Risikomanagement in der Unternehmensführung

Buch Risikomanagement in der Unternehmensführung

Wertgenerierung durch chancen- und kompetenzorientiertes Management

Wiley-VCH,

Rezension

Ein Angestell­ter hat Kun­den­gelder verzockt? Schulden­fi­nanzierte Übernah­me­fan­tasien ruinieren die Firma? Das Management hat den Börsenkurs künstlich hochgetrieben? Dann ist es wahrschein­lich ein bisschen zu spät, um noch zu diesem Buch zu greifen. Andernfalls ist dies jedoch zu empfehlen. Denn: Risiken einzugehen, kann zwar er­fol­gsentschei­dend sein – sie zu beherrschen aber auch. Die Finanzkrise mag ein etwas überdi­men­sion­ierter Prüfstein gewesen sein, aber sie bringt zutage, dass das Risiko­man­age­ment vieler Firmen un­ter­en­twick­elt ist. Wie man es besser macht, zeigen die Autoren anhand von Beispielen und mit einer Vielzahl aus­ge­feil­ter Instrumente. Für den Leser ist dieser Er­fahrungss­chatz allerdings etwas schwer zu heben: Das Buch wirkt un­struk­turi­ert, manche Punkte wiederholen sich in mehreren Aufsätzen, und im Dschungel der Fach­be­griffe droht der rote Faden verloren zu gehen. Wer sich als Manager ins Thema Risiko­man­age­ment vertiefen will, erhält aber zweifellos wertvolle Hinweise. BooksInShort empfiehlt das Buch Führungskräften, die sich von Risiken nicht einschüchtern lassen.

Take-aways

  • Die Risiken für Unternehmen sind größer geworden, ebenso die Chancen.
  • Viele Firmen stellen die Geschäftsmöglichkeiten in den Vordergrund und vernachlässigen die Gefahren.
  • Der Gesetzgeber schreibt für börsen­notierte Unternehmen mit­tler­weile Frühwarn­sys­teme vor.
  • Binden Sie bei wichtigen Entschei­dun­gen die Finanz-, Con­trol­ling- und Rechtsabteilung mit ein, um ve­r­ant­wor­tungsvolles Verhalten belegen zu können.
  • Strate­gis­che Risiken lassen sich nicht versichern, op­er­a­tionelle schon.
  • Fi­nanzwirtschaftliche Risiken können mittels Derivaten gestreut werden.
  • Ihr persönliches Haf­tungsrisiko lässt sich mit einer Directors’ and Officers’ Liability Insurance versichern.
  • Nutzen Sie den Standard der Risk Management Association, um Ihre Risiken ganzheitlich zu erfassen.
  • Ab einer gewissen Firmengröße ist ein un­ternehmensweites In­for­ma­tion­ssys­tem un­verzicht­bar.
  • Bieten Sie Mi­tar­beit­ern keine falschen Anreize: Nicht nur kurzfristige Erträge, sondern auch langfristige Risiken sollen im Auge behalten werden.
 

Zusammenfassung

Ein vernachlässigtes Feld

Ein Unternehmen führen heißt Chancen nutzen und Risiken vermeiden. Beide werden Sie sowohl inner- als auch außerhalb Ihrer Firma antreffen. Weil die vernetzten Einheiten eines modernen Un­ternehmens ein äußerst komplexes Gebilde darstellen, ist es schwierig geworden, Chancen und Risiken zu lokalisieren. Ausschläge in beide Richtungen sind häufiger als früher: Erfolge im Zeitraffer wie die weltweite Expansion von Google sind in der glob­al­isierten Wirtschaft ebenso möglich wie die ex­is­tenzbedro­hende Schieflage von Giganten wie General Motors. Das Thema Chancen wird tra­di­tioneller­weise vom Absatz- und Ver­trieb­s­bere­ich eines Un­ternehmens verfolgt, wohingegen das Thema Risiken ein ver­gle­ich­sweise neues Feld der be­trieb­swirtschaftlichen Forschung ist. Um zu lernen, wie sich Risiken beherrschen lassen, sollten Sie nicht erst auf wis­senschaftliche Ergebnisse warten, sondern sich an Best-Prac­tice-Beispie­len orientieren.

Der Begriff des Risikos

Natürlich gehört der ve­r­ant­wortliche Umgang mit Risiken seit jeher zu den es­sen­ziellen Man­age­men­tauf­gaben. Allerdings bewegen sich Unternehmen heute auf einem deutlich höheren Gefahren­niveau als früher. Je nachdem, in welcher Sprache man die Herkunft des Wortes „Risiko“ erforscht, bedeutet der Begriff „Gefahr laufen, wagen“ (lat.), „streiten, wider­streben“ (vor­ro­man­isch) oder „Klippe“ (gr.). Außerdem hat er in jeder Wis­senschaft – ob Theologie, Mathematik, Rechts- oder Poli­tik­wis­senschaft – eine spezifische Bedeutung. Die ökonomische Bedeutung im heutigen Sprachge­brauch erlangte der Begriff im 14. Jahrhundert in Norditalien, zunächst unter Bezug auf die Schifffahrt. Damals wie heute bedeutet Risiko ein negatives Ereignis oder – allgemein ausgedrückt – eine negative Abweichung vom Er­wartungswert. Das ist die enge Definition. In einem breiter gefassten Verständnis lassen sich in dem Begriff sowohl negative als auch positive Möglichkeiten erkennen: Eine riskante An­lages­trate­gie bietet gle­ichzeitig hohe Er­tragschan­cen. Zwischen Risiko und Un­sicher­heit gibt es aber eine definierte Grenze: Für riskante Ereignisse sind die Wahrschein­lichkeiten bekannt, für unsichere nicht. Sie sollten sich darüber bewusst sein, dass Sie viele Entschei­dun­gen in Un­sicher­heit treffen müssen. Die Ein­trittswahrschein­lichkeiten lassen sich oft nicht kalkulieren.

Risikotypen im Überblick

Um sich einen Überblick über die Risikolage Ihres Un­ternehmens zu verschaffen, sollten Sie ver­schiedene Risikotypen un­ter­schei­den können. Es gibt interne und externe strate­gis­che Risiken (z. B. Marktveränderungen, Outsourcing), op­er­a­tionelle Risiken (z. B. Gericht­sprozesse, men­schliches Versagen) und fi­nanzwirtschaftliche Risiken (z. B. Bonität, Kred­itzin­sen, Wech­selkurse, Rohstoff­preise). Der Prozess des Risiko­man­age­ments besteht aus den beiden Schritten Risiko­con­trol­ling (Analyse der Risiken) und Risikos­teuerung (Veränderung der Risiken). Im Risiko­con­trol­ling berechnen Sie beispiel­sweise mithilfe von Szenar­io­analy­sen die strate­gis­chen Risiken, während für op­er­a­tionelle Risiken Instrumente wie Value at Risk zum Einsatz kommen. Die Risikos­teuerung hat zum Ziel, ein optimales Verhältnis von Risiko und Ertrag zu erreichen. Das ist Chefsache und eine Aufgabe, die Sie als Un­ternehmensführer wahrzunehmen haben. Ob Sie bestimmte Risiken vermeiden, minimieren oder übernehmen wollen, können und müssen Sie selbst entscheiden. Wie sehr Sie Risiken „hedgen“ (absichern) oder trans­ferieren können, hängt von Ihren In­stru­menten ab. Für strate­gis­che Risiken lässt sich in der Regel keine Ver­sicherungspo­lice abschließen, sehr wohl aber für op­er­a­tionelle. Fi­nanzwirtschaftliche Risiken wiederum können Sie mit In­stru­menten wie Anleihen oder Derivaten mindern. Ein Joint Venture kann das Ver­lus­trisiko einer Investition auf mehrere Schultern verteilen.

Risiko­man­age­ment gestern und heute

Um nicht nur einzelne Risiken verfolgen und eingrenzen zu können, sondern den großen Überblick zu bekommen, setzen Firmen immer stärker auf un­ternehmensweite Risiko­man­age­mentsys­teme (En­ter­prise-wide Risk Management, ERM). Diese berücksichtigen nicht nur sämtliche Risiken, sondern auch deren wech­sel­seit­ige Bee­in­flus­sung. Dank der Fortschritte in der In­for­ma­tion­stech­nolo­gie können auch Datenfluten komplexer Gebilde analysiert werden – selbst die Wet­ter­vorher­sage und damit der Katas­tro­phen­schutz haben sich dadurch stark verbessert.

„Risiken und Chancen für Unternehmen haben sich in den vergangenen Jahren stark erhöht.“

Eine solche ganzheitliche Sicht für das Management von Risiken ist eine relativ junge Entwicklung. Erste Ansätze eines Risiko­man­age­ments gab es allerdings schon um 3000 v. Chr., als es wichtig wurde, mit den Eventualitäten im Handel umgehen zu können. Die Phönizier streuten die fi­nanziellen Risiken von Schiff­s­reisen, indem sie, organisiert als Schutzge­mein­schaften, gemeinsam für den Verlust von Schiff­s­ladun­gen aufkamen. Per­so­n­en­ver­sicherun­gen gab es bereits im alten Griechen­land und im Römischen Reich. Im Mittelalter tauchten erste Policen auf, mit denen sich Bauern gegen Naturkatas­tro­phen wie Dürren versichern konnten. Als in der Renaissance das arabische Zahlen­sys­tem das römische ablöste, entwickelte sich die wis­senschaftliche Risiko­forschung – etwa durch Studien zur Wahrschein­lichkeit bei Glücksspielen. Einen stan­dar­d­isierten Handel mit Optionen gibt es seit dem 17. Jahrhundert. Heute wächst die Zahl und Komplexität von Derivaten, die ebenso Speku­la­tion­szwecken wie dem Risiko­man­age­ment dienen, rasend schnell.

Der Recht­srah­men wird enger

Das Gesetz zur Kontrolle und Transparenz im Un­ternehmens­bere­ich (KonTraG), das im deutschen Aktienrecht verankert ist, schreibt bestimmten Kap­i­talge­sellschaften seit 1998 ein Überwachungssys­tem vor, mit dem sie „den Fortbestand gefährdende En­twick­lun­gen“ erkennen können. Sie müssen also ein Frühwarnsystem einrichten und in einem jährlichen Lagebericht über Risiken informieren. Diese Vorschrift ist eine von vielen, um Unternehmen und Aktionäre vor zu großen Risiken zu bewahren: An­legerschutzverbesserungs­ge­setz, Bi­lanzrecht­sre­for­mge­setz, Vor­standsvergütungs-Of­fen­le­gungs­ge­setz, Rech­nungsle­gungs­stan­dards etc. Auch US-Gesetze wie der Sar­banes-Ox­ley Act von 2002 bee­in­flussen die Risikopoli­tik deutscher Unternehmen, sofern diese in den USA börsennotiert sind oder dort Wertpapiere vertreiben.

„Risiko ist die Abweichung (sowohl positiv als auch negativ) eines zukünftigen Ereignisses von dem erwarteten Ausgang eines Ereignisses.“

Der Geset­zge­bungstrend zeigt: Offenbar ist es nicht selbstverständlich, dass Manager von allein ve­r­ant­wor­tungsvoll mit den ihnen an­ver­trauten Un­ternehmenswerten umgehen. Das belegt eine Vielzahl von Fällen, in denen die kurzfristige Gewin­n­max­imierung – inkl. des dazugehörigen Bezahlungssys­tems – Manager zu fatalen Fehlentschei­dun­gen verleitete. Die rechtlichen Auflagen dürfen nicht auf die leichte Schulter genommen werden. Falls Sie im Unternehmen besondere Ve­r­ant­wor­tung tragen, können Sie bei Missachtung oder Un­ter­las­sung der Regeln verurteilt werden. Der Strafkat­a­log beinhaltet Ord­nungs­gelder, Geldbußen (bis zu 50 000 €) und sogar Haftstrafen (bis drei Jahre). Als Meilenstein der verschärften Recht­sprechung gilt das Urteil des Bun­des­gericht­shofs gegen die Vorstände der Infomatec AG aus dem Jahr 2004: Sie hatten mit fingierten Großaufträgen den Kurs der Aktie manipuliert. Erstmals wurden in Deutschland Vorstände persönlich haftbar gemacht.

Entschei­dung­sprozesse doku­men­tieren

Aufsichtsräte, Vorstände, Geschäftsführer und Führungskräfte mit ähnlich ve­r­ant­wor­tungsvollen Aufgaben sollten also in ihrem eigenen Interesse alles tun, um Pflichtver­let­zun­gen zu vermeiden. Als Manager können Sie mehrere Maßnahmen ergreifen, bevor Sie wichtige Entschei­dun­gen treffen. Binden Sie z. B. frühzeitig Fach­abteilun­gen ein. Die Finanz- und Con­trol­ling-Abteilung unterstützt Sie mit Mach­barkeitsstu­dien oder Wirtschaftlichkeits­berech­nun­gen. Die Rechtsabteilung überprüft vorab die Rechtslage. Beziehen Sie auf dieser Grundlage die Entschei­dungs­gremien Ihres Un­ternehmens mit ein und beachten Sie die Berichts- und Zus­tim­mungspflichten. All diese Maßnahmen helfen Ihnen, im Fall der Fälle ein umsichtiges und ve­r­ant­wor­tungsvolles Verhalten zu belegen.

„Die Sub­prime-Krise im Sommer 2007 hat die Probleme verdeut­licht, die auftreten können, wenn der Risikos­teuerung­sprozess eines Un­ternehmens nicht mit dem Risiko­con­trol­ling­prozess harmoniert.“

Um das Restrisiko zu begrenzen, können Sie eine Directors’ and Officers’ Liability Insurance – eine so genannte D&O-Ver­sicherung – abschließen. In Deutschland ist diese Ver­sicherung noch nicht sehr verbreitet. Das Prämien­aufkom­men beläuft sich auf rund 300 Millionen Euro. Zum Vergleich: In den USA sind es bereits vier bis fünf Milliarden Dollar. Mit einer Prämie von rund 5000 € können Sie Schaden­er­satzansprüche in Höhe von einer Million versichern.

Integration statt Einze­l­analyse

Die Risiken für Ihr Unternehmen schlummern in vielen Bereichen und bee­in­flussen sich gegenseitig. Daher ist es nicht sinnvoll, wenn Sie versuchen, einzelne Risikotypen isoliert zu kon­trol­lieren – obwohl dies noch immer die gängige Praxis in den deutschen Unternehmen ist: Risikoag­gre­ga­tionsver­fahren fehlen, das Risiko­man­age­ment ist nicht in die Un­ternehmen­spla­nung und ins Controlling integriert, und zudem ist der bürokratische Aufwand groß. Verfolgen Sie eine ganzheitliche Sichtweise. Nutzen Sie dazu den Standard, den die Risk Management Association 2005 entwickelt hat. Damit vermeiden Sie einseitige Schw­er­punkte, Sie berücksichtigen die strate­gis­che Bedeutung des Risiko­man­age­ments, verbessern die In­for­ma­tions­beschaf­fung und nutzen vorhandene Man­age­mentsys­teme (z. B. die Balanced Scorecard).

Instrumente für Ihr Risiko­man­age­ment

Viele Unternehmen haben für ihr Risiko­man­age­ment Stab­sstellen ein­gerichtet, die von einem Chief Risk Officer (CRO) geleitet und von einem zentralen Risiko­con­trol­ling unterstützt werden. Diese nutzen Instrumente wie Risk-As­sess­ment-Bögen, Fehlerbaum-, Flowchart- und Near-Miss-Analy­sen sowie Rechen­mod­elle zur Bewertung von Zins-, Kredit-, Kap­i­ta­lan­lage- oder Wech­selkursrisiken. Eine wichtige Basis des Risiko­man­age­ments ist ein soft­waregestütztes Risiko­man­age­ment-In­for­ma­tion­ssys­tem. Einzelplatzlösungen mit Ex­cel-Soft­ware – häufig die Ein­steiger­vari­ante ins IT-unterstützte Risiko­man­age­ment – stoßen schnell an ihre Grenzen und sind auf Dauer zu aufwändig. Ein un­ternehmensweites Risiko­man­age­ment benötigt ein ebensolches In­for­ma­tion­ssys­tem. Technik ist aber nicht alles: Gestalten Sie die fi­nanziellen Anreize Ihrer Mitarbeiter so, dass diese keine zu hohen Risiken eingehen. Das ist wichtig, wie die spektakulären Folgen von Fehlver­hal­ten, z. B. bei der Bar­ings-Bank oder der Société Générale, zeigen. Sorgen Sie für eine aus­re­ichende Ver­weil­dauer der Fachkräfte auf ihren Posten. Dann können Sie nicht nur deren kurzfristig erzielte Erfolge beurteilen, sondern auch die von ihnen einge­gan­genen Risiken.

Fall­beispiel Ryanair vs. Swissair

Lernen Sie von anderen: Der Erfolg oder das Versagen von Unternehmen bietet Ihnen viele Anregungen, Ihr eigenes Risiko­man­age­mentsys­tem zu verbessern. Lohnend ist beispiel­sweise der Blick auf die Flugge­sellschaften Ryanair und Swissair. Während Ryanair aus dem Nichts auftauchte, auf Wach­s­tum­skurs ging und auch Schocks wie den 11. September 2001 ver­gle­ich­sweise blessuren­frei überstand, geriet die etablierte Swissair ins Trudeln. Un­ter­schiede im Risiko­man­age­ment werden schnell deutlich: Swissair kaufte wahllos schwache Airlines ein, um zu expandieren. Ryanair wuchs dank einer klaren, innovativen und konsequent verfolgten Geschäftsstrate­gie. Im in­trans­par­enten Konglomerat Swissair versagten interne Kon­troll­sys­teme, u. a. wegen der fehlenden Trennung von operativer Führung und Auf­sicht­sor­ga­nen. Außerdem setzten politische Einflüsse der Airline zu, ohne dass die Geschäftsführung diese kom­pen­sieren konnte.

Über die Autoren

Rainer Kalwait ist Professor für Controlling an der FH Coburg. Ralf Meyer arbeitet als Un­ternehmens­ber­ater bei Oliver Wyman. Frank Romeike gehört die RiskNET GmbH, die ein In­ter­net­por­tal zum Thema Risiko­man­age­ment betreibt. Oliver Schel­len­berger ist wis­senschaftlicher Mitarbeiter am Lehrstuhl Corporate Finance and Risk Management an der Jo­hann-Wolf­gang-Goethe-Uni­ver­sität in Frankfurt. Roland Franz Erben ist Vor­standsvor­sitzen­der der Risk Management Association und Chefredak­teur der Zeitschriften Risiko Manager und Risk, Fraud & Governance.