Risikomanagement

Unter Risikomanagement [-ˌmænɪdʒmənt] versteht man den planvollen Umgang mit Risiken. Dabei kann es sich um allgemeine unternehmerische Risiken handeln oder um spezielle finanzielle Risiken.

Auch technische Risiken können in einem Managementsystem behandelt werden, dies ist z. B. Bestandteil des Arbeitsschutz bzw. Arbeitsschutzmanagement. Im geringen Maße spielen sie aber auch beim finanzbezogenen Risikomanagement eine Rolle. So beziehen sich einige Fragen des Fragenkatalog von Basel II auch auf technische Risiken, wie z. B. Risiken des Herstellungsprozesses und der Arbeitssicherheit.

Das Risikomanagement spielt im Versicherungsmarkt und als Vorstufe zur Versicherung eine zentrale Rolle.

Risikomanagement beinhaltet:

• Festlegungen von Zielen auf Basis der Vision und Strategie der Organisation
• Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen
• Festlegung einer Risikomanagement-Strategie
• Identifikation von Risiken (im Finanzrisikomanagement mit „Exposure-Ermittlung” bezeichnet)
• Bewertung/Messung
• Risikobewältigung
• Steuerung
• Monitoring, also Früherkennung

Grundsätzlich beginnt Risikomanagement in dem Moment, in dem eine Vision, ein Wunschbild der zukünftigen Realität entsteht. Denn die Chancen, die man dazu wahrnehmen muss, werden durch Unwägbarkeiten gefährdet. Ohne konkrete Ziele kann man keine Abweichung messen.

Die Wahl der Strategie ist im Wesentlichen abhängig von der Einstellung (risikoavers, risikoneutral oder risikofreudig) gegenüber einem Vorhaben.

Die Identifikation von Risiken kann z.B. mittels Szenario-Technik, Post-mortem-Analyse, Expertenbefragungen, Checklisten, Kreativitätstechniken oder einfach offene und ehrliche Kommunikation erfolgen.

Eine Möglichkeit für die Messung von Risiken sind Risikokennzahlen wie der Value at Risk (VaR), aber eben nur eine. Eine Bewertung kann auch durch Expertenurteil erfolgen. Zur Darstellung kann eine Risikomatrix verwendet werden, die die Eintrittswahrscheinlichkeit eines Risikos seinen Folgen bzw. Schäden gegenüberstellt.

Ziel des Risiko-Monitoring ist es, die erkannten Risiken im Auge zu behalten.

Grundsätzlich gibt es fünf unterschiedliche Risikosteuerungsstrategien:

• Risikovermeidung, z.B. durch Verzicht auf ein Geschäft oder Aufgabe eines Geschäftsfelds
• Risikoübertragung, -überwälzung z.B. auf Marktpartner (Outsourcing) oder Versicherungen
• Risikoverminderung, z.B. Risikodiversifikation
• Risikoakzeptierung, z.B. Kompensation durch Dotierung der Risikovorsorge
• Risikobeseitigung, z.B. durch Abstellen eines organisatorischen Mangels

Risikomanagement wurde nicht erst seit dem KonTraG oder dem Sarbanes-Oxley Act erfunden. Unternehmen, Organisationen und Individuen mussten seit Menschengedenken Risiken aller Art bewältigen.

Negative Konsequenzen des seit dem Börsencrash und der unzähligen Skandale 'neu' erfundenen Risikomanagements sind die überbordende Bürokratie, eine Flut streckenweise überflüssiger, pseudowissenschaftlicher Literatur und die Stärkung einer dem korporativen Führungsstil zuwiderlaufende Unternehmenskultur der lückenlosen Kontrolle und Überwachung.

Die größten Risiken in den Organisationen sind immer die Handelnden selbst, weil sie Änderungen der Umwelt (Marktrisiken, Umweltrisiken, technologische Risiken) nicht rechtzeitig sehen können oder sehen wollen. Je höher ihr Handlungsspielraum, desto höher das Risiko. Da die Stabsstellen, die in heutigen Unternehmen für Risikomanagement, aber auch Interne Revision und Corporate Governance zuständig sind, diesen Handelnden dienen, ist ihre Einflussmöglichkeit zumindest in entscheidenden Fragen eher gering. Dies gilt insbesondere dann, wenn die Verantwortlichen die Bodenhaftung verloren haben oder in die eigene Tasche wirtschaften.

Im praktischen, betrieblichen Risikomanagement ist eines der Hauptprobleme die realistische Bewertung von Risiken, die fast immer auf subjektiven Annahmen beruht, aber auch die Festlegung von sinnvollen Frühwarnindikatoren zur Überwachung von identifizierten Risikopotentialen.

• Rendite
• Performance (Risikomanagement)
• Gewinn
• Arithmetische Rendite
• Geometrische Rendite
• Annualisierte Rendite
• Stetige, logarithmierte Rendite
• Volatilität
• Mittelwert, Erwartungswert
• Varianz
• Standardabweichung
• Korrelationskoeffizient
• Value at Risk

Nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sind Aktiengesellschaften (AGs) in Deutschland gesetzlich zur Risikofrüherkennung, einem Teilbereich des Risikomanagements, verpflichtet, um den Erhalt des eigenen Unternehmens sicherzustellen. Dies gilt anerkanntermaßen heute auch für andere Unternehmensformen und -größen und insbesondere für GmbH's ( § 43 I und II GmbHG - wobei § 43 II in Bezug auf das Risikomanagement so ausgelegt wird, dass der GmbH-Geschäftsführer die ausgewiesenen Pflichten des § 91 II AktG erfüllen muss). Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB durch die Abschlußprüfer richtet sich dabei vornehmlich an dem IDW Prüfungsstandard 340 (IDW PS 340) aus. Bei der Früherkennung von Risiken ist zu unterscheiden nach "bestandsgefährdenden Risiken" - mit einer 12 Monatssichtweise - und den "Risiken, die Auswirkungen auf die Ertrags-, Finanz- und Vermögenslage" - mit einer 24 Monatssicht - des Unternehmens haben. International finden sich ähnliche rechtliche Anforderungen beispielsweise im Sarbanes-Oxley Act, einer Rechnungslegungsvorschrift für Unternehmen, die an US-Börsen gelistet sind. Risikomanagement ist eine Komponente des im Sarbanes-Oxley Act geforderten internen Kontrollsystems (IKS).

Allgemein kann unterschieden werden zwischen quantitativem Risikomanagement (Risiko wird in "Geld" bewertet) und qualitativem Risikomanagement (Risiken werden mit einer Risikomaßzahl belegt, die nur die relative Risikohöhe der Risiken zueinander innerhalb eines abgeschlossenen Risikomanagementsystems beschreibt). Welche Risikomanagementmethode zum Einsatz kommt hängt vor allem von den im Folgenden dargestellten Einsatzbereichen ab.

• im Finanzwesen (hier liegen die Ursprünge des Risikomanagements)
• in der Versicherungswirtschaft
• in der Unternehmungsführung. Implementierung einer Risikomanagement-Organisation zur Steuerung von operationellen Risiken, welche die Kernprozesse gefährden. Dabei gilt der Grundsatz Prozess-Eigner = Risiko-Eigner. Unterstützt wird die RM Organisation durch eine unternehmensweite Risikoberichterstattung (Risk Reporting), welches richtig eingesetzt eine Frühwarnung ermöglicht.
• im Projektmanagement. Typische „Kernrisiken” im Projektmanagment sind fehlerhafte Zeitpläne, Inflation von Anforderungen, Mitarbeiterfluktuation, Spezifikationskollaps, geringe Produktivität und Gruppendruck/"group think". Das Thema Projektmanagement wird auch ausführlich in den englischen Wikipedia-Seiten behandelt.)
• in der Informationstechnologie (z.B. im Rahmen von Disaster Recovery Planning und Business Continuity Management)

Im Finanzwesen und der Versicherungswirtschaft kommen hier hauptsächlich quantitative Risikomanagementmethoden zum Einsatz. In der Unternehmensführung erzwingt das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) inzwischen seit 1998 von großen Unternehmen und Aktiengesellschaften ein quantitatives Risikomanagement (mit Risikostrukturdarstellung in der Bilanz). Im Projektmanagement und weiten Bereichen der Informationstechnologie reicht normalerweise ein qualitatives Risikomanagementsystem aus. Qualitative Risikomanagementmethoden zeichnen sich dabei dadurch aus, dass sie eine weniger aufwändige Mathematik voraussetzen. Quantitative Risikomanagementmethoden dagegen nutzen überwiegend Finanz- und Versicherungsmathematische Methoden und Modelle zur Ermittlung der Höhe der Risiken. Ein Versuch die verschiedenen Ansätze des Risikomanagements zu vereinen, stellt das erweiterte Risikomanagement (XRM) dar.

Risikomanagement in Projekten beschäftigt sich mit allen Tätigkeiten, welche zur Verhinderung von oder zum Umgang mit ungeplanten Ereignissen beschäftigt, welche den Projektverlauf gefährden.

Es findet immer ein Abwägen der notwendigen Aufwände zur Risikominimierung oder des (mit der Eintrittswahrscheinlichkeit gewichteten) Schadens bei Risikoeintritt statt. Teilweise werden im Risikomanagement auch Themen des sog. Issuemanagement - also der Behandlung eingetretener und vorher nicht identifizierter Risiken behandelt.

Das PMBOK Guide sieht hierfür sechs Hauptprozesse vor:

• Risikomanagementplanung

Hier werden die Verfahren festgelegt, mit denen die folgenden Risikoprozesse arbeiten. Hierzu gehören Identifikationsmethoden, Dokumentationsstrategien, Bewertungsstratagien und Verantwortlichkeiten.

• Risikoidentifikation

Während der Risikoidentifikation werden Risiken (potentielle Behinderungen) mit verschiedenen Methoden identifiziert und dokumentiert.

• Qualitative Risikoanalyse

Die identifizierten Risiken werden qualifiziert, hierzu gehört die Priorisierung auf Basis von Wahrscheinlichkeit des Eintretens und Auswirkungen auf den Projekterfolg.

• Quantitative Risikoanalyse

Danach erfolgt die quantitative Bewertung (in geldwerten Größen) von Risikowirkung, Gegenmaßnahmen und/oder erforderlichen Rückstellungen.

• Planung zur Risikobewältigung

Die Planung der Risikobewältigung ermittelt Gegenmaßnahmen, um das Eintreten von Risiken zu minimieren oder die Auswirkungen der Risiken zu reduzieren.

• Risikoüberwachung und - verfolgung

Der Status der Risiken (meist in einer Risikoliste dokumentiert) und der Status der Gegenmaßnahmen wird kontinuierlich überwacht.

• Projektmanagement
• http://www.pmqs.de - Wissensplattform zu Projektmanagement im Internet
• http://www.pmifc.de/ - PMI, Frankfurt Chapter

Für Versicherungsunternehmen zählt die Übernahme von Risiken zum eigentlichen Geschäftsmodell. Versicherungen begrenzen die Wahrscheinlichkeit einer überdurchschnittlichen Belastung durch Schadensfälle in erster Linie durch Rückversicherung, mit deren Hilfe sie Großschäden und Kumulrisiken begrenzen.

Für Banken unterteilt man das betriebswirtschaftliche Gesamtrisiko in ein operationelles Risiko (z. B. durch Ausfälle in der IT), das Adressenrisiko (d. h. den Ausfall von Kreditnehmern), das Kontrahentenrisiko (d.h. den Ausfall von Wertpapier-Handelspartnern), das Liquiditätsrisiko (fällige Gelder können nicht aus den flüssigen Mitteln bedient werden) und das Marktrisiko. Das Marktrisiko lässt sich weiter in das Währungsrisiko, das Kursrisiko und das Zinsrisiko unterteilen. In der Praxis wird oftmals das Reputationsrisiko (Risiko des Ansehensverlustes durch geschäftspolitische Entscheidungen o. Ä.) separat vom operationellen Risiko betrachtet. Den systematischen Ausfall mehrerer Geschäftspartner aufgrund von Branchenrisiko oder Länderrisiko bezeichnet man in der Kreditwirtschaft auch als Klumpenrisiko.

• DeMarco, Lister: Bärentango ISBN 3-446-22333-9
• Gietl, Lobinger: Risikomanagement für Geschäftsprozesse. 2005. HANSER, ISBN 3-446-40283-7
• Greul, Walter (Hrsg.): Chance Risikomanagement - Barometer 2005, ISBN 3-00-015847-2,Download
• Koller: Wissensrisiken - Risiken aus Sicht des Wissensmanagements, [1]
• Locher, Mehlau, Hackenberg, Wild: Risikomanagement in Finanzwirtschaft und Industrie, Download
• Müller, Klaus-Rainer: Handbuch Unternehmenssicherheit. 2005. VIEWEG, ISBN 3-528-05889-7
• Romeike/Finke (Hrsg.): Erfolgsfaktor Risiko-Management ISBN 3-409-12200-1
• Sitt: Dynamisches Risiko Management ISBN 3-8244-0734-5, Download
• Versteegen (Hrsg.): Risikomanagement in IT-Projekten ISBN 3-540-44175-1
• Keitsch, Detlef: "Risikomanagement" , ISBN 3 - 7910-2295-4 . Stuttgart 2004 2. Auflage
• Hopp, Kai Ullrick: "GmbH-Risikomanagement", ISBN 3-923763-72-7 , Bonn 2001

• Risikoanalyse
• Unsicherheit
• Entscheidung unter Unsicherheit

• Umfangreicher Online-Informationsdienst zum Risikomanagement, "Spin-Off" der Uni Kiel
• Frei zugängliche Online-Checklisten zum Risikomanagement
• Deutschsprachige Online-Plattform zum Thema Risikomanagement