Risikomanagement "leicht gemacht"? (Teil 2/2)

Inhalte:

  • Linienfunktion schaffen
  • Rechtliche Aspekte
  • Zusammenfassung
  • Quickcheck - Liste
  • Literaturhinweise

Risikomanagement "leicht gemacht"? (Teil 1/2) finden Sie hier.

Linienfunktion schaffen 

Um eine Aufgabe einer Linienfunktion zuordnen zu können, ist es sinnvoll, einen entsprechenden Prozess zu gestalten. In der Literatur wird dieser hinreichend als Risikomanagementprozess bezeichnet.

Dieser Prozess wird üblicherweise in mehrere, nachfolgend genannte Module unterteilt, welche für jedes identifizierte Risiko zu durchlaufen sind. Im Rahmen eines Management Informations Systems (MIS) sollten die so aufbereiteten Risikoinformationen in regelmäßigen Abständen an die verantwortlichen Entscheidungsträger kommuniziert werden.

Module des Risikomanagementprozesses und deren Zusammenhang:

Module des Risikomanagementprozesses: Analyse, Bewertung, Minderung, Verfolgung, Kontrolle

Abbildung 3: Module des Risikomanagementprozesses

 

Im Modul der Analyse werden die identifizierten Risiken üblicherweise in Bezug auf eine Eintrittswahrscheinlichkeit als auch das Schadenpotenzial hin untersucht. Beide Parameter sind mit Bedacht generisch gewählt, damit jeder Anwender einen individuell auf die zu analysierenden Risiken anzuwendende Größenordnungen verwenden kann.

Die Eintrittswahrscheinlichkeit kann von „hoch, mittel, niedrig“ bis hin zu „häufig, wahrscheinlich, gelegentlich, entfernt vorstellbar, unwahrscheinlich, unvorstellbar“ kategorisiert werden. Gleiches gilt für die Darstellung des Schadenpotenzials. Die Parametereinteilung geht von „hoch, mittel, niedrig“ bis hin zu „unwahrscheinlich, geringfügig, kritisch, katastrophal“.  Grundsätzlich ist die Granularität in Abhängigkeit (a) des Bereiches bzw. (b) der Adressaten zu wählen, über die bzw. an die berichtet wird.

Das Ergebnis der Analyse ist die Bewertung der Risiken und eine damit verbundene Priorisierung der Risiken. Diese kann zum einen tabellarisch, zum anderen grafisch erfolgen. Zu empfehlen ist die grafische Variante, da diese einen schnelleren Überblick gewährleistet.

Für diese grafische Darstellung wird in der Regel eine Risikomatrix gewählt, welche als Einteilung die zuvor genannten Parameter enthält.

Beispiel einer Risikomatrix

Abbildung 4: Beispiel einer Risikomatrix

 

Im Modul der Bewertung erfolgt für die identifizierten Risiken eine Priorisierung und somit eine mögliche hierarchische und grafische Darstellung. Sollten Risiken dabei im roten Bereich abgebildet werden, so gilt es, diese durch geeignete Maßnahmen soweit zu mindern, dass sie im gelben Bereich abgebildet werden können. Der ALAP (as low as possible)-Bereich spiegelt jenen Bereich wider, in dem Risiken maximal gelistet sein sollten.

In der Regel sind dies Risiken, die zum einen durch eingeleitete Maßnahmen minimiert wurden, also aus dem Bereich „inakzeptabel“ kommen, oder die zum anderen durch besondere Umstände eine Höhergruppierung aus dem Bereich „akzeptabel“ erfahren haben.

Als Ergebnis des Minderungsmoduls sollte kein Risiko mehr im roten Bereich abge­bildet werden müssen. Ist dies dennoch der Umstand, so ist die Durchführung des Vorhabens mehr als deutlich zu hinterfragen (Kosten/Nutzen/Gefährdung) und vielleicht ganz zu unterlassen, bis Maßnahmen identifiziert sind, welche eine Minderung mindestens hin zu ALAP erlauben.

An der Stellschraube "Eintrittswahrscheinlichkeit" ist bei Risiken zu stellen, wenn das Schadenausmaß nicht reduziert werden kann. Z.B. kann durch angemessenes Fahrverhalten die Eintrittswahrscheinlichkeit eines Unfalls minimiert werden; kommt es dennoch zum Unfall, so ist das Schadenausmaß nicht vorwegnehmbar.

Beeinflussen hingegen äußere Umstände das Vorhaben, so kann an der Stellschraube „Schadenausmaß“ gestellt werden. Ein klassische Beispiel hierfür sind die Finanz­märkte. Wenn ein Geschäft in einer ausländischen  Währung abgewickelt wird, kann die Eintrittswahrscheinlichkeit von entstehenden Kursschwankungen nicht wirklich beeinflusst werden. Hingegen kann das Schadenausmaß durch entsprechende vertragliche Fixierung des Kurses oder andere Sicherungsgeschäfte gesteuert werden. 

Im Rahmen des Kontrollmoduls erfolgt eine Neubewertung der Risiken, um festzu­stellen, welche Veränderungen sich ergeben haben. Solche in der Bewertung können verschiedene Ursachen haben:

-          eingeleitete Maßnahmen zur Minderung haben gegriffen / nicht gegriffen

-          Veränderungen in der Ablauf- und Aufbauorganisation haben sich ergeben

-          Umweltfaktoren haben sich verändert (Genehmigungen versagt / Markt­aktivitäten / politische Ereignisse / persönliche Meinungen / Managementwechsel etc. )

Das Verfolgungsmodul lässt die Veränderungen erst sichtbar werden. Im Rahmen der Verfolgung ist immer eine Gesamtbetrachtung (z.B. unter Nutzung einer Kosten-Nutzen-Analyse) und keine Zeitpunktbetrachtung sinnvoll. Durch eine Zeitpunktbe­trachtung können z.B. zeitliche oder budgettechnische Limitbeschränkungen leicht „übersehen“ werden.

 

Rechtliche Aspekte

Nationale Maßgaben

Warum sollten Risiken in Bezug auf bestimmte Vorhaben eigentlich untersucht und festgehalten werden?

In der Bundesrepublik Deutschland wurde z. B. 1998 das „Gesetz zu Kontrolle und Transparenz im Unternehmensbereich“, kurz KonTraG, für Aktiengesellschaften eingeführt. Hierdurch werden die Unternehmen gesetzlich zur Etablierung  einer Risikofrüherkennung verpflichtet, welche den Erhalt des eigenen Unternehmens sicherstellt. Aus § 91 II AktG („…der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten hat, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“) leitet sich die Einführung eines Risikomanagementsystems ab (vormals leitete sich dies aus dem § 76 AktG ab).

Diese Maßgabe bezieht sich auch auf Unternehmen anderer Rechtsformen und Größen. Insbesondere die Rechtsform der GmbH ist hierbei zu berücksichtigen (§ 43 I und II GmbHG). Dass die Einrichtung eines Riskofrüherkennungssystems nicht nur ein Projekt darstellt, sondern kontinuierlicher Bestandteil der Unternehmenskultur ist, ist durch die Wirtschaftsprüfer gemäß §317 IV HGB zu prüfen. Die Prüfergebnisse sind im Prüfungsbericht festzuhalten.

Der IDW hat hierzu einen Prüfungsstandard (IDW PS 340) entwickelt, an dessen Anforderungen sich die Handlungen zur Prüfung des Risikofrüherkennungssystems ausrichten.

Im Rahmen der Früherkennung werden die ermittelten Risiken in sogenannte „bestandsgefährdende Risiken“ und „Risiken, die Auswirkungen auf die Ertrags-, Finanz- und Vermögenslage“ haben, unterschieden. Die „bestandsgefährdenden Risiken“ werden auf eine Laufzeit von zwölf Monaten hin betrachtet und die „Risiken, die Auswirkungen auf die Ertrags-, Finanz- und Vermögenslage“ haben, auf eine Laufzeit von 24 Monaten.

 

Internationale Maßgaben 

Im Rahmen der Globalisierung sind selbstverständlich auch die internationalen Ausprägungen und jeweils lokalen Anforderungen zu berücksichtigen.

Zu den bekanntesten rechtlichen Maßgaben in diesem Zusammenhang kann mit Sicherheit der Sarbanes-Oxley-Act gezählt werden. Sarbanes-Oxley-Act ist eine Rechnungslegungsvorschrift für Unternehmen, welche an US-amerikanischen Börsen notiert sind. Aus dieser Vorschrift gehen nicht nur strenge Maßgaben an das Interne Kontrollsystem (IKS) für ein Unternehmen hervor, sondern auch Maßgaben für ein entsprechendes Risikomanagementsystem.

Mit Inkrafttreten des „Gesetzes zur Modernisierung des Bilanzrechts“ (Bilanz­moderni­sierungs­­gesetz – BilMoG) sind die EU-Richtlinien am 25. Mai 2009 in deutsches Recht umgesetzt worden.

Das bedeutet für die Kapitalgesellschaften im Sinn des § 264 d HGB, dass sie in ihrem Lage­bericht (§289 HGB) die wesentlichen Merkmale des Internen Kontroll- und Risiko­manage­ment­systems im Hinblick auf den Rechnungslegungsprozess zu beschreiben haben (sinngemäß findet diese Maßgabe auch für Konzerne Anwendung, bei wel­chen eine Tochtergesellschaft und/oder die Muttergesellschaft unter die Maßgaben des § 264 d fällt).

 

Zusammenfassung

Abgesehen davon, dass der Gesetzgeber auf die Installation eines Risikomanagementsystems hin drängt, sollte es für ein Unternehmen selbstverständlich sein, sich seiner Risiken bewusst sein zu wollen. Dass das durch die Komplexität und Schnelllebigkeit in der heutigen Zeit mit Sicherheit nicht einfach ist, liegt auf der Hand. Aber gerade darin begründet sich die Notwendigkeit, ein Risikomanagementsystem zu installieren und „up to date“ zu halten.

Aus dem Projektmanagement heraus hat sich eine Aussage herauskristallisiert, die sich auch auf viele andere Bereiche übertragen lässt:

„Wer die Projektrisiken beherrscht, beherrscht das Projekt“

 

Quick Check 

Noch ein paar Fragen (für die eigene Kontrolle, unabhängig von der Rechtsform des Unternehmens) zum Abschluss:

Quick Check zum Stand des Risikomanagements in Ihrem Unternehmen

Tabelle 1: Quickcheck

Sollte eine Frage nicht mit „JA“ beantwortet werden können, so ist dies ein Anhaltspunkt für ein mögliches Verbesserungspotential des Risikomanagements in Ihrem Unternehmen. Die einzuleitenden Maßnahmen sind selbstverständlich individuell auf Ihr Unternehmen abgestimmt durchzuführen und können somit nicht Bestandteil des Quickcheck sein.

 

Literaturhinweise

Da zu fast jeder Aufgabenstellung in Bezug auf Risikomanagement mannigfaltige Literatur im deutsch- als auch englischsprachigen Raum vorhanden ist, sollten die nachfolgend genannten Literaturhinweise wirklich nur als Hinweis verstanden werden. Das Internet bietet hierzu eine hinreichend gute Plattform, Suchaufträge durchzuführen.

  • Diederichs, Marc: Risikomanagement und Risikocontrolling : Risikocontrolling - ein integrierter Bestandteil einer modernen Risikomanagement-Konzeption. München : Vahlen, 2004 (Controlling Praxis). – ISBN 3800630842
  • Roland Erben, Frank Romeike: Allein auf stürmischer See. Wiley-VCH, 2004, ISBN 3-527-50073-1.
  • W. Gleißner, Frank Romeike: Risikomanagement – Umsetzung, Werkzeuge, Risikobewertung. Haufe 2005, ISBN 3-448-06209-X.
  • Detlef Keitsch: Risikomanagement. Schäffer-Poeschel, 2004, ISBN 3-7910-2295-4.
  • Koller: Wissensrisiken – Risiken aus Sicht des Wissensmanagements.
  • Frank Romeike, Peter Hager: Erfolgsfaktor Risiko-Management 2.0. 2. Auflage, Gabler-Verlag, 2009, ISBN 978-3-8349-0895-7.
  • Christoph Gebler: Risikomanagement und Rating für Unternehmer Beuth, 2005, ISBN 3-410-16110-4.

 

Der Artikel ist nach bestem Wissen und Gewissen recherchiert. Er dient lediglich dazu, einen Anhaltspunkt zu setzen, um weitere Schritte zu prüfen. Der Ersteller übernimmt keinerlei Haftung, Für den Inhalt der verlinkten Webseiten und Dokumente sind die Beitreiber der Webseiten verantwortlich. Alle Angaben ohne Gewähr.

Risk, Governance & Compliance
(IT) Compliance/(IT) Governance
Risikomanagement
IKS
  • Xing logo
  • LinkedIn logo
  • Twitter logo
  • Facebook logo