Direkt zum Inhalt

Risikomanagement

Definition: Was ist "Risikomanagement"?

Alle Aktivitäten im Umgang mit Risiken, oft inzwischen einschließlich Chancen; meist eines Unternehmens (Risiko); alternativer Begriff: Risk Management.

Geprüftes Wissen

GEPRÜFTES WISSEN
Über 200 Experten aus Wissenschaft und Praxis.
Mehr als 25.000 Stichwörter kostenlos Online.
Das Original: Gabler Wirtschaftslexikon

zuletzt besuchte Definitionen...

    Ausführliche Definition im Online-Lexikon

    Inhaltsverzeichnis

    1. Grundlagen des Risikomanagements in Unternehmen
    2. Nutzen des Risikomanagements für Unternehmen
    3. Rechtliche Bedeutung des Risikomanagements
    4. Risikoanalyse, Risikoaggregation, Risikobewältigung, Risikoüberwachung

    Grundlagen des Risikomanagements in Unternehmen

    Unternehmerisches Handeln ist ohne Risiken nicht möglich, weil die Zukunft und die Wirkung von Handlungen nicht sicher vorhersehbar sind. Aufgabe eines Risikomanagements ist es, mit geeigneten Methoden Transparenz über die Risikosituation im Unternehmen zu schaffen (Risikocontrolling) und das Ertrag-Risiko-Profil eines Unternehmens zu optimieren (Risikosteuerung). Aus Sicht des strategischen Managements zielt dies auf die Schaffung eines robusten Unternehmens mit einem für die Eigentümer akzeptablen Insolvenzrisiko (bzw. Credit Rating) und akzeptabler Ertragsvolatilität. Aus Perspektive des Controllings hilft das Risikomanagement bei der Schaffung von Transparenz über die Planungssicherheit und die Reduzierung von Planabweichungen. Die Analyse von Chancen und Gefahren (Risiken) ist eine Aufgabe bei der Vorbereitung unternehmerischer Entscheidungen und notwendig, um die durch diese zu erwarteten Erträge gegen die Risiken abwägen zu können (risikogerechte Bewertung von Handlungsoptionen, wie Investitionen). Risikomanagement wird auch als Führungsaufgabe verstanden, die einen an den Unternehmenszielen orientierten Umgang aller Mitarbeiter mit Risiken anstrebt (Entwicklung einer Risikokultur).

    Grundsätzlich befasst sich das Risikomanagement mit allen Arten von Risiken, die bei einem Unternehmen Planabweichungen auslösen können, also z.B. mit strategischen Risiken, Marktrisiken, Ausfallrisiken sowie Compliance-Risiken und Risiken der Leistungserstellung (operationelle Risiken).

    Für manche Arten von Risiken (sog. Risikofelder) wurden spezielle Risikomanagementansätze entwickelt, z.B. für Zins- und Währungsrisiken (Finanzrisikomanagement) oder strategische Risiken (strategisches Risikomanagement). Teilaufgaben des Risikomanagements werden von Unternehmensfunktionen, wie Controlling, Treasury oder Qualitätsmanagement abgedeckt.

    Nutzen des Risikomanagements für Unternehmen

    Hauptaufgabe des Risikomanagements ist die Sicherung der Existenz des Unternehmens und damit die Reduzierung der Insolvenzwahrscheinlichkeit (Insolvenzrisiko, Insolvenz). Sie ist abhängig vom Risikoumfang und zudem vom Risikodeckungspotenzial (Eigenkapital und Liquidität) und der Ertragskraft (vgl. Credit Rating). Das Unternehmensrisiko und die Insolvenzwahrscheinlichkeit beeinflussen die Kapitalkosten und den Unternehmenswert (Unternehmensbewertung). Damit ist das Risikomanagement Teil eines wertorientierten Unternehmenssteuerungssystems.

    Eine geringe Insolvenzwahrscheinlichkeit ist im Interesse von Arbeitnehmern, Kunden und Lieferanten, was es erleichtert, Mitarbeiter zu gewinnen und langfristige Beziehungen zu Kunden und Lieferanten aufzubauen (Reduzierung indirekter Insolvenzkosten).

    Risikomanagement trägt bei zur besseren Fundierung unternehmerischer Entscheidungen, weil durch Risikoanalysen die Implikationen einer Handlungsoption für Ertrag und Risiko beurteilt werden können. Zudem hilft es gesetzliche Vorgaben, z:B. aus Arbeits- und Umweltrecht, möglichst sicher einzuhalten und die Kosten der Risikobewältigung zu optimieren (Risikokostenmanagement).

    Rechtliche Bedeutung des Risikomanagements

    Die Anforderungen an das Risikomanagement werden in Deutschland geprägt durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) aus dem Jahr 1998 und dem darauf aufbauenden IDW Standard zur Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340). Zentral ist folgende Forderung in § 91 Abs. 2 AktG mit ihrer Ausstrahlwirkung auch für andere Kapitalgesellschaften:

    „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“

    Notwendig ist zur Erfüllung dieser Anforderung eine systematische und regelmäßige Identifikation und Quantifizierung von Risiken (Risikoidentifikation, Risikoquantifizierung). Mögliche „bestandsgefährdende Entwicklungen“ durch Kombinationseffekte von Einzelrisiken müssen zudem durch eine Risikoaggregation ermittelt werden.

    Mit § 93 AktG fordert der Gesetzgeber zudem „angemessene Informationen“ bei unternehmerischen Entscheidungen, sodass bei der Entscheidungsvorbereitung insbesondere auch die mit dieser verbundenen Risiken zu betrachten sind (Business Judgement Rule).

    Daneben gibt es verschiedene weitere Regelungen, z.B. zur Risikoberichterstattung (Deutscher Rechnungslegungsstandard, DRS 20) und branchenbezogene Risikomanagement-Regelungen z.B. für Banken, Versicherungen und Investmentgesellschaften (wie die MaRisk).

    Wichtige internationale Standards zum Risikomanagement sind COSO Enterprise Risk Management (COSO ERM:2017), die Risikomanagement-Norm ISO 31000:2009 sowie die Qualitätsmanagement-Norm ISO 9001:2015, die eine Integration von Qualitäts- und Risikomanagement unterstützt.

    Risikoanalyse, Risikoaggregation, Risikobewältigung, Risikoüberwachung

    Teilaufgaben des Risikomanagements sind Risikoanalyse, Risikoaggregation, Risikoüberwachung, Risikobewältigung sowie die Aufbereitung von Risikoinformationen für unternehmerischen Entscheidungen (z.B. Investitionsbewertung).

    Bei der Risikoanalyse werden alle wesentlichen Einzelrisiken, meist inhaltlich strukturiert nach Risikofeldern, systematisch identifiziert und hinsichtlich ihrer Eintrittswahrscheinlichkeit und quantitativen Auswirkungen beschrieben. Risikoquantifizierung ist die Beschreibung von Risiken mittels einer geeigneten Wahrscheinlichkeitsverteilung (z.B. Normal- oder Dreiecksverteilung), mit historischen Daten (z.B. Liste der Schadensfälle) oder der Häufigkeitsverteilung aus einer Monte-Carlo-Simulation. Ebenfalls zur Risikoquantifizierung gehört die Angabe des Risikoumfangs durch ein Risikomaß, wie Standardabweichung oder Value at Risk. Mit der Aggregation der Risiken kann der Gesamtrisikoumfang eines Unternehmens berechnet werden, z.B. ausgedrückt als Eigenkapital- oder Liquiditätsbedarf zur Abdeckung risikobedingt möglicher Verluste (Value at Risk). Bei einer Aggregation der Risiken in Bezug auf die Unternehmensplanung entsteht mittels Monte-Carlo-Simulation eine sog. Bandbreitenplanung, die den Umfang möglicher Planabweichungen aufzeigt (Risikoaggregation).

    Mittels Risikobewältigungsmaßnahmen zur Risikosteuerung soll die Risikosituation eines Unternehmens verbessert werden. Diese können das Vermeiden von Risiken, die Begrenzung der Schadenshöhe oder die Verminderung der Eintrittswahrscheinlichkeit anstreben. Möglich ist zudem das Transferieren von Risiken auf Versicherungsgesellschaften oder den Kapitalmarktmarkt (z.B. Absicherung von Rohstoffpreisrisiken mit Derivaten: Hedging). Auch durch Vertragsgestaltung mit Kunden und Lieferanten können Risiken transferiert werden. Grundlegende Veränderungen der Risikoposition eines Unternehmens erfordern meist Änderung von Strategie und Geschäftsmodell (strategisches Risikomanagement, z.B. durch den Aufbau neuer Erfolgspotenziale oder die Reduzierung kritischer Abhängigkeiten). Eine Verbesserung von Prognose- und Frühwarnsystemen reduziert unerwartete Planabweichungen und damit das Risiko. Eine Erhöhung der Intensität der Risikobewältigung führt meist zu zunehmenden Kosten (z.B. für zusätzlichen Versicherungsschutz oder redundante Maschinen). Zielsetzung der Risikobewältigungsaktivitäten eines Unternehmens ist daher nicht eine Risikominimierung, sondern eine (wert-)optimale oder zumindest „akzeptable“ Risikoposition, die von der Unternehmensführung vorgegebene Risikoobergrenze nicht überschreitet („Safty First“). In Anlehnung an das Qualitätsmanagement orientieren sich Unternehmen bei der angestrebten kontinuierlichen Verbesserung der Risikobewältigung oft am PDCA-Zyklus (Plan-Do-Check-Act).

    Da sich die Risiken im Zeitverlauf verändern, ist eine kontinuierliche Überwachung der wesentlichen Risiken im Risikomanagement erforderlich, um Transparenz über die Risikosituation zu gewährleisten. Gemäß den Anforderungen des KonTraG sollte daher die Verantwortlichkeit für die Überwachung der wesentlichen Risiken, die zugehörigen Prozesse und Kommunikationswege klar dokumentiert werden (siehe IDW PS 340 mit Empfehlungen dazu).

    Die Gesamtheit aller Aufgaben, Regelungen und Träger des Risikomanagements wird als Risikomanagementsystem bezeichnet und umfasst im weiteren Sinn alles im Unternehmen, was sich mit Risiken befasst. Im engeren Sinn wird der Begriff Risikomanagementsystem auch nur für die Organisationseinheit eines Unternehmens verwendet, die ausdrücklich als „Risikomanagement“, „Risk-Management“ oder „Risikocontrolling“ bezeichnet wird (und z.B. von einem Risikomanager oder Chief Risk Officer geleitet wird).

    Die Gesamtheit aller Dokumentationen zum Risikomanagement wird oft als Risikohandbuch oder Risikorichtlinie bezeichnet. Typische Inhalte sind z.B.:

    • Risikopolitik oder Risikostrategie (Ziele und risikopolitische Grundsätze)
    • Beschreibung der Aufbau- und Ablauforganisation (Verantwortlichkeiten und Prozesse, z.B. der Risikoüberwachung und Risikokommunikation),
    • Maßnahmen zur Förderung einer angemessenen Risikokultur.

    Die organisatorische Stellung des Risikomanagements orientiert sich zudem oft am „Three Lines of Defence Modell“. Die erste Linie sind die operativ tätigen Mitarbeiter und Führungskräfte, von denen ein adäquater Umgang mit Risiken erwartet wird, was durch das interne Kontrollsystem überwacht wird. Auf der zweiten Linie befindet sich das Risikomanagement (im engeren Sinn), das Mitarbeiter im Umgang mit Risiken unterstützt (z.B. durch Coaching und Vorgabe von Methoden und Hilfsmitteln) und Risikoinformationen für die Unternehmensführung aufbereitet. Auch das Compliance-System und das Controlling gehören zur zweiten Linie. Auf der „dritten Linie“ steht die Interne Revision, die prozessunabhängig auch die Aktivitäten des Risikomanagements überwacht (siehe dazu den DIIR Revisionsstandard Nr. 2 des Deutschen Instituts für Interne Revision e.V. (aus November 2018)).

    Viele Basisaufgaben für das Risikomanagement können durch existierende Managementsysteme effizient abgedeckt werden. So können z.B. durch die systematische Erfassung unsicherer Annahmen in Planung und Budgetierung durch das Controlling Risiken identifiziert werden. Jüngere Risikomanagementstandards, wie z.B. COSO ERM von 2017, zielen daher auf integrierte Managementsysteme und ein integrales, entscheidungsorientiertes Risikomanagement.

     

    GEPRÜFTES WISSEN
    Über 200 Experten aus Wissenschaft und Praxis.
    Mehr als 25.000 Stichwörter kostenlos Online.
    Das Original: Gabler Wirtschaftslexikon

    zuletzt besuchte Definitionen...

      Literaturhinweise SpringerProfessional.de

      Bücher auf springer.com