Unternehmensweites Risikomanagement hat sich in den letzten Jahren als fixer Bestandteil der Corporate Governance der meisten großen Unternehmen etabliert. Die in den Unternehmen implementierten Risikomanagementsysteme sind aber keineswegs einheitlich, sondern je nach Unternehmen sehr unterschiedlich entwickelt. Ein wesentliches Differenzierungsmerkmal ist die Vorgehensweise bei der Bewertung und Aggregation der Risiken. Hier findet man eine große Bandbreite an Methoden: von einfachen, qualitativen Vorgehensweisen bis hin zu komplexen, quantitativen Ansätzen. Dieser Beitrag stellt unterschiedliche Methoden der Risikobewertung vor, zeigt Zusammenhänge zwischen Risikobewertung und Reifegrad der Risikomanagementsysteme auf und beschreibt die Herausforderungen bei der Risikobewertung in der Praxis.
1. Ausgangssituation
Das Risikomanagement hat sich in den letzten Jahren etabliert. Motiviert durch gesetzliche Anforderungen, Selbstverpflichtung zum Corporate-Governance-Kodex, aber auch durch zunehmendes Interesse der Unternehmensaufsicht an Unternehmensrisiken und Risikomanagement haben praktisch alle kapitalmarktorientierten Unternehmen und ein Großteil der großen Unternehmen Risikomanagementsysteme implementiert.
Betrachtet man die implementierten Systeme genauer, so ist zu erkennen, dass sich noch kein Standard etabliert hat, sondern sich die Risikomanagementsysteme der Unternehmen stark unterscheiden und einem typischen Entwicklungspfad folgen: Oft starten Unternehmen mit eher einfachen Systemen, die primär den Anspruch haben, den gesetzlichen Anforderungen zu genügen, und entwickeln diese weiter zu komplexeren Systemen, die vor allem auch einen Beitrag zur operativen und strategischen Steuerung der Unternehmen leisten sollen. Abbildung 1 gibt einen Überblick über diesen typischen Entwicklungspfad und die Ausprägungen der Risikomanagementsysteme in den einzelnen Entwicklungsstufen.
Abb. 1: Entwicklungsstufen des Risikomanagements
In der ersten Stufe („Initiales“ Risikomanagement) wird Risikomanagement noch eher unsystematisch betrieben. Häufig werden nur einige Großrisiken anlassbezogen analysiert und berichtet.
In der nächsten Stufe wird das Risikomanagement zu einem „rechtlich vorgeschriebenen Minimalsystem“ ausgebaut: Es wird versucht, unternehmensweit alle wesentlichen Risiken systematisch zu erfassen und zu dokumentieren. Darüber hinaus wird ein Prozess etabliert, mit dem diese Risiken aktualisiert und regelmäßig berichtet werden.
Die Ausbaustufe („Risikomanagement als komplexe Rechenübung“) ergänzt diesen Prozess durch qualitative oder quantitative Risikobewertung und häufig auch aggregierte Darstellungen der wesentlichen Risiken (bspw. Risk Maps). Der Fokus liegt aber immer noch auf der Erfüllung der rechtlichen Anforderungen, insbesondere auf dem regelmäßigen Risikoberichtswesen, und weniger auf der Steuerung der Risiken bzw. der Risikogesamtposition. Risikomanagementsysteme dieser Ausbaustufe sind auch häufig eher revisionsgetrieben, eine Integration in die Unternehmenssteuerung (Strategie, Controlling) gibt es kaum.
Erst im folgenden Schritt („Risikomanagement als integriertes Steuerungssystem“) entwickeln sich ein stärkerer Fokus auf die Steuerung der Risiken bzw. der Risikogesamtposition und eine Integration mit den Steuerungssystemen der Unternehmen. Unternehmen versuchen hier, bspw. durch Ausrichtung der Risikoidentifikation- und -bewertung sowie des Risikoberichtswesens auf die wesentlichen Zielgrößen des Unternehmens, eine Verschränkung mit den Steuerungssystemen zu erreichen. Risiken werden als positive oder negative Abweichungen von der jeweils aktuellen Planung bzw. Erwartungs¬rechnung definiert und bewertet, eine Darstellung von Bandbreiten- bzw. Korridorplanungen ist dadurch möglich. Der Fokus liegt typischerweise auf operativen Plangrößen wie EBT und/oder Cash Flow.
In einer weiteren Stufe („Integriertes Chancen- und Risikomanagement“) wird das System stärker strategisch ausgerichtet – nicht nur operative Zielgrößen, sondern zunehmend auch strategische Ziele dienen als Bezugspunkte zur Risikoidentifikation und -bewertung. Darüber hinaus erfolgt eine starke Integration in die strategischen Planungs- und Steuerungsprozesse der Unternehmen.
2. Reifegrad des unternehmensweiten Risikomanagementsystems
Je nach Entwicklungsstand des Risikomanagements im Unternehmen ist auch die Methode der Risikobewertung ausgerichtet (siehe Abb. 2).
Dominieren anfangs noch qualitative Methoden, so wird bei höherem Entwicklungsstand der Systeme häufig versucht, quantitative Methoden einzusetzen, die komplexer werden, je mehr eine Integration in die operativen und strategischen Steuerungssysteme gewünscht ist. Diese erlauben in der Regel auch eine Aggregation der Risiken zur Ermittlung der Risikogesamtposition bzw. der Verteilung der wesentlichen Zielgrößen der Unternehmen.
Abb 2: Risikobewertung und -aggregation in Abhängigkeit vom Entwicklungsstand des Risikomanagements
3. Quantitative Risikobewertung – Herausforderung in der Praxis
Grundsätzlich können Unternehmen die Methode der Risikobewertung frei wählen, da sich (ausgenommen für Unternehmen bestimmter Branchen wie etwa Banken oder Versicherungen) weder aus regulatorischen Bestimmungen noch aus Risikomanagement-Normen (z.B. COSO) eindeutige Anforderungen ableiten lassen. Immer mehr Unternehmen entscheiden sich allerdings – auch vor dem Hintergrund eines immer volatileren Unternehmensumfelds – für eine stärkere Integration der Risikomanagementsysteme mit den Steuerungssystemen und versuchen, Bandbreiten der wesentlichen Steuerungsgrößen darzustellen.
Die wesentliche Herausforderung liegt in der unternehmensweit einheitlichen Anwendung der gewählten Bewertungsmethode. Dies umso mehr, wenn viele dezentrale Bewerter und/oder Risikomanager an der Risikobewertung mitwirken.
In der Praxis ist es daher erforderlich und hilfreich, zahlreiche Festlegungen zur Risikobewertung zu treffen und unternehmensweit zu kommunizieren.
Abbildung 3 gibt einen Überblick über mögliche Themen, die dabei helfen können, die Risikobewertung unternehmensweit zu standardisieren. Die Themen reichen von der Präzisierung des Risikobegriffs, der auch die Unterscheidung von Planungsrisiken und Ereignisrisiken beinhalten sollte, über die Definition der Bewertungsmethode (wie oben in Stufe IV dargestellt) bis hin zum Umgang mit Maßnahmen und anderen Risikovorsorgen (bspw. Rückstellungen) sowie mit Risiken im Konzern.
Abb 3: Festlegungen zur Sicherstellung einer einheitlichen Risikobewertung
Abb 3: Festlegungen zur Sicherstellung einer einheitlichen Risikobewertung
Die Festlegungen sollten in einem Risikomanagementhandbuch dokumentiert und so klar wie möglich unternehmensweit – bspw. in Schulungen und bei der regelmäßigen Aktualisierung der Risikobewertungen – kommuniziert werden.
Nur wenn sichergestellt ist, dass im Rahmen der Risikobewertung eine einheitliche Vorgehensweise angewendet wird, sind die Aggregation von Risiken mithilfe von Simulationsverfahren und die Darstellung von Ergebnisbandbreiten sinnvoll anwendbar. Andernfalls empfiehlt sich ein Rückschritt auf einfachere Methoden, um einerseits Scheingenauigkeit zu vermeiden und andererseits den Fokus der Diskussion weg von möglichen Schwächen der Risikobewertung hin zur Risikosteuerung als eigentlichen Kern des Risikomanagements zu lenken.
Weitere Informationen zur Risikobewertung erhalten Sie unter www.controller-institut.at.
Ein Lehrgang, der zum Certified Corporate Risk Manager ausbildet und sich u.a. ebenfalls mit diesem Thema beschäftigt startet am 09. Oktober 2017 in Wien.
Dr. Karin Exner
Lehrgangsleiterin Certified Corporate Risk Manager des Controller Instituts
• Studium der Handelswissenschaften an der WU Wien
• 1996-2002 Universitätsassistentin am Institut für Unternehmensführung, Abteilung für Unternehmensführung, Controlling und Beratung der WU Wien
• ab 2003 Beraterin, ab 2005 Senior-Beraterin bei Contrast Management-Consulting im Bereich Controlling und Finance
• 2008-2014 Head of Risk and Opportunity Management bei Kapsch TrafficCom AG
• seit 2015 Senior Manager bei Contrast-Management Consulting
• zahlreiche Veröffentlichungen und Vorträge zu den Themen Risikomanagement und Controlling
Mag. Markus Hölzl, CFE, CIA
• Managing Director/Geschäftsführer, EY Österreich
• Leitung von Beratungs- und Prüfungsprojekten im Zusammenhang mit Risikomanagement, IKS und Internal Audit sowie Wirtschaftsprüfungserfahrung