RISIKOMANAGEMENT - KONZEPT UND REALISIERUNG

Transkript

1 CM controller magazin 6/05 RISIKOMANAGEMENT - KONZEPT UND REALISIERUNG von Wilfried Lux, Wollerau CH, und Wolfgang Kohn, Lörrach Dr. Wilfried Lux ist vollamtlicher Dozent für Betriebswirtschaft mit besonderer Berücksichtigung des Controllings an der Fachhochschule St. Gallen (FHS). Er ist außerdem Leiter des Zentrums für Finanzen & Controlling an der FHS sowie Dozent an der Kalaidos Fachhochschule in Zürich ( wilfried.lux@fhsg.ch) Dr. Wolfgang Kohn ist selbständiger Systementwickler mit Schwerpunkt Risikomanagement und Applikationen zu mathematischen Fragestellungen ( wolfgang.kohn@safe-sarim.de) Gesetzliche Regelungen und Normen 1 Seit 1998 existiert in Deutschland eine gesetzliche Norm, die Vorstände von Aktiengesellschaften dazu verpflichtet, geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich KonTraG mit Bezug auf 91 Abs. 2 AktG). Dies bedeutet eine zweistufige Verpflichtung zu Maßnahmen der Risikofrüherkennung sowie der Risikoüberwachung. Diese Vorschriften wurden 2002 durch den Deutschen Corporate Government Codex ( 90 AktG) weiter konkretisiert. Hierin wird gefordert, dass der Vorstand regelmäßig, zeitnah und umfassend über den Stand des Risikomanagements und der Risikolage im Unternehmen informiert wird. In Großbritannien ergeben sich die Regeln für das Risikomanagement nicht aus gesetzlichen Vorschriften, sondern aus dem Combined Code on Corporate Governance. Dieser entstand 1998 und wurde im folgenden Jahr durch den Turnbull-Report Internal Control konkretisiert. Er fordert Maßnahmen und Regeln, die eine effektive und effiziente Ausführung der Wertschöpfungsprozesse sicherstellen, Fehler in der Berichter- stattung vermeiden und die Befolgung von Gesetzen und Richtlinien sicherstellen. In den USA verschärft der 2002 erlassene Sarbanes Oxley Act (SOA) die Regulierung im Kapitalmarktrecht und schreibt die Einrichtung interner Kontrollsysteme zwingend vor. Obgleich ein Risikomanagement nicht direkt gefordert wird, verpflichtet 302 zur Ordnungsmäßigkeit der Finanzberichterstattung und zur Sicherstellung, dass u. a. die wesentlichen Risiken an die Unternehmensleitung berichtet werden; außerdem muss gem. 404 die Unternehmensleitung die Funktionsfähigkeit des internen Finanzkontrollsystems anhand bestimmter Kriterien prüfen und der SEC zusammen mit dem Jahresbericht einen Internal Control Report einreichen. Bereits 1992 wurde der erste COSO Report veröffentlicht. COSO steht für Committee of Sponsoring Organizations of the Treadway Commission und wurde 1985 von fünf amerikanischen Berufsverbänden des Rechnungswesens ins Leben gerufen. Ziel war es, Ursachen von und Maßnahmen gegen betrügerische Finanzberichterstattung zu erarbeiten. Im ersten Report mit dem Titel Internal Control Integrated Framework werden Leitlinien für ein internes Kontrollsystem geschaffen. Interne Kontrolle bedeutet für COSO einen Prozess zur Sicherstellung der Effizienz und Effektivität der Geschäftsprozesse, Verlässlichkeit der Finanzberichterstattung sowie der Einhaltung von Gesetzen. Fünf Kernelemente sollten die Erreichung dieser Ziele mit hinreichender Gewissheit ( reasonable assurance") sicherstellen: Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten, Information und Kommunikation sowie die Überwachung. 63 % der Börsen kodierten amerikanischen Unternehmen nutzen dieses Referenzkonzept. Das zweite im Jahre 2003 von COSO veröffentlichte Rahmenkonzept das Enterprise Risk Management Framework stellt das Risikomanagement in den Mittelpunkt. Hiermit soll ein Standard für Risikomanagementsysteme geschaffen werden, der auch die Terminologie vereinheitlichen wird. Die endgültige Fassung ist im September 2004 erschienen, und es ist anzunehmen, dass sie weltweit Beachtung finden wird. Definitionen und Konzept Risiko bedeutet die Möglichkeit einer zum jeweiligen Betrachtungszeitpunkt absehbaren, negativen Auswirkung auf ein Unternehmen und seine wirtschaftliche Lage (Verlustgefahr) durch das Eintreten 539

2 CM controller magazin 6/05 Wilfried Lux / Wolfgang Kohn eines ungewollten Ereignisses zu einem zukünftigen Zeitpunkt". 2 Unter Risikomanagement versteht man die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung 3 Im Gegensatz dazu bezeichnet man die Konsequenz des Eintritts eines oder mehrerer Risikoereignisse als Schaden; es wird angenommen, dass der Zusammenhang zwischen Risikoereignis und zugeordnetem Schaden kausal ist. 4 Die Zielsetzung eines Risikomanagement- Konzeptes lassen sich wie folgt zusammenfassen: 5 Aufbau und Aufrechterhaltung einer Risikokultur im Unternehmen; Koordination der Risikomanagement- Prozesse und der Instrumente zur Risikosteuerung; Laufende Informationsversorgung in Form von Risikoberichterstattung; Methodische Beratung und Kommunikation, damit die dezentralen Einheiten ihre Aufgaben im Risikomanagement wahrnehmen können; Weiterentwicklung und Anpassung aller Komponenten des Risikomanagements; Initialisierung der Risiko steuernden Maßnahmen. Bei den Zielsetzungen des Risikocontrollings erscheint die Integration von Risikoaspekten in die Planung, Steuerung und Kontrolle, die Informationsversorgung sowie die Unterstützung des Risikomanagements besonders wichtig. Aufgaben des Risikocontrollings sind Risikoidentifikation, Pflege des Risikoinformations- und - Reportingsystems, die Anpassung und Erweiterung des Risiko-Managementinstrumentariums und die Entwicklung unternehmenseinheitlicher Standards. Außerdem stellt die Risikobewusstseinsförderung der Mitarbeiter eine zentrale Risikocontrollingaufgabe dar, die nahtlos an die entsprechende Zielsetzung des Risikomanagements anknüpft. 6 Kernaufgaben des Risikomanagements Die unten stehende Abbildung gibt einen Überblick über die Kernaufgaben bzw. - elemente des Risikomanagements. Risikoanalyse In dieser Phase werden alle im Unternehmen möglichen Risiken im Rahmen einer Risikoinventur identifiziert. Dies kann anhand eines strukturierten Risikoartenbaums oder Risikokatalogs geschehen. Dieser strukturiert die Risikofelder, wie beispielsweise leistungswirtschaftliche und finanzielle Risiken, externe Risiken, organisatorische Risiken, in Risikoarten, wie z. B. Absatz und Produktion im Bereich der Leistungswirtschaft oder Liquidität im finanzwirtschaftlichen Bereich, und schließlich in Einzelrisiken. Die Risikoverantwortlichen nehmen dann die Analyse in ihren jeweiligen Bereichen vor. 7 Risiken weisen untereinander Wechselwirkungen auf. Grundsätzlich sind vier Arten zu unterscheiden. 8 Risikoantinomie: In diesem Fall schließen sich zwei Risikoereignisse gegenseitig aus. Brennt das Warenlager beispielsweise ab (Risiko 1), kann die Ware nicht mehr gestohlen werden (Risiko 2). Risikokonkurrenz: Hierbei führt der Eintritt des einen Risikoereignisses dazu, dass sich die Wahrscheinlichkeit des anderen Risikos vermindert. Risikokomplementarität liegt dann vor, wenn bei Eintritt (oder Erhöhung der Wahrscheinlichkeit) des einen Risikos die Wahrscheinlichkeit des anderen Risikos steigt. Risikoindifferenz: Dieser Fall liegt schließlich vor, wenn beide Risiken unabhängig voneinander sind. Im Anschluss daran werden die identifizierten Risiken quantifiziert bzw. auf ihre Verlustpotentiale hin untersucht. Das Ausmaß des Risikos hängt dabei von der Höhe des damit verbundenen Schadens und dessen Eintrittswahrscheinlichkeit ab. Zur Darstellung der Risikosituation wird häufig die sog. Risk Map (Risikomatrix oder Risikolandschaft) verwendet. (Vgl. auch Risk Map im Aufsatz zuvor auf Seite 535.) Im zweiten Schritt werden die identifizierten Risiken im Rahmen einer Risikobeurteilung hinsichtlich ihrer Eintrittswahrscheinlichkeit bewertet. Risikoplanung und -steuerung Im Rahmen der Risikoplanung und -steuerung werden die risikopolitischen Grundsätze (Risikostrategie) mit der Geschäftsstrategie in Einklang gebracht. Als Hilfsmittel eignet sich die Balanced Scorecard. Ziel der Risikosteuerung ist die aktive und gezielte Beeinflussung aller wesentlichen Risikopotentiale durch ein umfassendes risikosteuerndes Instrumentarium. Als Strategiealternativen stehen grundsätzlich vier Möglichkeiten zur Verfügung: Risikovermeidung, Risikoverminderung, Risikoüberwälzung, Risikotragung bzw. -akzeptanz. Aufbauend auf den jeweiligen Strategiealternativen sollten risikosteuernde Instrumente bzw. Maßnahmen zum Einsatz kommen, z. B. Versicherungen, Handbücher, Genehmigungsverfahren usw. Bei 540

3 CM controller magazin 6/05 den ersten drei Alternativen gibt es eine Vielzahl an Maßnahmen der Absicherung. Zweck von solchen Maßnahmen ist es, die Wahrscheinlichkeit des Risikos zu senken oder auszuschließen oder den resultierenen Schaden zu mildern. 9 Man unterscheidet proaktive und reaktive Absicherungen. Im ersten Fall handelt es sich um ursachenbezogene Absicherungen, die die Eintrittswahrscheinlichkeit des Risikos reduzieren, wie beispielsweise ein Verbot offenen Feuers in einer Fabrikhalle. Reaktive Absicherungen haben keinen Einfluss auf das Risiko, mildern aber die ökonomischen Nachteile, die mit dem Schaden verbunden sind, und werden deshalb als wirkungsbezogene Absicherung bezeichnet. Ein Beispiel hierfür ist eine Feuerversicherung. 10 Die Aufgabe des Risikomanagements besteht darin, diese zu systematisieren, zu aktualisieren, bedarfsgerecht anzupassen sowie diese im Bedarfsfall um weitere Instrumente zu erweitern und zu vervollständigen. Die Risikosteuerung kann vom Controlling unterstützt werden, die Verantwortung dafür trägt das Management. 11 Wird ein Risiko getragen bzw. akzeptiert und tritt der Schaden ein, sind Reaktionen erforderlich. Dies sind Maßnahmen, die erst nach Eintritt des Risikos eingeleitet werden, wie beispielsweise Festlegen von Verantwortlichkeiten, Erstellen von Eventualplänen usw. 12 Risikoüberwachung Die Risikoüberwachung schließlich ist die Kontrolle der zur Risikosteuerung ergriffenen Maßnahmen. Wesentlicher Bestandteil ist in diesem Zusammenhang ein regelmäßiges, empfängerorientiertes Berichtswesen. Das Controlling hat hierbei insbesondere die Aufgabe, zu dokumentieren, wie das Management auf Abweichungen von der Risikoplanung reagiert. Indikatoren dienen der kontinuierlichen Überwachung der Risikolage eines Unternehmens, dem sog. Risk Monitoring (Risikoüberwachung). Sie weisen auf einen Anstieg der Risikowahrscheinlichkeit hin. Ein Indikator für das Risiko Reputationsverlust ist beispielsweise ein Kundenzufriedenheitsindex. 13 Umsetzung des Risikomanagements mit Sarim: Software Aided Risk- Management Aufgrund der hohen Abstraktheit des Themas Risikomanagement und der wenig konkreten Vorgaben der gesetzlichen Vorschriften ist es sowohl für Unternehmen als auch für EDV- Dienstleister schwierig, ein allseits befriedigendes Produkt anzubieten. Inzwischen hat sich die Erkenntnis durchgesetzt, dass Risikomanagement allein basierend auf Finanzkennzahlen nicht ausreicht, um alle Facetten dieses Themas abzudecken. Zum einen erlauben Finanzkennzahlen lediglich einen in die Vergangenheit des Unternehmens gerichteten Blickwinkel. Auf der anderen Seite werden bedeutende Risikogebiete, wie beispielsweise externe Risiken und weiche Faktoren, nicht berücksichtigt. Beispiele für externe Risiken sind Änderungen in den gesetzlichen Vorschriften, Technologiesprünge oder Naturgewalten; Beispiele für weiche Faktoren sind Führungsstil, Kommunikation und Unternehmenskultur. Mit dem hier vorgestellten Software- Produkt kann man auf Basis der Unternehmensstruktur die zu analysierenden T e i l b e r e i c h e festlegen; den Teilbereichen Budgets zuordnen, die für risikomindernde Maßnahmen eingesetzt werden; mittels editierbarer Risikolisten eine systematische Risikoidentifikation vornehmen. Die verantwortlichen Führungskräfte können damit ihre Teilbereiche bzgl. ihrer Risiken durchleuchten und überwachen; erhalten als Ergebnis der Risikoanalyse einen Vorschlag, wie das Budget zu verwenden ist, damit das gesamte Risiko des Teilbereiches optimal reduziert werden kann. Ausgehend von den erstellten Risikoanalysen der Teilbereiche können für übergeordnete Einheiten oder für das gesamte Unternehmen konsolidierende Risikoanalysen erstellt und unter Berücksichtigung der vorhandenen Budgets Vorschläge zur Minimierung des totalen Gefahrenpotenzials erstellt werden. Struktur d e s g e s a m t e n Untern e h m e n s Zur unternehmensweiten Risikoanalyse wird die Struktur des Unternehmens in Form einer Baumstruktur erfasst. 541

4 CM controller magazin 6/05 Wilfried Lux / Wolfgang Kohn Die Geschäftsleitung hat die Möglichkeit, nach Definition der Struktur ausgesuchte Einheiten des Unternehmens als Analyseneinheiten zu bestimmen, Budgets für notwendige Maßnahmen zu definieren und damit Risikoanalysen zu veranlassen. Auf diese Art ist sichergestellt, dass die aus Sicht des Unternehmens wichtigen Einheiten einem dauerhaften Risiko-Management-Prozess unterworfen werden. Auf Grund der hierarchischen Struktur des Unternehmens stehen auch die entwickelten Risikoanalysen in einer hierarchischen Abhängigkeit. Strukturierter Risikokatalog mit Einzelrisiken (Abb. S. 541 unten) In Sarim werden Risiken analog der Struktur des Unternehmens in Form einer hierarchischen Baumstruktur erfasst. Die einzelnen Knoten werden je nach Ebene unterschieden in die Arten Kategorie, Sparte, Liste, Gebiet und Bereich. Zu jedem Bereich werden in einem weiteren Schritt die Einzelrisiken mit Titel und Bemerkung eingegeben. Risikoanalyse für eine Analyseeinheit des Unternehmens (Abb. rechts oben) In einer Risikoanalyse wird einer Analyseeinheit des Unternehmens eine bestimmte Risikoliste zugeordnet. Es können quantitative oder qualitative Risikoanalysen erstellt werden. Beginn und Ende der Analyse bestimmen die Lebensdauer und legen fest, in welchem zeitlichen Rahmen die Maßnahmen zur Reduktion des Gefahrenpotenzials umgesetzt werden sollten. Risikoidentifikation (Abb. Mitte) In der Risikoidentifikation, auch Risikoinventur genannt, wird festgelegt, welche Risiken aus der Liste der Risikoanalyse auf die Analyseneinheit zutreffen. Bei jedem Risiko wird unterschieden, ob es auf die Analyseneinheit zutrifft oder nicht, oder ob diese Entscheidung noch nicht getroffen werden kann. Ableitung der Szenarien der Analyseeinheit (Abb. rechts) An dieser Stelle werden zu den als zutreffend erkannten Risiken Szenarien definiert. Zu jedem Risiko können mehrere Szenarien definiert werden. Während Risiken die abstrakten Gefahrensituationen darstellen, die alle Unternehmen treffen können, stellen Szenarien die konkreten Gefahrensituationen einer bestimmten Analyseeinheit dar. 542

5 CM controller magazin 6/05 Graphische Darstellung der Szenarien (rechts oben) Nach Festlegung der Maßnahmen zur Reduktion des Gefahrenpotenzials und Bewertung des Szenarios bzgl. der Häufigkeit und Höhe des Schadens kann die Gesamtheit der erkannten Szenarien in der Gefahrenmatrix graphisch in einer sog. Risikolandschaft (Risk Map) dargestellt werden. Die Y- Achse stellt dabei die Eintrittshäufigkeit dar, die X-Achse repräsentiert die Schadenshöhe (Kosten). Die Gefahrenmatrix unterteilt sich in einen roten und einen grünen Bereich. Die Szenarien im roten Bereich der Matrix haben ein hohes, die im grünen Bereich ein kleineres Gefahrenpotenzial. Die Grenze zwischen grün und rot ist dabei abhängig von der Risikobereitschaft der Verantwortlichen im Unternehmen. Zusätzlich können die Szenarien in Relation zum vorhandenen Budget gesetzt werden, um sicherzustellen, dass dieses nicht überschritten wird. Darüber hinaus kann eine Statistik erstellt werden, die Szenarien mit durchgeführten Maßnahmen enthält, die bezogen auf die aktuelle Höhe der kumulierten Kosten die größte Risikoreduktion liefern. Eine weitere Liste zeigt die Szenarien, deren Maßnahmen zu den kumulierten Kosten eben noch nicht abgearbeitet werden sollten. Damit können für jeden Betrag des Budgets die Szenarien dargestellt werden, die das Gesamtrisiko der Analyseneinheit am stärksten reduzieren. In einer Graphik wird dem Abbau des gesamten Gefahrenpotenzials die Kurve der Kostenentwicklung gegenüber gestellt. Der Schnittpunkt beider Kurven ergibt einen brauchbaren Schätzwert für die Höhe des Budgets betreffend die Kosten der durchzuführenden Maßnahmen (Bild rechts). 543

6 CM controller magazin 6/05 Wilfried Lux / Wolfgang Kohn Konsolidierung verschiedener Risikoanalysen Ab einer gewissen Größe des Unternehmens ist es wichtig, einzelne Teilbereiche bzgl. ihrer Risiken separat zu untersuchen. In einem zweiten Schritt sollten die Risiken dieser Teilbereiche zusammengefasst und einer gemeinsamen Analyse unterworfen werden. Dieser Vorgang wird als Konsolidierung bezeichnet. Damit können z. B. auf Stufe des gesamten Unternehmens die wesentlichen Risiken für alle Teilbereiche herausgefiltert werden, evtl. verbunden mit einer neuen Verteilung der zur Verfügung stehenden finanziellen Mittel. Zur Durchführung der Konsolidierung wird in Sarim eine Hauptrisikoanalyse definiert, deren Analyseneinheit sich in entsprechender Position im Unternehmen befindet. Dieser Hauptrisikoanalyse werden Analysen zugeordnet, deren Analyseneinheit der Analyseneinheit der Hauptrisikoanalyse z. B. hierarchisch untergeordnet sind. Für die Hauptrisikoanalyse stehen dann die gleichen Werkzeuge wie die der gewöhnlichen Analyse zur Verfügung, z. B. Darstellung der Szenarien in der Gefahrenmatrix, die grafische Darstellung der zeitlichen Entwicklung des Risikopotenzials oder die Optimierung des Einsatzes der finanziellen Mittel. Konklusion, Literatur und Fußnoten Erfüllung gesetzlicher Auflagen bzw. sich beugen gegenüber dem Druck internationaler Normen oder Erkennen von Chancen zur langfristigen Existenzsicherung der Unternehmung? Dies sind die zwei Pole, wie Risikomanagement betrachtet werden kann. Zweifellos verdankt das Risikomanagement seine heutige Bedeutung und Aktualität den Normen und Gesetzen. Dies sollte jedoch nicht darüber hinwegtäuschen, dass das Risikomanagement eine wichtige Perspektive im Rahmen der Unternehmenssteuerung darstellt und insbesondere die Schwächen der Unternehmung sowie die Gefahren, die sie bedrohen, ins Visier nimmt. Aus diesem Grund stellt das Risikomanagement eine wichtige Ergänzung zu den Instrumenten der Unternehmensführung dar. Dabei ist es besonders wichtig, dass die Ergebnisse in einfacher und übersichtlicher Form dargestellt werden, um so eine optimale Kommunikation sicherzustellen. 544 Baumann, N.: Empirische Untersuchung zum Stand des Risikocontrollings bei deutschen Kapitalgesellschaften, Diplomarbeit Universität Mannheim, 2003 Diederichs, M./Reichmann, T.: Risikomanagement und Risikocontrolling in der Praxis Ergebnisse einer empirischen Untersuchung, in: Controlling, Heft 5, Mai 2003, S Kajüter, P: Die Regulierung des Risikomanagements im internationalen Vergleich, in: ZfCM Controlling & Management, Sonderheft 3, 2004, S Diederichs, M./ Form, S./Reichmann, T.: Standard zum Risikomanagement Arbeitskreis Risikomanagement, in: Controlling, Heft 4/5, April/Mai 2004, S Diederichs, M./Kaminski, M.: DV-gestütztes Chancen- und Risikomanagement, in: Controlling, Heft 12, Dezember 2003, S Schmitting, W./Siemes, A.: Konzeption eines Risikomanagement-Modells Begriffsrahmen und IT-Umsetzung, in: CM Controller Magazin 6/03, S Schmitting, W./Siemes, A.: EDV-technische Umsetzung eines Risikomanagementmodells, in: Controlling, Heft 2, Februar 2004, S Vgl. dazu Kajüter, P. 2004, S T. 2004, S T. 2004, S , S Baumann, N. 2003, S. 4 7 T. 2004, S ; 8 S , S S T. 2004, S S S Zuordnung CM-Themen-Tableau G F E