Skript/Risikomanement

Aus Foxwiki
(Weitergeleitet von Risikomanement/Skript)

Risikomanement - Skript

Einführung

Risikomanagement - Management von Risiken

Beschreibung

Planvoller Umgang mit Risiken

Chancen und Gefahren

Risikomanagement

Risikomanagement ist nach der Norm ISO 31000

Führungsaufgabe

  • im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden
Ubergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festlegen
  • Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden
  • Methoden der Risikoermittlung
  • Verantwortlichkeiten bei Risikoentscheidungen,
  • Bereitstellung von Ressourcen zur Risikoabwehr,
  • Interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung)
  • Qualifikation des Personals für das Risikomanagement
Risikomanagement ist ein fortlaufender Prozess (Demingkreis:„Plan-Do-Check-Act“)
  • Planung
  • Umsetzung
  • Überwachung
  • Verbesserung

Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen

  • Eine Kultur der Risikolenkung in der Organisation entstehen lassen
Norm ISO 31000

Beschreibt Grundsätze und Verfahren zum Risikomanagement

  • Allgemein gültig
  • Kann in allen Bereichen, in denen Risiken existieren, angewendet werden
  • Ist nicht auf eine spezifische Branche beschränkt
Risikofrüherkennungssystem

Das Risikomanagement (Risikofrüherkennungssystem) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des Kontroll- und Transparenzgesetzes (KonTraG) und dem darauf basierenden IdW-Prüfungsstandard PS 340 und dem jüngeren DIIR Revisionsstandard Nr. 2 des Deutschen Instituts für Interne Revision (von 2018)

  • Ziel ist es, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen
  • Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert (Risikoaggregation)
  • Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz
  • Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige Rating mittels einer sogenannten Ratingprognose

Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der Risikokosten zu nennen

Risikomanagement-Prozesse
Prozess Beschreibung
Identifikation der Risiken, Beschreibung ihrer Art, der Ursachen und Auswirkungen
Analyse der identifizierten Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeiten und möglichen Auswirkungen
Risikobewertung durch Vergleich mit zuvor festzulegenden Kriterien der Risiko-Akzeptanz (z. B. aus Standards und Normen)
Risikobewältigung/Risikobeherrschung durch Maßnahmen, die Gefahren und/oder Eintrittswahrscheinlichkeiten reduzieren oder die Folgen beherrschbar machen
Risikoüberwachung mithilfe von Parametern, die Aufschluss über die aktuellen Risiken geben (Risikoindikatoren)
Risikoaufzeichnungen zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden

Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software

  • Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren
Methoden
  • BSI-Standard 200-3
Risikoanalyse auf der Basis von IT-Grundschutz
  • Klassische Risikoanalyse
ISO 27001, 27005, 31000
  • Penetrationstest
  • Differenz-Sicherheitsanalyse
Integriertes Managementsysteme

Querschnittsfunktion des Risikomanagements

  1. https://de.wikipedia.org/wiki/Integriertes_Managementsystem

Motivation

Risikomanagement/Motivation

Phasen

Managementkreislauf
Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar
Risikomanagement umfasst die Phasen
  • Plan
  • Do
  • Check
  • Act

Aufgaben

Aufgabe Beschreibung
Risikowahrnehmung
Risikoidentifikation
Risikoanalyse
Risikobewertung/Risikoquantifizierung Risikobeurteilung
Risikoaggregation
Risikobeurteilung
Risikokommunikation
Risikobewältigung
Risikoinformationen
Risikosteuerung
Risikocontrolling


Risikowahrnehmung

Risikowahrnehmung - Kurzbeschreibung

Beschreibung

Ein Risikomanagement kann erst mit der Risikowahrnehmung beginnen, sie ist die Voraussetzung dafür, dass Risiken überhaupt erkannt und entdeckt werden können.

  • Hierbei ergibt sich bereits das Problem, dass verschiedene Risikoträger dasselbe Risiko unterschiedlich oder gar nicht wahrnehmen.

Erfolgt die Risikowahrnehmung fehlerhaft als selektive Wahrnehmung, so werden nur bestimmte Risiken wahrgenommen, andere vorhandene jedoch ausgeblendet.

  • Eine mangelhafte Risikowahrnehmung wirkt sich negativ auf die nachfolgenden Phasen des Risikomanagements aus.


Risikoidentifikation

Risikoidentifikation - Kurzbeschreibung

Beschreibung

Herausforderung Risikoidentifikation

Risikowahrnehmung

  • Erkennen, dass Risiko vorliegt, muss zunächst erkannt werden
  • Dieses erfordert entsprechende Informationssysteme
  • z. B.  Kennzahlen oder entsprechende Organisationsstrukturen


Risikoanalyse

Risikoanalyse - Analyse der durch Risikoidentifikation ermittelten Risiken (Risk Analysis)

Beschreibung

Im Rahmen des Risikomanagements

Analyse der durch Risikoidentifikation ermittelten Risiken

Die Risikoanalyse (risk analysis) ist im Rahmen des Risikomanagements die Analyse der durch Risikoidentifikation ermittelten Risiken von unterschiedlichen Sachverhalten und Gefahrensituationen

Risikoanalysen sind Teil des Risikomanagements
Risikobeurteilung

Ziel der Risikobeurteilung ist die Identifikation und Quantifizierung (Bewertung) von Risiken, um Transparenz über Art und Umfang von bestehenden Risiken zu schaffen, z. B. um Risiken durch Präventionsmaßnahmen zu vermeiden oder zu reduzieren

Risikowahrnehmung

Risikoanalysen sind stark von der individuellen Risikowahrnehmung geprägt

  • Dass Risiken überhaupt erkannt werden, hängt auch davon ab, dass verschiedene Risikoträger ein existierendes Risiko unterschiedlich oder gar nicht wahrnehmen
  • Erfolgt die Risikowahrnehmung fehlerhaft als selektive Wahrnehmung, so werden nur bestimmte Risiken wahrgenommen, andere vorhandene dagegen ausgeblendet
  • Eine mangelhafte Risikowahrnehmung wirkt sich negativ auf die nachfolgenden Phasen des Risikomanagements aus

Prozessablauf

Identifikation der Gefahren Risikoidentifikation, die das System verletzen oder zerstören können
Analyse der Ursachen der identifizierten Gefahrenereignisse (deduktive Ursachenanalyse / Fehlerbaumanalyse) und Ermittlung deren Häufigkeiten
Analyse der Schadensauswirkungen der identifizierten Gefahrenereignisse, die von dem System ausgehen können (induktive Analyse / Ereignisbaumanalyse) und Ermittlung deren Wahrscheinlichkeiten

Methoden

Für die Risikoanalyse kommen unterschiedlichste wissenschaftliche Analysetechniken zur Anwendung

Option Beschreibung
Arbeitsanalyse Die Arbeitsanalyse mit anschließender Arbeitssynthese soll die Arbeitsinhalte (das WAS) systematisch in die Art der Aufgabenerfüllung (das WIE) überführen. Sie bildet damit den Übergang von der Aufbau- zur Ablauforganisation. In der Praxis bedeutet das, die durch die Aufgabenanalyse und Aufgabensynthese ermittelten Teilaufgaben (z. B. Rechnungsbearbeitung) in ihre kleinsten Arbeitselemente (Ablaufabschnitte) zu zerlegen. Das macht die Arbeitsanalyse aus. In der folgenden Arbeitssynthese, die damit zur Ablauforganisation gehört, werden die Arbeitselemente räumlich, zeitlich und personell zu effizienten Arbeitsschritten zusammengefasst.
Elementaranalyse Die Elementaranalyse ist ein Teilgebiet der Analytischen Chemie. Sie ist die Methode zur Feststellung der in organischen und anorganischen Verbindungen enthaltenen Elemente der Nichtmetalle Kohlenstoff, Wasserstoff, Sauerstoff, Stickstoff und Schwefel, ferner auch Phosphor sowie Halogene.[Anm 1]
Finanzanalyse Die Finanzanalyse ist im Finanzwesen das Arbeitsergebnis der Tätigkeit eines Finanzanalysten oder eine Funktion, wobei sie eine Analyse der Finanzen und der Finanzierung zum Inhalt hat.
Qualitative Analyse Die qualitative Analyse beschäftigt sich mit dem Nachweis chemischer Elemente, funktioneller Gruppen oder Verbindungen, ohne deren Mengenverhältnisse zu berücksichtigen. Dieser geschieht durch Nachweisreaktionen oder auf instrumentellem Wege. Bei der quantitativen Analyse wird untersucht, wie viel von bestimmten Stoffen in einer Probe vorhanden ist.
Quantitative Analyse Eine quantitative Analyse ist ein chemisches und/oder physikalisches Verfahren, bei dem es um die Beantwortung der Frage geht, wie viel von einem Stoff in einer gegebenen Probe vorhanden ist. Bei der qualitativen Analyse wird dagegen untersucht, welche Stoffe in der Probe vorhanden sind.
Portfolio-Analyse Die Portfoliotheorie ist ein Teilgebiet der Kapitalmarkttheorie und untersucht das Investitions­verhalten an Kapitalmärkten (z. B. Aktienmarkt). Die moderne Portfoliotheorie geht auf eine Arbeit des US-amerikanischen Ökonomen Harry M. Markowitz aus dem Jahr 1952 zurück. Er traf bestimmte Annahmen über das Verhalten von Investoren und erzielte so Aussagen über das Investitionsverhalten. Seine Arbeit war zum Zeitpunkt ihres Erscheinens revolutionär, und er erhielt 1990 dafür den Wirtschaftsnobelpreis. Spätere Entwicklungen wie das Single-Index-Modell, das Capital Asset Pricing Model und die heute vorherrschende Arbitragepreistheorie sind Weiterentwicklungen von Markowitz’ Portfolio-Selection-Theorie.
Schwachstellenanalyse Unter Schwachstellenanalyse versteht man in Organisationen (Unternehmen, öffentliche Verwaltung) die Untersuchung eines Prozesses und/oder Verfahrensablaufs zwecks Ermittlung von Schwachstellen und Mängeln.
Szenarioanalyse Die Szenarioanalyse ist eine Analysemethode aus dem Bereich der Betriebswirtschaftslehre (Innovationsmanagement) zur nachvollziehbaren Prognose künftiger Entwicklungen.
Quantitatives Risiko

Das quantitative Risiko ergibt sich aus der Multiplikation der Schadenshöhe mit der Eintrittswahrscheinlichkeit bzw. der Gefährdungsrate, je nachdem, ob es sich um ein zeitlich begrenztes Wagnis oder um ein Risiko handelt, summiert über die verschiedenen Gefährdungen (Risikoquantifizierung)

Gefahrenidentifizierung

Die Gefahrenidentifizierung sollte so weit wie möglich auf quantitativen (historisch, statistisch) Daten beruhen

  • Auch qualitative Methoden, wie z. B. Expertenmeinungen, Checklisten sollten zur Anwendung kommen
  • Ziel der Analyse ist es, alle wahrscheinlichen Gefahren zu finden und zu erfassen
Entscheidung unter Unsicherheit

Bei der Risikoanalyse sind auch die mit der Analyse verbundenen Unsicherheiten zu berücksichtigen (Daten- als auch Modellunsicherheiten) und die Unsicherheitsquellen sind soweit möglich zu identifizieren (siehe auch Entscheidung unter Unsicherheit)

Anwendungsgebiete

Bevölkerungsschutz

Die deutsche Bundesregierung hat 2009 die Risikoanalyse im Zivilschutz- und Katastrophenhilfegesetz (ZSKG) gesetzlich verankert

  • Im Sinne des § 18 ZSKG vom 2. April 2009 führt der Bund im Zusammenwirken mit den Ländern eine bundesweite, ressortübergreifende Risikoanalyse im Bevölkerungsschutz durch und unterrichtet den Deutschen Bundestag über die Ergebnisse der Risikoanalyse ab 2010 jährlich

Die Risikoanalyse ist zentraler Bestandteil des Risikomanagements im Bevölkerungsschutz

  • Sie liefert belastbare Informationen über Gefahren, Risiken und über vorhandene Fähigkeiten im Umgang mit Risiken auf deren Grundlage angemessen entschieden werden kann
  • Die Methode orientiert sich am internationalen Standard des Risikomanagements ISO 31000 und 31010

Seit 2012 wurden folgende Gefahren einer Risikoanalyse unterzogen und die Ergebnisse in den entsprechenden Bundestagsberichten veröffentlicht:

Ergebnisse der Analysen sind die Eintrittswahrscheinlichkeiten und Schadensauswirkungen der untersuchten Ereignisse sowie Erkenntnisse und Handlungsempfehlungen, die im Sinne eines ganzheitlichen Risiko- und Krisenmanagements von Bedeutung sind Vorlage:Hauptartikel

Risikenanalysen in Unternehmen

Risikenanalysen in Unternehmen haben Bedeutung

Risikoanalyse ist in der Betriebswirtschaftslehre die Identifikation und Quantifizierung von Risiken durch Abschätzung der Eintrittswahrscheinlichkeit und der möglichen, meist unsicheren Auswirkungen (z. B. auf die Kosten)

Teilschritte

Teilschritt Beschreibung
Risikoidentifikation Mit welchen Risiken ist mein Unternehmen konfrontiert?
Risikoanalyse und -evaluation Wie wahrscheinlich ist ihr Eintritt und welche Risikohöhe weisen sie auf?
Risiko-Monitoring und -Review Wie verändert sich die Risikosituation und mit welchen Mitteln kann ich ihre Entwicklung beobachten?

Mit dem letzten Schritt schließt sich der Kreis, falls neue Risiken ausgemacht werden?

Datenanalyse

Soweit möglich basiert eine Risikoanalyse auf einer statistischen Datenanalyse

  • Es werden die in den verschiedenen Jahren (sogenannte Produktionsjahre) neu abgeschlossenen Verträge (sogenannte Produktion) in Segmente unterteilt
  • Innerhalb jedes Segments und pro Produktionsjahr werden die in Zahlungsschwierigkeiten geratenen Verträge ermittelt
  • Die Segmente, bei denen für viele Produktionsjahre der jeweilige Anteil an in Zahlungsschwierigkeiten geratenen Verträgen in Prozent höher ist als der Anteil in den Produktionsjahren, werden als riskant betrachtet
  • Es sei darauf aufmerksam gemacht, dass zum einen die Anzahl Verträge ein hinreichend großes Volumen erreichen muss und zum anderen, dass das Ergebnis der Analyse stets nach inhaltlicher Stichhaltigkeit überprüft werden muss, um eine sachlich begründete Aussage zu liefern
  • Insbesondere ist die Frage zu beantworten, ob die erkannten Zusammenhänge auch in der Zukunft stabil bleiben
Technisch bedingte betriebswirtschaftliche Risiken

Können z. B. durch Fehlerbaumanalyse, Failure Mode and Effects Analysis oder Fehler-Ursachen-Analyse aufgedeckt und quantifiziert werden

Entscheidungen und Planungen

Bei anstehenden strategischen Entscheidungen und Planungen hinsichtlich der Unternehmensentwicklung kommen die deterministische Szenarioanalyse zur Anwendung, bei der ausgewählte Szenarien untersucht werden, sofern die Wahrscheinlichkeit des Auftretens der Risiken und ihrer Einflussrichtung hinlänglich bekannt sind

  • Ist dies nicht der Fall, sind also die Bestimmungsfaktoren des Risikos zufallsverteilt, kann die stochastische Szenarioanalyse herangezogen werden, etwa in Form der Monte-Carlo-Simulation oder einer PERT-Analyse mit stochastischen Knoten
Probleme

Ein Problem der klassischen betriebswirtschaftlichen Risikoanalyse besteht darin, dass in internationalen Kontexten und Lieferketten schwer quantifizierbare und auch stochastisch schwer beschreibbare länderspezifische makroökonomische und politische Risiken durch Terror, Kriminalität, Korruption, Staatsbankrotte, Währungskrisen, Embargos, Handelssanktionen, rechtliche Änderungen sowie infolge von Risiken des Geldtransfers eine zunehmende Rolle spielen

Risikoanalyse in anderen Bereichen

Risikoanalysen werden heute in allen Industriebereichen mit einem Risikopotential, wie der Kerntechnik, Luftfahrt, Eisenbahn, Schifffahrt, Chemie, Petrochemie und Staudämme oder sonstige technische Anlagen durchgeführt, wobei die Methoden der probabilistischen Sicherheitsanalyse (PSA) zur Anwendung kommen

Großveranstaltung Bei Großveranstaltungen wird – der unterschiedlichen Gefahrenneigung Rechnung tragend – zur Berechnung der Stärke der Einsatzkräfte des Sanitätswachdienstes das Maurer-Schema angewandt
Feuerwehr Bei Feuerwehren wird ein Brandschutzbedarfsplan in einigen Bundesländern vorgeschrieben, um mit diesem Instrument der Risiko- und Gefahrenanalyse zur Erreichung der Schutzziele innerhalb der Hilfsfrist zu gewährleisten
Arbeitsschutz Im Arbeitsschutz heißt die Risikoanalyse Gefährdungsbeurteilung
Toxikologie In der Toxikologie und Ökotoxikologie
Umweltrisikomanagement Umweltrisikoanalyse im Rahmen des Umweltrisikomanagements
Naturgefahren Für Siedlungen im Gebirge und bei Großbauten sind die möglichen Naturgefahren (Bergrutsche, Lawinen, Muren, Setzungen, Sackungen etc.) abzuschätzen
Geotechnik Neben Methoden der Geotechnik wird oft auch die Geoseismik angewandt
Anlagekonstruktion Bei der Maschinen- und Anlagekonstruktion werden die von der Maschine / Anlage ausgehende Gefahr bestimmt und die Gegenmaßnahmen bestimmt anhand der Norm ISO 12100 Sicherheit von Maschinen – Allgemeine Gestaltungsleitsätze – Risikobeurteilung und Risikominderung (siehe auch Sicherheitssystem)
Medizinwirtschaft In der Medizinwirtschaft und bei der Entwicklung von Medizinprodukten muss gemäß den Vorgaben der EN ISO 14971 und den Regelungen des Medizinproduktegesetzes ein Risikomanagementprozess fortlaufend geführt und dokumentiert werden
Elektrotechnik Im Bereich Elektrotechnik führt die europäische Norm EN 62305-2 (siehe Blitzschutz) zur Notwendigkeit einer Risikoanalyse (betreffend Gefährdung durch Blitzschlag und Überspannung) bei der Errichtung elektrischer Anlagen
Bahnübergänge Zur Evaluierung von Bahnübergängen können Risikoanalysen eingesetzt werden, um die benötigte Sicherheitsanforderungsstufe zu bestimmen, sodass eine angemessene Sicherung z. B. durch ein Warnsystem vorgesehen wird
Informationenstechnik Für Risiken rund um Informationen, IT-Systeme und IT-Dienstleistungen werden Risikomanagementprozesse aufgesetzt
Lebensmittelsicherheit Für die Lebensmittelsicherheit findet das Konzept Gefahrenanalyse und kritische Kontrollpunkte (HACCP) Anwendung


Risikobewertung

Risikoquantifizierung/Risikobeurteilung Risikoanalyse (risk assessment)

Beschreibung

Risikobewertung anhand Wahrscheinlichkeiten

Eintreten verschiedener Bedrohungen

  • potentieller Schadenshöhe

Bewertung der Eintrittswahrscheinlichkeit

Aufwand

Geschätzter Aufwand zur Angriffsdurchführung
  • Anzahl der Angriffsschritte
  • Komplexität Angriffsschritte

Nutzen

Nutzen für den Angreifer
  • finanziell
  • politisch
  • Reputation

Motive

Motive des Angreifers

Angreifer-Typ

  • Script Kiddie
  • Hacker
  • Mitarbeiter
  • Wirtschaftsspion
  • politische Aktivisten

Ressourcen

Ressourcen / Kenntnisse des Angreifers
  • Know-how
  • Werkzeuge
  • Zugänge
  • Insider


Risikoaggregation

Risikoaggregation (risk aggregation) -

Beschreibung

Risikoaggregation (risk aggregation) ist im Rahmen des Risikomanagements von Unternehmen oder Projekten die Aggregation aller Risiken mit dem Ziel der Bestimmung des Gesamtrisikoumfangs, wobei die Zusammenfassung der Einzelrisiken nicht durch bloße Addition erfolgen kann.

Ziel

Die Risikoaggregation verfolgt das Ziel, auf Grundlage der identifizierten, analysierten und bewerteten Einzelrisiken eine Gesamtrisikoposition für das Unternehmen oder für ein Projekt zu bestimmen.

Notwendigkeit

Die Risikoaggregation ist insbesondere notwendig, um mögliche „bestandsgefährdende Entwicklungen“ auf die Risikotragfähigkeit eines Unternehmens aus Kombinationseffekten von Einzelrisiken zu erkennen (was in Vorlage:§ AktG sowie § 1 StaRUG gefordert wird).

  • Seit dem Inkrafttreten des StaRUG ist dies nun generell für alle haftungsbeschränkten Unternehmen verpflichtend.Es wird untersucht, mit welcher Wahrscheinlichkeit es zu Überschuldung oder Illiquidität (infolge von Verletzungen von Mindestanforderungen an das Rating oder von Kreditverträgen) kommt, weil solche Szenarien als „bestandsgefährdend“ zu interpretieren sind.

Prozessablauf

Vorarbeiten

Der Risikoaggregation vorausgegangen ist die Risikoanalyse, welche Risikoidentifikation sowie Risikoquantifizierung umfasst.

  • Aus der Risikoquantifizierung kann lediglich abgeleitet werden, welche Risiken für sich alleine den Bestand eines Unternehmens gefährden könnten.
  • Um zu beurteilen, wie groß der Gesamtrisikoumfang (und damit die Wahrscheinlichkeit der Insolvenz durch die Menge aller Risiken) ist, wird eine Risikoaggregation erforderlich.
Hierbei ist zu unterscheiden, ob die Einzelrisiken voneinander unabhängig sind oder nicht.

Unabhängige Risiken beeinflussen einander nicht. Risikointerdependenz dagegen bedeutet, dass Risiken voneinander oder von gemeinsamen Ursachen abhängig sind.

  • Positiv korrelierte Risiken verstärken einander, während negativ korrelierte Risiken einander abschwächen, also Diversifikationseffekte bieten.
  • Es kann auch sein, dass ein bestimmtes Risiko erst oder nur dann eintritt, wenn ein anderes Risiko bereits entstanden ist.
  • Dies macht deutlich, dass das bloße Aufaddieren von Risikoerwartungswerten den Risikoumfang nicht adäquat darstellen würde.Üblicherweise wird diese stochastische Abhängigkeit von Risiken zunächst auf Plausibilität geprüft und mittels eines Korrelationskoeffizienten quantifiziert.
  • Je näher der Betrag des Korrelationskoeffizienten an dem Wert 1 liegt, umso mehr verstärken sich voneinander abhängige Einzelrisiken oder schwächen sich gegenseitig ab.
Die identifizierten Abhängigkeiten der Risiken sind durch Risikosimulationsverfahren explizit zu berücksichtigen
In einem ersten Schritt der Risikoaggregation können drei von Werner Gleißner aufgestellte heuristische Regeln angewendet werden
  • Ursachenaggregation: Risiken mit gleicher Ursache werden zusammengefasst und ihre Wirkung aggregiert.
  • Wirkungsaggregation: Bei Risiken mit gleicher Auswirkung werden die Wahrscheinlichkeiten der Ursachen aggregiert.
  • Ausschlussregel: Risiken, welche nicht zusammen eintreten können, werden bei der Risikoaggregation nicht gleichzeitig zugelassen.
Diese heuristischen Regeln ersetzten jedoch keine simulationsbasierte Risikoaggregation
  • Bei der anschließenden simulationsbasierten Risikoaggregation (vorzugsweise Monte-Carlo-Simulation) ist es bedeutsam, die tatsächlichen stochastischen Abhängigkeiten auf der Ursachen- und Wirkungsebene verschiedener Einzelrisiken adäquat zu berücksichtigen.
Der Risikoaggregation folgt im Prozessablauf die Risikobeurteilung

Monte-Carlo-Simulation

Monte-Carlo-Simulation

Anwendung

Anwendung in der Praxis

Die Aggregation der Risiken ist eine der wesentlichsten Aufgaben des Risikomanagements und Gegenstand der Prüfung von Risikofrüherkennungssystemen (siehe den IDW-Prüfungsstandard 340 und den DIIR Revisionsstandard Nr. 2 zum Risikomanagement von 2018).

  • Neben dem KonTraG sowie der Business Judgement Rule sind diesbezüglich im Jahr 2021 noch zwei weitere relevante Regelungen in Kraft getreten.
  • Das StaRUG ist für alle haftungsbeschränkten Unternehmen anzuwenden und stellt über das KonTraG hinausgehend klar, dass bei Drohen einer bestandsgefährdenden Krise eine Berichtspflicht an die Überwachungsorgane besteht und „geeignete Gegenmaßnahmen“ zu ergreifen sind.Das FISG hingegen gilt nur für börsennotierte Gesellschaften und betont, dass das Risikomanagementsystem „angemessen“ und „wirksam“ sein muss, was natürlich auch Implikationen für die Risikoaggregation hat

Die Risikoaggregation ist Grundlage für die Messung von Risikotragfähigkeit und Risikotoleranz (siehe IDW PS 981).

IDW Prüfungsstandard

IDW Prüfungsstandard (PS) 340 n.F.
Seit dem Jahr 2020 existiert eine neue Fassung des IDW PS 340 zur Prüfung von Risikofrüherkennungssystemen.
  • Diese stellt einen Fortschritt dar, da sie unter anderem die Bedeutung der Risikoaggregation noch stärker betont.
  • Sie berücksichtigt allerdings noch nicht die neuen Anforderungen an das Risikomanagement aus § 1 StaRUG und §91 Abs. 3 AktG, sondern vorrangig die Regelungen des KonTraG.
An dem IDW PS 340 n.F. bestehen jedoch auch einige Kritikpunkte.
  • Risiken werden hier nur im engeren Sinne, also als Gefahren, definiert.
  • Dies führt bei der Risikoaggregation zu einer Verzerrung, da sich bei negativer Korrelation die Zielabweichungen möglicherweise aufheben können.
  • Zudem werden auch Methoden der „qualitativen“ Risikoaggregation zugelassen, welche jedoch nicht in der Lage sind „bestandsgefährdende Entwicklungen“ aus einer Kombination von Einzelrisiken zu erkennen und damit die gesetzlichen Anforderungen zu erfüllen

DIIR

DIIR Revisionsstandard Nr. 2

Im Jahr 2022 wurde eine neue Version des DIIR Revisionsstandards Nr. 2 veröffentlicht, der als einziger Prüfungsstandard bereits die Regelungen des StaRUG und des FISG berücksichtigt und damit auch Änderungen bezüglich der Risikoaggregation enthält.

  • Hier wird anders als im IDW PS 340 hervorgehoben, dass nur eine quantitative Risikoaggregation mit statistischen Verfahren aussagekräftige Ergebnisse liefert.
  • Es ist also neben bloßen dem Vorhandensein einer Risikoaggregationsmethode auch notwendig, dass diese geeignet für das Erkennen „bestandsgefährdender Entwicklungen“ ist.
  • Auch auf die sich aus der Business Judgement Rule ergebende Aufgabe, vor unternehmerische Entscheidungen die Änderung des Risikoumfangs zu ermitteln, wird hingewiesen.

Gesetzlicher Anforderungen

Umsetzung gesetzlicher Anforderungen

Viele DAX- und MDAX-Unternehmen erfüllen die gesetzlichen Anforderungen, die im IDW PS 340 n.F. sowie DIIR Revisionsstandard Nr. 2 präzisiert sind, nicht vollständig.

  • In der Praxis fehlt die Risikoaggregation teilweise ganz oder wird nicht mit Hilfe der Monte-Carlo-Simulation durchgeführt.
  • Zudem werden Ereignisse, die zu bestandsgefährdenden Entwicklungen führen können meist nur überwacht, statt Kenntnisse aus der Risikoaggregation zu nutzen, um Auswirkungen beispielsweise auf das Rating auszuwerten.
  • Auch die Aggregation der Risiken über mehrere Jahre sowie vor wesentlichen Entscheidungen wird nur von einem sehr kleinen Teil der Unternehmen durchgeführt.
  • Dies lässt die Frage aufkommen, ob diese Unternehmen „bestandsgefährdende Entwicklungen“, die sich aus dem Zusammenwirken mehrerer Einzelrisiken ergeben, frühzeitig erkennen können.


Risikobeurteilung

Risiko/Beurteilung - erkannte Risiko quantifizieren

Beschreibung

Dies geschieht in zwei Schritten
  • Zunächst werden die Eintrittswahrscheinlichkeit und das Schadensausmaß bei Eintritt des Schadens bestimmt (s. a. Risikomatrix).
  • Durch Multiplikation dieser beiden Kennzahlen entsteht eine Art Risikopotenzial, der Schadenerwartungswert.
  • Je nach Art des Risikos können unterschiedliche Wahrscheinlichkeitsverteilungen für die quantitative Beschreibung eines Risikos verwendet werden.
  • Ein Messung des Umfangs eines Risikos erfolgt mittels eines Risikomaßes.
  • Eine Herausforderung in dieser Phase ist die nachvollziehbare Überführung von qualitativen Risiken, wie z. B. eines Streiks oder eines Vulkanausbruchs, in ein quantitatives Zahlenwerk (Risikoquantifizierung).
  • Die Berechnung des Gesamtumfangs aus mehreren Einzelrisiken ist Aufgabe der Risikoaggregation.
  • Die Risikosteuerung beschäftigt sich nun mit der Frage, wie das einzelne Wirtschaftssubjekt mit dem Risiko umgeht.
  • Dazu bestehen die Möglichkeiten des Selbsttragens des Schadens, der Schadensvermeidung, der Überwälzung auf andere und der Risikobegrenzung.
Ansätze zur Risikobegrenzung lassen sich in ursachenbezogene und wirkungsbezogene unterscheiden
  • Ursachenbezogene Strategien zielen ex ante darauf ab, die Höhe möglicher Verluste oder ihre Wahrscheinlichkeitsverteilung positiv zu beeinflussen.
  • Wirkungsbezogene Strategien zielen auf die Abfederung oder die Abwälzung schlagend gewordener Risiken ab.
  • Ursachenbezogene Strategien sind die Risikovermeidung und die Risikominderung.
  • Wirkungsbezogene Strategien sind der Risikotransfer und die Risikovorsorge.
  • Risikodiversifikation weist zu beiden Strategiearten Bezüge auf.


Risikokommunikation

Risikobewältigung

Risikobewältigung - Maßnahmen zur Risikosteuerung

Beschreibung

Risikobewältigung/Risikosteuerung
Option Beschreibung
Vermeidung
Minderung
Diversifikation
Transfer
Vorsorge
Risikoträger

Unternehmen sind einer Vielzahl von Risiken ausgesetzt

  • Sie heißen dann auch Risikoträger, weil sie bewusst oder unbewusst Risiken zu tragen haben.
  • Risikoträger heißen zudem die einzelnen Objekte oder Vorgänge, die Risiken in sich bergen, etwa betriebliche Schwachstellen wie unqualifiziertes Personal.
  • Diese Risiken können aus technischen, allgemein wirtschaftlichen, speziell finanziellen oder rechtlichen Gründen entstehen und zu Betriebsstörungen, Verlusten oder gar Unternehmenskrisen bis hin zur Insolvenz führen.
  • Risiken dieser Art sind ein Untersuchungsgegenstand der Betriebswirtschaftslehre, die sich mit den Arten, den Folgen und der Vermeidung betrieblicher Risiken auseinandersetzt.
  • Sie hat innerhalb der Risikobewältigung mehrere Strategien entwickelt, betriebliche Risiken zu minimieren oder gar vollständig auszuschalten.
  • Die Risikobewältigung beeinflusst das Risikoverhalten und die Risikofreude eines Unternehmens und umgekehrt.
Risikoidentifikation

Die Risikoidentifikation als der erste Schritt vor einer Risikobewältigung versucht eine systematische Erfassung und Sammlung möglicher Risiken, gefolgt von der Risikoanalyse, die die identifizierten Risiken nach ihren Ursachen und Eintrittswahrscheinlichkeiten untersucht.

  • Eine Risikobewertung schließt sich an, die die Bedrohung der analysierten Risiken für ein Unternehmen ermittelt und die Vertretbarkeit analysierter Risiken beurteilt.
  • Im Rahmen der Risikobewältigung kommt es im Anschluss darauf an, als vertretbar erachtete Risiken zu tragen und hierfür ein geeignetes Risikocontrolling zu installieren.
Risiken müssen eingegangen werden

Gewinn und Vermögen für ein Unternehmen konstituieren

  • Die maßgebliche Bemessung des Erfolges eines Unternehmens erfolgt jedoch durch die Selektion der „richtigen“ Risiken ().
  • Um Risiken zu meistern, müssen die richtigen Strategien entwickelt und entsprechend effiziente und effektive Geschäftsprozesse als Teil einer risikobewussten Unternehmensführung definiert werden.

Maßnahmen

Aktive und passive Risikobewältigung

Allgemein wird zwischen aktiver und passiver Risikobewältigung unterschieden, auch als ursachenbezogene und wirkungsbezogene Risikosteuerung bezeichnet.

Option Beschreibung
Aktive Risikobewältigung Präventive Risikopolitik, soll Einfluss auf die Eintrittswahrscheinlichkeiten und/oder Risikotragweiten nehmen.
Passiven Risikobewältigung korrektive Risikopolitik, werden Maßnahmen ergriffen, um die wirtschaftlichen Konsequenzen eingetretener oder erwarteter Risiken bewältigen zu können.
  • Vorhandene Risiken werden mithin durch die passive Risikobewältigung nicht verändert.

Aktiven Risikobewältigung

Option Beschreibung
Vermeidung
Minderung
Versifikation

Vermeidung

Entscheidet sich ein Unternehmen, eigentlich geplante Aktivitäten (etwa Investitionen) nicht durchzuführen oder bestehende Aktivitäten vor Risikoeintritt aufzugeben, liegt Risikovermeidung vor.

  • Die Risikovermeidung beschreibt den gänzlichen Verzicht auf eine risikobehaftete Tätigkeit.
  • Diese Strategie sollte jedoch erst berücksichtigt werden, wenn infolge akuter Zusammenhänge keine andere Vorgehensweise mehr möglich ist oder das Chancen-Risiko-Verhältnis nicht gebührend optimiert werden kann, da durch diese Methode auch keine Gewinne generiert werden können.
  • Ein Beispiel wäre der Austritt aus einem kritischen Geschäftsbereich.
  • Es handelt sich um die radikalste Möglichkeit der Risikobewältigung, bei der die Eintrittswahrscheinlichkeit eines konkreten Risikos auf null gesetzt wird.

Minderung

Von einer Risiko(ver)minderung spricht man, wenn jemand

Eine Schadensminderung durch technische Risiken kann mit Hilfe von Rückrufaktionen erreicht werden.

Diese Risikokompensation wird im Finanzwesen definiert als die zielgerichtete Kombination des aus einem Finanzinstrument resultierenden Risikos mit einem anderen Finanzinstrument, das eine gegenläufige, negativ korrelierte Gegenwirkung aufweist.

Versifizierung

Eine Risikodiversifikation liegt vor, wenn ein Gesamtrisiko in mehrere, möglichst nicht positiv miteinander korrelierende Einzelrisiken aufgespalten wird und hierdurch eine breite Streuung entsteht.

Die Risikodiversifikation dient der Regulierung von Risiken, minimiert allerdings nicht unbedingt die Eintrittswahrscheinlichkeit des Einzelrisikos, wirkt jedoch auf den Schadensumfang.
  • Da ein synchrones Eintreten aller Risiken in ihrer Gesamtheit sehr unwahrscheinlich ist, sollte man die Gefahr von Abhängigkeiten verhindern, indem man zum Beispiel mehrere Lieferanten zur Auswahl hat und die Qualität der Geschäftspartner vergleicht.

Passive Risikobewältigung

Die passive Risikobewältigung besteht aus Risikoüberwälzung (Risikotransfer) und Risikovorsorge.

Übrig bleiben nach dem Einsatz aller Maßnahmen Restrisiken, die ein Unternehmen bewusst in Kauf nimmt.

  • Es geht davon aus, dass die technische oder Marktentwicklung zu einer über 50 % liegenden Eintrittswahrscheinlichkeit plangemäß verläuft.

Praktische Anwendung

Anwendung in der Praxis und Probleme

Auf Basis psychologischer Forschung wurde bewiesen, dass die meisten Menschen eine intensive Antipathie gegenüber Risiken und Verlusten haben.

  • Dabei werden Risiken aus falschem Handeln als bedrohlicher empfunden als Risiken aus Nicht-Handeln (entgangene Chancen).
  • Hinzu kommt die Neigung, Risiken mit geringer Eintrittswahrscheinlichkeit, aber hohem Schadenspotenzial, zu überbewerten.
  • Beides kann zu übertriebenen Vermeidungsstrategien führen und damit zum wirtschaftlichen Nachteil des Unternehmens.
  • Es geht beim Risikomanagement nicht um die Eliminierung aller Risiken aus der Organisation („Null-Risiko-Illusion“), da jede unternehmerische Betätigung mit dem Eingehen von Risiken verbunden ist.
  • Ziel ist vielmehr eine Optimierung des Chancen-Risiko-Profils eines Unternehmens.
Versicherungen

In einigen Unternehmen reduzieren sich die Vorgehensweisen zur Risikobewältigung allein auf Versicherungen.

  • Auch dahinter steckt das unbewusste Bestreben, am liebsten alle Risiken auf außenstehende Parteien abzuwälzen und im Ergebnis gar nicht mehr falsch handeln zu können.
  • Die Verwendung von nur einer Risikobewältigungsstrategie sollte in der Praxis jedoch nicht erfolgen.
  • Ein Mix verschiedener Maßnahmen ist am effizientesten.
  • Die Einschätzung prognostizierter Erträge mit den damit verknüpften Risiken ist Bestandteil jeder gründlichen Planung unternehmerischer Entscheidungen.
Verdrängung

Eine andere Problematik ist das Verdrängen von Risiken

  • Hier wird die Möglichkeit von Rückschlägen oder eines Scheiterns in unvernünftiger Weise nicht in Erwägung gezogen.
  • Beträchtliche Folgen für das unternehmerische Risikomanagement entstehen aus dem menschlichen Bestreben, kognitive Unstimmigkeiten zu vermeiden und das Umfeld zu lenken: Das bewusste oder unbewusste Vernachlässigen existenter Risiken führt dazu, dass wirtschaftliche Risikobewältigungsverfahren nicht genutzt und eingetretene Plandiskrepanzen später nicht in Bezug auf die ursächlichen Risiken untersucht werden.

Risikobericht

Kapitalgesellschaften haben nach dem seit Mai 1998 geltenden KonTraG die Pflicht, den Lagebericht um einen Risikobericht zu erweitern, darin existenzbedrohende Risiken zu dokumentieren und auch „auf die Risiken der künftigen Entwicklung einzugehen“.

  • Allerdings sind die gesetzlichen Regelungen zum Risikobericht jeweils nur in einem Halbsatz in den §Vorlage:§ Abs. 1 und Vorlage:§ Abs. 1 HGB beschrieben, so dass ein großer Ermessensspielraum für die Unternehmen besteht.
  • Somit ergibt sich auch eine mittelbare gesetzliche Verpflichtung für Kapitalgesellschaften, ihre Risiken und Chancen durch Risikomanagement zu untersuchen und zu steuern.
  • Sie müssen ein internes Kontrollsystem installieren, welches wiederkehrende Kontrollschritte definiert und in determinierter Häufigkeit ausführt, um Schlüsselrisiken zu reduzieren.


Risikoinformationen

Risikoinformationen

Auch die Nutzung von Risikoinformationen für unternehmerische Entscheidungen kann als Teil des Risikomanagements aufgefasst werden (Beurteilung und Bewertung des Ertrag-Risiko-Profils von Handlungsoptionen, wie Investitionen).

Risikosteuerung

Risikobewältigung - Maßnahmen zur Risikosteuerung

Beschreibung

Risikobewältigung/Risikosteuerung
Option Beschreibung
Vermeidung
Minderung
Diversifikation
Transfer
Vorsorge
Risikoträger

Unternehmen sind einer Vielzahl von Risiken ausgesetzt

  • Sie heißen dann auch Risikoträger, weil sie bewusst oder unbewusst Risiken zu tragen haben.
  • Risikoträger heißen zudem die einzelnen Objekte oder Vorgänge, die Risiken in sich bergen, etwa betriebliche Schwachstellen wie unqualifiziertes Personal.
  • Diese Risiken können aus technischen, allgemein wirtschaftlichen, speziell finanziellen oder rechtlichen Gründen entstehen und zu Betriebsstörungen, Verlusten oder gar Unternehmenskrisen bis hin zur Insolvenz führen.
  • Risiken dieser Art sind ein Untersuchungsgegenstand der Betriebswirtschaftslehre, die sich mit den Arten, den Folgen und der Vermeidung betrieblicher Risiken auseinandersetzt.
  • Sie hat innerhalb der Risikobewältigung mehrere Strategien entwickelt, betriebliche Risiken zu minimieren oder gar vollständig auszuschalten.
  • Die Risikobewältigung beeinflusst das Risikoverhalten und die Risikofreude eines Unternehmens und umgekehrt.
Risikoidentifikation

Die Risikoidentifikation als der erste Schritt vor einer Risikobewältigung versucht eine systematische Erfassung und Sammlung möglicher Risiken, gefolgt von der Risikoanalyse, die die identifizierten Risiken nach ihren Ursachen und Eintrittswahrscheinlichkeiten untersucht.

  • Eine Risikobewertung schließt sich an, die die Bedrohung der analysierten Risiken für ein Unternehmen ermittelt und die Vertretbarkeit analysierter Risiken beurteilt.
  • Im Rahmen der Risikobewältigung kommt es im Anschluss darauf an, als vertretbar erachtete Risiken zu tragen und hierfür ein geeignetes Risikocontrolling zu installieren.
Risiken müssen eingegangen werden

Gewinn und Vermögen für ein Unternehmen konstituieren

  • Die maßgebliche Bemessung des Erfolges eines Unternehmens erfolgt jedoch durch die Selektion der „richtigen“ Risiken ().
  • Um Risiken zu meistern, müssen die richtigen Strategien entwickelt und entsprechend effiziente und effektive Geschäftsprozesse als Teil einer risikobewussten Unternehmensführung definiert werden.

Maßnahmen

Aktive und passive Risikobewältigung

Allgemein wird zwischen aktiver und passiver Risikobewältigung unterschieden, auch als ursachenbezogene und wirkungsbezogene Risikosteuerung bezeichnet.

Option Beschreibung
Aktive Risikobewältigung Präventive Risikopolitik, soll Einfluss auf die Eintrittswahrscheinlichkeiten und/oder Risikotragweiten nehmen.
Passiven Risikobewältigung korrektive Risikopolitik, werden Maßnahmen ergriffen, um die wirtschaftlichen Konsequenzen eingetretener oder erwarteter Risiken bewältigen zu können.
  • Vorhandene Risiken werden mithin durch die passive Risikobewältigung nicht verändert.

Aktiven Risikobewältigung

Option Beschreibung
Vermeidung
Minderung
Versifikation

Vermeidung

Entscheidet sich ein Unternehmen, eigentlich geplante Aktivitäten (etwa Investitionen) nicht durchzuführen oder bestehende Aktivitäten vor Risikoeintritt aufzugeben, liegt Risikovermeidung vor.

  • Die Risikovermeidung beschreibt den gänzlichen Verzicht auf eine risikobehaftete Tätigkeit.
  • Diese Strategie sollte jedoch erst berücksichtigt werden, wenn infolge akuter Zusammenhänge keine andere Vorgehensweise mehr möglich ist oder das Chancen-Risiko-Verhältnis nicht gebührend optimiert werden kann, da durch diese Methode auch keine Gewinne generiert werden können.
  • Ein Beispiel wäre der Austritt aus einem kritischen Geschäftsbereich.
  • Es handelt sich um die radikalste Möglichkeit der Risikobewältigung, bei der die Eintrittswahrscheinlichkeit eines konkreten Risikos auf null gesetzt wird.

Minderung

Von einer Risiko(ver)minderung spricht man, wenn jemand

Eine Schadensminderung durch technische Risiken kann mit Hilfe von Rückrufaktionen erreicht werden.

Diese Risikokompensation wird im Finanzwesen definiert als die zielgerichtete Kombination des aus einem Finanzinstrument resultierenden Risikos mit einem anderen Finanzinstrument, das eine gegenläufige, negativ korrelierte Gegenwirkung aufweist.

Versifizierung

Eine Risikodiversifikation liegt vor, wenn ein Gesamtrisiko in mehrere, möglichst nicht positiv miteinander korrelierende Einzelrisiken aufgespalten wird und hierdurch eine breite Streuung entsteht.

Die Risikodiversifikation dient der Regulierung von Risiken, minimiert allerdings nicht unbedingt die Eintrittswahrscheinlichkeit des Einzelrisikos, wirkt jedoch auf den Schadensumfang.
  • Da ein synchrones Eintreten aller Risiken in ihrer Gesamtheit sehr unwahrscheinlich ist, sollte man die Gefahr von Abhängigkeiten verhindern, indem man zum Beispiel mehrere Lieferanten zur Auswahl hat und die Qualität der Geschäftspartner vergleicht.

Passive Risikobewältigung

Die passive Risikobewältigung besteht aus Risikoüberwälzung (Risikotransfer) und Risikovorsorge.

Übrig bleiben nach dem Einsatz aller Maßnahmen Restrisiken, die ein Unternehmen bewusst in Kauf nimmt.

  • Es geht davon aus, dass die technische oder Marktentwicklung zu einer über 50 % liegenden Eintrittswahrscheinlichkeit plangemäß verläuft.

Praktische Anwendung

Anwendung in der Praxis und Probleme

Auf Basis psychologischer Forschung wurde bewiesen, dass die meisten Menschen eine intensive Antipathie gegenüber Risiken und Verlusten haben.

  • Dabei werden Risiken aus falschem Handeln als bedrohlicher empfunden als Risiken aus Nicht-Handeln (entgangene Chancen).
  • Hinzu kommt die Neigung, Risiken mit geringer Eintrittswahrscheinlichkeit, aber hohem Schadenspotenzial, zu überbewerten.
  • Beides kann zu übertriebenen Vermeidungsstrategien führen und damit zum wirtschaftlichen Nachteil des Unternehmens.
  • Es geht beim Risikomanagement nicht um die Eliminierung aller Risiken aus der Organisation („Null-Risiko-Illusion“), da jede unternehmerische Betätigung mit dem Eingehen von Risiken verbunden ist.
  • Ziel ist vielmehr eine Optimierung des Chancen-Risiko-Profils eines Unternehmens.
Versicherungen

In einigen Unternehmen reduzieren sich die Vorgehensweisen zur Risikobewältigung allein auf Versicherungen.

  • Auch dahinter steckt das unbewusste Bestreben, am liebsten alle Risiken auf außenstehende Parteien abzuwälzen und im Ergebnis gar nicht mehr falsch handeln zu können.
  • Die Verwendung von nur einer Risikobewältigungsstrategie sollte in der Praxis jedoch nicht erfolgen.
  • Ein Mix verschiedener Maßnahmen ist am effizientesten.
  • Die Einschätzung prognostizierter Erträge mit den damit verknüpften Risiken ist Bestandteil jeder gründlichen Planung unternehmerischer Entscheidungen.
Verdrängung

Eine andere Problematik ist das Verdrängen von Risiken

  • Hier wird die Möglichkeit von Rückschlägen oder eines Scheiterns in unvernünftiger Weise nicht in Erwägung gezogen.
  • Beträchtliche Folgen für das unternehmerische Risikomanagement entstehen aus dem menschlichen Bestreben, kognitive Unstimmigkeiten zu vermeiden und das Umfeld zu lenken: Das bewusste oder unbewusste Vernachlässigen existenter Risiken führt dazu, dass wirtschaftliche Risikobewältigungsverfahren nicht genutzt und eingetretene Plandiskrepanzen später nicht in Bezug auf die ursächlichen Risiken untersucht werden.

Risikobericht

Kapitalgesellschaften haben nach dem seit Mai 1998 geltenden KonTraG die Pflicht, den Lagebericht um einen Risikobericht zu erweitern, darin existenzbedrohende Risiken zu dokumentieren und auch „auf die Risiken der künftigen Entwicklung einzugehen“.

  • Allerdings sind die gesetzlichen Regelungen zum Risikobericht jeweils nur in einem Halbsatz in den §Vorlage:§ Abs. 1 und Vorlage:§ Abs. 1 HGB beschrieben, so dass ein großer Ermessensspielraum für die Unternehmen besteht.
  • Somit ergibt sich auch eine mittelbare gesetzliche Verpflichtung für Kapitalgesellschaften, ihre Risiken und Chancen durch Risikomanagement zu untersuchen und zu steuern.
  • Sie müssen ein internes Kontrollsystem installieren, welches wiederkehrende Kontrollschritte definiert und in determinierter Häufigkeit ausführt, um Schlüsselrisiken zu reduzieren.


Risikocontrolling

Risikocontrolling - Schnittstellen von Risikomanagement und Controlling

Beschreibung

Ursprung

Seit den handels- und aktienrechtlichen Änderungen durch das KonTraG im Jahre 1998 hat auch in Nicht-Finanzunternehmen eine umfangreiche Auseinandersetzung mit dem Risikocontrolling als Aufgabenbereich und Institution eingesetzt.

Risikomanagement, Risikocontrolling und Controlling
  • Abgrenzung der Begriffe uneinheitlich
  • Das Kompositum „Risikocontrolling“ ähnelt „Bindestrich-Controlling-Begriffen“ und ist aus dieser Perspektive als ein auf das Risiko bezogenes Controlling zu verstehen.
  • In der Praxis und im Schrifttum wird das Risikocontrolling in Nicht-Finanzunternehmen i. d. R. als Teilgebiet des Controllings gesehen.
  • Entsprechend existieren in der betriebswirtschaftlichen Literatur einige Risikocontrolling-Ansätze, die sich mehr oder weniger an akademischen Controlling-Konzeptionen orientieren.

Die dem Risikocontrolling in der Unternehmenspraxis und im Schrifttum zugeordneten Aufgabengebiete umfassen z. B. die Einrichtung und den Betrieb von Risikoberichtssystemen sowie die Risikobewertung einschließlich der Risikoaggregation.

  • Die Risikocontrolling-Aufgaben werden in der Regel von Controllern wahrgenommen.

Als spezieller Gegenstand des Risikocontrollings kann die monetäre Abbildung und Kommunikation von Unternehmensrisiken mithilfe einer Risikorechnung angesehen werden.