Ernst & Young Best Practice Survey "Risikomanagement 2005"


Studie

Auch sechs Jahre nach der Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) erfüllt jedes dritte börsennotierte Unternehmen nicht vollständig die gesetzlichen Anforderungen. Das ist das Ergebnis einer Studie des Wirtschaftsprüfungsunternehmens Ernst & Young, die auf einer Befragung von 500 börsennotierten und nicht börsennotierten Unternehmen beruht.

Gesetzliche Anforderungen nicht vollständig erfüllt

Der Gesetzgeber schreibt vor, dass Unternehmen ein unternehmensweites Risikomanagement einführen und betreiben müssen. Dabei gilt es, mindestens die bestandsgefährdenden Risiken zu identifizieren und zu bewerten. Dies können strategische Risiken (z.B. Marktentwicklungen / neue Wettbewerber), operative Risiken (z. B. Produktionsausfall) oder auch IT-Risiken (z. B. Systemausfall, Datenverlust) sein. Anschließend sind geeignete Maßnahmen zur Steuerung dieser Risiken zu treffen, um bestandsgefährdende Situationen zu verhindern.

Obwohl durch das KonTraG und die ausführenden Standards des Instituts der Wirtschaftsprüfer eine Quantifizierung der identifizierten Risiken – also die monetäre Bewertung der erwarteten Schadenshöhe – vorgeschrieben ist, verzichtet darauf jedes vierte börsennotierte Unternehmen. Von den nicht börsennotierten Großunternehmen geben sogar nur 33 Prozent an, ihre Risiken zu quantifizieren. "Die Unternehmen lassen es dabei bewenden, festzustellen, ob einzelne Risiken als ‚niedrig’ ‚mittel’ oder ‚hoch’ einzuschätzen sind. Sie müssen den konkreten möglichen Schaden eines Risikoeintritts beziffern, unterlassen es aber häufig", stellen Markus Heinen, Partner bei Ernst & Young, und Stephan Chrobok, Leiter des Beratungsbereichs Corporate Risk Management, fest. "Die finanziellen Auswirkungen ihrer Risiken sind den Unternehmen nicht bekannt und können somit nicht adäquat gesteuert werden."

Fehlendes Risikobewusstsein der Mitarbeiter

Der Gesetzgeber fordert von einem funktionsfähigen Risikomanagement-system, dass die am Prozess beteiligten Mitarbeiter ein ausgeprägtes Risikobewusstsein haben. Jedoch verzichten zwei Drittel der Unternehmen auf Maßnahmen, die den Mitarbeiter direkt ansprechen. Mit der Ausgabe eines Handbuchs zum Risikomanagement ist für die Mehrheit der Unternehmen das Kapitel Mitarbeiterschulung im Bereich Risikomanagement erledigt. "Eine Risikokultur kann sich jedoch nicht ausschließlich durch die Verbreitung schriftlich fixierter Vorgaben entwickeln. Es handelt sich vielmehr um einen kontinuierlichen Denk- und Lernprozess, der die aktive Teilnahme der Mitarbeiter fordert", sagt Heinen.

Fehlende Integration des Risikomanagements in die Unternehmenssteuerung

Die Studie zeigt zudem, dass sich die von den Unternehmen implementierten Maßnahmen zumeist auf die Erkennung bestandsgefährdender Entwicklungen beschränken. Die Mehrheit der befragten Unternehmen bindet das Risikomanagementsystem noch nicht in eine wertorientierte Unternehmenssteuerung ein.

Zwar sind unterschiedliche Verfahren und Instrumente zur Risikoanalyse und Risikosteuerung bei der Mehrzahl der Unternehmen implementiert und werden überwiegend auch regelmäßig genutzt. Allerdings überwachen rund 60 Prozent der Unternehmen die Umsetzung der von ihnen definierten Maßnahmen zur Risikosteuerung nicht. Lediglich jedes dritte Unternehmen interessiert sich dafür, ob die Maßnahmen auch unter Kosten-/Nutzen-Aspekten wirtschaftlich sinnvoll sind. 60 Prozent der befragten Unternehmen definieren zudem keine Frühwarnindikatoren zur Überwachung der komplexen Risikosituation ihres Unternehmens.

"Die Vorstände und Geschäftsführer deutscher Unternehmen sind verpflichtet, ein umfassendes Risikomanagementsystem zur Risikofrüherkennung und -abwehr in die Führungsprozesse zu integrieren. Bisher laufen Risikomanagement und traditionelle Verfahren der Unternehmenssteuerung, wie Unternehmensplanung, Abweichungs- und Prognoserechnungen sowie Management-Informationssysteme, aber weitestgehend isoliert voneinander ab. Hier besteht noch ein großer Handlungsbedarf für Unternehmen." sagt Chrobok.

Keine systematische Chancenanalyse

Durch die Neufassung der gesetzlichen Anforderungen an die Lageberichterstattung (§§ 289, 315 HGB) im Rahmen des Bilanzrechtsreformgesetzes (BilReG) sind die Unternehmen bereits ab Ende dieses Jahres dazu verpflichtet, auch wesentliche Chancen ihrer künftigen Entwicklung im Lagebericht zu veröffentlichen. Bisher verzichten jedoch zwei von drei Unternehmen auf die systematische Analyse und Steuerung ihrer Chancen.

"Risikomanagement wird bei vielen Unternehmen nicht zu Ende gedacht, sondern als ‚notwendiges Übel’ angesehen", kommentiert Heinen. "Manche Geschäftsleitungen agieren wie Kapitäne, die ihr Schiff im Nebel ohne Radar zwischen den Klippen hindurch steuern. Mit dem Verzicht auf die konsequente Überwachung ihrer Risikosituation, die regelmäßige Überprüfung ihrer Instrumente zur Risikosteuerung sowie die systematische Einbeziehung unternehmerischer Chancen in das Überwachungssystem gefährden die Unternehmen letztlich ihren eigenen wirtschaftlichen Erfolg."

 

Eine Zusammenfassung der Studie finden Sie hier:

Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.