- Riskmanagement
-
Risikomanagement [-ˌmænɪdʒmənt] ist die systematische Erfassung und Bewertung von Risiken sowie die Steuerung von Reaktionen auf festgestellte Risiken. Es ist ein systematisches Verfahren, das in vielfältigen Bereichen Anwendung findet, zum Beispiel bei
- Unternehmensrisiken,
- Kreditrisiken,
- Finanzanlagerisiken,
- Umweltrisiken,
- versicherungstechnischen Risiken,
- technischen Risiken.
Inhaltsverzeichnis
Inhalte
Risikomanagement umfasst:
- Festlegungen von Zielen auf Basis der Definition von Strategie, ggf. auch Visionen der das Risikomanagement anwendenden Stelle
- Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen
- Festlegung einer Risikomanagement-Strategie
- Identifikation von Risiken (im Finanzrisikomanagement mit „Exposure-Ermittlung” bezeichnet)
- Bewertung/Messung von Risiken
- Bewältigung von Risiken
- Steuerung der Risikoabwehr
- Monitoring, also Früherkennung
- Strukturierung und Dokumentation in einem Risikomanagementsystem.
Grundsätzlich beginnt Risikomanagement in dem Moment, in dem eine Vision, ein Wunschbild der zukünftigen Realität entsteht. Denn die Chancen, die man dazu wahrnehmen muss, werden durch Unwägbarkeiten gefährdet. Ohne konkrete Ziele lassen sich keine Abweichungen messen.
Die Wahl der Strategie ist im Wesentlichen abhängig von der Risikobereitschaft (risikoavers, risikoneutral oder risikofreudig) bei einem Vorhaben.
Erfassung
Die Identifikation von Risiken kann z. B. mittels Szenario-Technik, Post-Mortem-Analyse, Expertenbefragungen, Delphi-Methode, Checklisten, Kreativitätstechniken oder einfach durch offene und ehrliche Kommunikation erfolgen.
Eine Möglichkeit für die Messung von Risiken sind Risikokennzahlen wie die Sensitivität (die Empfindlichkeit eines Papieres gegenüber äußeren Einflüssen), der Value at Risk oder VaR, welcher dem Wert eines angenommenen Verlustes entspricht.
Zur detaillierten Darstellung wird das Gesamtrisiko meist auf einzelne Risikofaktoren aufgeteilt. Da diese Risikofaktoren sich gegenseitig beeinflussen, wird eine Risikomatrix der Faktoren verwendet, welche die Konsequenzen auf das Gesamtsystem bei Berührung eines einzelnen Risikofaktors abbildet. Für die einzelnen Risikofaktoren werden nun per Simulation die einzelnen "Schadensfälle" zum Gesamtsystem berechnet. Um die Auswirkung der einzelnen Risiken auf das Unternehmen darzustellen, ist eine Risikoaggregation erforderlich.
Das genannte Verfahren ist besonders typisch zur Bestimmung des "Marktpreisrisikos", welches Zinsverläufe, Wechselkurse und Branchenentwicklungen im Fokus hat.
Dieses errechnete Gesamtrisiko ist z.B. für Kreditinstitute die Basis für die Rückstellungen, um eigene Geschäfte abzusichern.
Bestimmte Bewertungen von Risiken, speziell für die bezogenen Partner, können auch durch Experteneingaben erfasst werden.
Bei der internen Erfassung sind Kreditinstitute grundsätzlich frei. Hingegen bei der Erfassung für den externen Adressaten sind die Kreditinstitute an die Vorgaben der Bankenaufsicht/ BAFin im Grundsatz 1 gebunden.
Steuerung
Grundsätzlich gibt es fünf unterschiedliche Risikosteuerungsstrategien:
- Risikovermeidung: Eine vollständige Vermeidung von Risiken ist nicht Ziel des Risikomanagements und kann nur erreicht werden, indem man die risikobehaftete Aktivität unterlässt. Sinnvoll ist dies nur bei bestandsgefährdenden Risiken.
- Risikoverminderung: Die Verminderung von Risiken setzt darauf, Risikopotenziale - nicht wie bei der Risikovermeidung - auszuschließen, sondern auf ein akzeptables Maß zu reduzieren.
- Risikobegrenzung: Die Risikobegrenzung gliedert sich auf in zwei Teilbereiche, der Risikostreuung (auch -diversifikation) und der Risikolimitierung. Die Risikostreuung fußt auf der Portfolio-Theorie, die besagt, dass die Kombination nicht vollständig miteinander korrelierender Anlagealternativen in einem Portfolio einen Diversifikationseffekt bewirkt, der in der Summe das Gesamtrisiko verringert oder sogar neutralisiert. Bei der Risikolimitierung setzt das Management Limite (also definierte Obergrenzen) für das Eingehen von Risiken.
- Risikoüberwälzung: Bei der Risikoüberwälzung wird das Risiko durch faktische oder vertragliche, teilweise oder völlige Überwälzung an Dritte übertragen. Die Übertragung steht in Verbindung mit einem zusätzlichen Geschäft, das das Risiko vollständig oder zu wesentlichen Teilen an Dritte weitergibt. Das Risiko wird hierbei nicht beseitigt, sondern wechselt den Risikoträger. Unterschieden werden kann zwischen der Überwälzung auf Versicherungsunternehmen und auf Vertragspartner.
- Risikoakzeptanz: Die Vermeidung, Verminderung und Überwälzung von Risiken kann die Risiken nicht vollständig ausschließen. Das verbleibende Restrisiko muss das Unternehmen akzeptieren und selbst tragen. Dies bedingt das Vorhandensein eines entsprechenden Risikodeckungspotenzials, da ein ggf. eintretender Schaden aus eigener Kraft gedeckt werden muss. Die Akzeptanz von Risiken sollte dann gewählt werden, wenn die vorstehend beschriebenen Wege in keiner positiven Aufwand-Nutzen-Relation stehen würden.
Kontrolle
Ziel des Risiko-Monitoring ist es, die erkannten Risiken im Auge zu behalten.
Risikomanagementprozess
Das Vorgehen beim Risikomanagement kann auch in Phasen dargestellt werden.
Die wesentlichen Schritte eines Risikomanagementprozesses bestehen aus den Phasen
- Risikoanalyse,
- Risikobewertung,
- Risikominimierung,
- Risikokontrolle,
- Risikoverfolgung.
Vor der Risikoanalyse wird ein Risikograph festgelegt, der die elementaren Parameter Eintrittswahrscheinlichkeit und Schadensausmaß einem Akzeptanzbereich zuordnet. Während der Risikobewertung wird jede in der Phase Risikoanalyse identifizierte Gefährdung unter dem Aspekt Eintrittswahrscheinlichkeit und Schadensausmaß bewertet. Damit landet jedes Risiko in einem Bereich des Risikographen. Ziel der Risikominimierung ist es schließlich für alle Risiken, die im inakzeptablen Bereich (bzw. im ALARP-Bereich) des Risikographen liegen, Maßnahmen festzulegen, die Eintrittswahrscheinlichkeit und/oder Schadensausmaß verringern. Am Ende dieser Phase sollte kein Risiko mehr im inakzeptablen Bereich liegen. In der Praxis lässt sich in der Regel das Schadensausmaß kaum verringern, meistens wird eine Risikominimierung durch Verringerung der Eintrittswahrscheinlichkeit erreicht (z. B. durch zweihändige Bedienung von Industriepressen wird die Eintrittswahrscheinlichkeit für einen Unfall verringert). Bei Finanzrisiken jedoch ist häufig nur das Schadensausmaß, nicht aber die Eintrittswahrscheinlichkeit beeinflussbar (z. B. kann ein Unternehmen die Wahrscheinlichkeit eines Anstieges des Dollarkurses nicht beeinflussen, kann aber durch entsprechende Sicherungsgeschäfte die potentiellen Auswirkungen steuern).
Während der Phase der Risikokontrolle erfolgt schließlich eine Neubewertung aller Risiken zur Überprüfung der eingeführten Maßnahmen, und um festzustellen, ob eingeführte Maßnahmen neue Risiken mit sich bringen.
Risiken im ALARP-Bereich (ALARP bedeutet As Low As Reasonably Practicable) sollen auf ein vernünftiges und durchführbares Maß minimiert werden. Dies bedeutet zum Beispiel, dass ein Risiko als tolerierbar eingestuft werden kann, wenn die Kosten für seine Minimierung höher liegen als die Kosten, die bei Eintritt des Risikos zu erwarten sind. In diesem Fall sind weitere Maßnahmen zur Risikokontrolle nicht praktikabel. Eine Risiko-Nutzen-Analyse kann in diesem Fall verwendet werden, um abzuschätzen, ob der Nutzen des Produkts das Restrisiko überwiegt.
Anwendungsbereiche
- Unternehmensrisiken lassen sich unterteilen in Fortführungsrisiken und Ertrags- und Reputationsrisiken
- Kreditrisiken befassen sich mit möglichen Kreditausfällen und den Marktrisiken wie zum Beispiel Zinsänderungen
- Finanzanlagerisiken
- Umweltrisiken befassen sich mit Antizipation Schadensereignissen wie Lawinen, Überschwemmungen, Steinschlag und Murgängen und deren Steuerung zum Beispiel mit baulichen Maßnahmen und Gefahrenzonenplanung.
- Versicherungstechnischen Risiken
- Technische Risiken: Auch technische Risiken können in einem Managementsystem behandelt werden, dies ist z. B. Bestandteil des Arbeitsschutzes bzw. Arbeitsschutzmanagement. Über die Schadensbewertung und Maßnahmen zur Schadensvermeidung besteht auch eine Verbindung zum finanzbezogenen Risikomanagement. So beziehen sich einige Fragen des Fragenkatalog von Basel II auch auf technische Risiken, wie z. B. Risiken des Herstellungsprozesses und der Arbeitssicherheit.
Das Risikomanagement spielt im Versicherungsmarkt und als Vorstufe zur Versicherung eine zentrale Rolle.
Allgemein kann unterschieden werden zwischen quantitativem Risikomanagement (Risiko wird in „Geld“ bewertet) und qualitativem Risikomanagement (Risiken werden mit einer Risikomaßzahl belegt, die nur die relative Risikohöhe der Risiken zueinander innerhalb eines abgeschlossenen Risikomanagementsystems beschreibt). Welche Risikomanagementmethode zum Einsatz kommt, hängt vor allem von den im Folgenden dargestellten Einsatzbereichen ab:
- im Finanzwesen (hier liegen die Ursprünge des Risikomanagements)
- in der Versicherungswirtschaft
- in der Unternehmungsführung. Implementierung einer Risikomanagement-Organisation zur Steuerung von operationellen Risiken, welche die Kernprozesse gefährden. Dabei gilt der Grundsatz Prozess-Eigner = Risiko-Eigner. Unterstützt wird die RM Organisation durch eine unternehmensweite Risikoberichterstattung (Risk Reporting), welches richtig eingesetzt eine Frühwarnung ermöglicht.
- im Projektmanagement zur Minimierung von Prozessrisiken. Typische „Kernrisiken“ (Prozessrisiken) im Projektmanagement sind fehlerhafte Zeitpläne, Inflation von Anforderungen, Mitarbeiterfluktuation, Spezifikationskollaps, geringe Produktivität und Gruppendruck/„group think“. Das Thema Projektmanagement wird auch ausführlich in den englischen Wikipedia-Seiten behandelt.)
- in der Informationstechnologie (z. B. im Rahmen von Disaster Recovery Planning und Business Continuity Management)
- in der Entwicklung sicherheitskritischer Systeme und Produkte wird Risikomanagement verwendet, um Produktrisiken zu minimieren (vgl. beispielsweise ISO 14971 für Medizinprodukte)
- in der Informatik in Softwareentwicklungsprojekten im Rahmen des Projektmanagements
Im Finanzwesen und in der Versicherungswirtschaft kommen hier hauptsächlich quantitative Risikomanagementmethoden zum Einsatz. In der Unternehmensführung erzwingt § 91 Abs. 2 AktG (siehe KonTraG, Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) seit 1998 Aktiengesellschaften zur Einrichtung eines Überwachungssystems, um Risiken frühzeitig zu erkennen. § 91 Abs. 2 AktG sieht vor, dass "der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten hat, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden".
Bereits vor dem Inkrafttreten des KonTraG war es jedoch unbestritten, dass aus der Leitungsaufgabe des Vorstandes nach § 76 AktG eine Verpflichtung zur Einrichtung eines Überwachungssystems folgt.
Qualitative Risikomanagementmethoden zeichnen sich dabei dadurch aus, dass sie eine weniger aufwändige Mathematik voraussetzen. Quantitative Risikomanagementmethoden dagegen nutzen überwiegend Finanz- und Versicherungsmathematische Methoden und Modelle zur Ermittlung der Höhe der Risiken. Ein Versuch die verschiedenen Ansätze des Risikomanagements zu vereinen, stellt das erweiterte Risikomanagement (XRM) dar.
Projektmanagement
Risikomanagement in Projekten beschäftigt sich mit allen Tätigkeiten, welche zur Verhinderung von oder zum Umgang mit ungeplanten Ereignissen beschäftigt, welche den Projektverlauf gefährden.
Es findet immer ein Abwägen der notwendigen Aufwände zur Risikominimierung oder des (mit der Eintrittswahrscheinlichkeit gewichteten) Schadens bei Risikoeintritt statt. Teilweise werden im Risikomanagement auch Themen des sog. Issuemanagement - also der Behandlung eingetretener und vorher nicht identifizierter Risiken behandelt.
Das PMBOK Guide sieht hierfür sechs Hauptprozesse vor:
- Risikomanagementplanung
- Hier werden die Verfahren festgelegt, mit denen die folgenden Risikoprozesse arbeiten. Hierzu gehören Identifikationsmethoden, Dokumentationsstrategien, Bewertungsstrategien und Verantwortlichkeiten.
- Risikoidentifikation
- Während der Risikoidentifikation werden Risiken (potentielle Behinderungen) mit verschiedenen Methoden identifiziert und dokumentiert.
- Qualitative Risikoanalyse
- Die identifizierten Risiken werden qualifiziert, hierzu gehört die Priorisierung auf Basis der Wahrscheinlichkeit des Eintretens und Auswirkungen auf den Projekterfolg.
- Quantitative Risikoanalyse
- Danach erfolgt die quantitative Bewertung (in geldwerten Größen) von Risikowirkung, Gegenmaßnahmen und/oder erforderlichen Rückstellungen.
- Planung zur Risikobewältigung
- Die Planung der Risikobewältigung ermittelt Gegenmaßnahmen, um das Eintreten von Risiken zu minimieren oder die Auswirkungen der Risiken zu reduzieren.
- Risikoüberwachung und - verfolgung
- Der Status der Risiken (meist in einer Risikoliste dokumentiert) und der Status der Gegenmaßnahmen wird kontinuierlich überwacht.
Siehe auch: Projektmanagement
Versicherungswirtschaft
Für Versicherungsunternehmen zählt die Übernahme von Risiken zum eigentlichen Geschäftsmodell. Versicherungen begrenzen die Wahrscheinlichkeit einer überdurchschnittlichen Belastung durch Schadensfälle in erster Linie durch Rückversicherung, mit deren Hilfe sie Großschäden und Kumulrisiken begrenzen.
Kreditwirtschaft
Für Banken unterteilt man das betriebswirtschaftliche Gesamtrisiko in ein operationelles Risiko (z. B. durch Ausfälle in der IT), das Kreditrisiko (d. h. den Ausfall von Kreditnehmern), das Kontrahentenrisiko (d. h. den Ausfall von Kontrahenten bei Handelsgeschäften) als besonderen Teil des Kreditrisikos, das Liquiditätsrisiko (fällige Gelder können nicht aus den flüssigen Mitteln bedient werden, Geschäfte können auf Grund mangelnder Marktliquidität nicht zu den erwarteten Bedingungen abgeschlossen werden) und das Marktrisiko (z. B. Wechselkursrisiko, Zinsänderungsrisiko). In der Praxis wird oftmals das Reputationsrisiko (Risiko des Ansehensverlustes durch geschäftspolitische Entscheidungen o. Ä.) separat vom operationellen Risiko betrachtet. Den systematischen Ausfall mehrerer Geschäftspartner aufgrund von Branchenrisiko oder Länderrisiko bezeichnet man in der Kreditwirtschaft auch als Klumpenrisiko.
Ingenieur- und Umweltwissenschaften
Das Risikomanagement hat sich in den Ingenieurwissenschaften, z. B. bei der Entwicklung von sicherheitskritischen Systemen, und in den Umweltwissenschaften etabliert.
Es wird unterschieden zwischen der Minimierung von Prozessrisiken und Produktrisiken. Z. B. im Hinblick auf die Produktrisiken bei Medizinprodukten ist durch Normung vorgeschrieben, dass die Entwicklung und Herstellung dieser Produkte durch einen Risikomanagementprozess überwacht wird.
Unter Produktrisiken versteht man Gefährdungen, die zu Lasten des Kunden (Ausfall, Versagen, Tod, Zerstörung) und damit auch zu Lasten des Herstellers (Haftung, Imageverlust, Wartungsaufwand) fallen können. Mithilfe eines systematischen Risikomanagementprozesses soll sichergestellt werden, dass Produktrisiken bereits bei der Entwicklung identifiziert, bewertet, kontrolliert und überwacht werden.
Im Umgang mit Naturgefahren wird das Konzept des integrierten Risikomanagements in der Praxis immer wichtiger. So wurde z. B. jüngst im Bereich des Hochwasserschutzes der Begriff des Hochwasserrisikomanagements durch die Hochwasserrichtlinie 2007/60/EG eingeführt. Diese verlangt ein mehrstufiges Vorgehen zum Management dieser Naturgefahr: zuerst die vorläufige Abschätzung, dann das Erstellen und Hochwassergefahrenkarten (HWGK) und Hochwasserrisikokarten (HWRK), darauf aufbauend dann die Erstellung von Hochwasserrisikomanagementplänen (HWRMP).
Softwareentwicklung
Bei der Entwicklung und Implementierung von Informationssystemen werden zunehmend Methoden des Risikomanagements eingesetzt, um der zunehmenden Komplexität und der damit verbundenen Fehleranfälligkeit zu begegnen. Aspekte des Risikomanagements sollten über den gesamten System-Lebenszyklus, also beginnend mit dem Konzept, über die Entwicklung oder Programmierung, Implementierung und Konfiguration und während des Betriebes bis hin zur Stilllegung des Systems berücksichtigt werden.
Medizinprodukte
Bei der Entwicklung und Herstellung von Medizinprodukten müssen unter anderem die Methoden des Risikomanagements gemäß den Vorgaben der DIN EN ISO 14971 eingesetzt werden, um der zunehmenden Komplexität und der damit verbundenen Fehleranfälligkeit effektiv und sicher zu begegnen. Aspekte des Risikomanagements sollten über den gesamten System-Lebenszyklus, also beginnend mit dem Konzept, über die Entwicklung, Fertigung, Nutzung und in Verwendung mit anderen Medizinprodukten und während des Betriebes bis hin zur Entsorgung eines Medizinproduktes berücksichtigt werden.
Supply Risk Management
Das Supply Risk Management ist ein Teilbereich des Risikomanagements, dass sich mit der Identifikation, Analyse und Kontrolle von auftretenden Gefahren im Beschaffungsumfeld eines Unternehmens beschäftigt[1].
Mathematische Größen im Risikomanagement
- Rendite
- Performance (Risikomanagement)
- Gewinn
- Arithmetische Rendite
- Geometrische Rendite
- Annualisierte Rendite
- Stetige, logarithmierte Rendite
- Volatilität
- Mittelwert, Erwartungswert
- Varianz
- Standardabweichung
- Korrelationskoeffizient
- Value at Risk.
Rechtliche Aspekte
Nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sind Aktiengesellschaften (AGs) in Deutschland gesetzlich zur Risikofrüherkennung, einem Teilbereich des Risikomanagements, verpflichtet, um den Erhalt des eigenen Unternehmens sicherzustellen. Dies gilt anerkanntermaßen heute auch für andere Unternehmensformen und -größen und insbesondere für GmbH (§ 43 I und II GmbHG - wobei § 43 II in Bezug auf das Risikomanagement so ausgelegt wird, dass der GmbH-Geschäftsführer die ausgewiesenen Pflichten des § 91 II AktG erfüllen muss). Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB durch die Abschlussprüfer richtet sich dabei vornehmlich an dem IDW Prüfungsstandard 340 (IDW PS 340) aus. Bei der Früherkennung von Risiken ist zu unterscheiden nach „bestandsgefährdenden Risiken“ - mit einer 12 Monatssichtweise - und den „Risiken, die Auswirkungen auf die Ertrags-, Finanz- und Vermögenslage“ - mit einer 24 Monatssicht - des Unternehmens haben. International finden sich ähnliche rechtliche Anforderungen beispielsweise im Sarbanes-Oxley Act, einer Rechnungslegungsvorschrift für Unternehmen, die an US-Börsen gelistet sind. Risikomanagement ist eine Komponente des im Sarbanes-Oxley Act geforderten internen Kontrollsystems (IKS).
Literatur
- Diederichs, Marc: Risikomanagement und Risikocontrolling : Risikocontrolling - ein integrierter Bestandteil einer modernen Risikomanagement-Konzeption. München : Vahlen, 2004 (Controlling Praxis). – ISBN 3800630842
- Tom DeMarco, Timothy Lister: Bärentango. ISBN 3-446-22333-9.
- Roland Erben, Frank Romeike: Allein auf stürmischer See. Wiley-VCH, 2004, ISBN 3-527-50073-1.
- W. Gleißner, Frank Romeike: Risikomanagement – Umsetzung, Werkzeuge, Risikobewertung. Haufe 2005, ISBN 3-448-06209-X.
- Detlef Keitsch: Risikomanagement. Schäffer-Poeschel, 2004, ISBN 3-7910-2295-4.
- Koller: Wissensrisiken – Risiken aus Sicht des Wissensmanagements.
- Locher, Mehlau, Hackenberg, Wild: Risikomanagement in Finanzwirtschaft und Industrie.
- Frank Romeike, R. Finke (Hrsg.): Erfolgsfaktor Risiko-Management. Gabler-Verlag, 2003, ISBN 3-409-12200-1.
- Worst Case. Zwischen Angst, Alarm und Gelassenheit. Themenheft der Schweizer Monatshefte, Ausgabe September/Oktober 2006.
- Christoph Gebler: Risikomanagement und Rating für Unternehmer Beuth, 2005, ISBN 3-410-16110-4.
Siehe auch
- Prozess
- Risikomanager
- Unsicherheit
- Entscheidung unter Unsicherheit
- Management Risk Controlling (MRC)
- Risikocontrolling
- Risikomanagement-Standard
- Supply Risk Management
- Betriebssicherheitsmanagement
- Kontinuitätsmanagement
Einzelnachweise
- ↑ Rogler, S. (2002): Risikomanagement im Industriebetrieb: Analyse von Beschaffungs-, Produktions- und Absatzrisiken. Zugl. Habil. Univ. Göttingen, 1999. Wiesbaden: DUV, ISBN 3-8244-9084-6
Weblinks
Wikimedia Foundation.