Risikomanagement

Risikomanagement umfasst:

• Festlegungen von Zielen auf Basis der Vision und Strategie der Organisation
• Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen
• Festlegung einer Risikomanagement-Strategie
• Identifikation von Risiken (im Finanzrisikomanagement mit „Exposure-Ermittlung” bezeichnet)
• Bewertung/Messung von Risiken
• Bewältigung von Risiken
• Steuerung
• Monitoring, also Früherkennung.

Grundsätzlich beginnt Risikomanagement in dem Moment, in dem eine Vision, ein Wunschbild der zukünftigen Realität entsteht. Denn die Chancen, die man dazu wahrnehmen muss, werden durch Unwägbarkeiten gefährdet. Ohne konkrete Ziele lassen sich keine Abweichungen messen.

Die Wahl der Strategie ist im Wesentlichen abhängig von der Einstellung (risikoavers, risikoneutral oder risikofreudig) gegenüber einem Vorhaben.

Die Identifikation von Risiken kann z. B. mittels Szenario-Technik, Post-Mortem-Analyse, Expertenbefragungen, Delphi-Methode, Checklisten, Kreativitätstechniken oder einfach durch offene und ehrliche Kommunikation erfolgen.

Eine Möglichkeit für die Messung von Risiken sind Risikokennzahlen wie der Value at Risk (VaR), aber eben nur eine. Eine Bewertung kann auch durch Expertenurteil erfolgen. Zur Darstellung kann eine Risikomatrix verwendet werden, die die Eintrittswahrscheinlichkeit eines Risikos seinen Folgen bzw. Schäden gegenüberstellt. Um die Auswirkung der einzelnen Risiken auf das Unternehmen darzustellen, ist eine Risikoaggregation erforderlich, die mittels Simulation den Gesamtrisikoumfang des z. B. Eigenkapitalbedarf zur Risikodeckung berechnet.

Bei der internen Erfassung sind Kreditinstitute grundsätzlich frei. Hingegen bei der Erfassung für den externen Adressaten sind die Kreditinstitute an die Vorgaben der Bankenaufsicht/BAFin im Grundsatz 1 gebunden.

Grundsätzlich gibt es fünf unterschiedliche Risikosteuerungsstrategien:

• Risikovermeidung, z. B. durch Verzicht auf ein Geschäft oder Aufgabe eines Geschäftsfelds
• Risikoübertragung, -überwälzung z. B. auf Marktpartner (Outsourcing) oder Versicherungen
• Risikoverminderung, z. B. Risikodiversifikation
• Risikoakzeptanz, z. B. Kompensation durch Dotierung der Risikovorsorge
• Risikobeseitigung, z. B. durch Abstellen eines organisatorischen Mangels.

Ziel des Risiko-Monitoring ist es, die erkannten Risiken im Auge zu behalten.

Das Vorgehen beim Risikomanagment kann auch in Phasen dargestellt werden.

Die wesentlichen Schritte eines Risikomanagementprozesses bestehen aus den Phasen

1. Risikoanalyse,
2. Risikobewertung,
3. Risikominimierung,
4. Risikokontrolle,
5. Risikoverfolgung.

Vor der Risikoanalyse wird ein Risikograph festgelegt, der die elementaren Parameter Eintrittswahrscheinlichkeit und Schadensausmaß einem Akzeptanzbereich zuordnet. Während der Risikobewertung wird jede in der Phase Risikoanalyse identifizierte Gefährdung unter dem Aspekt Eintrittswahrscheinlichkeit und Schadensausmaß bewertet. Damit landet jedes Risiko in einem Bereich des Risikographen. Ziel der Risikominimierung ist es schließlich für alle Risiken, die im inakzeptablen Bereich (bzw. im ALARP-Bereich) des Risikographen liegen, Maßnahmen festzulegen, die Eintrittswahrscheinlichkeit und/oder Schadensausmaß verringern. Am Ende dieser Phase sollte kein Risiko mehr im inakzeptablen Bereich liegen. In der Praxis lässt sich in der Regel das Schadensausmaß kaum verringern, meistens wird eine Risikominimierung durch Verringerung der Eintrittswahrscheinlichkeit erreicht (z. B. durch zweihändige Bedienung von Industriepressen wird die Eintrittswahrscheinlichkeit für einen Unfall verringert). Bei Finanzrisiken jedoch ist häufig nur das Schadensausmaß, nicht aber die Eintrittswahrscheinlichkeit beeinflussbar (z. B. kann ein Unternehmen die Wahrscheinlichkeit eines Anstieges des Dollarkurses nicht beeinflussen, kann aber durch entsprechende Sicherungsgeschäfte die potentiellen Auswirkungen steuern).

Während der Phase der Risikokontrolle erfolgt schließlich eine Neubewertung aller Risiken zur Überprüfung der eingeführten Maßnahmen, und um festzustellen, ob eingeführte Maßnahmen neuen Risiken mit sich bringen.

Risiken im ALARP-Bereich (ALARP bedeutet As Low As Reasonably Practicable) sollen auf ein vernünftiges und durchführbares Maß minimiert werden. Dies bedeutet zum Beispiel, dass ein Risiko als tolerierbar eingestuft werden kann, wenn die Kosten für seine Minimierung höher liegen als die Kosten, die bei Eintritt des Risikos zu erwarten sind. In diesem Fall sind weitere Maßnahmen zur Risikokontrolle nicht praktikabel. Eine Risiko-Nutzen-Analyse kann in diesem Fall verwendet werden, um abzuschätzen, ob der Nutzen des Produkts das Restrisiko überwiegt.

• Unternehmensrisiken lassen sich unterteilen in Fortführungsrisiken und Ertrags- und Reputationsrisiken
• Kreditrisiken befassen sich mit möglichen Kreditausfällen und den Marktrisiken wie zum Beispiel Zinsänderungen
• Finanzanlagerisiken
• Umweltrisiken befassen sich mit Antizipation Schadensereignissen wie Lawinen, Überschwemmungen, Steinschlag und Murgängen und deren Steuerung zum Beispiel mit baulichen Massnahmen und Gefahrenzonenplanung.
• Versicherungstechnischen Risiken
• Technische Risiken: Auch technische Risiken können in einem Managementsystem behandelt werden, dies ist z. B. Bestandteil des Arbeitsschutzes bzw. Arbeitsschutzmanagement. Über die Schadensbewertung und Massnahmen zur Schadensvermeidung besteht auch eine Verbindung zum finanzbezogenen Risikomanagement. So beziehen sich einige Fragen des Fragenkatalog von Basel II auch auf technische Risiken, wie z. B. Risiken des Herstellungsprozesses und der Arbeitssicherheit.

Das Risikomanagement spielt im Versicherungsmarkt und als Vorstufe zur Versicherung eine zentrale Rolle.

Allgemein kann unterschieden werden zwischen quantitativem Risikomanagement (Risiko wird in „Geld“ bewertet) und qualitativem Risikomanagement (Risiken werden mit einer Risikomaßzahl belegt, die nur die relative Risikohöhe der Risiken zueinander innerhalb eines abgeschlossenen Risikomanagementsystems beschreibt). Welche Risikomanagementmethode zum Einsatz kommt, hängt vor allem von den im Folgenden dargestellten Einsatzbereichen ab:

• im Finanzwesen (hier liegen die Ursprünge des Risikomanagements)
• in der Versicherungswirtschaft
• in der Unternehmungsführung. Implementierung einer Risikomanagement-Organisation zur Steuerung von operationellen Risiken, welche die Kernprozesse gefährden. Dabei gilt der Grundsatz Prozess-Eigner = Risiko-Eigner. Unterstützt wird die RM Organisation durch eine unternehmensweite Risikoberichterstattung (Risk Reporting), welches richtig eingesetzt eine Frühwarnung ermöglicht.
• im Projektmanagement zur Minimierung von Prozessrisiken. Typische „Kernrisiken“ (Prozessrisiken) im Projektmanagement sind fehlerhafte Zeitpläne, Inflation von Anforderungen, Mitarbeiterfluktuation, Spezifikationskollaps, geringe Produktivität und Gruppendruck/„group think“. Das Thema Projektmanagement wird auch ausführlich in den englischen Wikipedia-Seiten behandelt.)
• in der Informationstechnologie (z. B. im Rahmen von Disaster Recovery Planning und Business Continuity Management)
• in der Entwicklung sicherheitskritischer Systeme und Produkte wird Risikomanagement verwendet, um Produktrisiken zu minimieren (vgl. beispielsweise ISO 14971 für Medizinprodukte)
• in der Informatik in Softwareentwicklungsprojekten im Rahmen des Projektmanagements

Im Finanzwesen und in der Versicherungswirtschaft kommen hier hauptsächlich quantitative Risikomanagementmethoden zum Einsatz. In der Unternehmensführung erzwingt das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) inzwischen seit 1998 von großen Unternehmen und Aktiengesellschaften ein quantitatives Risikomanagement (mit Risikostrukturdarstellung in der Bilanz). Im Projektmanagement und weiten Bereichen der Informationstechnologie reicht normalerweise ein qualitatives Risikomanagementsystem aus.

Qualitative Risikomanagementmethoden zeichnen sich dabei dadurch aus, dass sie eine weniger aufwändige Mathematik voraussetzen. Quantitative Risikomanagementmethoden dagegen nutzen überwiegend Finanz- und Versicherungsmathematische Methoden und Modelle zur Ermittlung der Höhe der Risiken. Ein Versuch die verschiedenen Ansätze des Risikomanagements zu vereinen, stellt das erweiterte Risikomanagement (XRM) dar.

Risikomanagement in Projekten beschäftigt sich mit allen Tätigkeiten, welche zur Verhinderung von oder zum Umgang mit ungeplanten Ereignissen beschäftigt, welche den Projektverlauf gefährden.

Es findet immer ein Abwägen der notwendigen Aufwände zur Risikominimierung oder des (mit der Eintrittswahrscheinlichkeit gewichteten) Schadens bei Risikoeintritt statt. Teilweise werden im Risikomanagement auch Themen des sog. Issuemanagement - also der Behandlung eingetretener und vorher nicht identifizierter Risiken behandelt.

Das PMBOK Guide sieht hierfür sechs Hauptprozesse vor:

Risikomanagementplanung

Hier werden die Verfahren festgelegt, mit denen die folgenden Risikoprozesse arbeiten. Hierzu gehören Identifikationsmethoden, Dokumentationsstrategien, Bewertungsstrategien und Verantwortlichkeiten.

Risikoidentifikation

Während der Risikoidentifikation werden Risiken (potentielle Behinderungen) mit verschiedenen Methoden identifiziert und dokumentiert.

Qualitative Risikoanalyse

Die identifizierten Risiken werden qualifiziert, hierzu gehört die Priorisierung auf Basis der Wahrscheinlichkeit des Eintretens und Auswirkungen auf den Projekterfolg.

Quantitative Risikoanalyse

Danach erfolgt die quantitative Bewertung (in geldwerten Größen) von Risikowirkung, Gegenmaßnahmen und/oder erforderlichen Rückstellungen.

Planung zur Risikobewältigung

Die Planung der Risikobewältigung ermittelt Gegenmaßnahmen, um das Eintreten von Risiken zu minimieren oder die Auswirkungen der Risiken zu reduzieren.

Risikoüberwachung und - verfolgung

Der Status der Risiken (meist in einer Risikoliste dokumentiert) und der Status der Gegenmaßnahmen wird kontinuierlich überwacht.

Siehe auch: Projektmanagement

Für Versicherungsunternehmen zählt die Übernahme von Risiken zum eigentlichen Geschäftsmodell. Versicherungen begrenzen die Wahrscheinlichkeit einer überdurchschnittlichen Belastung durch Schadensfälle in erster Linie durch Rückversicherung, mit deren Hilfe sie Großschäden und Kumulrisiken begrenzen.

Für Banken unterteilt man das betriebswirtschaftliche Gesamtrisiko in ein operationelles Risiko (z. B. durch Ausfälle in der IT), das Kreditrisiko (d. h. den Ausfall von Kreditnehmern), das Kontrahentenrisiko (d. h. den Ausfall von Kontrahenten bei Handelsgeschäften) als besonderen Teil des Kreditrisikos, das Liquiditätsrisiko (fällige Gelder können nicht aus den flüssigen Mitteln bedient werden, Geschäfte können auf Grund mangelnder Marktliquidität nicht zu den erwarteten Bedingungen abgeschlossen werden) und das Marktrisiko (z. B. Wechselkursrisiko, Zinsänderungsrisiko). In der Praxis wird oftmals das Reputationsrisiko (Risiko des Ansehensverlustes durch geschäftspolitische Entscheidungen o. Ä.) separat vom operationellen Risiko betrachtet. Den systematischen Ausfall mehrerer Geschäftspartner aufgrund von Branchenrisiko oder Länderrisiko bezeichnet man in der Kreditwirtschaft auch als Klumpenrisiko.

Das Risikomanagement hat sich auch in den Ingenieurwissenschaften, z. B. bei der Entwicklung von sicherheitskritischen Systemen, und in den Umweltwissenschaften in Bezug auf Umweltrisiken etabliert.

Im Gegensatz zum klassischen Risikomanagement in den Ingenieurwissenschaften, welches primär auf die Minimierung von Prozessrisiken ausgelegt ist, versucht man bei der Entwicklung von sicherheitskritischen Systemen die Produktrisiken zu minimieren. So ist die Implementierung und Umsetzung des Risikomanagements für Entwicklung und Herstellung von Medizinprodukten durch Normung vorgeschrieben.

Unter Produktrisiken versteht man Gefährdungen, die zu Lasten des Kunden (Ausfall, Versagen, Tod, Zerstörung) und damit auch zu Lasten des Herstellers (Haftung, Imageverlust, Wartungsaufwand) fallen können. Mithilfe eines systematischen Risikomanagementprozesses soll sichergestellt werden, dass Produktrisiken bereits bei der Entwicklung identifiziert, bewertet, kontrolliert und überwacht werden.

Im Umgang mit Naturgefahren wird das Konzept des integrierten Risikomanagements in der Praxis immer wichtiger. So wurde z. B. jüngst im Bereich des Hochwasserschutzes der Begriff des Hochwasserrisikomanagements durch die Hochwasserrichtlinie 2007/60/EG eingeführt. Diese verlangt ein mehrstufiges Vorgehen zum Management dieser Naturgefahr: zuerst die vorläufige Abschätzung, dann das Erstellen und Hochwassergefahrenkarten (HWGK) und Hochwasserrisikokarten (HWRK), darauf aufbauend dann die Erstellung von Hochwasserrisikomanagementplänen (HWRMP).

Bei der Entwicklung und Implementierung von Informationssystemen werden zunehmend Methoden des Risikomanagements eingesetzt, um der zunehmenden Komplexität und der damit verbundenen Fehleranfälligkeit zu begegnen. Aspekte des Risikomanagements sollten über den gesamten System-Lebenszyklus, also beginnend mit dem Konzept, über die Entwicklung oder Programmierung, Implementierung und Konfiguration und während des Betriebes bis hin zur Stilllegung des Systems berücksichtigt werden.

Risikomanagement wurde nicht erst seit dem KonTraG oder dem Sarbanes-Oxley Act erfunden. Unternehmen, Organisationen und Individuen mussten seit Menschengedenken Risiken aller Art bewältigen.

Negative Konsequenzen des seit dem Börsencrash und den unzähligen Skandalen ‚neu‘ erfundenen Risikomanagements sind die überbordende Bürokratie, eine Flut streckenweise überflüssiger, pseudowissenschaftlicher Literatur und die Stärkung einer dem kooperativen Führungsstil zuwiderlaufende Unternehmenskultur der lückenlosen Kontrolle und Überwachung.

Die größten Risiken in den Organisationen sind immer die Handelnden selbst, weil sie Änderungen der Umwelt (Marktrisiken, Umweltrisiken, technologische Risiken) nicht rechtzeitig sehen können oder sehen wollen. Je größer ihr Handlungsspielraum, desto höher das Risiko. Da die Stabsstellen, die in heutigen Unternehmen für Risikomanagement, aber auch Interne Revision und Corporate Governance zuständig sind, diesen Handelnden dienen, ist ihre Einflussmöglichkeit zumindest in entscheidenden Fragen eher gering. Dies gilt insbesondere dann, wenn die Verantwortlichen die Bodenhaftung verloren haben oder in die eigene Tasche wirtschaften.

Im praktischen, betrieblichen Risikomanagement ist eines der Hauptprobleme die realistische Bewertung von Risiken, die fast immer auf subjektiven Annahmen beruht, aber auch die Festlegung von sinnvollen Frühwarnindikatoren zur Überwachung von identifizierten Risikopotentialen.

• Rendite
• Performance (Risikomanagement)
• Gewinn
• Arithmetische Rendite
• Geometrische Rendite
• Annualisierte Rendite
• Stetige, logarithmierte Rendite
• Volatilität
• Mittelwert, Erwartungswert
• Varianz
• Standardabweichung
• Korrelationskoeffizient
• Value at Risk.

Nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sind Aktiengesellschaften (AGs) in Deutschland gesetzlich zur Risikofrüherkennung, einem Teilbereich des Risikomanagements, verpflichtet, um den Erhalt des eigenen Unternehmens sicherzustellen. Dies gilt anerkanntermaßen heute auch für andere Unternehmensformen und -größen und insbesondere für GmbH (§ 43 I und II GmbHG - wobei § 43 II in Bezug auf das Risikomanagement so ausgelegt wird, dass der GmbH-Geschäftsführer die ausgewiesenen Pflichten des § 91 II AktG erfüllen muss). Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB durch die Abschlussprüfer richtet sich dabei vornehmlich an dem IDW Prüfungsstandard 340 (IDW PS 340) aus. Bei der Früherkennung von Risiken ist zu unterscheiden nach „bestandsgefährdenden Risiken“ - mit einer 12 Monatssichtweise - und den „Risiken, die Auswirkungen auf die Ertrags-, Finanz- und Vermögenslage“ - mit einer 24 Monatssicht - des Unternehmens haben. International finden sich ähnliche rechtliche Anforderungen beispielsweise im Sarbanes-Oxley Act, einer Rechnungslegungsvorschrift für Unternehmen, die an US-Börsen gelistet sind. Risikomanagement ist eine Komponente des im Sarbanes-Oxley Act geforderten internen Kontrollsystems (IKS).

• Bundesanstalt für Finanzdienstleistungsaufsicht: Mindestanforderungen an das Risikomanagement. Bank-Verlag Medien, ISBN 3-86556-129-2.
• Thorsten M. Bröder: Risiko-Management im internationalen Bankgeschäft. Eine holistische Analyse unter besonderer Berücksichtigung der Steuerung und Kontrolle. Reihe Bank- und finanzwirtschaftliche Forschungen. Band 375, Haupt Verlag AG, Bern/Stuttgart/Wien 2006, ISBN 3-258-07078-4.
• Tom DeMarco, Timothy Lister: Bärentango. ISBN 3-446-22333-9.
• Michael Durica: Die Risiken der Risikoabsicherung. In: Risiko-Manager. 21/2006.
• Roland Erben, Frank Romeike: Allein auf stürmischer See. Wiley-VCH, 2004, ISBN 3-527-50073-1.
• Gietl, Lobinger: Risikomanagement für Geschäftsprozesse. Hanser, 2005, ISBN 3-446-40283-7.
• W. Gleißner, Frank Romeike: Risikomanagement – Umsetzung, Werkzeuge, Risikobewertung. Haufe 2005, ISBN 3-448-06209-X.
• Kai Ullrick Hopp: GmbH-Risikomanagement. Bonn 2001, ISBN 3-923763-72-7.
• Detlef Keitsch: Risikomanagement. Schäffer-Poeschel, 2004, ISBN 3-7910-2295-4.
• Koller: Wissensrisiken – Risiken aus Sicht des Wissensmanagements.
• Locher, Mehlau, Hackenberg, Wild: Risikomanagement in Finanzwirtschaft und Industrie.
• Klaus-Rainer Müller: Handbuch Unternehmenssicherheit. Vieweg, 2005, ISBN 3-528-05889-7.
• M. Müller-Reichart, Frank Romeike: Risikomanagement in Versicherungsunternehmen. ISBN 3-527-50106-1.
• Frank Romeike, R. Finke (Hrsg.): Erfolgsfaktor Risiko-Management. Gabler-Verlag, ISBN 3-409-12200-1.
• Frank Romeike: Lexikon Risiko-Management. Bank-Verlag Medien, 2004, ISBN 3-86556-005-9.
• Thosten Schmitz, Michael Wehrheim: Risikomanagement. Grundlagen – Theorie – Praxis. Kohlhammer, Stuttgart 2006, ISBN 3-17-019330-9.
• Axel Sitt: Dynamisches Risiko-Management. Deutscher Universitätslegende, 2004, ISBN 3-8244-0734-5.
• Gerhard Versteegen (Hrsg.): Risikomanagement in IT-Projekten. ISBN 3-540-44175-1.
• Worst Case. Zwischen Angst, Alarm und Gelassenheit. Themenheft der Schweizer Monatshefte, Ausgabe September/Oktober 2006.

• Risikoanalyse
• Risikomanager
• Unsicherheit
• Entscheidung unter Unsicherheit
• Management Risk Controlling (MRC)
• Risikocontrolling
• Risikomanagement-Standard
• UMIB

• Umfangreicher Online-Informationsdienst zum Risikomanagement, „Spin-Off“ der Uni Kiel
• Umfangreiche Online-Plattform sowie virtuelle Bibliothek (eLibrary) zum Thema Risikomanagement
• Infosite der Fachhochschule des bfi Wien mit Publikationen zum Thema
• Schriftenreihe "Wirtschaft und Management" Schwerpunktausgaben "Risikomanagement"