Aufbau eines Risikomanagement-Systems
Den ersten Schritt beim Aufbau eines Risikomanagement-Systems markiert der Prozess der Systemdefinition. Im Rahmen dieses Prozesses werden Ziele und Zweck der Risikobeurteilung sowie die Definition von Risikoklassen, Ursacheklassen, Eintrittswahrscheinlichkeiten, Schadenshöhen und Toleranzgrenzen festgelegt. Bei der Risikobeurteilung geht es darum, die Risiken zu erkennen, die Schadenshöhen und Eintrittswahrscheinlichkeiten einzuschätzen, die Risiken insgesamt zu bewerten und zu aggregieren. Zur Risikobewältigung zählt die Festlegung von Grundstrategien und Massnahmen, die Bewertung des Sollzustandes und die Optimierung des Risikoportfolios.
Zentraler Bestandteil der Risikoüberwachung ist die Prüfung der Wirksamkeit von Massnahmen und Lösungswegen. Ein wichtiges Werkzeug im Rahmen des Risikomanagement-Prozesses ist die Risikoinventur. Unter Risikoinventur wird die lückenlose Aufnahme aller vorhandenen und zukünftigen Risiken und die Beurteilung hinsichtlich Eintrittswahrscheinlichkeit und Schadenshöhe verstanden. Eine Risikoinventur kann mittels Befragung und/oder Workshops erfolgen. Die Versorgung der beteiligten Personen mit Informationen über Risikofelder kann dabei der sehr hilfreich sein:
::: Branchen- und sonstige Umfeldrisiken: Rechtliches und politisches Umfeld, Gesellschaftliche Trends, Markttrends, Marktattraktivität und Wettbewerbskräfte, Marktposition und Wettbewerbsvorteile, Konjunkturelle Schwankungen, Beschaffungsmarkt
::: Unternehmensstrategische Risiken: Inkonsistenzen der Unternehmensstrategie, Planungsprämissen zur Unternehmensstrategie, Strukturen der Geschäftsfelder, Bedrohung kritischer Erfolgsfaktoren, Produktportfolio, Investitionen, Organisation, Führungsstil, Standort
::: Leistungswirtschaftliche Risiken: Produktmanagement, Produktplanung, Produktentwicklung, Marketing, Akquisition, Auftragsbearbeitung, Beschaffung, Produktion, After-Sales-Support
::: Personalrisiken: Personalcontrolling, Personalmarketing, Personalentwicklung, Personaladministration, Arbeitsbedingungen, Entgeltsysteme, Soziale Sicherheit, Soziale Einrichtungen
::: Informationstechnische Risiken: Faktor Mensch, Security (Einzelplatz-PC, lokales Netz, verbundene Netze, drahtlose Netze, Aussendienst, Betriebssysteme, Applikationen, Prozesse und Organisation), Safty (Datensicherung, Notfallplanung, Physikalischer Schutz), Datenschutz, Verfügbarkeit, Compliance
::: Finanzwirtschaftliche Risiken: Liquidität, Zinsen, Währungen, Bonitäts- und Adressausfall
::: Sonstige Risiken: Allgemeine Haftpflicht und Bürgschaft, Produkthaftung, Vertragssicherheit und AGB, Personengefährdung / Arbeitsschutz
Bei der Einschätzung von Eintrittswahrscheinlichkeit und Schadenshöhe sagt der Deutsche Rechnungslegungsstandard DRS Nr. 5, dass Risiken nur dann zu quantifizieren sind, wenn dies nach anerkannten und verlässlichen Methoden möglich und wirtschaftlich vertretbar ist. Es sind daher häufig semi-quantitative Verfahren zu finden. Die ONR 49002 gibt folgende Beispiele für die
::::::::::::::::::::::::::::::::::::::
Eintrittswahrscheinlichkeit
::::::::::::::::::::::::::::::::::::::
::: häufig einmal in 2 Jahren
::: möglich einmal in 3 Jahren
::: selten einmal in 10 Jahren
::: sehr selten einmal in 33 Jahren
::: unwahrscheinlich einmal in 100 Jahren
::::::::::::::::::::::::::::::::::::::
Schadenshöhe
::::::::::::::::::::::::::::::::::::::
::: unbedeutend belasten das Budget nicht
::: gering belasten das Budget, werden in der GuV nicht
::: wirklich sichtbar
::: spürbar Jahresgewinn wird sichtbar vermindert
::: kritisch Jahresgewinn wir aufgezehrt
::: katastrophal mehrere Jahresgewinne fallen dem Risiko zum Opfer
Organisation des Risikomanagements
Das Risikomanagement ist eine zentrale Instanz, die entweder direkt bei der Geschäftsleitung angesiedelt ist oder einem Risikoverantwortlichen übertragen wird. Diesem obliegen folgende Aufgaben:
::: Konzeption, Dokumentation und Unterhalt des Risikomanagementsystems
::: Integration mit der Unternehmensplanung
::: Informationsversorgung und Unterstützung der Risikoverantwortlichen in den
Unternehmensbereichen und –prozessen
::: Risikoberichterstattung und Ad-hoc-Reporting.
Eine Online-Befragung des BDU-Regionalarbeitskreises Baden-Württemberg bei mittelständischen Unternehmen, bei Beratern und Professoren hat ergeben, dass das Controlling sowie das Finanz- u. Rechnungswesen eines Unternehmens am besten geeignet sind, sich mit Frühwarnindikatoren und somit mit dem Risikomanagement zu beschäftigen. Als Funktionsbezeichnung des zentralen Risikoverantwortlichen hat sich der Begriff Risikocontroller durchgesetzt.
Um zu den anderen Beiträgen dieser Artikelserie zu gelangen, klicken Sie bitte auf einen der nachfolgenden Hyperlinks:
Risikomanagement - Teil 1: Nutzen und Mehrwerte
Risikomanagement - Teil 2: Aufbau und Organisation
Risikomanagement - Teil 3: Frühwarnindikatoren und Risikokennzahlen
Risikomanagement - Teil 4: Internes und externes Risikoreporting
Risikomanagement - Teil 5: Scoring und Rating