Einhaltung von Normen steht im Vordergrund

Im Kontext der letzten Wirtschafts- und Finanzkrisen und der sich abzeichnenden Krise aufgrund des Coronavirus gewinnt das Thema "Risikomanagement" stark an Bedeutung. Die Einleitung von Risikomanagementmaßnahmen darf jedoch nicht als Ad-hoc-Antwort auf externe Krisen erfolgen, sondern muss als permanente Aufgabe der Unternehmensführung verstanden werden. Durch die frühzeitige Identifikation und die systematische Steuerung von Risiken werden Wettbewerbsvorteile ausgebaut und die langfristige Existenz des Unternehmens gesichert. Empirische Studien belegen, dass der Großteil der deutschen Unternehmen ein Risikomanagementsystem besitzt. In der Praxis wird es jedoch vornehmlich zur Erfüllung gesetzlicher Mindestanforderungen und nicht zur gezielten Unternehmenssteuerung eingesetzt.[1] Solche formaljuristischen Systeme weisen zum Teil erhebliche Defizite auf, die es mit Blick auf eine effektive Risikobewältigung zu beheben gilt.

Defizit 1: Mangelnde Quantifizierung von Risiken

Risiken sind grundsätzlich anhand der Dimensionen Eintrittswahrscheinlichkeit und Schadensausmaß zu quantifizieren. Eine solche Quantifizierung erfolgt jedoch nur für den überwiegenden Teil der Risiken.[2] Vor allem bei schwer zu quantifizierenden Risiken wird versucht, die Quantifizierung durch verbale Beschreibungen zu umgehen. Durch diese Nichtquantifizierung kommt es faktisch zu einer Nichtberücksichtigung des Risikos bei der Ermittlung der Gesamtrisikoposition des Unternehmens.[3]

Defizit 2: Mangelnde Aggregation von Risiken

Für ein effektives Risikomanagement ist es nicht ausreichend, die einzelnen Risiken zu identifizieren und zu bewerten. Vielmehr gilt es, die Gesamtrisikoposition des Unternehmens mittels Aggregation der Einzelrisiken zu ermitteln und Abhängigkeiten zwischen den verschiedenen Risiken zu berücksichtigen. Allerdings ist die Verdichtung der Risikoposition nur mithilfe von mathematischen Modellen durchführbar. Da diese nicht weit verbreitet sind, kann die Mehrzahl der Unternehmen nur begrenzte Aussagen über die Gesamtrisikoposition treffen.[4]

Defizit 3: Mangelnde Steuerung von Risiken

Obwohl ein breites Spektrum zur Steuerung der analysierten und geplanten Risiken zur Verfügung steht, beschränkt sich die Praxis überwiegend auf die vertragliche Auslagerung von risikobehafteten Aktivitäten im Rahmen von Versicherungslösungen.[5] Zudem erfolgt die Ableitung adäquater Maßnahmen zumeist auf der Ebene der Einzelrisiken, jedoch nicht auf Gesamtunternehmensebene.

Defizit 4: Mangelnde Integration des Risikomanagements

In vielen Unternehmen ist das Risikomanagement nicht mit der strategischen Unternehmensplanung, der Strategieimplementierung (Balanced Scorecard) oder mit dem Wertsteigerungsmanagement verbunden.[6] So basiert die Unternehmensplanung weitgehend auf Erfahrungs- bzw. Mittelwerten, wobei die Risiken allenfalls intuitiv berücksichtigt werden. Parallel dazu werden im Risikomanagement statisch Risiken dokumentiert, ohne diese mit den Planwerten zu verbinden. Die Erfüllung gesetzlicher Anforderungen steht hierbei im Vordergrund. Es gibt also ein Risikomanagementsystem, aber es fehlt die Brücke, um die Erkenntnisse aus dem Risikomanagement in das bestehende Managementsystem zu überführen.

Defizit 5: Mangelnde Dynamik des Risikomanagements

Viele Unternehmen haben bei der Einführung des Risikomanagementsystems eine große Anzahl von Mitarbeitern beteiligt. Zudem wurden im Rahmen der Risikoidentifikation und -bewertung große Anstrengungen unternommen, geeignete Risikoindikatoren zu finden. Weil dieser Prozess sehr aufwendig ist und umfangreiche Mitarbeiterkapazitäten bindet, wird das Risikomanagement in den Folgejahren oftmals weniger konsequent durchgeführt. Im Ergebnis spiegelt die Risikolandkarte daher nicht die aktuelle Risikosituation, sondern die Risikosituation aus dem Jahr der Erfassung wider.

Die dargestellten Defizite liefern Anhaltspunkte für den Ausbau von Risikomanagementlösungen. Wodurch sich die verschiedenen Ausbaustufen von Risikomanagementsystemen unterscheiden, wird im zweiten Kapitel beschrieben. In Kapitel 3 wird die Implementierung einer Risikomanagementanwendung in einem mittelständischen Industrieunternehmen dargestellt, die in Zusammenarbeit mit Horváth & Partners entwickelt wurde. Ziel war es, eine einfache, praktikable und systematische Umsetzung der Risikoüberwachung zu ermöglichen. Auf die Spezialfälle der Projektrisiken im Anlagenbau sowie der Entwicklungs- und Technologierisiken wird in einem zweiten Abschnitt eingegangen. Abschließend wird dargestellt, wie das Risikomanagement mit anderen Instrumenten im Führungssystem wie z. B. der Unternehmensplanung, der Strategierealisierung und dem Wertmanagement verbunden werden kann.

[1] Vgl. Horváth & Partners (2011) S. 4; Hoitsch/Winter/Baumann, 2/2006, S. 69–78.
[2] Vgl. Beyer/Hachmeister/Lampenius (2010), S. 119.
[3] Vgl. Gleißner (2008), S. 103.
[4] Vgl. Berger/Gleißner (2007), S. 65.
[5] Vgl. Gleißner (2009), S. 13 f.
[6] ...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Finance Office Premium. Sie wollen mehr?


Meistgelesene beiträge