25.01.2017

Risikomanagement: Ein ausgewogenes Verhältnis zwischen Risiko und Management anstreben

Je früher Risiken erkannt werden, desto grösser ist die Chance, diese zu eliminieren, oder zielgerichtete Massnahmen zur Gegensteuerung einzuleiten. In der Praxis bedeutet dies, ein Risikomanagement einzurichten. Die Umsetzung dieser Anforderung bedingt, dass der gesamte Prozess eines Unternehmens als ein grosses Risikofeld zu betrachten ist. Daraus folgt, dass alle an diesem Prozess beteiligten Mitarbeiter die ihren Auftrag betreffend Risiken zu verantworten haben.

Von: Hermann Jenny   Drucken Teilen   Kommentieren  

Hermann Jenny

Am 6. Juni 2008, nach kurzer schwerer Krankheit ist das ehemalige ICV-Vorstandsmitglied Hermann Jenny im Alter von 68 Jahren verstorben. Er war seit 1978 Mitglied des Internationalen Controller Vereins und von 2000 bis 2007 Mitglied des ICV-Vorstandes. Er galt als ein “Controller der ersten Stunde”, der sich 34 Berufsjahre, davon die letzten zehn als Mitglied der Geschäftsleitung, dem Controlling bei der SIG Holding AG in Neuhausen am Rheinfall gewidmet hat.

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
Risikomanagement

Risikoarten

Insbesondere betrifft dies die Führungskräfte, wie die einzelnen Risikoarten verdeutlichen. Personelle Risiken aufgrund von Fehlleistungen, in den meisten Fällen die Ursache für Erfolge oder Misserfolge. Operationelle Risiken, im Falle der Nichterfüllung von Qualitätsanforderungen, Umweltverträglichkeit oder Arbeitssicherheit, oder zu geringer Aufmerksamkeit bezüglich Datenschutz. Markt- und Kundenrisiken aufgrund fehlender Kenntnisse der letztlich entscheidenden Bedürfnisse für Produkte oder Dienstleistungen, was zu Umsatzeinbussen führen kann. Finanzielle Risiken durch mangelhafte Beobachtung der Geldflüsse, was beispielsweise bei grösseren Liquiditätsproblemen verheerende Auswirkungen auf das Unternehmen haben kann. Strategische Risiken, z.B. bei Fehlen einer Strategie oder wenn nach Erarbeitung eine ernsthafte Auseinandersetzung im Sinne einer Plausibilisierung fehlt. Umweltrisiken, wie beispielweise Katastrophen, Terroranschläge, Seuchen usw.

Risikomanagement: Was im Vorfeld der Umsetzung zu beachten ist

Wie werden Risiken erkannt und mit welchen Massnahmen können sie vermindert oder gar vermieden werden? Antworten auf diese Fragen sind in einem Risikomanagementsystem (RMS) festzuhalten. Wichtige Fakten im Vorfeld der Umsetzung sind:                 

  • Managern und Mitarbeitern die Bedeutung des Risikos an sich bewusster zu machen.               
  • Ein System zu entwickeln, das – im Sinne eines Regelkreises – die Verantwortlichkeiten für die Behandlung oder Bearbeitung des Risikos auf allen Stufen sicherstellt.                
  • Eine geeignete Methode zur permanenten Begleitung und Überwachung der Aktivitäten zu gewährleisten, etwa im Sinne eines Risikocontrollings.                  
  • Flexibel verwendbare Checklisten für die verschiedenen strategischen und operativen Entscheidungen zu entwickeln.         
  • Einen (Standard-)Massnahmenkatalog für eintretende voraussehbare Risikoereignisse zu erstellen.

Risikomanagement mit dem entscheidenden Faktor der Risikofrüherkennung muss in den Führungsprozessintegriert werden und Gewähr dafür bieten, dass bestandsgefährdende Entwicklungen rechtzeitig erkannt werden.

Risikopolitische Grundsätze

Risikomanagement ist Chefsache. Wer als Manager Ja sagt zur Einrichtung eines Risikomanagements, muss sich bewusst sein, dass es nicht genügt, einen entsprechenden Auftrag zu erteilen, sondern dass damit auch die Verantwortung für die Einführung und die Betreibung des Systems verbunden ist.

Um sich selber und insbesondere auch Führungskräfte und die Mitarbeiter darauf einzustellen, zu motivieren, empfiehlt es sich, eine entsprechende Botschaft top down an die Mitarbeiter des Unternehmens zu vermitteln. Diese Botschaft soll in kurzer, prägnanter Form die unternehmenspolitischen Regeln der Risikohandhabung beinhalten. Sie kann etwa wie folgt lauten:

Die Geschäftsleitung ist sich bewusst, dass ihre Geschäftstätigkeit mit internen und externen Risiken verbunden ist. Sie ist bereit, unternehmerische Risiken einzugehen, sofern dadurch zusätzlich Ertragschancen wahrgenommen und eine Steigerung des Unternehmenswertes erreicht werden kann. Das Risikobewusstsein wird durch eine permanente, offene Kommunikation im gesamten Unternehmen gepflegt. Das Unternehmen will:        

  • Risiken, die im Zusammenhang mit ihren Kernkompetenzen stehen, selber tragen.                  
  • Risiken aus unterstützenden Prozessen systematisch mindern oder, so weit sinnvoll, auf Dritte übertragen.         
  • Risiken, die sich weder auf Kern- noch auf Unterstützungsprozesse beziehen, grundsätzlich nicht eingehen.  
  • Risiken, die nicht auf ein akzeptables Mass gemindert oder auf Dritte übertragen werden können, generell vermeiden.                
  • Allfällige Verlustgefahren und Chancen frühzeitig erkennen und identifizieren.                 
  • Wirksame Massnahmen zu Minderung der Verlustgefahren einleiten.

Insgesamt darf das zur Verfügung stehende Risikodeckungspotenzial, insbesondere das Eigenkapital und vorhandene Liquiditätsreserven, nicht überschritten werden.

Das Risikomanagementsystem unterliegt den allgemeinen unternehmens- und geschäftspolitischen Zielen. Die Geschäftsleitung sorgt dafür, dass eine kontinuierliche, systeminterne Überprüfung sowie eine regelmässige Kontrolle erfolgt. Dies geschieht durch: 

  • Regelmässige Berichterstattung an den Verwaltungsrat.              
  • Periodische Überprüfung der Risiken.                  
  • Überwachung der durchzuführenden Massnahmen.

Aufbauorganisation des Risikomanagementsystems

Die Funktionsfähigkeit und Effizienz eines Risikomanagementsystems ist mittels Schaffung einer transparenten und durchgängigen Organisation sicherzustellen. Dabei sind die Rollen und Verantwortlichkeiten der beteiligten Organisationseinheiten sowie ihre Funktion innerhalb des Risikomanagementprozesses verbindlich festzulegen, und die Anzahl der Schnittstellen ist möglichst klein zu halten. Die wichtigsten Funktionen sind:

  • Risk-Committee: Das Risk-Committee ist das eigentliche Entscheidungsgremium und ist direkt der Geschäftsleitung unterstellt. Es trägt gemeinsam die Verantwortung, die in den risikopolitischen Grundsätzen verankerten Weisungen im Risikomanagementprozess umzusetzen.
  • Geschäftsleitung: Als oberste Führungsinstanz ist die Geschäftsleitung verantwortlich für die Entwicklung, Implementierung, Pflege und Überwachung des Risikomanagementsystems. Neben der Festlegung risikopolitischer Grundsätze ist die Ableitung übergeordneter Risikoziele aus der Unternehmensstrategie Aufgabe der Geschäftsleitung. Sie schafft damit die Ausgangsbasis zur Einführung eines Risikomanagementsystems.
  • Risk-Owner: Die Risk-Owner, als Kenner der einzelnen Risiken, bzw. ganzer Risikofelder sind für die operative Umsetzung des Risikomanagementprozesses in ihrem jeweiligen Zuständigkeitsbereich verantwortlich. Zu den Hauptaktivitäten zählen die Risikoidentifikation, die Risikosteuerung und die zeitnahe Kommunikation der wesentlichen Risiken. Die Risikoidentifikationsergebnisse des Risk-Owners werden durch ein Mitglied des Risk-Committees überprüft. Findet dieser neue Risiken oder weicht seine Risikobewertung von der des Risk-Owners ab, ist eine gemeinsame Abstimmung erforderlich. Ist keine Einigung möglich, erfolgt die Entscheidung durch das gesamte Risk-Committee.
  • Risk-Manager: Der eigentliche Organisator des Systems ist der Risk-Manager (auch Risk-Controller); er ist zuständig für die Betreuung der Geschäftsleitung, des Risk-Committees und der Risk-Owner in sämtlichen Fragen des Risikomanagements.

Risikomanagementprozess

Der Risikomanagementprozess umfasst alle Aktivitäten für einen permanenten und systematischen Umgang mit Risiken im Unternehmen. In insgesamt sechs Schritten erfolgen Identifikation, Filterung, Aggregation, Bewertung, Steuerung und Überwachung der Risiken im Unternehmen sowie die Überprüfung des Risikomanagementsystems durch eine prozessexterne Instanz.

Risikoidentifikation

Der Risikomanagementprozess beginnt mit der lückenlosen, strukturierten Erkennung und Erfassung aller Risiken. Diese sind in einem Risikoinventar aufzulisten und mit allen notwendigen Informationen zu ergänzen, um eine sorgfältige und vollständige Weiterverarbeitung der zu steuernden Risiken zu ermöglichen.Im Rahmen der Risikoidentifikation müssen sowohl neu entstandene Risiken als auch bestehende, aber bisher unbekannte Risiken erfasst werden. Zusätzlich ist die Beschreibung bestehender Risiken, die sich im Zeitverlauf verändert haben, zu modifizieren.

Im Rahmen der Risikoidentifikation sind folgende Informationen zu erfassen und im sog. Risikoinventar zu dokumentieren:

  • Risikobereich: Um die Risiken hierarchisch inventieren zu können, werden zuerst sog. Risikobereiche festgelegt. Diese erfolgen vorzugsweise mittels Brainstorming im Rahmen eines Workshops des Risk-Committees.
  • Risikofeld: Den einzelnen Risikobereichen werden in der nächsten Stufe Risikofelder zugeordnet. Dieser Prozess ist am ehesten vergleichbar mit der Strukturierung eines Kostenartenplanes in Hauptgruppen, Gruppen und Arten.
  • Risikoformulierung: Innerhalb der Risikofelder werden die einzelnen Risiken erfasst. Je vollständiger die Erfassung und exakter die Beschreibung der Risiken, desto effizienter können Ursache und Folgewirkung definiert und Erfolg versprechende Massnahmen abgeleitet werden.
  • Auswirkung/Folgewirkung/Wechselbeziehung: Auflistung der möglichen Auswirkungen und Folgen bei Eintritt des betreffenden Risikos. Beschreibung der Wechselwirkung mit anderen Risiken. An dieser Stelle wird auch angegeben, wie sich allenfalls andere Risiken durch den Risikoeintritt verstärken bzw. abschwächen.
  • Massnahmen zur Vermeidung bzw. Verminderung: Für die formulierten Risiken, deren Auswirkung(en), Folgewirkung(en) und Wechselbeziehung(en) bekannt sind, werden vorab mögliche Massnahmen zur Risikosteuerung definiert. Diese Massnahmen sind nach der definitiven Bewertung der Risiken zu überprüfen und gegebenenfalls anzupassen.
  • Risk-Rating I: Das Risk-Rating I stellt eine subjektive Einschätzung der Risiken durch den Risk-Owner dar. Damit wird auch gleichzeitig die Relevanz der einzelnen Risiken sichtbar. Die entsprechende Bewertung wird in die dafür vorgesehene Spalte im Risikoinventar eingetragen; sie dient der Kontrolle eines späteren definitiven Ratings.

Einschätzung der Beeinflussbarkeit der Risiken: Für die Festlegung von Risikosteuerungsmassnahmen ist entscheidend, ob Risiken durch das Unternehmen aktiv beeinflusst werden können. Im Rahmen der Risikoidentifikation gibt der Risk-Owner deshalb an, ob er ein bestimmtes Risiko als beeinflussbar oder als unbeeinflussbar einschätzt. Unabhängig von dieser Aufteilung bleiben sämtliche identifizierten Risiken im Risikoinventar stehen.

Risikofilterung 

Die Priorisierung der Risiken (zur Erstellung eines Risikokataloges) erfolgt durch eine zweistufige Filterung. Diese Priorisierung bietet Gewähr für eine angemessene Zuweisung der vorhandenen Risikomanagementressourcen. Zuerst erfolgt eine Aufteilung der Risiken in bedeutend und unbedeutend, anschliessend werden die bedeutenden Risiken in beeinflussbar und unbeeinflussbar unterteilt. Aufgrund der ermittelten Ratingstufen ergibt sich folgende Gliederung des Risikokataloges:         

  • aktiv zu managende,               
  • ständig zu beobachtende und             
  • halbjährlich zu überprüfende Risiken.

Risikosteuerung und -überwachung

Die Praxis zeigt mehrere Möglichkeiten der Risikosteuerung. Sie ist abhängig von der Organisationsstruktur des Unternehmens und vor allem auch vom identifizierten Umfang und der ermittelten Schadensumme im Vergleich zum vorhandenen Risikodeckungspotenzial (Eigenkapital, Rückstellungen für Risiken, allenfalls stille Reserven). Letztlich ist Risikosteuerung aber auch eine geschäfts- und führungspolitische Angelegenheit, denn massgebend für eine aktive Steuerung sind die für das Risikomanagementsystem zur Verfügung stehenden Ressourcen.

Frühwarnung und -erkennung

Je früher Risiken identifiziert werden, desto grösser ist die Chance, geeignete Gegensteuerungsmassnahmen zu definieren und durchzuführen. In kleineren Firmen gilt generell der Grundsatz, dass eine permanente Beobachtung der internen Abläufe sowie des Umfeldes, in dem das Unternehmen tätig ist, die geeignetste Methode zur frühzeitigen Erkennung von Risiken darstellt. Die Betrachtung von möglichen Risikoursachen und deren Wirkung auf das Unternehmen ist deshalb besonders wichtig.

Frühwarninstrumente sind strategisch ausgerichtet, sie umfassen auch die qualitative Seite, also die sog. Soft factors, und zeigen auf einfache Weise, wo Handlungsbedarf besteht. Eine Auswahl von Frühwarninstrumenten zeigt, dass Frühwarnung im normalen Geschäftsalltag stattfinden kann, sofern dabei der Fokus auf Risiko gerichtet ist:         

  • Systematische Methoden für echt präventiv orientierte Risikoanalysen anhand von Checklisten oder Statistiken.       
  • Führungsinformationssysteme und Reportings, die sich nicht allein auf finanzielle Kennzahlen stützen, sondern auch Kenngrössen aus den anderen Risikofeldern beinhalten.          
  • Methoden zur Problem- und Chancenerkennung sowie deren Steuerung, zum Beispiel betreffend Unternehmenskultur, Sozialverträglichkeit oder Change Management.          
  • Erarbeitung von Strukturen für einen ganzheitlichen Unternehmensführungsprozess, der auch die Zusammenarbeit zwischen dem Verwaltungsrat und der Geschäftsleitung sauber regelt.              
  • Erarbeitung von chancen- und risikoorientierten Leitbildern, Strategien und Strukturen.  

Die Risk-Owner sind für das Scanning innerhalb ihres Verantwortungsbereiches verantwortlich. Sie tragen die Verantwortung für die Beobachtung von Entwicklungen und die Bewertung von deren Bedeutung für die Geschäftstätigkeit. Werden relevante Entwicklungen ausserhalb seines Verantwortungsbereiches festgestellt, müssen diese im Interesse des Gesamtunternehmens ebenso an den Risk-Manager gemeldet werden.

Risikomanagementinstrumente

Ein gut strukturiertes, mit den heutigen Controlling-Tools ausgerüstetes Unternehmen benötigt nur wenige spezielle Instrumente für das Betreiben eines Risikomanagements – deren Notwendigkeit in den vorherigen Kapiteln beschrieben worden ist. In der Folge sollen nur noch herausragende, für ein RMS besonders geeignete Instrumente erläutert werden.

Die SWOT-Analyse

Bereits über zwei Jahrzehnte alt, einige Zeit davon vergessen, wird die SWOT-Analyse seit Mitte der 90er Jahre wieder als wichtiges Instrument im Rahmen der strategischen Planung genutzt. Und genau hier setzt Risikomanagement an: Bei der Formulierung von Zielen und der Frage, ob sich denn diese verwirklichen lassen, wo sich allenfalls Schwächen oder Risiken befinden; und auch die Fragen betreffend Stärken und Chancen.

Mittels kritischer Fragestellungen müssen die sachlichen und personellen Aspekte innerhalb des Unternehmens – im Team der obersten Führungsebene – jedoch möglichst 1:1 der direkt betroffenen zweiten Führungsebene kommuniziert werden. Ebenfalls involviert in diese entscheidende Phase sind in einem Unternehmen mit einer gesunden, offenen Risikokultur auch Mitglieder der Risikoorganisation (einzelne Risk-Owner oder der Risk-Manager), auch wenn diese nicht einer der beiden obersten Führungsebenen angehören.

Problematisch bei dieser Analyse ist oftmals, dass die beteiligten Personen die Stärken des Unternehmens – und vor allem auch ihre eigenen Fähigkeiten – unterschiedlich beurteilen. Eine subtile Teamführung ist hier gefragt, um wirklich unternehmensweit gültige und verbindliche Antworten zu erhalten. Denn immerhin werden anhand der SWOT-Analyse in vielen Unternehmen erste Massnahmen zur Realisierung eingeleitet.

Risikokatalog

Der Risikokatalog ist das zusammenfassende Produkt aller bisherigen Vorgänge. Er dient während des gesamten Prozesses als wichtiges Informationsmittel, da bis zum Rating II sämtliche Angaben der einzelnen Risiken darin festgehalten sind. Das dem Katalog vorangehende Formular Risikoinventar enthält bis auf die 2–3 hintersten Spalten identische Informationen, ist jedoch nicht nach Kategorien sortiert.

Der Risikokatalog ist gemäss Risikofilter in drei Teile gegliedert:

  • Zu managende Risiken
  • Zu beobachtende Risiken und
  • 1/2-jährlich zu überprüfende Risiken

Der Inhalt des Risikokataloges entspricht für die sieben ersten Aussagen den im Risikomanagementprozess beschriebenen Punkten für das Risikoinventar. Zusätzlich enthält der Risikokatalog noch eine Spalte für die Punktevergabe. Diese Punktzahl für das Rating II ist in der Folge massgebend für die Aufteilung der Risiken gemäss Risikofilter, beschrieben im Risikomanagementprozess.

Eine wichtige Aufgabe im Risikomanagementprozess ist das Reporting. Der Risk-Manager muss sicherstellen, dass alle wesentlichen Informationen über die Entwicklung der zu managenden Risiken authentisch, zeitnah und in vorausbestimmten Intervallen an das Risk-Committee und an die Geschäftsleitung weitergegeben werden. Es ist der Fantasie des betreffenden Verantwortlichen überlassen, ein geeignetes Formular zu erarbeiten.

Eine Möglichkeit, den Risikobericht zu erstellen, bietet sich mit der Balanced Scorecard an, weil ja auch dort regelmässige Meldungen erstellt werden müssen. Mit wenig Zusatzaufwand könnten im BSC-Report auch die Informationen des Risikomanagements mit aufgenommen werden.

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

Unternehmenssteuerung mit der Kosten- und Leistungsrechnung

Mit richtigen Kosteninformationen zielgerichtet entscheiden

Mit Kosteninformationen zielgerichtet entscheiden! An diesem Seminar zeigen wir Ihnen, wie Sie Kosten- und Erlöselemente richtig definieren und gliedern.

Nächster Termin: 15. Mai 2018

mehr Infos

Produkt-Empfehlungen

  • Risikomanagement nach ISO 31000

    Risikomanagement nach ISO 31000

    Ganzheitliches Risikomanagement bewerten und einführen.

    ab CHF 248.00

  • Controller Magazin

    Controller Magazin

    Die meistgelesene Fachzeitschrift für Controller im deutschsprachigen Raum

    Mehr Infos

  • Controlling mit Excel

    Controlling mit Excel

    Schluss mit Excel-Frust im Controlling, dank über 1600 fertigen Vorlagen.

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Management-Berichte mit Wirkung

    Texte, Diagramme und Tabellen professionell einsetzen

    Nächster Termin: 13. Juni 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Unternehmenssteuerung mit der Kosten- und Leistungsrechnung

    Mit richtigen Kosteninformationen zielgerichtet entscheiden

    Nächster Termin: 15. Mai 2018

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Aufbau eines Controlling-Systems

    Bauplan für ein individuelles Controlling-System

    Nächster Termin: 20. Juni 2018

    mehr Infos