Von der Risikoinventur bis zum Risikohandbuch - Risikomanagement mit System

Transkript

1 Von der Risikoinventur bis zum Risikohandbuch - Risikomanagement mit System Der wirtschaftliche Erfolg und das Fortbestehen einer Unternehmung werden von vielen Faktoren beeinflusst. Auch und vor allem von Faktoren, die außerhalb des Unternehmens liegen. Das lässt die derzeitige Weltwirtschaftslage viele Unternehmen wieder deutlich und leider auch schmerzlich spüren. Existenzbedrohende Risiken lauern überall: im Marktumfeld, bei Lieferanten und Geschäftspartnern, intern beim Personal oder in der EDV. Welches Unternehmen spielt schon gerne Risiko, selbst wenn es sich davon die Eroberung anderer Märkte verspricht. Wer nichts riskiert, wird auch nichts gewinnen, heißt es andererseits. Es ist ganz natürlich, dass Unternehmen im Rahmen ihrer Geschäftstätigkeit Risiken eingehen. Über einen längeren Zeitraum hinweg risikolos Gewinne zu erwirtschaften, ist unmöglich. Somit bedeuten Risiken nicht nur Gefahr, sondern sind vielmehr eine notwendige Voraussetzung für den unternehmerischen Erfolg. Erst durch den bewussten, kontrollierten Umgang mit Risiken eröffnet sich jedem Unternehmen die Chance, die eigene Existenz langfristig zu sichern und erhebliche Wettbewerbsvorteile zu realisieren. Neben der offensichtlichen Notwendigkeit, ein konsequentes Risikomanagement zur sicheren Unternehmensführung umzusetzen, gibt es Anforderungen von Gesetzgeber und Kapitalgebern. Durch konkrete Vorschriften - im KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), - im Handelsgesetzbuch und - in der neuen Baseler Rahmenvereinbarung über die Eigenkapitalempfehlung für Kreditinstitute (Basel II) wird mehr Transparenz im Unternehmen gefordert. Besondere Aufmerksamkeit kommt dabei den Risikotreibern im Unternehmen zu. KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) reich) Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) konkretisiert die Verpflichtung der Geschäftsführung zum Risikomanagement. Das KonTraG, das zum 1. Mai 1998 in Kraft getreten ist, sieht die Implementierung eines Risikomanagement-Systems für Aktiengesellschaften vor ( 91 Abs. 2 AktG). Der Gesetzesbegründung ist zu entnehmen, dass das KonTraG auch bei Unternehmen mit der Rechtsform der GmbH und der GmbH & Co. KG anzuwenden ist (Ausstrahlungswirkung).

2 HGB (Handelsgesetzbuch) In 289 (1) heißt es, dass im Lagebericht zumindest der Geschäftsverlauf und die Lage der Kapitalgesellschaft so darzustellen sind, dass ein den tatsächlichen Verhältnissen entsprechendes Bild vermittelt wird. Dabei ist auch auf die Risiken der künftigen Entwicklung einzugehen. 315 (1) gibt vor, dass im Konzernlagebericht zumindest der Geschäftsverlauf und die Lage des Konzerns so darzustellen sind, dass ein den tatsächlichen Verhältnissen entsprechendes Bild vermittelt wird; dabei ist auch auf die Risiken der künftigen Entwicklung einzugehen. Basel II Die neue Baseler Rahmenvereinbarung über die Eigenkapitalempfehlung für Kreditinstitute (Basel II) bestimmen, dass die Institute ihre Kreditentscheidung künftig von der Bonität des Schuldners abhängig machen müssen. Das stellt die Unternehmen vor die Aufgabe, umfassende Informationen über die Finanz- und Risikolage zur Verfügung zu stellen. Nicht nur Gesetzgeber, sondern auch die Kapitalmärkte möchten mehr über die Risikotreiber eines Unternehmens erfahren. Es wird ein Überwachungssystem gefordert, mit dem Risiken frühzeitig zu erkennen sind. Diese Forderung richtet sich nicht nur an Aktiengesellschaften, sondern auch an alle anderen Unternehmen. Jeder Verantwortliche ist also gehalten, seinen Sorgfaltspflichten nachzukommen. Risikomanagement als Prozess Ein unternehmensweites Risikomanagement beinhaltet mehr als das reine Bewusstsein und Wissen um die Risiken. Es erfordert eine gründliche und konsequente Auseinandersetzung mit allen Unternehmensbereichen. Nicht als einmalige Aktion, sondern als dauerhafter Prozess, der in das Unternehmen implementiert wird. Ein Risikomanagement im Unternehmen einzuführen und mit Leben zu füllen, ist eine Herausforderung, der sich an erster Stelle die Geschäftsleitung annehmen sollte. Unterstützung bei der Visualisierung und Kontrolle des Risikomanagement- Prozesses finden Unternehmen in spezieller Business-Software. Der gesamte Workflow-Prozess wird in einzelne Prozessschritte unterteilt dargestellt: Risiken identifizieren, bewerten, analysieren, kommunizieren, steuern, kontrollieren und dokumentieren. Geschäftsführer und Risikoverantwortliche sind im ersten Schritt gefordert, umfassende Informationen über Risikofaktoren zu sammeln. Diese Phase der Informationsbeschaffung (z. B. mit Hilfe von Checklisten, Fehlerbaum-Analysen, Brainstorming und Interviews oder anhand von Unternehmens- oder Schadensberichten) ist die schwierigste und wichtigste im gesamten Prozess.

3 Nachdem die Risiken erkannt und identifiziert sind, wird die Bewertung bzw. Beurteilung der identifizierten Risiken vorgenommen. Die Risiko-Bewertung hat das Ziel, Risiken hinsichtlich ihres Gefährdungspotenzials in eine Rangordnung zu bringen und in einem Schadensportfolio abzubilden. Die Bewertung eines Risikos setzt sich zusammen aus der Auswirkung und der Eintrittswahrscheinlichkeit. Am Ende des Workflows steht die Dokumentation des gesamten Risikomanagement- Prozesses, z.b. in Form eines Risikohandbuches. Eine gute Dokumentation ist von großer Bedeutung für die langfristige Funktionsfähigkeit des Risikomanagements. Sie sollte u.a. enthalten: - Definition von bestandsgefährdenden Risikofeldern, - Angabe der Grundsätze für die Risikoerkennung, - Risikoanalyse und Risikokommunikation, - Festlegung von Verantwortlichkeiten, - Regelungen zur Berichterstattung, - Zusammenstellung der wesentlichen Kontrollen. Mit der Dokumentation des Risikomanagements ist der gesamte Prozess nicht abgeschlossen, sondern beginnt viel mehr von neuem. Die internen Risiken haben Unternehmen dank eines professionellen, softwaregestützten Risikomanagements unter Kontrolle. Und auch auf externe Risikofaktoren lässt sich schneller reagieren, wenn die Wirkungszusammenhänge bereits im Vorfeld erfasst und bewertet wurden. Je mehr über potenzielle und zukünftige Unternehmensrisiken bekannt ist, umso sicherer kann ein Unternehmen gesteuert, umso mehr Aspekte können bei der Unternehmensplanung berücksichtigt, umso genauer können verschiedenste Planungsszenarien aufgestellt werden. Vorteile, die Unternehmen als Spieler in einem schwierigen Marktumfeld einen gewissen Vorsprung verschaffen. Ziele des Risikomanagements Um langfristig ein Funktionieren des Prozesses zu garantieren, sollten die Ziele des Risikomanagements im Unternehmen klar definiert und kommuniziert werden. Neben der Erfassung, Analyse und Bewertung bestehender Risiken müssen alle Mitarbeiter mit ins Boot geholt werden. Ziel sollte es sein, ein angemessenes objektives Risikobewusstsein im Unternehmen zu schaffen. Wurden Risiken im Unternehmen identifiziert, kann das Ziel sein, das Risiko zu bewältigen oder zu beseitigen (z.b. durch Risikotransfer auf Dritte). Ist dies nicht möglich, kann ein bestehendes Risiko auch akzeptiert und die Risikolage systematisch beobachtet werden.

4 Ein Risikomanagement im Unternehmen einzuführen findet häufig den Ursprung in mangelnden Informationen bzw. im Informationsbedürfnis der Entscheidungsträger. Die systematische Weiterleitung von risikorelevanten Informationen an die zuständigen Entscheidungsträger - bei existenzbedrohenden Risiken an den Vorstand - ist somit ein übergeordnetes Ziel des Risikomanagements. Des Weiteren verfolgt ein Unternehmen mit der Einführung eines ganzheitlichen Risikomanagements die konsequente Überwachung der Einhaltung der getroffenen Entscheidungen und festgelegten Maßnahmen. Softwareunterstützung im Risikomanagement-Prozess Risikomanagement ist keine einmalige Aktion, sondern ein dauerhafter Prozess, der in das Unternehmen implementiert wird. Praktische Unterstützung können Unternehmen dabei durch den Einsatz geeigneter Software erfahren. Prozess sowie Werte, Zuständigkeiten und Zusammenhänge können einfacher und systematischer erfasst und kontrolliert werden. Im Idealfall begleitet das System den Anwender Schritt für Schritt durch den gesamten Prozess und dient der Visualisierung, Transparenz und Dokumentation von Risiken. Um den dargestellten Anforderungen gerecht zu werden, hilft ein Risikomanagement-System wie z.b. Risk Manager bei der systematischen Auseinandersetzung mit Risiken. In der Software kann der gesamte Workflow-Prozess interaktiv gesteuert werden. Der Benutzer wird grafisch durch die einzelnen Prozesse geleitet, was den kontrollierten und bewussten Umgang mit Risiken erleichtert. Die Prozessschritte im Überblick - Risiken identifizieren - Risiken bewerten - Risiken analysieren - Risiken kommunizieren - Risiken steuern - Risiken kontrollieren - Risiken dokumentieren

5 Die Phasen des Risikomanagement-Prozesses Erste Phase: Risiken identifizieren Der erste Schritt im Prozess des Risikomanagements ist zunächst die Identifikation der Risiken, die auf ein Unternehmen einwirken. Diese erste Phase der Informationsbeschaffung ist die schwierigste und wichtigste im gesamten Prozess des Risikomanagements. Es ist sehr wichtig, systematisch und prozessorientiert vorzugehen, da diese Phase die Informationsgrundlage für alle weiteren Schritte bildet. Die Identifikation der Risiken kann aus verschiedenen Perspektiven erfolgen. So können Risiken beispielsweise hinsichtlich der Risikoart (finanzwirtschaftlich, extern), unter zeitlichen Gesichtspunkten (bestehende, zukünftige Risiken) oder auf Ebene von Geschäftsfeldern (Produkte, Dienstleistungen, Services etc.) identifiziert werden. Am Ende der Identifikation entsteht ein Risiko-Inventar. Bei der Identifikation von Risiken helfen beispielsweise: - Bilanzen - Schadensberichte - Interviews - Unternehmensbesichtigungen - Workshops / Moderator - Checklisten - Fehlerbaum-Analyse - Flow-Chart-Analyse - Fehlermöglichkeits- und einflussanalyse (FMEA) - Brainstorming - Delphimethode - Desk research - Field research - Analyse der Unternehmensstrategie - Analyse der Unternehmensplanung Eine Einteilung der Risiken in verschiedene Risikozonen erleichtert eine strukturierte Erfassung aller Risiken. Diese Bereiche sollten individuell definiert werden können, beispielsweise in Betriebs-, Partner- oder Marktrisiken. Den Risikozonen können wiederum Risikofelder und Einzelrisiken zugeordnet werden. Zweite Phase: Risiken bewerten Nachdem die Risiken erkannt und identifiziert sind, wird die Bewertung bzw. Beurteilung der identifizierten Risiken vorgenommen. Die Risiko-Bewertung hat das Ziel, Risiken hinsichtlich ihres Gefährdungspotenzials in eine Rangordnung zu bringen und in einem Schadensportfolio abzubilden.

6 Die Bewertung eines Risikos setzt sich zusammen aus der Auswirkung und der Eintrittswahrscheinlichkeit. Die Auswirkung des Risikos kann dabei direkt über die Zuordnung von Geldwerten oder indirekt über eine Rating-Skala vorgenommen werden. In Abhängigkeit von der gewählten Skala zeigen die zugeordneten Werte eine niedrige, mittlere oder hohe Relevanz an. Die Eintrittswahrscheinlichkeit wird in Prozent angegeben. Dritte Phase: Risiken analysieren Die dritte Phase beschäftigt sich mit der Analyse der Risiken. Im Vordergrund steht hier insbesondere die Sortierung und Darstellung. Die Risiken können durch Zuhilfenahme entsprechender Software in Form von Balkendiagrammen nach Schaden, Auswirkung und Eintrittswahrscheinlichkeit gegliedert oder in Form eines Schadensportfolios abgebildet werden. Auch eine Zeitreihen-Darstellung ist verfügbar. Vierte Phase: Risiken kommunizieren Die vierte Phase umfasst die Bereiche Risiken beobachten und über Risiken berichten. Durch die Beobachtung soll eine systematische und nachvollziehbare Wahrnehmung der identifizierten Risiken gewährleistet werden. Das Berichtswesen verfolgt als Zielsetzung die Aufbereitung, Verdichtung und Kanalisierung der Daten aus der Beobachtung in Form eines systematischen internen Risikoreportings. Zur externen Kommunikation wird im Idealfall automatisch ein Risikohandbuch erstellt, das alle relevanten Aspekte des Risikomanagements übersichtlich und vollständig darstellt und zur Vorlage bei Banken und Kreditgebern dienen kann. Fünfte Phase: Risiken steuern Ziel dieser Phase ist es, die Auswirkungen sowie die Eintrittswahrscheinlichkeiten der identifizierten Risiken durch die Zuordnung von adäquaten Steuerungsinstrumenten zu reduzieren. In diesem Zusammenhang ist auch zu prüfen, ob Risiken vorhanden sind, für die es zurzeit keine ausreichenden Steuerungsmaßnahmen gibt. Bei Auswahl eines Steuerungsinstruments werden sämtliche Risiken angezeigt, die mit diesem Steuerungsinstrument verbunden sind. Dadurch werden alle Wirkungszusammenhänge im Risiken-, Steuerungs- und Kontrollinstrumentenkreis transparent. Die weiteren Schritte dieser Steuerungsphase sind: - Anlegen von Steuerungsinstrumenten - Anlegen von Maßnahmen zu den Steuerungsinstrumenten - Zuordnung der Steuerungsinstrumente zu den Risiken - Handlungsbedarfe feststellen Sechste Phase: Risiken kontrollieren In dieser Phase werden die aufgenommenen Steuerungsinstrumente nach Effizienz und Effektivität geprüft. Alle im Unternehmen befindlichen und potenziellen Kontrollinstrumente werden erfasst. Anschließend werden die passenden Kontroll-

7 instrumente den Steuerungsinstrumenten zugeordnet. Ein Handlungsbedarf besteht, wenn für die Steuerungsinstrumente keine oder unzureichende Kontrollinstrumente bestehen. Die Teilschritte dieser Phase im Überblick: - Anlegen von Kontrollinstrumenten - Anlegen von Maßnahmen zu den Kontrollinstrumenten - Zuordnung der Kontrollinstrumente zu den Steuerungsinstrumenten - Handlungsbedarfe feststellen Siebte Phase: Risiken dokumentieren Eine gute Dokumentation ist von großer Bedeutung für eine langfristige Funktionsfähigkeit des Risikomanagements. Risikohandbücher werden z.b. von der Risikomanagement-Software Risk Manager automatisch erzeugt und können individuell gestaltet werden. Es kann auch unternehmensweit mit Handbuchvorlagen gearbeitet werden, die das Erstellen neuer Risikohandbücher erheblich vereinfachen und beschleunigen. Texte und Textbausteine, die mehrfach genutzt werden, können in Bibliotheken gestellt werden. Alle Texte, die Bibliothekstexte nutzen, werden bei einer Aktualisierung des Textes in der Bibliothek automatisch angepasst. Folgende Anforderungen an ein Risikohandbuch sollten berücksichtigt sein: - Definition von Risikofeldern, die zu bestandsgefährdenden Entwicklungen führen können - Angabe der Grundsätze für die Risikoerkennung, Risikoanalyse und Risikokommunikation - Festlegung von Verantwortlichkeiten - Regelungen zur Berichterstattung - Zusammenstellung der wesentlichen Kontrollen Mit der Dokumentation des Risikomanagements ist der gesamte Prozess nicht abgeschlossen, sondern beginnt viel mehr von Neuem. Es gilt, das Unternehmen so zu gestalten und zu steuern, dass es hinsichtlich seiner Risikolage jederzeit unter Kontrolle ist. Risikomanagement mit System: : Risk Manager ager Die Softwarelösung Risk Manager von dem BI-Anbieter Corporate Planning ist ein Werkzeug für das Risikomanagement beliebiger Betriebe, Konzerne und Organisationen. Die Organisationsstruktur wird in einer übersichtlichen Baumstruktur abgebildet, die eine einfache Orientierung ermöglicht.

8 Risk Manager unterstützt die entscheidungsorientierte Aufbereitung der wichtigen Informationen im Risikoprozess. Zukünftige erkennbare Risiken können frühzeitig berücksichtigt werden. Die Ergebnisse der Risikoanalysen werden visualisiert und grafisch dargestellt. Bis hin zum fertigen Risikohandbuch auf Knopfdruck wird die Berichterstattung ermöglicht. Das Risikohandbuch kann direkt genutzt werden, um es einer Wirtschaftsprüfungsgesellschaft oder Kapitalgebern zur Verfügung zu stellen. Risk Manager ist mandantenfähig und kann daher von Wirtschaftsprüfungsgesellschaften und Unternehmensberatungen für Mandanten eingesetzt werden, um für diese ein Risikomanagement-System zu implementieren. Die Softwarelösung ist sehr übersichtlich, einfach zu bedienen und damit schnell einsetzbar. Der Anwender wird systematisch durch die einzelnen Prozessschritte geführt. Eine differenzierte Benutzerverwaltung mit Passwortschutz ermöglicht einen gezielten Zugriff der einzelnen User auf das Risikomanagement-System. Das Risikomanagement-Tool Risk Manager gibt es auch als Version für das Konzernrisikomanagement. Risk Manager Consolidation ermöglicht die Konsolidierung der Risiken über alle Filialen, Einzelgesellschaften, Tochterunternehmen eines Unternehmens oder Konzerns. Der gesamte Risikomanagement-Prozess des Konzerns wird in dem System abgebildet und im Konzernrisikohandbuch übersichtlich zusammengefasst. Das zentrale Risikomanagement erhält einen Überblick über alle im Konzern oder Untenehmen existierende Risiken. Durch ein zentral definiertes Risikohandbuch werden alle Angaben einheitlich und eindeutig erfasst. Risiken der Einzelgesellschaft wie auch die konsolidierten Risiken aller Gesellschaften können dargestellt und ausgewertet werden. Anteile der Filialen oder Einzelgesellschaften an bestimmten Risiken werden direkt ersichtlich. Darauf basierend können rechtzeitig geeignete Maßnahmen definiert werden. Zudem weisen von den Filialen selbst ergänzte Risiken auf Trends hin, die ggf. zusätzlich im Konzernrisikomanagement berücksichtigt werden müssen.

9 Über die CP Corporate Planning AG: Die CP Corporate Planning AG vereint in ihren anwenderorientierten Softwarelösungen betriebswirtschaftliches Know-how, Branchen-Kenntnisse und anspruchsvolle Technologie. Über Unternehmen vertrauen bei ihrer Unternehmensführung auf die Produkte des Controlling-Spezialisten. Das leistungsstarke Software-Portfolio für Unternehmensplanung und -steuerung zeichnet sich durch leichte Bedienung, höchste Flexibilität und kurze Implementierungszeiten aus. Es besteht aus den Produkten Corporate Planner, CP-Cons, CP-Cash Manager, Strategic Planner, Risk Manager und dem Balanced-Scorecard- System CP-BSC. Damit deckt es den gesamten Bereich der Unternehmenssteuerung (Liquiditätsplanung, Finanz- und Erfolgsplanung, Kosten- und Vertriebscontrolling, Risikomanagement, Konsolidierung, Balanced Scorecard, strategische Unternehmenssteuerung) in einer einzigen Produktsuite ab. Weitere Informationen: CP Corporate Planning AG Nathalie Többen Public Relations Große Elbstraße 27 D Hamburg Tel.: Fax: nathalie.toebben@cp.ag Internet: