und Risikoprofilen divergieren auch die Ausgestaltungsformen und Reifegrade der Chancen- und Risikomanagementsysteme in den Unternehmen.
Es gibt viele Möglichkeiten den Reifegrad des Risikomanagements zu ermitteln. Im Folgenden wird jedoch auf die Steuerungsrelevanz fokussiert. Wie muss ein Risikomanagementsystem gestaltet werden, damit es als Inputgeber für die Unternehmenssteuerung dienen kann? Abbildung 1 zeigt eine Auswahl von Faktoren, die Teil eines solchen Risikomanagementsystems sein können.
Abbildung 1: Steuerungsrelevante Aspekte des Risikomanagements
Die hellgrau hinterlegten Themen sind gängige Praxis und Bestandteil der meisten Risikomanagementsysteme.
Die dunkelgrau hinterlegten Faktoren sind allerdings zwingend notwendig für ein steuerungsrelevantes Risikomanagement, jedoch aktuell selten in den Unternehmen zu finden. Auffällig ist dabei, dass diese v.a. Faktoren sind, die eine Vernetzung des Risikomanagements in andere Unternehmensbereiche bedingen:
Integration in die Unternehmenssteuerung;
Integration in die strategische Planung;
Integration mit weiteren Unternehmensfunktionen wie z.B. dem Controlling.
Das Ziel ist dabei, weg von der Silobetrachtung von Risiken und hin zur Verknüpfung mit anderen Prozessen und Bereichen zu gehen.
Einer der wesentlichen Gründe zur Nicht-Umsetzung ist häufig die Zurückhaltung gegenüber innovativen Methoden und die mangelnde Veränderungsbereitschaft. Letzteres wird oft durch eine unzureichende Risikokultur hervorgerufen, sowie die oft fehlende Transparenz über den Nutzen einer Verzahnung zwischen Risikomanagement und Unternehmenssteuerung.
3 Reifegrad des Risikomanagements: drei Stufen der Steuerungsrelevanz
Aus der Analyse der in Abschnitt 2 dargestellten Aspekte in der Ausgestaltung eines Chancen- und Risikomanagements können Aussagen über den Reifegrad abgeleitet werden. Wir unterscheiden dabei die folgenden drei Stadien (Abbildung 2):
Stadium 1 – initiales Risikomanagement: Diese Form ist in den meisten größeren Unternehmen vorhanden und fokussiert sich dabei auf die Identifikation von Risiken und das entsprechende Risiko-Reporting.
Stadium 2 – quantitatives, etabliertes Risikomanagement: In diesem Stadium sind die Methoden zur Risikoquantifizierung oft quantitativ orientiert und bereits weiterentwickelt. Ebenso gibt es adäquate Strukturen zur Mitigation von Risiken.
Stadium 3 – integriertes, steuerungsrelevantes Risikomanagement: Hier liegt eine klare Integration zwischen dem Risikomanagement und der strategischen Unternehmenssteuerung vor.
Abbildung 2: Reifegrad des Risikomanagements mit Fokus auf die Steuerungsrelevanz
Die Stadien sind je nach Reifegrad unterschiedlich ausgeprägt, im Folgenden werden die drei verschiedenen Stadien im Entwicklungsprozess detaillierter beschrieben, um somit das Zusammenspiel der Ausgestaltungsdimensionen aufzuzeigen. Basierend auf der Analyse dieser Stadien werden Weiterentwicklungspotenziale abgeleitet und Ziele für Entwicklungsschritte definiert.
3.1 Stadium 1: initiales Risikomanagement – Compliance als Ausgangspunkt
Jene Risikomanagementsysteme, die in erster Linie durch die Gesetzgebung getrieben sind und deren oberste Prämisse die Erfüllung von regulatorischen Vorgaben ist, fokussieren sich auf zwei Aspekte:
die Risikoidentifikation und
die Berichterstattung der identifizierten Risiken.
In den Anfangsstadien werden wesentliche, bekannte Risiken beschrieben und berichtet, um Reporting-Verpflichtungen nachzukommen. Dabei gelingt es jedoch den meisten Unternehmen nicht, Chancen zu erfassen bzw. aus Risiken Chancen abzuleiten.
In diesem ersten Entwicklungsstadium des Risikomanagements werden oft nur Teilprozesse des Unternehmens einer Risikobetrachtung unterzogen und die Risikoidentifikation erfolgt nicht holistisch für das gesamte Unternehmen.
Die Risiken werden mehrheitlich in qualitativer Weise bewertet. In Bereichen, in denen relevante quantitative Daten vorliegen, werden auch quantitative Bewertungen, oft in Form von Schadenswerten, aufgenommen.
Die Perspektive dieser Risikomanagementsysteme ist historisch: Basierend auf Daten der Vergangenheit bzw. auf bestehenden Unsicherheiten werden Risiken benannt und bewertet. Das Ziel des entsprechenden Risiko-Reporting ist es, einerseits den Entscheidungsträgern Informationen zu den wesentlichen Risiken zur Verfügung zu stellen und andererseits die Erfüllung von Compliance-Vorgaben sicherzustellen.
Eine darüber hinaus gehende Risikostrategie ist nicht definiert, eine spezifische Risikomanagementorganisation besteht zumeist nicht, die Aufgaben im Risikomanagement werden oft von anderen Unternehmensbereichen (z.B. dem Controlling) übernommen.
3.2 Stadium 2: Quantifizierung und Mitigation von Risiken als zentrale Entwicklungsfaktoren
Die nächste Entwicklungsstufe basiert auf der Erkenntnis, dass die Bewertungslogiken, die hinter den bis dato berichteten Risken stehen, innerhalb des Unternehmens divergieren und somit zu verzerrten Risikoinformationen führen können. Daher etablieren Unternehmen in diesem Stadium eine einheitliche Bewertungslogik. Oft werden Kategorien für die Eintrittswahrscheinlichkeit und Kategorien für das Schadensausmaß vorgegeben. Die in diesem Stadium üblichen Darstellungsformen der Risikoinformationen dienen meist rein der Übersicht und werden oft in Form von Risk Maps dargestellt.
Des Weiteren etablieren Unternehmen Maßnahmen zur Mitigation von Risiken auf Einzelrisikobasis. In dieser Stufe gewinnt der Risikomanagementprozess an Struktur (z.B. Verantwortlichkeiten, zyklische Updates) und Risikobewertungen werden einem strukturierten Monitoring unterzogen, um die Einheitlichkeit der gesammelten Daten zu gewährleisten und eine einheitliche Berichterstattung sicherzustellen.
Im Rahmen der Definition von Maßnahmen zur Risikomitigation wird eine neue Perspektive eingenommen: Im Fokus stehen neben der Berichterstattung und der Compliance nun auch eine nachhaltige Risikoanalyse, um risikomitigierende Maßnahmen abzuleiten und diese umzusetzen. Das Ziel ist nun, die identifizierten Risiken im Detail zu verstehen und die Performance im Bereich der Risikomitigation zu erhöhen.
Zentrale Fragestellungen von Unternehmen in diesem Stadium sind Kosten-Nutzen-Überlegungen im Hinblick auf die risikomitigierenden Maßnahmen.
Die Menge an vorhandenen Daten steigt, der Risikomanagementprozess ist etabliert, zu bestehenden Risiken werden Maßnahmen und entsprechende Verantwortlichkeiten zugeordnet. Die Maßnahmen zur Risikomitigation gilt es natürlich umzusetzen – ein Schritt, der meist mit Kosten verbunden ist.
Damit stehen Unternehmen vor der Herausforderung, dass auch die Wirkung der Maßnahmen gemessen werden muss. Einerseits, um den Effekt auf die identifizierten Risiken zu bewerten, und andererseits, um valide Entscheidungsgrundlagen dafür zu erhalten, mit welchem
