Der Risikomanagement-Prozess [Bildquelle: © Maksim Kabakou - Fotolia.com]

Der Prozess des Risikomanagements

Unternehmerische Tätigkeit ist immer mit Unsicherheiten verbunden. Aufgabe des Risikomanagements ist es die Chancen und Risiken systematisch zu identifizieren und sie hinsichtlich potenzieller Auswirkungen auf das Unternehmen zu bewerten. Der Begriff Risiko wird daher als Streuung um einen Erwartungswert definiert. Nach dieser Definition werden sowohl positive Abweichungen (Chancen) als auch negative Abweichungen (Gefahren) berücksichtigt. 

Risiko als Zielabweichung

Risiken als potenzielle Zielabweichungen
Risiken als potenzielle Zielabweichungen

Ziele des Risikomanagements

Es ist unter anderem eine Aufgabe des Risikomanagements bei Unternehmen, die Streuung bzw. die Schwankungsbreite von Gewinn und Cash Flow zu reduzieren bzw. insgesamt die Planungssicherheit zu erhöhen. Dies kann unter anderem zu folgenden positiven Effekten für Unternehmen führen [vgl. Gleißner/Romeike 2005, S. 28 ff. sowie Romeike, Hager 2009, S. 108]: 

  • Die Reduzierung der Schwankungen erhöht die Planbarkeit und Steuerbarkeit eines Unternehmens, was einen positiven Nebeneffekt auf das erwartete Ertragsniveau hat.
  • Eine prognostizierbare Entwicklung der Zahlungsströme reduziert die Wahrscheinlichkeit, unerwartet auf teure externe Finanzierungsquellen zurückgreifen zu müssen.
  • Eine Verminderung der risikobedingten Schwankungsbreite der zukünftigen Zahlungsströme senkt die Kapitalkosten und wirkt sich positiv auf den Unternehmenswert aus.
  • Eine stabile Gewinnentwicklung mit einer hohen Wahrscheinlichkeit für eine ausreichende Kapitaldienstfähigkeit ist im Interesse der Kapitalmärkte, was sich in einem guten Rating, einem vergleichsweise hohen Finanzierungsrahmen und günstigen Konditionen widerspiegelt.
  • Eine stabile Gewinnentwicklung sowie eine hohe Risikotragfähigkeit (Eigenmittelausstattung) reduziert die Wahrscheinlichkeit einer Insolvenz.
  • Eine stabile Gewinnentwicklung sowie eine niedrigere Insolvenzwahrscheinlichkeit sind im Interesse von Arbeitnehmern, Kunden und Lieferanten, was es erleichtert, qualifizierte Mitarbeiter zu gewinnen und langfristige Beziehungen zu Kunden und Lieferanten aufzubauen. 
  • Bei einem progressiven Steuertarif haben zudem Unternehmen mit schwankenden Gewinnen Nachteile gegenüber Unternehmen mit kontinuierlicher Gewinnentwicklung. 
Risiko als positive und negative Zielabweichung
Risiko als positive und negative Zielabweichung

Risikomanagement als Regelkreis

Ein effizienter Risikomanagement-Prozess funktioniert ähnlich dem menschlichen Organismus oder anderer Netzwerkstrukturen in der Natur. In einem menschlichen Organismus arbeiten Gehirn, Herz und Nervensystem zusammen. Netzwerke sind anpassungsfähig und flexibel, haben gemeinsame Ziele, spielen zusammen und vermeiden Hierarchien. Netzwerkstrukturen sind skalierbar und außerordentlich überlebensfähig.

Der Regelkreis des Risikomanagements in der Praxis
Der Regelkreis des Risikomanagements in der Praxis

Übertragen auf den Prozess des Risk Managements bedeutet dies, dass verschiedene Sensoren und Sinne (etwa Auge, Ohr, Nerven oder Frühwarnindikatoren) die Risiken aufnehmen und sie an eine zentrale Stelle weiterleiten (Gehirn bzw. Risikomanager). Und insgesamt entscheidet die strategische Ausrichtung des Systems (Unternehmens) über das Risikoverständnis. In diesem Zusammenhang ist es wichtig, die strategische Dimension des Risikomanagements nicht losgelöst von der strategischen Unternehmensführung (Geschäftsstrategie) zu betrachten.

Das Strategische Risikomanagement bildet die integrative Klammer und das Fundament des gesamten Risk-Management-Prozesses. Es beinhaltet vor allem die Formulierung von Risk-Management-Zielen in Form einer "Risikostrategie". Bevor das Risk Management als kontinuierlicher Prozess eingeführt und gelebt werden kann, müssen zunächst die Grundlagen bezüglich der Rahmenbedingungen (beispielsweise Risikoappetit, Risikotragfähigkeit), Organisation (etwa Funktionen, Verantwortlichkeiten und Informationsfluss) und die eigentlichen Prozessphasen definiert werden.

Das operative Risikomanagement (vgl. Abbildung oben) beinhaltet den Prozess der systematischen und laufenden Risikoanalyse der Geschäftsabläufe. Ziel der Risikoidentifikation ist die frühzeitige Erkennung von "den Fortbestand der Gesellschaft gefährdende Entwicklungen", d. h. die möglichst vollständige Erfassung aller potenziellen Risikoursachen, Schadensursachen und Störpotenzialen. Für einen effizienten Risk-Management-Prozess kommt es darauf an, dass dieser als kontinuierlicher Prozess – im Sinne eines Regelkreises – in die Unternehmensprozesse integriert wird.

Die Informationsbeschaffung ist die schwierigste Phase im gesamten Prozess und eine Schlüsselfunktion des Risk Managements, da dieser Prozessschritt die Informationsbasis für alle nachfolgenden Phasen liefert – schließlich können nur Risiken bewertet und gesteuert werden, die auch erkannt wurden. In der Prozessphase der Risikoidentifkation ist es wichtig, dass zwischen Risikoursachen (Causes), den potenziellen Plan-/Zielabweichungen (Risiken) und den Wirkungen (Effects) unterschieden wird. 

Die Unterscheidung zwischen Risikoursachen bzw. Risikotreibern sowie den Risikowirkungen kann illustrativ im Bow-Tie-Diagramm dargestellt werden. Ergänzend können hierbei auch die ursachen- und wirkungsbezogenen Maßnahmen abgebildet werden.

Das Bow-Tie-Diagramm zur Visualisierung von Ursachen und Wirkungen
Das Bow-Tie-Diagramm zur Visualisierung von Ursachen und Wirkungen

Frühwarnsysteme zur Risikoidentifikation

Ein wichtiges Instrument zur Risikoidentifikation sind Frühwarnsysteme, mit deren Hilfe Frühwarnindikatoren (etwa Konjunktur- oder Einkaufsindizes, aber auch interne Faktoren wie etwa Mitarbeiterunzufriedenheit oder Prozessqualität) ihren Benutzern rechtzeitig latente (das heißt verdeckt bereits vorhandene) Risiken signalisieren, sodass noch hinreichend Zeit für die Ergreifung geeigneter Maßnahmen zur Abwendung des Risikoeintritts bzw. zur Reduzierung der Risikoauswirkung besteht [vgl. Romeike 2008, S. 65 sowie Romeike 2005, S. 22-27]. Frühwarnsysteme verschaffen damit einem Unternehmen Zeit für Reaktionen und optimieren die Steuerbarkeit.

Erkennen von schwachen Signalen im Kontext Frühwarnung und Krisenprävention
Erkennen von schwachen Signalen im Kontext Frühwarnung und Krisenprävention

Identifikation von Risiken

Die Wahl der Methodik zur Risikoidentifikation hängt stark von den spezifischen Risikoprofilen des Unternehmens und der Branche ab. In der betrieblichen Praxis sollten die  einzelnen Methoden und Werkzeuge kombiniert werden. Die nachfolgende Abbildung gibt einen Überblick über die verschiedenen in der Praxis angewendeten Methoden. Bei der Erfassung der Risiken helfen Checklisten, Workshops, Besichtigungen, Interviews, Organisationspläne, Bilanzen und Schadenstatistiken. Die Ergebnisse der Risikoanalyse fließen in ein Risikoinventar ein.

Die identifizierten Risiken müssen im anschließenden Prozessschritt detailliert analysiert und bewertet werden. Ziel sollte dabei ein sinnvolles und möglichst für alle Risikokategorien anwendbares Risikomaß sein.

In der Unternehmenspraxis erfolgt traditionell eine Quantifizierung der Risiken hinsichtlich Schadensausmaß und Eintrittswahrscheinlichkeit (mathematisch wird damit eine so genannte Binomialverteilung unterstellt). Der Erwartungswert bestimmt sich (bei diskreten Zufallsvariablen) zweidimensional aus der Multiplikation der Eintrittswahrscheinlichkeit mit dem Schadensausmaß (Risikodimension, Risikopotenzial, Tragweite). Der Erwartungswert E(X) oder μ einer Zufallsvariablen (X) ist jener Wert, der sich (in der Regel) bei vielfachem Wiederholen des zugrunde liegenden Experiments als Mittelwert der Ergebnisse ergibt. Er bestimmt die Lokalisation (Lage) einer Verteilung und ist vergleichbar mit dem empirischen arithmetischen Mittel einer Häufigkeitsverteilung in der deskriptiven Statistik. Das Gesetz der großen Zahlen sichert in vielen Fällen zu, dass der Stichprobenmittelwert bei wachsender Stichprobengröße gegen den Erwartungswert konvergiert.

Im Rahmen dieses kurzen einführenden Textes kann nicht im Detail auf die verschiedenen Bewertungsmethoden in der Praxis eingegangen werden [vgl. vertiefend Romeike/Hager 2013].

Der Werkzeugkasten des Risikomanagers bietet eine große Vielfalt an Methoden und Analysemethoden. Die Auswahl der Werkzeuge und Methode wird dabei primär von den verfügbaren Daten der einzelnen Risiken determiniert. Bei quantifizierbaren Risiken können die potenziellen Verlust in drei Bereiche aufgeteilt werden: Erwartete Verluste, statistische Verluste und Stressverluste.

Der erwartete Verlust (im Bereich der Finanzdienstleister auch als "Expected Loss" oder Standardrisikokosten bezeichnet) spiegelt die mit einer Geschäftstätigkeit zusammenhängenden, durchschnittlichen inhärenten Verluste wider. Diese sind in der Planung abgebildet und werden – sofern es die Rechnungslegungsstandards zulassen – direkt von den Erträgen abgezogen.

Der statistische Verlust (unerwartete Verlust  bzw. "unexpected loss")  ist die geschätzte Abweichung des effektiven Verlusts vom erwarteten Verlust über einen bestimmten Zeithorizont und unter Annahme eines vorgegebenen Konfidenzintervalls (auch Vertrauensbereich oder Mutungsintervall genannt). 

Der Stressverlust ist der Verlust, der durch extreme Ereignisse (high-severity/low-frequency-Risiken) ausgelöst werden kann. Da in der Praxis für derartige Extremereignisse in aller Regel nicht genügend historische Risiko- oder Schadensdaten vorhanden sind, muss man entweder mit theoretischen Zufallsverteilungen arbeiten oder mit Hilfe von Stresstests potenzielle Stressszenarien analysieren. Bei potenziell katastrophalen Ereignissen, die zwar selten eintreten, dafür aber fatale Schadenssummen produzieren, greift man in der Praxis auch auf die Extremwert-Theorie ("Extreme Value Theorie", EVT) bzw. die Peaks-over-Threshold-Methode (PoT) zurück [vgl. Embrechts/Klüppelberg 1997].

Methoden der Risikoanalyse in der Praxis
Methoden der Risikoanalyse in der Praxis

Bewertung von Risiken

In der Unternehmenspraxis beschränkten sich viele Unternehmen auf ein einfaches System, in dem die Eintrittswahrscheinlichkeit und das Schadensausmaß mit Hilfe weniger Stufen – in der Regel basierend auf einer Experteneinschätzung – klassifiziert wird (vgl. nachfolgende Tabellen).

Eintrittswahrscheinlichkeit
1 = Hohe Eintrittswahrscheinlichkeit (häufig)Eintritt innerhalb eines Jahres ist zu erwarten; bzw. Eintritt empirisch in den vergangenen 3 Jahren
2 = Mittlere Eintrittswahrscheinlichkeit (möglich)Eintritt innerhalb von 3 Jahren ist zu erwarten; bzw. Eintritt empirisch in den vergangenen 8 Jahren
3 = Niedrige Eintrittswahrscheinlichkeit (selten)Eintritt innerhalb von 8 Jahren ist zu erwarten; bzw. Eintritt empirisch in den vergangenen 15 Jahren
4 = UnwahrscheinlichRisiko ist bisher, auch bei vergleichbaren Unternehmen, noch nicht eingetreten. Risiko kann aber auch nicht ausgeschlossen werden
Schadensausmaß
1 = KatastrophenrisikoDie Existenz des Unternehmens wäre bei Risikoeintritt gefährdet
2 = GroßrisikoDer Eintritt des Risikos zwingt zur kurzfristigen Änderung der Unternehmensziele bzw. Strategie
3 = Mittleres RisikoDer Eintritt des Risikos zwingt zur mittelfristigen Änderungen der Unternehmensziele bzw. Strategie
4 = KleinrisikoDer Eintritt des Risikos zwingt zur Änderung von Mitteln und Wegen
5 = BagatellrisikoDer Eintritt des Risikos hat keine Auswirkungen auf den Unternehmenswert

Die Ersteinschätzung der Relevanz geschieht in der Praxis durch kompetente Experten, die sich dabei vor allem am realistischen Höchstschaden orientieren.

Sie unterteilen die Risiken beispielsweise in fünf Relevanzklassen von "unbedeutendes Risiko" bis "bestandsgefährdendes Risiko". Die nachfolgende Tabelle zeigt exemplarisch verschiedene Relevanzklassen.

Relevanz wird dabei als die Gesamtbedeutung des Risikos für das Unternehmen verstanden. Sie gilt als weiteres Risikomaß und ist von folgenden Parametern abhängig:

  • Mittlere Ertragsbelastung (Erwartungswert),
  • Realistischer Höchstschaden,
  • Wirkungsdauer.

Ein weiterer Vorteil der Relevanzeinschätzung besteht darin, dass sie die Information über die Schwere eines Risikos in einfacher Form beschreibt und so die Kommunikation relevanter Risikoinformationen erleichtert.

Als Bewertungsmethodik bietet sich entweder ein "Top-down"- oder ein "Bottom-up"-Ansatz an. Erfolgt die Bewertung nach einer Top-down-Methode, so stehen für das Unternehmen die bekannten Folgen bzw. Wirkungen der Risiken im Vordergrund (siehe Bow-Tie-Diagramm). Hierbei werden Daten der Gewinn- und Verlustrechnung wie etwa Erträge, Kosten oder das Betriebsergebnis im Hinblick auf deren Volatilitäten hin untersucht. Der Top-down-Ansatz bietet den Vorteil einer relativ schnellen Erfassung der Hauptrisiken aus strategischer Sicht. Diese "Makroperspektive" kann jedoch auch dazu führen, dass bestimmte Risiken nicht erfasst werden oder Korrelationen zwischen Einzelrisiken nicht korrekt bewertet werden.

RelevanzklasseWirkung auf RisikotragfähigkeitErläuterungen
1Unbedeutendes RisikoUnbedeutende Risiken, die weder Jahresüberschuss noch Unternehmenswert spürbar beeinflussen
2Mittleres RisikoMittlere Risiken, die eine spürbare Beeinträchtigung des Jahresüberschusses bewirken.
3Bedeutendes RisikoBedeutende Risiken, die den Jahresüberschuss stark beeinflussen oder zu einer spürbaren Reduzierung des Unternehmenswertes führen.
4Schwerwiegendes RisikoSchwerwiegende Risiken, die zu einem Jahresfehlbetrag führen und den Unternehmenswert erheblich reduzieren.
5Bestandsgefährdendes RisikoBestandsgefährdende Risiken, die mit einer wesentlichen Wahrscheinlichkeit den Forbestand des Unternehmens gefährden.

Bei den Bottom-up-Ansätzen stehen die Ursachen (siehe Bow-Tie-Diagramm) der verschiedenen Risiken im Mittelpunkt der Analyse. Es wird versucht, die möglichen Folgen eines Risikoeintritts für das Unternehmen herzuleiten und zu bewerten. Hierbei sind eine eingehende Analyse der Prozesse sowie deren Ursache-Wirkungsketten und Abhängigkeiten erforderlich. Die Bottom-up-Ansätze bieten den Vorteil, dass sämtliche Geschäftsbereiche und Prozesse erfasst und analysiert werden können. Allerdings ist der Bottom-up-Ansatz auch um ein Vielfaches aufwendiger. In der Praxis bietet sich eine Kombination von Top-Down- und Bottom-Up-Ansätzen an.

Der Werkzeugkasten des Risikomanagers bietet eine große Vielfalt an Methoden und Analysemethoden. Die Auswahl der Werkzeuge und Methode wird primär von den verfügbaren Daten der einzelnen Risiken determiniert. Bei quantifizierbaren Risiken können die potenziellen Verlust in drei Bereiche aufgeteilt werden: Erwartete Verluste, statistische Verluste und Stressverluste.

Auf die einzelnen Methoden der Risikobewertung kann an dieser Stelle nicht ausführlich eingegangen werden (eine ausführliche Einführung und Vertiefung in die diversen Methoden bietet beispielsweise die Veröffentlichung Romeike/Hager 2013). Außerdem enthält das RiskNET Glossar eine kompakte Einführung in die wesentlichen Methoden. Ergänzende Informationen enthält außerdem die Rubrik Risk-Management-Methoden.

Die Ergebnisse der Risikobewertung können in das Risikoinventar (bzw. den Risikokatalog) übernommen werden. Wenn basierend auf den oben skizzierten Bottom-up- bzw. Top-down-Methoden die Eintrittswahrscheinlichkeiten und der Ergebniseffekt (Erwartungswerte bzgl. Impact, Schadensausmaß etc.) quantifiziert wurden, lassen sich diese in einer Risk Map (auch Risikomatrix, Heat Map oder Risikolandkarte genannt) darstellen. In der nachfolgenden Abbildung ist exemplarisch eine Risk Map dargestellt. Eine Risk Map gibt einen (stark vereinfachten) Gesamtüberblick über das Risikoportfolio eines Unternehmens und kann den Entscheidungsträgern als erste Grundlage zur Risikosteuerung und -kontrolle dienen.

Formal handelt es sich bei den in einer Risk Map abgebildeten Risiken um binomialverteilte Risiken. Diese weisen genau zwei Zustände auf: Entweder das Risiko tritt ein (dann tritt ein Schaden infolge einer Schadenshöhe ein) oder es tritt nicht ein.

Nachfolgend ein konkretes Beispiel basierend auf der skizzierten Risk Map: Wenn Risiko 6 eintritt (mit 50 Prozent Wahrscheinlichkeit tritt das Risiko ein, mit 50 Prozent tritt es nicht ein; damit quasi ein Münzwurf), dann beträgt die Schadenshöhe exakt 50.000 EUR. In der Praxis ist es allerdings eher so, dass sowohl die Wahrscheinlichkeit für den Eintritt des Risikos unbekannt ist, als auch die Schadenshöhe.

Beispiel für eine Risk Map (Heat Map, Risikolandkarte, Risikomatrix)
Beispiel für eine Risk Map (Heat Map, Risikolandkarte, Risikomatrix)

Die Mehrzahl Risiken können durch den zu Grunde liegenden Bernoulli-Prozess nicht beschrieben werden, da beispielsweise die Anzahl der "Versuche" n (bzw. potenziellen Risikoeintritte) nicht bekannt ist oder auch die Erfolgswahrscheinlichkeit p unbekannt ist. Man denke etwa an die Unsicherheit bezüglich Nachfrage oder die Entwicklung von Wechselkursen und Rohstoffpreisen – hier beträgt die Eintrittswahrscheinlichkeit für eine potenzielle Planabweichung 100 Prozent. Unbekannt ist lediglich die potenzielle Schwankungsbreite bzw. Volatilität.

Szenariobasierte Ansätze, Kreativitätsmethoden sowie Simulationsmethoden helfen, existenzbedrohende Extremereignisse zu identifizieren und zu bewerten (beispielsweise mit Hilfe einer geeigneten Verteilungsfunktion, etwa einer Dreiecksverteilung, einer PERT-Verteilung, einer Normalverteilung, einer Poisson-Verteilung).

Bereits der Wissenschaftler Benoît B. Mandelbrot, bekannt für seine wegweisenden Arbeiten zur Fraktalen Geometrie und Chaosforschung, hatte das Thema lange vor den jüngsten Marktturbulenzen auf den Punkt gebracht: "Wenn jemand ein Schiff baut, interessiert ihn nicht, wann genau der nächste Sturm kommt. Er baut das Schiff so, dass es jeden denkbaren Sturm überlebt."


Aggregation von Risiken

Eine Aggregation der identifizierten und relevanten Risiken ist erforderlich, weil sie auch in der Realität zusammen auf Gewinn und Eigenkapital wirken. Es ist damit offensichtlich, dass alle Risiken gemeinsam die Risikotragfähigkeit eines Unternehmens belasten (siehe nachfolgende Abbildung zur Risikotragfähigkeit).

Die Risikotragfähigkeit wird – vereinfacht betrachtet – von zwei Größen bestimmt, nämlich zum einen vom Eigenkapital und zum anderen von den Liquiditätsreserven. Die Beurteilung des Gesamtrisikoumfangs ermöglicht eine Aussage darüber, ob die Risikotragfähigkeit eines Unternehmens ausreichend ist, um den Risikoumfang des Unternehmens tatsächlich zu tragen und damit den Fortbestand des Unternehmens zu gewährleisten.

Das Gesetz der Risikotragfähigkeit
Das Gesetz der Risikotragfähigkeit

Die Notwendigkeit eines solchen Verfahrens wird auch von den Wirtschaftsprüfern betont, wie die folgende Stellungnahme des IDW (Institut der Wirtschaftsprüfer) zum KonTraG (IDW PS 340) zeigt: 

"Die Risikoanalyse beinhaltet eine Beurteilung der Tragweite der erkannten Risiken in Bezug auf Eintrittswahrscheinlichkeit und quantitative Auswirkungen. Hierzu gehört auch die Einschätzung, ob Einzelrisiken, die isoliert betrachtet von nachrangiger Bedeutung sind, sich in ihrem Zusammenwirken oder durch Kumulation im Zeitablauf zu einem bestandsgefährdenden Risiko aggregieren können."

Die Aggregation von Risiken zu einer Gesamtrisikoposition kann grundsätzlich auf zwei Wegen erfolgen, analytisch oder durch Simulation.  Für den analytischen Weg bedarf es einer Verteilungsannahme. Der Varianz-Kovarianz-Ansatz ist ein analytisches Verfahren zur Bestimmung des Value at Risk, einer Gesamtrisikoposition die sich aus verschiedenen Einzelrisiken additiv zusammensetzt. Der Begriff wird häufig synonym mit der korrekteren Bezeichnung "Delta-Normal-Ansatz" verwendet und entspricht dem ursprünglichen VaR-Modell von J. P. Morgan.  Die Stochastik der Risikofaktoren (Volatilitäten und Korrelationen) wird durch eine Kovarianzmatrix beschrieben, d. h. man geht von multivariat normalverteilten Änderungen der Risikofaktoren aus. Über die Volatilitäten (Standardabweichung) der Risikofaktoren wird der Value at Risk in den einzelnen Risikofaktoren ermittelt und über die Korrelationsmatrix auf die jeweilige Risiko-Konsolidierungsstufe aggregiert zur Gesamtrisikoposition.

Für eine methodisch saubere Risikoaggregation sollten Methoden gewählt werden, die

  • durch beliebige Wahrscheinlichkeitsverteilungen beschriebene Risiken erfassen können,
  • dabei auch nicht additive (beispielsweise multiplikative) Verknüpfungen der Risiken berücksichtigen und 
  • den Kontext zur Unternehmensplanung herstellen, da Risikomanagement letztlich die Planungssicherheit und den Eigenkapitalbedarf eines Unternehmens konsistent zur tatsächlichen Planung aufzeigen möchte.

Die "historische Simulation", die insbesondere im Risikomanagement der Banken häufig genutzt wird, disqualifiziert sich insofern zumindest teilweise. 

Für die Aggregation von Risiken bieten sich daher simulationsbasierte Ansätze an (etwa basierend auf der so genannten Monte-Carlo-Simulation). Hier werden zunächst die Wirkungen der Einzelrisiken bestimmten Positionen, etwa der Plan-Erfolgs-Rechnung oder der Plan-Bilanz, zugeordnet: Beispielsweise wird sich eine ungeplante Erhöhung der Stornoquote auf verschiedene Position in der Gewinn- und Verlustrechnung auswirken. 

Eine Voraussetzung für die Bestimmung des "Gesamtrisikoumfangs" mittels Risikoaggregation stellt die Zuordnung von Risiken zu Positionen der Unternehmensplanung dar. Dabei können Risiken als Schwankungsbreite um einen Planwert modelliert werden (beispielsweise +/– 10 % Schwankungen bei definierten Marktrisiken). In der folgenden Abbildung ist das grundsätzliche Prinzip der Aggregation von Risiken sowie der Sensitivitätsanalyse dargestellt. S1 bis Sn zeigen dabei die unterschiedlichen Zukunftspfade der Outputvariablen – basierend auf den modellierten Risiken (= Inputfaktoren) – auf. 

Ein Blick auf die verschiedenen Szenarien der Simulationsläufe (vgl. Abbildung unten) veranschaulicht, dass sich bei jedem Simulationslauf andere Kombinationen von Ausprägungen der Risiken bzw. der Outputfaktoren ergeben. Damit erhält man in jedem Schritt einen simulierten Wert für die betrachtete Zielgröße (beispielsweise EBIT oder Cash Flow). Die Gesamtheit aller Simulationsläufe liefert eine "repräsentative Stichprobe" aller möglichen Risikoszenarien des Unternehmens und ermöglicht einen Einblick in potenzielle Zukunftszenarien. Aus den ermittelten Realisationen der Zielgröße ergeben sich aggregierte Wahrscheinlichkeitsverteilungen (Dichtefunktionen), die dann für weitere Analysen genutzt werden. Als weiteres Ergebnis können Stresspfade analysiert werden und mit Hilfe der Sensitivitätsanalyse die Stärke der Wirkung von Einzelrisiken auf die Output-Größen berechnet werden.

Methodisches Vorgehen bei der Aggregation von Risiken
Methodisches Vorgehen bei der Aggregation von Risiken

Erst der Gesamtrisikoumfang – als Ergebnis der Risikoaggregation – ermöglicht erst eine fundierte Beurteilung der Risikoeigentragungskraft des Unternehmens, die maßgeblich die Maßnahmen der Risikofinanzierung oder des Risikotransfers bestimmen. In diesem Zusammenhang ist auch eine Berechnung der kalkulatorischen Eigenkapitalkosten – eine wesentliche Komponente der Gesamtrisikokosten – wichtig. So substituieren Risikotransferlösungen (beispielsweise Versicherungen) letztlich knappes und relativ teures Eigenkapital.

Die kalkulatorischen Eigenkapitalkosten resultieren als Produkt von Eigenkapitalbedarf und Eigenkapitalkostensatz, der von der akzeptierten Ausfallwahrscheinlichkeit und der erwarteten Rendite von Alternativanlagen (beispielsweise am Aktienmarkt) abhängt.


Risikosteuerung

Eine Schlüsselstelle im gesamten Risk-Management-Prozess nimmt die Risikosteuerung und -kontrolle ein (siehe Abbildung). Diese Phase zielt darauf ab, die Risikolage des Unternehmens positiv zu verändern bzw. ein ausgewogenes Verhältnis zwischen Ertrag (Chance) und Verlustgefahr (Risiko) zu erreichen, um den Unternehmenswert zu steigern. Die Risikosteuerung und -kontrolle umfasst alle Mechanismen und Maßnahmen zur Beeinflussung der Risikosituation, entweder durch eine Verringerung der Eintrittswahrscheinlichkeit und/oder des Schadensausmaßes. Dabei sollte die Risikosteuerung und -kontrolle mit den in der Risikostrategie definierten Zielen sowie den allgemeinen Unternehmenszielen übereinstimmen. Ziele dieser Prozessphase sind die Vermeidung von nicht akzeptablen Risiken sowie die Reduktion und der Transfer von nicht vermeidbaren Risiken auf ein akzeptables Maß. Eine optimale Risikosteuerung und -bewältigung ist dabei diejenige, die durch eine Optimierung der Risikopositionen des Unternehmens den Unternehmenswert steigert.

Im Hinblick auf die Steuerung bzw. das Management von Risiken bestehen prinzipiell drei Strategiealternativen. Die so genannte präventive (oder auch ätiologische) Risikopolitik zielt darauf ab, Risiken aktiv durch eine Beseitigung oder Reduzierung der entsprechenden Ursachen zu vermeiden oder zu vermindern (siehe Bow-Tie-Diagramm oben). Es wird versucht, die Risikostrukturen durch Verringerung der Eintrittswahrscheinlichkeit und/oder der Tragweite einzelner Risiken zu verringern.

Im Gegensatz zu diesen aktiven Steuerungsmaßnahmen, die direkt an den strukturellen Risikoursachen (Eintrittswahrscheinlichkeit, Schadensausmaß) ansetzen, wird bei der so genannten korrektiven (oder palliativen) Risikopolitik der Eintritt eines Risikos bewusst akzeptiert. Ziel der passiven Risikopolitik ist es nicht, die Eintrittswahrscheinlichkeiten oder die Tragweite der Risiken zu reduzieren, d. h. die Risikostrukturen werden nicht verändert. Der Risikoträger versucht vielmehr, durch geeignete Maßnahmen Risikovorsorge zu betreiben. Diese Risikovorsorge hat zum Ziel, die Auswirkungen des Risikoeintritts zu vermeiden oder zu vermindern (siehe Bow-Tie-Diagramm). Dies kann beispielsweise in Form der häufig praktizierten Überwälzung von Risiken auf andere Risikoträger (etwa Versicherer oder Kapitalmarkt) geschehen. Bei einem Risikoeintritt werden neben der Bereitstellung der erforderlichen Liquidität die negativen Konsequenzen auf der Ertragslage abgefedert. 

Risikosteuerung in der Praxis

Der Prozess der Risikosteuerung in der Praxis
Der Prozess der Risikosteuerung in der Praxis

Weiterführende Literaturhinweise:

  • Embrechts, P./Klüppelberg, C./Mikosch, T. (1997): Modelling extremal events for insurance and finance, Berlin 1997.
  • Gleißner, W./Romeike, F. (2005): Risikomanagement – Umsetzung, Werkzeuge, Risikobewertung, Freiburg i. Br. 2005.
  • Romeike, F./Hager, P. (2009): Erfolgsfaktor Risk Management 2.0 – Methoden, Beispiele, Checklisten: Praxishandbuch für Industrie und Handel, 2. Auflage, Wiesbaden 2009.
  • Romeike, F./Hager, P. (2013): Erfolgsfaktor Risk Management 3.0 – Methoden, Beispiele, Checklisten: Praxishandbuch für Industrie und Handel, 3. Auflage, Wiesbaden 2013.
  • Romeike, F. (2008): Gesunder Menschenverstand als Frühwarnsystem (Gastkommentar), in: Der Aufsichtsrat, Ausgabe 05/2008, S. 65.
  • Romeike, F. (2005): Frühwarnsysteme im Unternehmen, Nicht der Blick in den Rückspiegel ist entscheidend, in: RATING aktuell, April/Mai 2005, Heft 2, S. 22-27.