Prospektives Risikomanagement System

Full.blog.11

Prozessorientiert Risiken managen soll vor existenzgefährdenden Fehlentwicklungen schützen

Die Risikoidentifizierung, d.h. die strukturierte Erfassung aller Unternehmensrisiken ist die Herausforderung. Unternehmens- und Ökologiekrisen (z.B. Fukushima) provozieren Kritik. Aktionäre, Gläubiger und die Öffentlichkeit stellen Fragen:

  • Konnten die Risiken nich früher erkannt oder vermieden werden?
  • Werden in unserem Unternehmen die Risiken auch vernetzt analysiert?
  • Warum hat niemand etwas dagegen unternommen?
  • Wo waren das Management, der Verwaltungsrat, die Abschlussprüfer und Revisoren?

 

Die Risiken sind Teil jedes unternehmenrischen Handelns. Chancen und Risiken bedingen einander, d.h. jede Chance beinhaltet auch Risiken, mit denen es gilt richtig umzugehen. Risiken treten jedoch nicht einfach so auf, sondern sind vielfach durch menschliches Fehlverhalten und nicht frühzeitige Erkennung der Risikosituation bedingt. Fordern die Shareholder eine Steigerung des Unternehmens- bzw. Aktienwertes, so soll das Unternehmen diese Wertsteigerung sicher erreichen, d.h. Chancen wahrnehmen, Gewinn stei-gern, aber gleichzeitig mit den heutigen und vor allem den zukünftigen Unternehmensrisiken richtig umgehen.

Systematisches Risikomanagement ermöglicht es, Risiken frühzeitig zu erkennen (prospektives Risikomanagement), zu kontrollieren und zu beherrschen.
Die Verfehlung unternehmerischer (strategische wie operationelle) Zielsetzungen kann somit als Risiko definiert werden. Dabei wird die positive Zielverfehlung als Chance („upside risk“) und die negative als Gefahr („downside risk“) bezeichnet.

 

Risiken managen! Vertrauen ist gut - Kontrolle ist besser und muss sein

Der Risikomanagement Prozess

Unternehmen, Märkte und Gesellschaften unterliegen einem stetigen Wandel. Chancen und Risiken ändern sich mit ihnen. Risikomanagement ist daher kein einmaliger Akt, sondern ein kontinuierlicher Prozess.

Risiko kann als das Verfehlen unternehmerischer Zielsetzung definiert werden. Dabei kann eine negative Verfehlung der Zielsetzung genauso existenzgefährdend sein wie eine positive Verfehlung (z.B. unerwartet hoher Gewinn infolge illegaler Machenschaften).

Der Risikomanagement Prozess umfasst alle Aktivitäten zum systematischen Umgang mit Risiken im Unternehmen. Dazu gehören die Identifikation, Analyse und Steuerung der Risiken im Unternehmen, die operative Überwachung des Erfolgs der Steuerungsmassnahmen sowie die Überwachung der Effektivität und Angemessenheit der Massnahmen des Risikomanagements. Letztere fordert durch entspre-chende Rückkopplung zu den übrigen Prozessschritten die Stabilität und Weiterentwicklung des Risikomanagement Prozesses. Die Überwachung des Risikomanagement Systems (RMS) muss im operativen Bereich durch die Unternehmensleitung und im strategischen Bereich durch die Aufsichtsgremien erfolgen. Durch einen wirkungsvollen Risikomanagement Prozess kann das Unternehmensrisiko als zusätzliche Steuerungsgrösse operationalisiert und aktiv gestaltet werden.

 

Durch gezielte Beeinflussung von Risiken ein Risikoprofil sicherzustellen, das der eigenen Risikoneigung entspricht

Der Risikomanagement Prozess ermöglicht der Unternehmensleitung, durch die gezielte Beeinflussung von Risiken ein Risikoprofil sicherzustellen, das der eigenen Risikoneigung sowie den Risiko-Rendite-Erwartungen der Anteilseigner entspricht. Risikomanagement darf jedoch nicht als einmalige, zeitpunktbezogene Durchführung und Abstimmung von Massnahmen, d.h. als „Einmalaktion“, verstanden werden. Auch verfehlt es seinen Zweck, wenn es lediglich als isolierter, parallel zu den eigentlichen Unternehmensaktivitäten verlautender Prozess installiert wird. Zur erfolgreichen Umsetzung kommt es vielmehr darauf an, Risikomanagement als einen kontinuierlichen Prozess im Unternehmen zu etablieren und in die wesentlichen Unternehmensprozesse zu integrieren. Denn häufig sind gerade ineffektive Unternehmensprozesse oder Schnittstellenprobleme die Ursache von Risiken. Aufgabe des Risikomanagements ist daher, Risiken bereits in den Prozessen, d.h. am Ort ihres Entstehens, zu erfassen und zu beeinflussen. Ein Schwerpunkt sollte deshalb darauf liegen, durch einen wirkungsvollen Risikomanagement Prozess auch auf den ersten Blick unverbundene Prozesse und Bereiche in ihren Zusammenhängen transparent zu machen. Da sich Risiken und Risikostruktur fortlaufend verändern, ist ferner darauf zu achten, dass der Risikomanagement-Prozess flexibel gestaltet ist, so das Umfeldänderungen berücksichtigt werden können. Dies betont gleichzeitig die Bedeutung von Risikoidentifikation und Risikoanalyse. Diese müssen durch das rechtzeitige Erfassen von Entwicklungen einschliesslich ihrer möglichen Auswirkungen die Handlungsspielräume für notwendige Reaktionen schaffen sowie die notwendigen Anpassungsmassnahmen auslösen. Der Risikomanagement Prozess und die damit verbundene aktive Beeinflussung des Unternehmensrisikos soll nicht zuletzt Krisensituationen und deren Ad-hoc-Bekämpfung auf das von der Unternehmensleitung bewusst akzeptierte „Restrisiko“ beschränken.

 

Risikoidentifizierung - Strukturierte Erfassung aller Unternehmensrisiken ist die Herausforderung

Effektives Risikomanagement, d.h. die rechtzeitige, angemessene und effiziente Reaktion auf unerwünschte Entwicklungen bzw. deren Vermeidung, erfordert detaillierte Kenntnisse der Unternehmensrisiken einschliesslich ihrer Wirkungszusammenhänge. Hierzu gehören vor allem die Identifikation von Risiken sowie ihre (qualitative) Bewertung oder (quantitative) Messung. Diese liefern die Informationsbasis für die nachgelagerten Prozessschritte, insbesondere für die Risikosteuerung.

Das Ziel der Risikoidentifikation ist die strukturierte Erfassung der wesentlichen Risiken bzw. Risikobereiche im Unternehmen, d.h. der Bereiche und Prozesse mit dem originär höchs-ten Risikopotential. Hierzu gehören z. B. besonders risikoträchtige Geschäfte oder Prozesse, besondere Empfindlichkeiten gegenüber Währungsschwankungen, Schwächen in der Produktnachfolgeplanung, Abhängigkeit eines ganzen Produktbereichs von einer kleinen Gruppe von Spezialisten, usw. Dabei setzt die Risikoidentifikation an den von der Unternehmensleitung vorgegebenen Zielen und den daraus abgeleiteten Subzielen an.
Die Definition des Unternehmensrisikos hat bereits deutlich gemacht, das es sich bei Risiko um einen relativen Begriff handelt. Zur Beurteilung von Risiken - und damit der Risikosituation eines Unternehmens - ist es mithin erforderlich, dass sich das Unternehmen bezüglich seiner Ziele im klaren ist. Sollte dies nicht oder nur unzureichend der Fall sein, muss der eigentlichen Risikoidentifikation eine umfassende Analyse der Strategie des Unternehmens, seiner Stärken und Schwächen sowie seines Umfelds vorangestellt werden, aus der sich eine Zielsystematik ableiten lässt. Theorie und Praxis haben hierzu eine Reihe von Analysean-sätzen und Strukturierungshilfen entwickelt. Dazu gehört zum Beispiel die SWOT-Analyse als Ansatz zur Identifikation der eigenen Stärken und Schwächen sowie von Chancen und Gefahren.

„SWOT“ steht dabei für Strengths, Weaknesses, Opportunities und Threats. Auch Strukturierungshilfen wie die PEST-Analyse zur Untersuchung des Unternehmensumfelds hinsichtlich politischer, ökonomischer, sozialer und technologischer Faktoren („PEST“: Political, Economic, Social, Technological) oder die von Michael Porter entwickelte Analyse der branchenspezifischen Wettbewerbskräfte zählen dazu. Die anschliessende Abbildung gibt einen Überblick, wie die genannten Ansätze auch kombiniert eingesetzt werden können.

Für die Beurteilung des Unternehmenserfolgs ist letztlich die Entwicklung des Unternehmenswerts entscheidend. Deshalb gilt es, im Rahmen dieser Analysephase insbesondere die Cash-Flow-Träger im Unternehmen zu identifizieren und im Hinblick auf ihre kritischen Erfolgsfaktoren zu untersuchen. Die Risikoidentifikation setzt dann an der Untersuchung der die Erfolgsfaktoren möglicherweise beeinträchtigenden Parameter an.

 

Erfassung aller auf die Unternehmens- und Subziele wirkenden Risiken mittels Risikobrainstorming und Risikoanalyse

Die Risikoidentifikation sollte zunächst unter bewusster Vernachlässigung eventuell vorhandener Kontrollen oder anderer Risikomanagement-Massnahmen, d.h. der vorhan denen Kontrollstruktur, erfolgen. Diese Vorgehensweise ermöglicht in der ersten Stufe der Risikoidentifikation die Erfassung aller auf die Unternehmensziele und Subziele wirkenden Risiken. Sie liefert dadurch wichtige Anhalts punkte für mögliche Risikozusammenhänge, die bei einer reinen Restrisikobetrachtung möglicherweise von der Kontrollstruktur verdeckt werden und dadurch unbeachtet bleiben. Bei bedeutenden Änderungen der Rahmenbedingungen können sie jedoch kurzfristig brisant werden.

Die Risikoidentifikation soll die Gesamtunternehmenssicht widerspiegeln. Hierzu ist ein „Top-down„ Vorgehen erforderlich, das bei der Unternehmensleitung ansetzt und von dort in die Unternehmensbereiche und -prozesse vorangetrieben wird. Hierzu bietet sich zunächst die Durchführung von Workshops mit den Mitgliedern der Unternehmensleitung an. Diese können von Mitarbeitern der Risikomanagement-Funktion und ggf. externen Experten moderiert werden. In einer ersten Runde gilt es, potentielle Gefahren für die angestrebten Ziele und den Unternehmenserfolg insgesamt im Rahmen eines „Risikobrainstorming“ zu identifizieren. Als Grundlage für ein solches Risikobrainstorming sollte im Vorfeld eine grobe, möglichst allgemeine Risikosystematik erarbeitet werden. Diese darf die Diskussion, die für die Risikoidentifikation notwendig ist, jedoch keinesfalls von vornherein einschränken. Insbesondere in elektronischen Prozessen gilt es zukunftsorientierte Risiken frühzeitig zu erkennen und sinnvolle Sicherheitsmassnahmen einzuleiten. Überlegt man sich, wie stark die Abhängigkeit der Geschäfts- und Produktionsprozesse von der Informatik und Telekommunikation küftig zunehmen wird, so erkennt man schnell, welcher Stellenwert das IT-Risikomanagement in Zukunft haben wird.

 

Moderierte prospektive Risikoanalyse-Workshops mit Risikoportfolio

Die qualitative und quantitative Messung der Risiken unter Miteinbezug des vernetzten Denkens ist entscheidend!

Zur Ableitung von angemessenen Steuerungsmassnahmen müssen die identifizierten Risiken weiter untersucht und bewertet werden. Ziel der Risikoanalyse ist die qualitative Beurteilung bzw. quantitative Messung der Risiken, um das Risikoportfolio des Unternehmens abzubilden. Dabei sollten die Wirkungszusammenhänge einzelner Risiken berücksichtigt werden.

Im Rahmen der Risikoidentifikation werden die vorhandenen Kontrollstrukturen bewusst ausser acht gelassen. Hierdurch soll vermieden werden, dass durch die reine Restrisikobetrachtung potentielle zukünftige Gefahrenherde unbeachtet bleiben, die sich bei veränderten Rahmenbedingungen durchaus kurzfristig zur Bedrohung entwickeln können. Auch im Hinblick auf die prospektive Risikoanalyse empfiehlt sich zunächst eine grobe Beurteilung des originären Risikos, d.h. der Risikosituation vor Kontrollen und Risikomanagement. Die Ergebnisse dieser Beurteilung können als Ausgangspunkt für die weitergehende Analyse der Risikosituation unter Berücksichtigung vorhandener Strukturen und Massnahmen dienen. Unternehmens (Image) herangezogen werden. Der Einfluss von Risiken auf die Reputation ist insbesondere wegen seiner strategischen Bedeutung hervorzuheben. Weiterhin kann die Häufigkeit der Entscheidung oder des Sachverhalts, die einem Risiko zugrunde liegen, wichtige Anhaltspunkte für die spätere Beurteilung der Ereigniswahrscheinlichkeit liefern.

Die Markteinführung eines Nachfolgeprodukts, das die Anforderungen und Erwartungen des Marktes verfehlt, kann beispielsweise zu empfindlichen Marktanteilsverlusten führen oder sogar das „Aus“ für einen ganzen Produktbereich bedeuten. Die finanziellen Auswirkungen sowie die Aus-wirkungen auf die Reputation des Unternehmens sind entsprechend hoch. Allerdings kommt ein derartiger Produktwechsel in der Regel seltener als einmal im Jahr vor. Diese Konstellation unterstreicht gleichzeitig die strategische Bedeutung der Entscheidungen, die im Zusammenhang mit der Produktnachfolgeplanung zu treffen sind.
Der täglich vorkommende Ausschuss bei der Fertigung eines Massenproduktes hingegen ist in der Regel ein operatives Problem. Sowohl der finanzielle Schaden als auch die Reputationswirkung werden sich üblicherweise in Grenzen halten.

Die Ergebnisse dieser ersten Analysephase können ergänzend in den Risikokatalog aufgenommen werden. Dieser sollte als Ergebnis der Risikoidentifikation bereits die erkannten Risiken einschliesslich einer kurzen Beschreibung enthalten. Ergänzt wird er nun um weitergehende Erläuterungen zur Risikoursache, die Häufigheit des Auftretens sowie eine grobe Bewertung des (maximalen) Verlustpotentials ohne Risikomanagement.

 

Zu viele Führungskräfte lassen sich in ihrer Entscheidungsfindung zu sehr bremsen. Es ist völlig natürlich, alle Fakten haben zu wollen und auf die Untersuchungen zu bauen. Aber an irgendeinem Punkt muss man den Sprung ins Ungewisse wagen. Erstens, weil selbst die richtige Entscheidung falsch ist, wenn sie zu spät erfolgt. Zweitens, weil es in den meisten Fällen so etwas wie Gewissheit gar nicht gibt.
Lee Iacocca (1924), amerik. Topmanager, 1979-92 Vorstandsvors. Chrysler Corp.

 

nach oben