3 Anforderungen an das Risikomanagement

Nachfolgend sollen grundsätzliche Anforderungen, die an ein Risikomanagement gestellt werden, aus unterschiedlichen Blickwinkeln betrachtet werden. Neben konzeptionellen, betriebswirtschaftlichen Anforderungen werden in diesem Kapitel ausgewählte rechtliche Aspekte diskutiert und ergänzende Sichtweisen sowie etwaige Umsetzungsunterstützungen auf der Grundlage von Normen und Rahmenwerken erörtert.

3.1 Konzeptionelle, betriebswirtschaftliche Anforderungen

Aufgabe des Risikomanagements ist es, künftige Chancen und risikobehaftete Entwicklungen frühzeitig zu erkennen, diese zu analysieren und zu bewerten, zu kommunizieren und zu steuern bzw. fortlaufend zu überwachen, um damit das Erreichen der Unternehmensziele positiv zu beeinflussen und das Unternehmen an dynamische Umfeldbedingungen anzupassen.[51] Daraus ergeben sich wesentliche Anforderungen. Die Ausgestaltung des Risikomanagements ist nicht zuletzt von Größe, Branche, Struktur und Komplexität eines Unternehmens abhängig.[52] In diesem Verständnis sollen grundlegende betriebswirtschaftliche bzw. konzeptionelle Anforderungen an ein Risikomanagement beschrieben werden, ohne im Detail auf deren konkrete Ausgestaltung einzugehen.

3.1.1 Rahmenbedingungen zum Risikomanagement

Um Risikomanagement zielgerichtet anzuwenden, sind im Unternehmen entsprechende Voraussetzungen und Rahmenbedingungen zu schaffen bzw. zu gestalten.[53] Diese werden nachfolgend kurz erläutert.

3.1.1.1 Risikostrategie, Risikokultur und Risikoziele

Die Grundlage für ein erfolgreiches Risikomanagement bilden Risikokultur sowie Risikostrategie des Unternehmens.

Die Risikostrategie leitet sich aus der Unternehmensstrategie ab und gibt die Risikoziele des Unternehmens wieder, welche wiederum im Einklang mit den Unternehmenszielen stehen.[54] Zwischen Unternehmensstrategie und Risikostrategie besteht Wechselwirkung. Die Risikostrategie wird durch Richtlinien bzw. risikopolitische Grundsätze konkretisiert und trägt zur Schaffung eines Risikobewusstseins und einer entsprechenden Risikokultur bei.[55] Mit der Risikostrategie ist der Risikoappetit (bzw. die Risikoneigung) eines Unternehmens zu bestimmen, es ist das bewusste Eingehen und der Umgang mit Risiken innerhalb der Risikotragfähigkeit (diese wird i.d.R. von Größen wie Eigenkapital bzw. Liquiditätsreserven bestimmt) zur Erreichung der übergeordneten Unternehmensziele festzulegen.[56]

Die Risikokultur als Teil der Unternehmenskultur spiegelt sich im Risikobewusstsein sowie in der Risikoeinstellung aller im Unternehmen beteiligten Personen wider.[57] Die Risikokultur unterstützt einen durchgehend einheitlichen Umgang mit Risiken und fördert die Akzeptanz eingesetzter Risikomanagementinstrumente.[58] Führungsstil, festgelegte Zuständigkeits- und Verantwortungsbereiche unterstützen das Entstehen einer Risikokultur.[59] Da sich die Unternehmenskultur auch in der Risikokultur widerspiegelt, soll an dieser Stelle auf den Begriff der Unternehmenskultur eingegangen werden. Schein stellt die Unternehmenskultur als vielschichtiges Phänomen dar und definiert drei Ebenen der Unternehmenskultur, diese unterscheiden sich, wie in Abbildung 2 dargestellt, bzgl. ihrer Sichtbarkeit.[60]

Abbildung 2: Kulturebenen nach Schein[61]

Das Drei-Ebenen-Modell kann auch mit einem Eisberg verglichen werden.[62] Es ist nur ein kleiner Teil der Unternehmens- bzw. Risikokultur nach außen hin sichtbar und bewusst (Artefakte, Werte und Normen), der Großteil bleibt unsichtbar und unbewusst (Basisannahmen). Diese drei Ebenen gilt es, bei der Entwicklung einer Risikokultur einzubeziehen.[63]

Als begleitende Führungsfunktion zielt Risikomanagement auf die systematische Berücksichtigung zugrundeliegender Risikomanagement-Zielsetzungen in sämtlichen Entscheidungssituationen und auf allen Führungsebenen ab.[64] Risikomanagement ist nicht Selbstzweck, als vorrangige Ziele des Risikomanagements können die Erfüllung gesetzlicher Vorschriften zur Vermeidung persönlicher Haftungsfolgen, die Existenzsicherung, die nachhaltige Sicherung des Unternehmenserfolgs und die Steigerung des Unternehmenswertes sowie die Optimierung der Risikoposition des Unternehmens betrachtet werden.[65] Sicherung geplanter Unternehmensziele, Eröffnung neuer Handlungsspielräume, Senkung von Risiko- und Kapitalkosten sind als weitere Ziele des Risikomanagements zu sehen.[66]

3.1.1.2 Aufbau- und Ablauforganisation

Zur Umsetzung des Risikomanagements sind eine entsprechende Risikomanagement-Organisation (dies kann z.B. unter Nutzung vorhandener Strukturen erfolgen) und ein entsprechender Risikomanagementprozess erforderlich.[67] Aufbau- und ablauforganisatorische Regelungen im Umgang mit Risiken sind festzulegen und auch klare Verantwortungen und Zuständigkeiten zuzuweisen, dabei sind auch Fragestellungen wie Aufgabenumfang, zentrale/dezentrale Aufgabenerledigung zu klären.[68]

Risikostrategie, Risikokultur, Risikoziele, und Risikomanagement-Organisation bilden das Fundament zum Risikomanagement.[69]

3.1.2 Risikomanagementprozess

Risikomanagement läuft im Unternehmen als Prozess ab.[70] Obwohl dieser Prozess zum Risikomanagement in der Literatur nicht einheitlich dargestellt wird und Unterschiede in einzelnen Prozessschritten und deren Abgrenzungen bestehen, ergeben sich im Kern einheitliche Grundzüge.[71] Wie in Abbildung 3 dargestellt, kann der Risikomanagementprozess in die Phasen Risikoidentifikation, Risikoanalyse und -bewertung, Risikobewältigung und -steuerung sowie Risikoberichterstattung unterteilt werden. Um die Effizienz und Effektivität des Risikomanagements zu gewährleisten, ist der Prozess in allen Phasen einer Überwachung zu unterziehen.[72] Regelmäßiges Reporting und laufende Kommunikation sollen einen systematischen Informationsaustausch sicherstellen.[73] Durch einen kreislaufförmigen Ansatz und die systematische, fortlaufende Anwendung ist das Risikomanagement auch einem ständigen Verbesserungsprozess unterworfen.[74]

Abbildung 3: Risikomanagementprozess[75]

Der dargestellte Risikomanagementprozess wird nachfolgend näher erläutert, um im Anschluss anwendbare Instrumente bzw. Methoden beispielhaft vorzustellen bzw. voneinander abzugrenzen.

3.1.2.1 Identifikation

Ein effizientes Risikomanagement setzt die Kenntnis möglichst sämtlicher Risiken aus allen Unternehmensbereichen voraus, welche das Erreichen der Unternehmensziele beeinflussen können.[76] Diese bilden die Basis für alle nachfolgenden Prozessschritte, nur identifizierte Risiken können bewertet und gesteuert werden.[77] In diesem Zusammenhang ist eine unterstützende Risikokategorisierung zielführend (siehe dazu Kapitel 2.2).[78] Risiken lassen sich in einem kombinierten top-down- und bottom-up-Ansatz identifizieren.[79] So wird z.B. eine grobe Risikokategorisierung von der Unternehmensleitung vorgegeben, die von den operativen Einheiten verfeinert und um identifizierte Risiken ergänzt wird.[80] Die Risikoidentifikation selbst zählt vorrangig zu den Aufgaben der operativen Bereiche.[81]

In der Literatur wird z.B. zur Risikoidentifikation die unterstützende Betrachtung eines hierarchisch aufgebauten Prozessmodells eines Unternehmens vorgeschlagen, dies soll die Einbindung wesentlicher Bereiche und Prozesse auf allen Hierarchieebenen sicherstellen.[82]

Zur systematischen Identifikation relevanter Risiken stehen vielfältigste Instrumente bzw. Methoden zur Verfügung, diese werden beispielhaft in Kapitel 3.1.2.6 beschrieben. Vollständigkeit, Aktualität im Sinne einer schnellen und frühzeitigen Erkennung, Wirtschaftlichkeit sowie Akzeptanz und Systematik im Vorgehen sind einige in der Literatur genannte Anforderungen, die an die Risikoidentifikation bzw. den Methodeneinsatz gestellt...