Einführung in die Grundlagen

Risikomanagement und Risikocontrolling


Marc Diederichs (2018): Risikomanagement und Risikocontrolling, 4. Auflage, Vahlen Verlag, München 2018, ISBN: 978-3-8006-5248-8 Book Review

Das Buch "Risikomanagement und Risikocontrolling" von Marc Diederichs liegt in einer überarbeiteten vierten Auflage vor. In seiner Einführung spricht der Autor von der ewigen Renaissance des Risikomanagements. Er weist darauf hin, dass ein nicht unerheblicher Teil der Unternehmenspleiten und Schieflagen in den vergangenen Jahren auf ein mangelndes Risikobewusstsein zurückgeführt werden kann. Hinzu kommt eine fehlende Transparenz aufgrund unzureichender Kontroll- und Informationssysteme, eine unbefriedigende Fehlerkultur sowie ein nicht besonders stark ausgeprägter Wille, sich intensiv mit unternehmerischen Risiken auseinanderzusetzen. Dies ist erstaunt umso mehr, da Risikomanagement und Risikocontrolling seit jeher zur Sorgfalt eines ordentlichen und gewissenhaften Geschäftsführers oder Vorstands zählen.

Häufig bleiben die wenigen warnenden "Rufe in der Wüste" ungehört oder Risikomanager werden gar als "Spielverderber" abgekanzelt. Verschärft sich in wirtschaftlich unruhigem Fahrwasser die Risikolage, sind viele Unternehmen nur unzureichend vorbereitet. Die Kunst besteht aber eben gerade darin, Chancen zu nutzen und gleichzeitig damit einhergehende Risiken frühzeitig zu erkennen, richtig einzuschätzen und – im Sinne eines Notfallplans – auf derartige Situationen vorbereitet zu sein. Man könnte es auch kompakt zusammenfassen: Rettungsboote werden nicht im Sturm gebaut.

Der Autor hat sich das Ziel gesetzt, im Buch ein geschlossenes, ganzheitliches und zukunftsfähiges Risikomanagement- und Risikocontrolling-System zu präsentieren. Das Buch umfasst im Wesentlichen die folgenden Punkte:

  • Grundlagen des Risikomanagements und Risikocontrollings
  • Anforderungskatalog an das Risikomanagement und die risikoorientierte Lageberichterstattung seitens des Gesetzgebers und des Wirtschaftsprüfers (IDW PS 340, PS 981/ COSO II sowie DRS 20)
  • Bestandteile eines internen Kontrollsystems (IKS) nach IDW PS 261 und COSO I (inkl. IKS bezogen auf den Rechnungslegungsprozess (Internal Controls over Financial Reporting)
  • Grundlagen und rechtliche Anforderungen an geschäftsführende und geschäftsüberwachende Organe
  • Praxiserprobte Instrumente zur Erkennung, Beurteilung und Steuerung von Risiken
  • Organisatorische Einbindung des Risikomanagements (Risikomanager und Risikoausschuss) und Zusammenspiel mit der Internen Revision
  • Empfehlungen für die chancen- und risikoorientierte Berichterstattung, Kommunikation und System-Dokumentation (Risikomanagement-Richtlinie)
  • Risikomanagement, Risikocontrolling und strategische Planung
  • Risikomanagement im DAX30
  • Tipps für den eiligen Praktiker

Im einführenden zweiten Kapitel werden zunächst die Grundlagen und Begriffe definiert und beschrieben. Neben dem Risikobegriff werden die Ziele und Aufgaben von Risikomanagement und Risikocontrolling voneinander abgegrenzt. Hierbei folgt Marc Diederichs primär einer engen Risikodefinition: Unter Risiko wird die Gefahr verstanden, dass Ereignisse, Entscheidungen, Handlungen oder Unterlassungen das Unternehmen daran hindern, angestrebte Ziele zu erreichen oder Strategien erfolgreich umzusetzen. Alle nachfolgenden Kapitel basieren auf dieser engen (und sehr deutschen) Definition von Risiko. Der internationale Standard ISO 31000:2018 definiert Risiko beispielsweise wie folgt: "risk: effect of uncertainty on objectives. An effect is a deviation from the expected. It can be positive, negative or both, and can address, create or result in opportunities and threats." [Quelle: ISO 31000:2018, 3.1]

Da die beiden Corporate-Covernance-Elemente Risikomanagement und Internes Kontrollsystem (lKS) inhaltlich eng verwandt und nicht überschneidungsfrei sind, werden die wesentlichen Elemente eines IKS vorgestellt. Hierbei wird auf das internationale Rahmenwerk COSO I und II sowie die darauf aufbauenden Ausführungen des Instituts der Wirtschaftsprüfer (IDW) zurückgegriffen. Zudem wird die für bestimmte Rechtsformen geltende, gesetzliche Verpflichtung erläutert, ein Risikofrüherkennungs- und -überwachungssystem einzurichten und die Risiken im Lagebericht darzustellen. Hierbei geht der Autor auch beispielsweise auf die Business Judgement Rule ein, ein gesetzlich verankertes Haftungsprivileg zugunsten von Vorständen und Aufsichtsräten von Aktiengesellschaften, das unter bestimmten Voraussetzungen von Gesetzes wegen eine Pflichtverletzung ausschließt. Verlangt für den Haftungsausschluss wird unter anderem eine bewusste unternehmerische Entscheidung, getroffen u.a. nach methodisch fundierter und sorgfältiger Risiko-/Chancenabwägung.

Aufbauend auf den gesetzlichen Anforderungen werden vom Autor die Prüfungsstandards der Wirtschaftsprüfer (IDW PS 340 und PS 981, DRS 20) vorgestellt. In diesem Kontext muss darauf hingewiesen werden, dass die Prüfungsstandards sich nur auf einen Ausschnitt eines Risikomanagement-Systems konzentrieren. Abschließend wird als weitere Richtschnur exemplarisch die internationale Norm (ISO 31000 Risk Management – Prinicples and Guidelines) in ihrer Grundstruktur und in der alten Fassung (d.h. nicht der überarbeiteten ISO 31000:2018) vorgestellt.

lm dritten Kapitel werden die dem Risikomanagement zugrunde liegenden Prozessschritte, d.h. der klassische Regelkreis, im Detail vorgestellt. Der Autor weist darauf, dass er die beiden grundsätzlichen Methoden aufzeigt, wie Unternehmen bei der Risikoidentifikation vorgehen können. Bei der Identifikation beschreibt der Autor die Prozesskettenanalyse, die Wertkettenanalyse sowie die Netzwerktechnik. Weitere Methoden, beispielsweise aus dem Bereich analytischer Werkzeuge oder aus dem Portfolio der Kreativitätsmethoden, werden nicht erwähnt. Abschließend wird gezeigt, an welche Grenzen Unternehmen bei der Erkennung von Risiken stoßen können.

Die Auswahl der Instrumente zur Risikobeurteilung erfolgt unter der Maßgabe, Entscheidungsträgern einen Überblick über die potenziellen Auswirkungen der internen und externen Risiken zu vermitteln, so der Autor. So unterscheidet der Autor zwischen einer Brutto- und Nettobewertung, die in der Praxis nur eine begrenzte Relevant hat. Sinnvoller ist eine Unterscheidung zwischen einem Ist-Risiko (Status Quo heute inkl. bereits umgesetzter Maßnahmen in der Vergangenheit) sowie einem Ziel-Risiko. Ein echtes Netto-Risiko ist eine eher theoretische Größe, die in der Praxis nur sehr eingeschränkt überhaupt ermittelt werden kann. Des weiteren skizziert Marc Diederichs die klassische Bewertung von Risiken in Form einer Eintrittswahrscheinlichkeit und einem Schadensausmaß. Die Einzelrisiken werden anschließend in einem Risikoportfolio abgebildet. Auf die methodischen Fehler und Grenzen einer solchen Bewertung und Darstellung geht der Autor nur am Rande ein. Alternativ werden ein Scoring-Modell sowie eine Jahresabschlussanalyse in Grundzügen skizziert. In einem separaten Kapitel werden die Grundzüge einer quantitativen Risikoanalyse beschrieben. Bezogen auf das Risikomaß "Value at Risk" führt der Autor aus: "So können lediglich Wertänderungen der betrachteten Position ermittelt werden, die durch Währungsschwankungen oder Veränderungen von Rohstoff- und Güterpreisen, Aktienkursen, Zinssätzen oder Indizes hervorgerufen werden können." Hierbei übersieht der Autor, dass der Value at Risk zwar ursprünglich im Bereich der Marktrisiken (von der US-amerikanischen Investmentbank J.P. Morgan) entwickelt wurde, aber als Quantilsmaß auch auf andere Risikoarten übertragen werden kann. Auf weitere Methoden oder sinnvolle Verteilungsfunktionen (beispielsweise die Compundfunktion im Bereich der Risiken eines Handels- oder Industrieunternehmens) oder gar die Methoden zur Aggregation von Risiken wird nicht weiter eingegangen. Auch auf Ansätze zur Verknüpfung von Controlling und Risikomanagement, etwa in Form einer Korridor-/Bandbreitenplanung basierend auf einer stochastischen Simulation, geht Marc Diederichs nicht ein. Auch moderne Methoden aus dem Bereich Risk Analytics werden nicht erwähnt oder diskutiert.

Als letzter Prozessschritt wird die Risikosteuerung dargestellt. Hierbei konzentriert sich der Autor auf die klassischen Strategien (Risikovermeidung, Risikoverminderung, Risikobegrenzung, Risikoüberwälzung).

Im vierten Kapitel setzt sich der Autor mit der Risikomanagement-Organisation und der System-Dokumentation auseinander.

Eine wichtige Voraussetzung für ein wirksames Risikomanagement bildet außerdem die Versorgung der Entscheidungsträger mit (chancen- und) risikorelevanten Informationen. Diesem Aspekt widmet sich das fünfte Kapitel. So wird beispielsweise eine Balanced Chance- & Risk-Card präsentiert.  

Im sechsten Kapitel wird gezeigt, dass das Risikomanagement und Risikocontrolling gerade in Wachstums- und Expansionsphasen einen erheblichen Mehrwert leisten kann. So wird dargestellt, wo Risikomanagement und Risikocontrolling unterstützen können, um Unternehmensschieflagen oder Unternehmenskrisen zu verhindern. Im siebten Kapitel wird gezeigt, wie die Unternehmen im DAX30 ihr Risikomanagement in den Grundzügen gestalten. Im achten Kapitel werden die wesentlichen Aspekte des Buches checklistenartig zusammenfassend dargestellt. Das neunte Kapitel bietet ein Fazit und liefert einen Ausblick.

Fazit: Das Buch liefert eine leicht lesbare und in weiten Teilen praxisorientierte Einführung in ein Risikomanagement-System in einem niedrigen Reifegrad. Unternehmen, die einen hohen Reifegrad anstreben und beispielsweise die Unternehmenssteuerung risiko- und wertorientiert ausrichten möchten (etwa durch Performancemaße wie RORAC/RAROC und eine Bandbreitenplanung), werden viele Themen und Methoden im Buch vermissen.

Das Buch verdeutlicht einmal mehr, dass die Ausrichtung eines Risikomanagement-Systems von dem angestrebten Reifegrad abhängt. Wenn es in einem niedrigen Reifegrad einem Unternehmen lediglich darum geht, die regulatorischen Anforderungen zu erfüllen, dann liefert das Buch fundierte Informationen und Hinweise für die Praxis. Wenn ein Unternehmenslenker ein Risikomanagement (und damit auch gleichzeitig ein Chancenmanagement) dafür einsetzt, um sein Unternehmen robuster durch die stürmische See zu lenken und potenzielle Szenarien (siehe Auswirkungen der Digitalisierung, disruptive Innovationen etc.) zu antizipieren, d.h. risiko- und wertorientiert zu steuern, dann benötigt er für diesen höheren Reifegrad andere Methoden und vor allem eine gelebte Risikokultur. Klassische Methoden aus dem Bereich der Kollektionsmethoden (Stichwort "Risikobuchhaltung") und analytischen Methoden werden hier nur sehr eingeschränkt einen Mehrwert bieten. Notwendig ist hier die Ergänzung der Werkzeugkiste des Risikomanagers mit Kreativitätsmethoden (Szenarioanalysen, Synektik, System Dynamics, Simulationen etc.) – gepaart mit einer gelebten Risikokultur (die wiederum mit entsprechenden Methoden stimuliert werden kann).

Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.