B. ein Risk Manager, der die Gesamtverantwortung für die Organisation und Methoden des Risikomanagements hat. Ein Risk Manager unterstützt die „First Line of Defense“, erstellt Reports und berichtet an die Unternehmensleitung. Die „Third Line of Defense“ ist eine Kontrollstelle im Unternehmen, wie z.B. die Interne Revision, die die Arbeit der beiden anderen Verteidigungslinie unterstützt und überwacht.

Risikomanagement ist ein laufender Prozess. Dieser Prozess umfasst in der Regel die folgenden Schritte:

• Festlegen der Risikostrategie;
• Risikoidentifikation,
• Risikobewertung,
• Risikosteuerung,
• Risikoüberwachung

Der erste Schritt für den Aufbau eines Risikomanagementsystems ist die Definition der Risikostrategie des Unternehmens. Die Risikostrategie ist durch die Unternehmensleitung festzulegen und sollte bestimmte Kernbestandteile enthalten. Im Wesentlichen geht es um die die Festlegung der Geschäftsstrategie, den Fokus der Risikostrategie, die Risikotragfähigkeit, den Risikoappetit sowie risikostrategische Ziele. Letztere definieren z.B. Risikolimite wie den maximalen Umsatz eines Kunden oder eines Landes am Gesamtumsatz.

Die Risikobewertung kann mit Hilfe von qualitativen und quantitativen Methoden erfolgen. Bei den qualitativen Methoden wird häufig auf Basis von Experteneinschätzung eine Einstufung mit Hilfe von geschätzten Eintrittswahrscheinlichkeiten und Schadenausmaß vorgenommen und aus dem Produkt dieser beiden Variablen ein Erwartungswert errechnet. Damit wird quasi eine Binomialverteilung des Risikos unterstellt, d.h. ein Risiko tritt ein oder tritt nicht ein. Bestimmte Risiken wie Rohstoffpreis- oder Umsatzschwankungen lassen sich damit nicht abbilden. Die quantitativen Methoden versuchen das Risiko mit Hilfe einer geeigneten Verteilungsfunktion zu beschreiben. Neben einer Normalverteilung lassen sich Risiken oft auch mit einer Dreiecksverteilung beschreiben. Die Quantifizierung ist Voraussetzung für die Risikoaggregation, bei der die quantifizierten Risiken in den Kontext der Unternehmensplanung gestellt werden. Durch Risikosimulationsverfahren kann dann der Gesamtrisikoumfang ermittelt werden und auf den Eigenkapitalbedarf geschlossen werden.

Nach der Risikobewertung erfolgt im nächsten Schritt die Risikosteuerung. Die Risikosteuerung soll die Eintrittswahrscheinlichkeit bzw. das Schadenausmaß unter Berücksichtigung des Chance-/Risikoprofils verringern. Das Ziel ist, dass der Risikoumfang kleiner ist als die Risikotragfähigkeit des Unternehmens. Für die Risikosteuerung stehen verschiedene Strategien zur Verfügung. (i) Vermeiden: Ein Risiko wird durch eine Änderung der Geschäftsstrategie vermieden. Zum Beispiel könnte die Unternehmensleitung den Rückzug aus dem amerikanischen Markt beschließen, um die dortigen hohen Produkthaftungsrisiken zu vermeiden. (ii) Vermindern: Durch die Erhöhung des Brandschutzes wird das Risiko eines Betriebsausfalls verringert. (iii) Diversifizierung: Durch die Erhöhung der Lieferantenanzahl, wird das Risiko der Lieferunterbrechung verringert. (iv) Risikotransfer: Durch den Abschluss einer Versicherung wird das Risiko auf den Versicherer übertragen. (v) Selber tragen: Durch das Vorhalten eines ausreichend hohen Eigenkapitals werden Risiken selber getragen. Innerhalb der Risikosteuerungsstrategien stehen vielzählige Steuerungsmaßnahmen in individueller Abhängigkeit vom Risiko, der Komplexität und der Unternehmensstruktur zur Verfügung.
 
Eine permanente Risikoüberwachung ist notwendig, da sich Risiken im Zeitablauf kontinuierlich ändern. Diese Überwachung wird auch im KonTraG gefordert. Soweit möglich sollte bei der Überwachung auf bereits bestehende Systeme im Unternehmen zurückgegriffen werden. Für die Überwachung sind Verantwortlichkeiten, Berichtswege und Berichtsinhalte festzulegen und zu dokumentieren.

Welchen Nutzen hat ein funktionierendes Risikomanagement für die Unternehmensleitung?

Das Risikomanagement unterstützt die Unternehmensleitung dabei, mögliche Planabweichungen und Stressszenarien rechtzeitig zu erkennen und damit durch proaktive Maßnahmen den Risikoeintritt zu verhindern. Hierdurch können Ergebnisschwankungen reduziert und die Planbarkeit der Ergebnisse erhöht werden. Stabilere Ergebnisse führen zu einem besseren Rating und damit zu geringeren Kapitalkosten. Letztendlich reduziert ein funktionierendes Risikomanagement die Wahrscheinlichkeit, dass ein Unternehmen in eine Krisensituation gerät. Eine geringere Insolvenzanfälligkeit und stabilere Ergebnisse machen das Unternehmen für Kunden, Lieferanten und Mitarbeiter attraktiver.

Die Unternehmensleitung muss regelmäßig Entscheidungen unter Unsicherheit treffen. Manche Entscheidungen mögen sich daher im Nachhinein als falsch erweisen. Damit daraus keine persönliche Haftung für die Unternehmensleitung resultiert, ist es nach der sogenannten „Business Judgement Rule“ u.a. notwendig, dass die Entscheidung auf Basis angemessener Information über die mit der Entscheidung verbundenen Chancen und Risiken getroffen wurde. Das Risikomanagement hilft durch das Bereitstellen entscheidungsrelevanter Informationen, die Forderungen der „Business Judgement Rule“ zu erfüllen, die Entscheidungsqualität zu verbessern und somit den Unternehmenswert zu steigern.

Welche gesetzlichen Grundlagen gibt es für das Risikomanagement?

Die Verpflichtung der Unternehmensleitung zum Risikomanagement leitet sich aus verschiedenen Gesetzen ab. Im Wesentlichen wird in den Gesetzen auf das Risikomanagement als Bestandteil einer guten Corporate Governance abgestellt, aber auch konkret die Einrichtung von Risikofrüherkennungssystemen gefordert. Ein Verstoß gegen diese Verpflichtungen kann im Schadensfall eine persönliche Haftung der Unternehmensleitung begründen. U.a. folgende Gesetze regeln das Risikomanagement:

• § 43 GmbH: Sorgfaltspflicht der Geschäftsführer
• § 91 (2) AktG: (KonTraG) Einrichtung eines Risikofrüherkennungs- und Überwachungssystems
• § 93 AktG: Sorgfaltspflicht der Vorstandsmitglieder
• § 289 (1) HGB: Darstellung der Chancen und Risiken im Lagebericht
• § 317 (4) HGB: Prüfung des Risikofrüherkennungssystems durch den Abschlussprüfe bei börsennotierten Unternehmen

Gibt es Normen und Standards im Risikomanagement?

Neben den gesetzlichen Grundlagen gibt es auch verschiedene Normen, die sich mit dem Thema Risikomanagement beschäftigen, u.a. die DIN ISO 31000, deren überarbeitete Fassung im Jahr 2018 veröffentlicht wurde und die ein Leitfaden für ein einheitliches Verständnis des Themas Risikomanagement sein soll. Die Norm gibt generische Hinweise zum Aufbau und Konzeption eines Risikomanagementsystems, ermöglicht aber keine Zertifizierung. Das Institut der Wirtschaftsprüfer (IDW) hat ebenfalls Prüfungsstandards für das Risikomanagement entwickelt. Die Prüfungsnorm IDW 981 regelt die Grundzüge ordnungsgemäßer Prüfung von Risikomanagementsystemen und ist eine freiwillige Prüfung. Demgegenüber ist die IDW 340 n.F. für die Prüfung von börsennotierten Unternehmen mit dem Geschäftsjahr 2021 verpflichtend und regelt die Prüfung des Risikofrüherkennungssystems. COSO ist ebenso wie die DIN ISO 31000 ein internationaler Standard und wurde in den USA entwickelt. Das COSO-Modell entwickelt, ausgehend von der Unternehmensstrategie, Anforderungen an ein effektives Risikomanagement.

Sie haben Fragen zum Thema Risikomanagement?
Wir freuen uns auf Ihren Anruf:

Conrisco GmbH
Beuelsweg 20
50733 Köln

Gabriele Krämer
Tel. +49 151 2897 1212

Christoph Charpentier
Tel. +49 173 248 7457

E-Mail: info(at)conrisco.de
Web: www.conrisco.de