Risikomanagementprozess: So gelingt das Risikomanagement
Prof. Dr. Thomas Rautenstrauch
Prof. Dr. rer. pol. Thomas Rautenstrauch ist Dozent für Controlling und Corporate Finance im Institut für Finance and Law der OST - Ostschweizer Fachhochschule. Er wirkt zudem seit 2007 als Dozent und Prüfungsexperte bei der ExpertSuisse für die Ausbildung zum dipl. Wirtschaftsprüfer und dipl. Steuerexperten sowie seit 2014 als Gastprofessor für Managerial Accounting im EMBA des MCI Management Center Innsbruck. Thomas Rautenstrauch ist Autor von mehreren Fachbüchern und zahlreichen Artikeln in Fachzeitschriften und in der Wirtschaftspresse.
Ablauf vom Risikomanagementprozess
Der Risikomanagementprozess beinhaltet folgende Aspekte:
- Risikoidentifikation: Systematische Erfassung potenzieller Risiken durch Analyse internen und externen Einflussfaktoren.
- Risikobeurteilung: Bewertung der identifizierten Risiken hinsichtlich Eintrittswahrscheinlichkeit und Schadenshöhe.
- Risikoaggregation: Zusammenfassung und Priorisierung von Risiken zur besseren Einschätzung des Gesamtrisikos.
- Risikosteuerung: Entwicklung und Implementierung geeigneter Massnahmen zur Risikominderung oder -Vermeidung.
- Risikoüberwachung: Laufende Kontrolle und Anpassung des Risikomanagements zur Sicherstellung der Wirksamkeit.
Wobei diese Phasen als kontinuierlichen Prozess, im Sinne eines Regekreises, in die Unternehmensprozesse integriert werden sollen. Nachfolgend wird auf die entsprechenden Phasen vom Risikomanagementprozesseingegangen.
1. Risikoidentifizierung
Der erste Schritt des Risikomanagements beginnt mit der Risikoidentifikation. Dieser Prozess beinhaltet eine systematische und laufende Risikoanalyse der Geschäftsabläufe, um möglichst alle relevanten Risikoquellen, Schadensursachen und Störpotenziale, die sich wesentlich auf die Vermögens-, Ertrags- und Finanzlage auswirken, zu erfassen.
Hierbei ist die kontinuierliche Identifikation von Risiken besonders wichtig, um die sich ergebenen Veränderungen der Risikostruktur frühzeitig zu erkennen. Die Qualität der Risikoidentifikation bestimmt die Effektivität und die Effizienz der weiteren Prozessschritte, denn nur identifizierte Risiken können bewertet und gesteuert werden. Die Risikoidentifikation verbirgt zahlreiche Probleme, da aufgrund der Risikovielfalt und den Interdependenzen zwischen den Einzelrisiken das Erkennen der Risiken erschwert wird. Ausserdem besteht die Gefahr, dass wesentliche Risiken aufgrund falscher Bewertungen nicht berücksichtigt werden. Um dem entgegenzuwirken, gibt es unterschiedliche Methoden zur Risikoidentifizierung. Jedoch garantiert keine der Methoden die vollständige Erfassung der Risiken für das Unternehmen. Der Vollständigkeit der Erfassung steht zudem auch die Wirtschaftlichkeit der hierfür zu treffenden Massnahmen entgegen.
Methoden der Risikoidentifizierung:
- Besichtigung / Begehungen
- Brainstorming
- Risiko-Checkliste
- Dokumentenanalyse
- Expertenbefragungen (Delphi-Methode)
- Mitarbeiterbefragung
- Frühwarnsysteme
- Prozess-/Ausfalleffektanalyse
- Risikoworkshop
2. Risikobewertung und Darstellung
Im Anschluss an die Identifizierung der Risiken werden die Risiken quantifiziert, d.h. auf ihre Verlustpotenziale untersucht. Dieser mehrstufige Arbeitsprozess ist eng mit der Identifikation der Risiken verbunden, da bei der Risikoidentifizierung implizit eine Einschätzung seiner quantitativen Bedeutung für das Unternehmen erfolgt. Dabei sind nur diejenigen Risiken, die eine hohe Bedeutung oder Relevanz für das Unternehmen haben, aus ökonomischer Sicht möglichst präzise zu quantifizieren. Hier wird die Quantifizierung und Darstellung der Risiken in den folgenden Schritten vorgeschlagen:
- Grobe Einstufung der Risiken mit Hilfe einer Relevanzskalierung,
- Bestimmung des Erwartungswertes mittels Schadenshöhe und Eintrittswahrscheinlichkeit,
- Darstellung der Ergebnisse in einer Risk-Map und
- Beschreibung der Risiken mittels Verteilungsfunktion und Bestimmung der Parameter der Verteilung, wie z.B. die Standardabweichung.
Die Bewertung erfolgt durch eine erste Klassifizierung der Risiken mittels einer Einstufung jedes Risikos in eine Relevanzskalierung von eins «unbedeutend» bis fünf «existenzgefährdend». Inwieweit ein Schaden für das Unternehmen existenzgefährdend ist, hängt von der wirtschaftlichen Stärke des Unternehmens ab. Durch diese erste Quantifizierung ist es möglich, die Gesamtbedeutung des Risikos für das Unternehmen zu bestimmen. Weiterhin ermöglicht die Einstufung ein einfaches Ranking der Risiken und dient als Filter für die Berücksichtigung der Risiken. Somit wird verhindert, dass für unbedeutende Risiken zu viel Aufwand verwendet wird und auf Risiken höherer Relevanz, die z.B. mehr als 50% das Betriebsergebnis beeinflussen, nicht ausreichend eingegangen wird.
Nach der Relevanzskalierung erfolgt die Ermittlung der Eintrittswahrscheinlichkeit und der Höhe des damit verbundenen Schadens, um hieraus anschliessend den Erwartungswert zu bestimmen, der das Ausmass des Risikos darstellt. Die Darstellung erfolgt in der Regel in einer Risk-Map, in der auf der Abszisse die Schadenshöhe und auf der Ordinate die Eintrittswahrscheinlichkeit abgebildet sind.
Hinsichtlich der Skalierung wurde eine fünfstufige Einteilung der Schadenshöhe und Eintrittswahrscheinlichkeit vorgenommen, um einen detaillierten Aussagegehalt zu ermöglichen. Hierbei wurde das Schadensausmass in die Kategorien unmöglich, unwahrscheinlich, möglich, wahrscheinlich, sehr wahrscheinlich und die Eintrittswahrscheinlichkeit in die Kategorien unbedeutend, gering, mittel, schwerwiegend, existenzbedrohend unterteilt.
Jetzt weiterlesen mit 
- Unlimitierter Zugriff auf über 1100 Arbeitshilfen
- Alle kostenpflichtigen Beiträge auf weka.ch frei
- Täglich aktualisiert
- Wöchentlich neue Beiträge und Arbeitshilfen
- Exklusive Spezialangebote
- Seminargutscheine
- Einladungen für Live-Webinare
