Risikomanagement

aus Wikipedia, der freien Enzyklopädie

Inhaltsverzeichnis 1 Risikomanagement 2 Inhalte 2.1 Erfassung 2.2 Steuerung 2.3 Kontrolle 3 Typische Probleme im Risikomanagement 4 Mathematische Größen im Risikomanagement 5 Rechtliche Aspekte 6 Spezielle Ausprägungen 6.1 Projektmanagement 6.2 Versicherungswirtschaft 6.3 Kreditwirtschaft 7 Literatur 8 Siehe auch 9 Weblinks

[Bearbeiten] Risikomanagement

---

Unter Risikomanagement [-ˌmænɪdʒmənt] versteht man den planvollen Umgang mit Risiken. Dabei kann es sich um allgemeine unternehmerische Risiken handeln oder um spezielle finanzielle Risiken.

Auch technische Risiken können in einem Managementsystem behandelt werden, dies ist z.B. Bestandteil des Arbeitsschutzes bzw. Arbeitsschutzmanagement. Im geringen Maße spielen sie auch beim finanzbezogenen Risikomanagement eine Rolle. So beziehen sich einige Fragen des Fragenkatalog von Basel II auch auf technische Risiken, wie z.B. Risiken des Herstellungsprozesses und der Arbeitssicherheit.

Das Risikomanagement spielt im Versicherungsmarkt und als Vorstufe zur Versicherung eine zentrale Rolle.

[Bearbeiten] Inhalte

Risikomanagement umfasst:

• Festlegungen von Zielen auf Basis der Vision und Strategie der Organisation
• Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen
• Festlegung einer Risikomanagement-Strategie
• Identifikation von Risiken (im Finanzrisikomanagement mit „Exposure-Ermittlung” bezeichnet)
• Bewertung/Messung von Risiken
• Bewältigung von Risiken
• Steuerung
• Monitoring, also Früherkennung.

Grundsätzlich beginnt Risikomanagement in dem Moment, in dem eine Vision, ein Wunschbild der zukünftigen Realität entsteht. Denn die Chancen, die man dazu wahrnehmen muss, werden durch Unwägbarkeiten gefährdet. Ohne konkrete Ziele lassen sich keine Abweichungen messen.

Die Wahl der Strategie ist im Wesentlichen abhängig von der Einstellung (risikoavers, risikoneutral oder risikofreudig) gegenüber einem Vorhaben.

[Bearbeiten] Erfassung

Die Identifikation von Risiken kann z.B. mittels Szenario-Technik, Post-mortem-Analyse, Expertenbefragungen, Checklisten, Kreativitätstechniken oder einfach durch offene und ehrliche Kommunikation erfolgen.

Eine Möglichkeit für die Messung von Risiken sind Risikokennzahlen wie der Value at Risk (VaR), aber eben nur eine. Eine Bewertung kann auch durch Expertenurteil erfolgen. Zur Darstellung kann eine Risikomatrix verwendet werden, die die Eintrittswahrscheinlichkeit eines Risikos seinen Folgen bzw. Schäden gegenüberstellt. Um die Auswirkung der einzelnen Risiken auf das Unternehmen darzustellen, ist eine Risikoaggregation erforderlich, die mittels Simulation den Gesamtrisikoumfang des z.B. Eigenkapitalbedarf zur Risikodeckung berechnet.

Bei der internen Erfassung sind Kreditinstitute grundsätzlich frei. Hingegen bei der Erfassung für den externen Adressaten sind die Kreditinstitute an die Vorgaben der Bankenaufsicht/BaFin im Grundsatz 1 gebunden.

[Bearbeiten] Steuerung

Grundsätzlich gibt es fünf unterschiedliche Risikosteuerungsstrategien:

• Risikovermeidung, z.B. durch Verzicht auf ein Geschäft oder Aufgabe eines Geschäftsfelds
• Risikoübertragung, -überwälzung z.B. auf Marktpartner (Outsourcing) oder Versicherungen
• Risikoverminderung, z.B. Risikodiversifikation
• Risikoakzeptierung, z.B. Kompensation durch Dotierung der Risikovorsorge
• Risikobeseitigung, z.B. durch Abstellen eines organisatorischen Mangels.

[Bearbeiten] Kontrolle

Ziel des Risiko-Monitoring ist es, die erkannten Risiken im Auge zu behalten.

[Bearbeiten] Typische Probleme im Risikomanagement

Risikomanagement wurde nicht erst seit dem KonTraG oder dem Sarbanes-Oxley Act erfunden. Unternehmen, Organisationen und Individuen mussten seit Menschengedenken Risiken aller Art bewältigen.

Negative Konsequenzen des seit dem Börsencrash und den unzähligen Skandalen 'neu' erfundenen Risikomanagements sind die überbordende Bürokratie, eine Flut streckenweise überflüssiger, pseudowissenschaftlicher Literatur und die Stärkung einer dem kooperativen Führungsstil zuwiderlaufende Unternehmenskultur der lückenlosen Kontrolle und Überwachung.

Die größten Risiken in den Organisationen sind immer die Handelnden selbst, weil sie Änderungen der Umwelt (Marktrisiken, Umweltrisiken, technologische Risiken) nicht rechtzeitig sehen können oder sehen wollen. Je größer ihr Handlungsspielraum, desto höher das Risiko. Da die Stabsstellen, die in heutigen Unternehmen für Risikomanagement, aber auch Interne Revision und Corporate Governance zuständig sind, diesen Handelnden dienen, ist ihre Einflussmöglichkeit zumindest in entscheidenden Fragen eher gering. Dies gilt insbesondere dann, wenn die Verantwortlichen die Bodenhaftung verloren haben oder in die eigene Tasche wirtschaften.

Im praktischen, betrieblichen Risikomanagement ist eines der Hauptprobleme die realistische Bewertung von Risiken, die fast immer auf subjektiven Annahmen beruht, aber auch die Festlegung von sinnvollen Frühwarnindikatoren zur Überwachung von identifizierten Risikopotentialen.

[Bearbeiten] Mathematische Größen im Risikomanagement

• Rendite
• Performance (Risikomanagement)
• Gewinn
• Arithmetische Rendite
• Geometrische Rendite
• Annualisierte Rendite
• Stetige, logarithmierte Rendite
• Volatilität
• Mittelwert, Erwartungswert
• Varianz
• Standardabweichung
• Korrelationskoeffizient
• Value at Risk.

[Bearbeiten] Rechtliche Aspekte

Nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sind Aktiengesellschaften (AGs) in Deutschland gesetzlich zur Risikofrüherkennung, einem Teilbereich des Risikomanagements, verpflichtet, um den Erhalt des eigenen Unternehmens sicherzustellen. Dies gilt anerkanntermaßen heute auch für andere Unternehmensformen und -größen und insbesondere für GmbH's ( § 43 I und II GmbHG - wobei § 43 II in Bezug auf das Risikomanagement so ausgelegt wird, dass der GmbH-Geschäftsführer die ausgewiesenen Pflichten des § 91 II AktG erfüllen muss). Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB durch die Abschlussprüfer richtet sich dabei vornehmlich an dem IDW Prüfungsstandard 340 (IDW PS 340) aus. Bei der Früherkennung von Risiken ist zu unterscheiden nach "bestandsgefährdenden Risiken" - mit einer 12 Monatssichtweise - und den "Risiken, die Auswirkungen auf die Ertrags-, Finanz- und Vermögenslage" - mit einer 24 Monatssicht - des Unternehmens haben. International finden sich ähnliche rechtliche Anforderungen beispielsweise im Sarbanes-Oxley Act, einer Rechnungslegungsvorschrift für Unternehmen, die an US-Börsen gelistet sind. Risikomanagement ist eine Komponente des im Sarbanes-Oxley Act geforderten internen Kontrollsystems (IKS).

[Bearbeiten] Spezielle Ausprägungen

Allgemein kann unterschieden werden zwischen quantitativem Risikomanagement (Risiko wird in "Geld" bewertet) und qualitativem Risikomanagement (Risiken werden mit einer Risikomaßzahl belegt, die nur die relative Risikohöhe der Risiken zueinander innerhalb eines abgeschlossenen Risikomanagementsystems beschreibt). Welche Risikomanagementmethode zum Einsatz kommt, hängt vor allem von den im Folgenden dargestellten Einsatzbereichen ab:

• im Finanzwesen (hier liegen die Ursprünge des Risikomanagements)
• in der Versicherungswirtschaft
• in der Unternehmungsführung. Implementierung einer Risikomanagement-Organisation zur Steuerung von operationellen Risiken, welche die Kernprozesse gefährden. Dabei gilt der Grundsatz Prozess-Eigner = Risiko-Eigner. Unterstützt wird die RM Organisation durch eine unternehmensweite Risikoberichterstattung (Risk Reporting), welches richtig eingesetzt eine Frühwarnung ermöglicht.
• im Projektmanagement zur Minimierung von Prozessrisiken. Typische „Kernrisiken” (Prozessrisiken) im Projektmanagement sind fehlerhafte Zeitpläne, Inflation von Anforderungen, Mitarbeiterfluktuation, Spezifikationskollaps, geringe Produktivität und Gruppendruck/"group think". Das Thema Projektmanagement wird auch ausführlich in den englischen Wikipedia-Seiten behandelt.)
• in der Informationstechnologie (z.B. im Rahmen von Disaster Recovery Planning und Business Continuity Management)
• in der Entwicklung sicherheitskritischer Systeme und Produkte wird Risikomanagement verwendet, um Produktrisiken zu minimieren (vgl. beispielsweise ISO 14971 für Medizinprodukte)

Im Finanzwesen und in der Versicherungswirtschaft kommen hier hauptsächlich quantitative Risikomanagementmethoden zum Einsatz. In der Unternehmensführung erzwingt das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) inzwischen seit 1998 von großen Unternehmen und Aktiengesellschaften ein quantitatives Risikomanagement (mit Risikostrukturdarstellung in der Bilanz). Im Projektmanagement und weiten Bereichen der Informationstechnologie reicht normalerweise ein qualitatives Risikomanagementsystem aus. Qualitative Risikomanagementmethoden zeichnen sich dabei dadurch aus, dass sie eine weniger aufwändige Mathematik voraussetzen. Quantitative Risikomanagementmethoden dagegen nutzen überwiegend Finanz- und Versicherungsmathematische Methoden und Modelle zur Ermittlung der Höhe der Risiken. Ein Versuch die verschiedenen Ansätze des Risikomanagements zu vereinen, stellt das erweiterte Risikomanagement (XRM) dar.

[Bearbeiten] Projektmanagement

Risikomanagement in Projekten beschäftigt sich mit allen Tätigkeiten, welche zur Verhinderung von oder zum Umgang mit ungeplanten Ereignissen beschäftigt, welche den Projektverlauf gefährden.

Es findet immer ein Abwägen der notwendigen Aufwände zur Risikominimierung oder des (mit der Eintrittswahrscheinlichkeit gewichteten) Schadens bei Risikoeintritt statt. Teilweise werden im Risikomanagement auch Themen des sog. Issuemanagement - also der Behandlung eingetretener und vorher nicht identifizierter Risiken behandelt.

Das PMBOK Guide sieht hierfür sechs Hauptprozesse vor:

Risikomanagementplanung

Hier werden die Verfahren festgelegt, mit denen die folgenden Risikoprozesse arbeiten. Hierzu gehören Identifikationsmethoden, Dokumentationsstrategien, Bewertungsstrategien und Verantwortlichkeiten.

Risikoidentifikation

Während der Risikoidentifikation werden Risiken (potentielle Behinderungen) mit verschiedenen Methoden identifiziert und dokumentiert.

Qualitative Risikoanalyse

Die identifizierten Risiken werden qualifiziert, hierzu gehört die Priorisierung auf Basis von Wahrscheinlichkeit des Eintretens und Auswirkungen auf den Projekterfolg.

Quantitative Risikoanalyse

Danach erfolgt die quantitative Bewertung (in geldwerten Größen) von Risikowirkung, Gegenmaßnahmen und/oder erforderlichen Rückstellungen.

Planung zur Risikobewältigung

Die Planung der Risikobewältigung ermittelt Gegenmaßnahmen, um das Eintreten von Risiken zu minimieren oder die Auswirkungen der Risiken zu reduzieren.

Risikoüberwachung und - verfolgung

Der Status der Risiken (meist in einer Risikoliste dokumentiert) und der Status der Gegenmaßnahmen wird kontinuierlich überwacht.

Siehe auch: Projektmanagement

[Bearbeiten] Versicherungswirtschaft

Für Versicherungsunternehmen zählt die Übernahme von Risiken zum eigentlichen Geschäftsmodell. Versicherungen begrenzen die Wahrscheinlichkeit einer überdurchschnittlichen Belastung durch Schadensfälle in erster Linie durch Rückversicherung, mit deren Hilfe sie Großschäden und Kumulrisiken begrenzen.

[Bearbeiten] Kreditwirtschaft

Für Banken unterteilt man das betriebswirtschaftliche Gesamtrisiko in ein operationelles Risiko (z.B. durch Ausfälle in der IT), das Adressenrisiko (d. h. den Ausfall von Kreditnehmern), das Kontrahentenrisiko (d.h. den Ausfall von Wertpapier-Handelspartnern), das Liquiditätsrisiko (fällige Gelder können nicht aus den flüssigen Mitteln bedient werden) und das Marktrisiko. Das Marktrisiko lässt sich weiter in das Währungsrisiko, das Kursrisiko und das Zinsrisiko unterteilen. In der Praxis wird oftmals das Reputationsrisiko (Risiko des Ansehensverlustes durch geschäftspolitische Entscheidungen o. Ä.) separat vom operationellen Risiko betrachtet. Den systematischen Ausfall mehrerer Geschäftspartner aufgrund von Branchenrisiko oder Länderrisiko bezeichnet man in der Kreditwirtschaft auch als Klumpenrisiko.

[Bearbeiten] Literatur

• DeMarco, Lister: Bärentango ISBN 3-446-22333-9
• Dr. Durica, Michael: Die Risiken der Risikoabsicherung in: Risiko-Manager 21/2006
• Erben, R.-F.; Romeike, F.: Allein auf stürmischer See. 2004. WILEY, ISBN 3-527-50073-1
• Gietl, Lobinger: Risikomanagement für Geschäftsprozesse. 2005. HANSER, ISBN 3-446-40283-7
• Gleißner, W.; Romeike, F.: Risikomanagement - Umsetzung, Werkzeuge, Risikobewertung. 2005. HAUFE, ISBN 3-448-06209-X
• Hopp, Kai Ullrick: "GmbH-Risikomanagement", ISBN 3-923763-72-7 , Bonn 2001
• Keitsch, Detlef: "Risikomanagement" 2004, Schäffer-Poeschel, ISBN 3-7910-2295-4
• Koller: Wissensrisiken - Risiken aus Sicht des Wissensmanagements, [1]
• Locher, Mehlau, Hackenberg, Wild: Risikomanagement in Finanzwirtschaft und Industrie, Download
• Müller, Klaus-Rainer: Handbuch Unternehmenssicherheit. 2005. VIEWEG, ISBN 3-528-05889-7
• Romeike, F./Finke, R. (Hrsg.): Erfolgsfaktor Risiko-Management 2003. Gabler-Verlag, ISBN 3-409-12200-1
• Romeike, F.: Lexikon Risiko-Management 2004. Wiley-VCH, ISBN 3-527-50112-6
• Sitt: Dynamisches Risiko Management ISBN 3-8244-0734-5
• Versteegen (Hrsg.): Risikomanagement in IT-Projekten ISBN 3-540-44175-1
• Wehrheim/Schmitz: "Risikomanagement Grundlagen-Theorie-Praxis", ISBN 3-17-019330-9, Stuttgart 2006

[Bearbeiten] Siehe auch

• Risikoanalyse
• Risikomanager
• Unsicherheit
• Entscheidung unter Unsicherheit
• Management Risk Controlling (MRC)

[Bearbeiten] Weblinks

• Umfangreicher Online-Informationsdienst zum Risikomanagement, "Spin-Off" der Uni Kiel
• Nicht-kommerzielle und sehr umfangreiche Online-Plattform sowie virtuelle Bibliothek (eLibrary) zum Thema Risikomanagement