Skript/Risikomanement: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
K Textersetzung - „Risiko/Management“ durch „Risikomanagement“ Markierung: Manuelle Zurücksetzung |
||
(2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 3: | Zeile 3: | ||
= Einführung = | = Einführung = | ||
{{:Risikomanagement}} | {{:Risikomanagement}} | ||
= Risikowahrnehmung = | |||
{{:Risikowahrnehmung}} | {{:Risikowahrnehmung}} | ||
= Risikoidentifikation = | |||
{{:Risikoidentifikation}} | {{:Risikoidentifikation}} | ||
= Risikoanalyse = | |||
{{:Risikoanalyse}} | {{:Risikoanalyse}} | ||
{{:Risikobewertung | |||
= Risikobewertung = | |||
Risikoquantifizierung/Risikobeurteilung | |||
{{:Risikobewertung}} | |||
= Risikoaggregation = | |||
{{:Risikoaggregation}} | {{:Risikoaggregation}} | ||
= Risikobeurteilung = | |||
{{:Risikobeurteilung}} | {{:Risikobeurteilung}} | ||
= Risikokommunikation = | |||
{{:Risikokommunikation}} | {{:Risikokommunikation}} | ||
= Risikobewältigung = | |||
{{:Risikobewältigung}} | {{:Risikobewältigung}} | ||
= Risikoinformationen = | |||
{{:Risikoinformationen}} | {{:Risikoinformationen}} | ||
= Risikosteuerung = | |||
{{:Risikosteuerung}} | {{:Risikosteuerung}} | ||
= Risikocontrolling = | |||
{{:Risikocontrolling}} | {{:Risikocontrolling}} | ||
[[Kategorie:Skript]] | [[Kategorie:Skript]] |
Aktuelle Version vom 16. November 2024, 23:25 Uhr
Risikomanement - Skript
Einführung
Risikomanagement - Management von Risiken
Beschreibung
- Planvoller Umgang mit Risiken
Risikomanagement
- Aufgabe von Unternehmen und Behörden
- Funktion in einer Organisationseinheit
- Risikomanagement ist nach der Norm ISO 31000
Führungsaufgabe
- im Rahmen derer die Risiken einer Organisation identifiziert, analysiert und später bewertet werden
- Ubergeordnete Ziele, Strategien und Politik der Organisation für das Risikomanagement festlegen
- Festlegung von Kriterien, nach denen die Risiken eingestuft und bewertet werden
- Methoden der Risikoermittlung
- Verantwortlichkeiten bei Risikoentscheidungen,
- Bereitstellung von Ressourcen zur Risikoabwehr,
- Interne und externe Kommunikation über die identifizierten Risiken (Berichterstattung)
- Qualifikation des Personals für das Risikomanagement
- Risikomanagement ist ein fortlaufender Prozess (Demingkreis:„Plan-Do-Check-Act“)
- Planung
- Umsetzung
- Überwachung
- Verbesserung
Risikomanagement soll über die gesamte Lebensdauer einer Organisation zur Anwendung kommen
- Eine Kultur der Risikolenkung in der Organisation entstehen lassen
- Norm ISO 31000
Beschreibt Grundsätze und Verfahren zum Risikomanagement
- Allgemein gültig
- Kann in allen Bereichen, in denen Risiken existieren, angewendet werden
- Ist nicht auf eine spezifische Branche beschränkt
- Risikofrüherkennungssystem
Das Risikomanagement (Risikofrüherkennungssystem) insbesondere der Aktiengesellschaften orientiert sich an den Anforderungen des Kontroll- und Transparenzgesetzes (KonTraG) und dem darauf basierenden IdW-Prüfungsstandard PS 340 und dem jüngeren DIIR Revisionsstandard Nr. 2 des Deutschen Instituts für Interne Revision (von 2018)
- Ziel ist es, bestandsbedrohende Risiken frühzeitig zu erkennen und nachvollziehbar zu überwachen
- Da oft gerade Kombinationseffekte mehrerer Einzelrisiken bestandsbedrohend werden, wird eine Aggregation der Einzelrisiken zur Bestimmung des Gesamtrisikoumfangs gefordert (Risikoaggregation)
- Der ökonomische Mehrwert des Risikomanagements ist die Reduzierung der Wahrscheinlichkeit bestandsbedrohender Krisen durch mehr Risikotransparenz
- Die Beurteilung des Grades der finanzwirtschaftlichen Bestandsbedrohung erfolgt durch die Berechnung der Auswirkungen von Risiken auf das zukünftige Rating mittels einer sogenannten Ratingprognose
Als weitere Vorteile eines leistungsfähigen Risikomanagements sind eine Verbesserung der Planungssicherheit und eine Reduzierung der Risikokosten zu nennen
- Risikomanagement-Prozesse
Prozess | Beschreibung |
---|---|
Identifikation | der Risiken, Beschreibung ihrer Art, der Ursachen und Auswirkungen |
Analyse | der identifizierten Risiken hinsichtlich ihrer Eintrittswahrscheinlichkeiten und möglichen Auswirkungen |
Risikobewertung | durch Vergleich mit zuvor festzulegenden Kriterien der Risiko-Akzeptanz (z. B. aus Standards und Normen) |
Risikobewältigung/Risikobeherrschung | durch Maßnahmen, die Gefahren und/oder Eintrittswahrscheinlichkeiten reduzieren oder die Folgen beherrschbar machen |
Risikoüberwachung | mithilfe von Parametern, die Aufschluss über die aktuellen Risiken geben (Risikoindikatoren) |
Risikoaufzeichnungen | zur Dokumentation aller Vorgänge, die im Zusammenhang der Risikoanalyse und -beurteilung stattfinden |
Um die Komplexität des Risikomanagement-Prozesses zu bewältigen, große Datenmengen zu analysieren und ein strategisches Risikomanagement zu implementieren, bedienen sich viele Unternehmen einer Risikomanagement-Software
- Diese ist in der Lage, die Risiken eines Unternehmens abzubilden oder zukünftige Risiken zu simulieren
- Methoden
- BSI-Standard 200-3
- Risikoanalyse auf der Basis von IT-Grundschutz
- Klassische Risikoanalyse
- ISO 27001, 27005, 31000
- Penetrationstest
- Differenz-Sicherheitsanalyse
- Integriertes Managementsysteme
Querschnittsfunktion des Risikomanagements
Motivation
Phasen
- Managementkreislauf
- Analog dem Managementkreis werden die Phasen wiederholt durchlaufen und stellen somit einen Zyklus dar
- Risikomanagement umfasst die Phasen
- Plan
- Do
- Check
- Act
Aufgaben
Risikowahrnehmung
Risikowahrnehmung - Kurzbeschreibung
Beschreibung
Ein Risikomanagement kann erst mit der Risikowahrnehmung beginnen, sie ist die Voraussetzung dafür, dass Risiken überhaupt erkannt und entdeckt werden können.
- Hierbei ergibt sich bereits das Problem, dass verschiedene Risikoträger dasselbe Risiko unterschiedlich oder gar nicht wahrnehmen.
Erfolgt die Risikowahrnehmung fehlerhaft als selektive Wahrnehmung, so werden nur bestimmte Risiken wahrgenommen, andere vorhandene jedoch ausgeblendet.
- Eine mangelhafte Risikowahrnehmung wirkt sich negativ auf die nachfolgenden Phasen des Risikomanagements aus.
Risikoidentifikation
Risikoidentifikation - Kurzbeschreibung
Beschreibung
- Herausforderung Risikoidentifikation
- Erkennen, dass Risiko vorliegt, muss zunächst erkannt werden
- Dieses erfordert entsprechende Informationssysteme
- z. B. Kennzahlen oder entsprechende Organisationsstrukturen
Risikoanalyse
Risikoanalyse - Analyse der durch Risikoidentifikation ermittelten Risiken (Risk Analysis)
Beschreibung
- Im Rahmen des Risikomanagements
Analyse der durch Risikoidentifikation ermittelten Risiken
Die Risikoanalyse (risk analysis) ist im Rahmen des Risikomanagements die Analyse der durch Risikoidentifikation ermittelten Risiken von unterschiedlichen Sachverhalten und Gefahrensituationen
- Risikoanalysen sind Teil des Risikomanagements
- Risikobeurteilung
Ziel der Risikobeurteilung ist die Identifikation und Quantifizierung (Bewertung) von Risiken, um Transparenz über Art und Umfang von bestehenden Risiken zu schaffen, z. B. um Risiken durch Präventionsmaßnahmen zu vermeiden oder zu reduzieren
- Des Weiteren werden ihre Ergebnisse für die Risikokommunikation verwendet, um z. B. die Risikowahrnehmung zu fördern
- Das Risiko kann auch durch ein Risikomaß ausgedrückt werden
- Risikowahrnehmung
Risikoanalysen sind stark von der individuellen Risikowahrnehmung geprägt
- Dass Risiken überhaupt erkannt werden, hängt auch davon ab, dass verschiedene Risikoträger ein existierendes Risiko unterschiedlich oder gar nicht wahrnehmen
- Erfolgt die Risikowahrnehmung fehlerhaft als selektive Wahrnehmung, so werden nur bestimmte Risiken wahrgenommen, andere vorhandene dagegen ausgeblendet
- Eine mangelhafte Risikowahrnehmung wirkt sich negativ auf die nachfolgenden Phasen des Risikomanagements aus
Prozessablauf
Identifikation der Gefahren | Risikoidentifikation, die das System verletzen oder zerstören können |
Analyse der Ursachen der identifizierten Gefahrenereignisse (deduktive Ursachenanalyse / Fehlerbaumanalyse) und Ermittlung deren Häufigkeiten | |
Analyse der Schadensauswirkungen der identifizierten Gefahrenereignisse, die von dem System ausgehen können (induktive Analyse / Ereignisbaumanalyse) und Ermittlung deren Wahrscheinlichkeiten |
Methoden
Für die Risikoanalyse kommen unterschiedlichste wissenschaftliche Analysetechniken zur Anwendung
Option | Beschreibung |
---|---|
Arbeitsanalyse | Die Arbeitsanalyse mit anschließender Arbeitssynthese soll die Arbeitsinhalte (das WAS) systematisch in die Art der Aufgabenerfüllung (das WIE) überführen. Sie bildet damit den Übergang von der Aufbau- zur Ablauforganisation. In der Praxis bedeutet das, die durch die Aufgabenanalyse und Aufgabensynthese ermittelten Teilaufgaben (z. B. Rechnungsbearbeitung) in ihre kleinsten Arbeitselemente (Ablaufabschnitte) zu zerlegen. Das macht die Arbeitsanalyse aus. In der folgenden Arbeitssynthese, die damit zur Ablauforganisation gehört, werden die Arbeitselemente räumlich, zeitlich und personell zu effizienten Arbeitsschritten zusammengefasst. |
Elementaranalyse | Die Elementaranalyse ist ein Teilgebiet der Analytischen Chemie. Sie ist die Methode zur Feststellung der in organischen und anorganischen Verbindungen enthaltenen Elemente der Nichtmetalle Kohlenstoff, Wasserstoff, Sauerstoff, Stickstoff und Schwefel, ferner auch Phosphor sowie Halogene.[Anm 1] |
Finanzanalyse | Die Finanzanalyse ist im Finanzwesen das Arbeitsergebnis der Tätigkeit eines Finanzanalysten oder eine Funktion, wobei sie eine Analyse der Finanzen und der Finanzierung zum Inhalt hat. |
Qualitative Analyse | Die qualitative Analyse beschäftigt sich mit dem Nachweis chemischer Elemente, funktioneller Gruppen oder Verbindungen, ohne deren Mengenverhältnisse zu berücksichtigen. Dieser geschieht durch Nachweisreaktionen oder auf instrumentellem Wege. Bei der quantitativen Analyse wird untersucht, wie viel von bestimmten Stoffen in einer Probe vorhanden ist. |
Quantitative Analyse | Eine quantitative Analyse ist ein chemisches und/oder physikalisches Verfahren, bei dem es um die Beantwortung der Frage geht, wie viel von einem Stoff in einer gegebenen Probe vorhanden ist. Bei der qualitativen Analyse wird dagegen untersucht, welche Stoffe in der Probe vorhanden sind. |
Portfolio-Analyse | Die Portfoliotheorie ist ein Teilgebiet der Kapitalmarkttheorie und untersucht das Investitionsverhalten an Kapitalmärkten (z. B. Aktienmarkt). Die moderne Portfoliotheorie geht auf eine Arbeit des US-amerikanischen Ökonomen Harry M. Markowitz aus dem Jahr 1952 zurück. Er traf bestimmte Annahmen über das Verhalten von Investoren und erzielte so Aussagen über das Investitionsverhalten. Seine Arbeit war zum Zeitpunkt ihres Erscheinens revolutionär, und er erhielt 1990 dafür den Wirtschaftsnobelpreis. Spätere Entwicklungen wie das Single-Index-Modell, das Capital Asset Pricing Model und die heute vorherrschende Arbitragepreistheorie sind Weiterentwicklungen von Markowitz’ Portfolio-Selection-Theorie. |
Schwachstellenanalyse | Unter Schwachstellenanalyse versteht man in Organisationen (Unternehmen, öffentliche Verwaltung) die Untersuchung eines Prozesses und/oder Verfahrensablaufs zwecks Ermittlung von Schwachstellen und Mängeln. |
Szenarioanalyse | Die Szenarioanalyse ist eine Analysemethode aus dem Bereich der Betriebswirtschaftslehre (Innovationsmanagement) zur nachvollziehbaren Prognose künftiger Entwicklungen. |
- Quantitatives Risiko
Das quantitative Risiko ergibt sich aus der Multiplikation der Schadenshöhe mit der Eintrittswahrscheinlichkeit bzw. der Gefährdungsrate, je nachdem, ob es sich um ein zeitlich begrenztes Wagnis oder um ein Risiko handelt, summiert über die verschiedenen Gefährdungen (Risikoquantifizierung)
- Gefahrenidentifizierung
Die Gefahrenidentifizierung sollte so weit wie möglich auf quantitativen (historisch, statistisch) Daten beruhen
- Auch qualitative Methoden, wie z. B. Expertenmeinungen, Checklisten sollten zur Anwendung kommen
- Ziel der Analyse ist es, alle wahrscheinlichen Gefahren zu finden und zu erfassen
- Entscheidung unter Unsicherheit
Bei der Risikoanalyse sind auch die mit der Analyse verbundenen Unsicherheiten zu berücksichtigen (Daten- als auch Modellunsicherheiten) und die Unsicherheitsquellen sind soweit möglich zu identifizieren (siehe auch Entscheidung unter Unsicherheit)
Anwendungsgebiete
Bevölkerungsschutz
Die deutsche Bundesregierung hat 2009 die Risikoanalyse im Zivilschutz- und Katastrophenhilfegesetz (ZSKG) gesetzlich verankert
- Im Sinne des § 18 ZSKG vom 2. April 2009 führt der Bund im Zusammenwirken mit den Ländern eine bundesweite, ressortübergreifende Risikoanalyse im Bevölkerungsschutz durch und unterrichtet den Deutschen Bundestag über die Ergebnisse der Risikoanalyse ab 2010 jährlich
Die Risikoanalyse ist zentraler Bestandteil des Risikomanagements im Bevölkerungsschutz
- Sie liefert belastbare Informationen über Gefahren, Risiken und über vorhandene Fähigkeiten im Umgang mit Risiken auf deren Grundlage angemessen entschieden werden kann
- Die Methode orientiert sich am internationalen Standard des Risikomanagements ISO 31000 und 31010
Seit 2012 wurden folgende Gefahren einer Risikoanalyse unterzogen und die Ergebnisse in den entsprechenden Bundestagsberichten veröffentlicht:
- Extremes Schmelzhochwasser aus den Mittelgebirgen (2012)
- Pandemie durch Virus Modi-SARS (2012)
- Wintersturm (2013)
- Sturmflut (2014)
- Freisetzung radioaktiver Stoffe aus einem Kernkraftwerk (2015)
- Freisetzung chemischer Stoffe (2016)
- Dürre (2018)
Ergebnisse der Analysen sind die Eintrittswahrscheinlichkeiten und Schadensauswirkungen der untersuchten Ereignisse sowie Erkenntnisse und Handlungsempfehlungen, die im Sinne eines ganzheitlichen Risiko- und Krisenmanagements von Bedeutung sind Vorlage:Hauptartikel
Risikenanalysen in Unternehmen
- Risikenanalysen in Unternehmen haben Bedeutung
- als gesetzliche Vorschrift den Jahresabschluss eines Unternehmens um einen Lage- oder Risikobericht zu ergänzen (vgl. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich);
- als Aufgabe in der Projektplanung („Projektrisikoanalyse“) oder Investitionsrechnung;
- bei der Beurteilung der Risikosituation von Unternehmen (z. B. als Grundlage für Unternehmensbewertung oder Strategiebewertung);
- in Kreditinstituten zur Bestimmung von risikobehafteten Kundensegmenten, zur Steuerung des Kreditrisikos oder der Kreditentscheidungen oder zur Bestimmung der Eigenmittelanforderungen nach Basel III (Kreditwürdigkeitsprüfung aller Kreditnehmer, Kontrahenten und Gegenparteien);
- bei der Identifikation von Risiken neuer Technologien oder gesellschaftlicher Entwicklungen;
- bei der Identifikation und Bewertung von Produktrisiken, insbesondere bei der Markteinführung neuer Produkte bzw. Abschluss von Produkthaftpflichtversicherungen;
- für die Feststellung durch dolose Handlungen (Untreue, Unterschlagung, Betrug, Verrat von Dienst- oder Geschäftsgeheimnissen, Korruption usw.) gefährdeter Arbeitsabläufe in Verwaltungen und Betrieben und zur Überprüfung und Weiterentwicklung der bestehenden internen Kontrollsysteme
Risikoanalyse ist in der Betriebswirtschaftslehre die Identifikation und Quantifizierung von Risiken durch Abschätzung der Eintrittswahrscheinlichkeit und der möglichen, meist unsicheren Auswirkungen (z. B. auf die Kosten)
- Sie ist die Grundlage für die Ermittlung der Höhe kalkulatorischer Wagniskosten (siehe Risikokosten) und notwendig für die Bestimmung erwartungstreuer Planwerte (z. B. bei der Unternehmensbewertung durch das Risikomanagement)
Teilschritte
Teilschritt | Beschreibung |
---|---|
Risikoidentifikation | Mit welchen Risiken ist mein Unternehmen konfrontiert? |
Risikoanalyse und -evaluation | Wie wahrscheinlich ist ihr Eintritt und welche Risikohöhe weisen sie auf? |
Risiko-Monitoring und -Review | Wie verändert sich die Risikosituation und mit welchen Mitteln kann ich ihre Entwicklung beobachten?
Mit dem letzten Schritt schließt sich der Kreis, falls neue Risiken ausgemacht werden? |
- Datenanalyse
Soweit möglich basiert eine Risikoanalyse auf einer statistischen Datenanalyse
- Es werden die in den verschiedenen Jahren (sogenannte Produktionsjahre) neu abgeschlossenen Verträge (sogenannte Produktion) in Segmente unterteilt
- Innerhalb jedes Segments und pro Produktionsjahr werden die in Zahlungsschwierigkeiten geratenen Verträge ermittelt
- Die Segmente, bei denen für viele Produktionsjahre der jeweilige Anteil an in Zahlungsschwierigkeiten geratenen Verträgen in Prozent höher ist als der Anteil in den Produktionsjahren, werden als riskant betrachtet
- Es sei darauf aufmerksam gemacht, dass zum einen die Anzahl Verträge ein hinreichend großes Volumen erreichen muss und zum anderen, dass das Ergebnis der Analyse stets nach inhaltlicher Stichhaltigkeit überprüft werden muss, um eine sachlich begründete Aussage zu liefern
- Insbesondere ist die Frage zu beantworten, ob die erkannten Zusammenhänge auch in der Zukunft stabil bleiben
- Technisch bedingte betriebswirtschaftliche Risiken
Können z. B. durch Fehlerbaumanalyse, Failure Mode and Effects Analysis oder Fehler-Ursachen-Analyse aufgedeckt und quantifiziert werden
- Entscheidungen und Planungen
Bei anstehenden strategischen Entscheidungen und Planungen hinsichtlich der Unternehmensentwicklung kommen die deterministische Szenarioanalyse zur Anwendung, bei der ausgewählte Szenarien untersucht werden, sofern die Wahrscheinlichkeit des Auftretens der Risiken und ihrer Einflussrichtung hinlänglich bekannt sind
- Ist dies nicht der Fall, sind also die Bestimmungsfaktoren des Risikos zufallsverteilt, kann die stochastische Szenarioanalyse herangezogen werden, etwa in Form der Monte-Carlo-Simulation oder einer PERT-Analyse mit stochastischen Knoten
- Probleme
Ein Problem der klassischen betriebswirtschaftlichen Risikoanalyse besteht darin, dass in internationalen Kontexten und Lieferketten schwer quantifizierbare und auch stochastisch schwer beschreibbare länderspezifische makroökonomische und politische Risiken durch Terror, Kriminalität, Korruption, Staatsbankrotte, Währungskrisen, Embargos, Handelssanktionen, rechtliche Änderungen sowie infolge von Risiken des Geldtransfers eine zunehmende Rolle spielen
Risikoanalyse in anderen Bereichen
Risikoanalysen werden heute in allen Industriebereichen mit einem Risikopotential, wie der Kerntechnik, Luftfahrt, Eisenbahn, Schifffahrt, Chemie, Petrochemie und Staudämme oder sonstige technische Anlagen durchgeführt, wobei die Methoden der probabilistischen Sicherheitsanalyse (PSA) zur Anwendung kommen
Großveranstaltung | Bei Großveranstaltungen wird – der unterschiedlichen Gefahrenneigung Rechnung tragend – zur Berechnung der Stärke der Einsatzkräfte des Sanitätswachdienstes das Maurer-Schema angewandt |
Feuerwehr | Bei Feuerwehren wird ein Brandschutzbedarfsplan in einigen Bundesländern vorgeschrieben, um mit diesem Instrument der Risiko- und Gefahrenanalyse zur Erreichung der Schutzziele innerhalb der Hilfsfrist zu gewährleisten |
Arbeitsschutz | Im Arbeitsschutz heißt die Risikoanalyse Gefährdungsbeurteilung |
Toxikologie | In der Toxikologie und Ökotoxikologie |
Umweltrisikomanagement | Umweltrisikoanalyse im Rahmen des Umweltrisikomanagements |
Naturgefahren | Für Siedlungen im Gebirge und bei Großbauten sind die möglichen Naturgefahren (Bergrutsche, Lawinen, Muren, Setzungen, Sackungen etc.) abzuschätzen |
Geotechnik | Neben Methoden der Geotechnik wird oft auch die Geoseismik angewandt |
Anlagekonstruktion | Bei der Maschinen- und Anlagekonstruktion werden die von der Maschine / Anlage ausgehende Gefahr bestimmt und die Gegenmaßnahmen bestimmt anhand der Norm ISO 12100 Sicherheit von Maschinen – Allgemeine Gestaltungsleitsätze – Risikobeurteilung und Risikominderung (siehe auch Sicherheitssystem) |
Medizinwirtschaft | In der Medizinwirtschaft und bei der Entwicklung von Medizinprodukten muss gemäß den Vorgaben der EN ISO 14971 und den Regelungen des Medizinproduktegesetzes ein Risikomanagementprozess fortlaufend geführt und dokumentiert werden |
Elektrotechnik | Im Bereich Elektrotechnik führt die europäische Norm EN 62305-2 (siehe Blitzschutz) zur Notwendigkeit einer Risikoanalyse (betreffend Gefährdung durch Blitzschlag und Überspannung) bei der Errichtung elektrischer Anlagen |
Bahnübergänge | Zur Evaluierung von Bahnübergängen können Risikoanalysen eingesetzt werden, um die benötigte Sicherheitsanforderungsstufe zu bestimmen, sodass eine angemessene Sicherung z. B. durch ein Warnsystem vorgesehen wird |
Informationenstechnik | Für Risiken rund um Informationen, IT-Systeme und IT-Dienstleistungen werden Risikomanagementprozesse aufgesetzt |
Lebensmittelsicherheit | Für die Lebensmittelsicherheit findet das Konzept Gefahrenanalyse und kritische Kontrollpunkte (HACCP) Anwendung |
Risikobewertung
Risikoquantifizierung/Risikobeurteilung Risikoanalyse (risk assessment)
Beschreibung
- Risikobewertung anhand Wahrscheinlichkeiten
Eintreten verschiedener Bedrohungen
- potentieller Schadenshöhe
Bewertung der Eintrittswahrscheinlichkeit
Aufwand
- Geschätzter Aufwand zur Angriffsdurchführung
- Anzahl der Angriffsschritte
- Komplexität Angriffsschritte
Nutzen
- Nutzen für den Angreifer
- finanziell
- politisch
- Reputation
Motive
- Motive des Angreifers
Angreifer-Typ
- Script Kiddie
- Hacker
- Mitarbeiter
- Wirtschaftsspion
- politische Aktivisten
Ressourcen
- Ressourcen / Kenntnisse des Angreifers
- Know-how
- Werkzeuge
- Zugänge
- Insider
Risikoaggregation
Risikoaggregation (risk aggregation) -
- im Rahmen des Risikomanagements
- von Unternehmen oder Projekten
- Aggregation aller Risiken
- mit dem Ziel der Bestimmung des Gesamtrisikoumfangs
- wobei die Zusammenfassung der Einzelrisiken nicht durch bloße Addition erfolgen kann.
Beschreibung
Risikoaggregation (risk aggregation) ist im Rahmen des Risikomanagements von Unternehmen oder Projekten die Aggregation aller Risiken mit dem Ziel der Bestimmung des Gesamtrisikoumfangs, wobei die Zusammenfassung der Einzelrisiken nicht durch bloße Addition erfolgen kann.
- Ziel
Die Risikoaggregation verfolgt das Ziel, auf Grundlage der identifizierten, analysierten und bewerteten Einzelrisiken eine Gesamtrisikoposition für das Unternehmen oder für ein Projekt zu bestimmen.
- Die innerhalb der Risikoaggregation vorzunehmende Risikoklassifizierung stellt die Schnittstelle zwischen Risikobewertung und Risikobewältigung dar.
- Auf Basis von verlässlichen aggregierten Daten kann die Risikosituation eines Unternehmens übergreifend erfasst und optimiert werden.
- Notwendigkeit
Die Risikoaggregation ist insbesondere notwendig, um mögliche „bestandsgefährdende Entwicklungen“ auf die Risikotragfähigkeit eines Unternehmens aus Kombinationseffekten von Einzelrisiken zu erkennen (was in Vorlage:§ AktG sowie § 1 StaRUG gefordert wird).
- Seit dem Inkrafttreten des StaRUG ist dies nun generell für alle haftungsbeschränkten Unternehmen verpflichtend.Es wird untersucht, mit welcher Wahrscheinlichkeit es zu Überschuldung oder Illiquidität (infolge von Verletzungen von Mindestanforderungen an das Rating oder von Kreditverträgen) kommt, weil solche Szenarien als „bestandsgefährdend“ zu interpretieren sind.
Prozessablauf
- Vorarbeiten
Der Risikoaggregation vorausgegangen ist die Risikoanalyse, welche Risikoidentifikation sowie Risikoquantifizierung umfasst.
- Aus der Risikoquantifizierung kann lediglich abgeleitet werden, welche Risiken für sich alleine den Bestand eines Unternehmens gefährden könnten.
- Um zu beurteilen, wie groß der Gesamtrisikoumfang (und damit die Wahrscheinlichkeit der Insolvenz durch die Menge aller Risiken) ist, wird eine Risikoaggregation erforderlich.
- Hierbei ist zu unterscheiden, ob die Einzelrisiken voneinander unabhängig sind oder nicht.
Unabhängige Risiken beeinflussen einander nicht. Risikointerdependenz dagegen bedeutet, dass Risiken voneinander oder von gemeinsamen Ursachen abhängig sind.
- Positiv korrelierte Risiken verstärken einander, während negativ korrelierte Risiken einander abschwächen, also Diversifikationseffekte bieten.
- Es kann auch sein, dass ein bestimmtes Risiko erst oder nur dann eintritt, wenn ein anderes Risiko bereits entstanden ist.
- Dies macht deutlich, dass das bloße Aufaddieren von Risikoerwartungswerten den Risikoumfang nicht adäquat darstellen würde.Üblicherweise wird diese stochastische Abhängigkeit von Risiken zunächst auf Plausibilität geprüft und mittels eines Korrelationskoeffizienten quantifiziert.
- Je näher der Betrag des Korrelationskoeffizienten an dem Wert 1 liegt, umso mehr verstärken sich voneinander abhängige Einzelrisiken oder schwächen sich gegenseitig ab.
- Die identifizierten Abhängigkeiten der Risiken sind durch Risikosimulationsverfahren explizit zu berücksichtigen
- In einem ersten Schritt der Risikoaggregation können drei von Werner Gleißner aufgestellte heuristische Regeln angewendet werden
- Ursachenaggregation: Risiken mit gleicher Ursache werden zusammengefasst und ihre Wirkung aggregiert.
- Wirkungsaggregation: Bei Risiken mit gleicher Auswirkung werden die Wahrscheinlichkeiten der Ursachen aggregiert.
- Ausschlussregel: Risiken, welche nicht zusammen eintreten können, werden bei der Risikoaggregation nicht gleichzeitig zugelassen.
- Diese heuristischen Regeln ersetzten jedoch keine simulationsbasierte Risikoaggregation
- Bei der anschließenden simulationsbasierten Risikoaggregation (vorzugsweise Monte-Carlo-Simulation) ist es bedeutsam, die tatsächlichen stochastischen Abhängigkeiten auf der Ursachen- und Wirkungsebene verschiedener Einzelrisiken adäquat zu berücksichtigen.
- Der Risikoaggregation folgt im Prozessablauf die Risikobeurteilung
Monte-Carlo-Simulation
Anwendung
- Anwendung in der Praxis
Die Aggregation der Risiken ist eine der wesentlichsten Aufgaben des Risikomanagements und Gegenstand der Prüfung von Risikofrüherkennungssystemen (siehe den IDW-Prüfungsstandard 340 und den DIIR Revisionsstandard Nr. 2 zum Risikomanagement von 2018).
- Neben dem KonTraG sowie der Business Judgement Rule sind diesbezüglich im Jahr 2021 noch zwei weitere relevante Regelungen in Kraft getreten.
- Das StaRUG ist für alle haftungsbeschränkten Unternehmen anzuwenden und stellt über das KonTraG hinausgehend klar, dass bei Drohen einer bestandsgefährdenden Krise eine Berichtspflicht an die Überwachungsorgane besteht und „geeignete Gegenmaßnahmen“ zu ergreifen sind.Das FISG hingegen gilt nur für börsennotierte Gesellschaften und betont, dass das Risikomanagementsystem „angemessen“ und „wirksam“ sein muss, was natürlich auch Implikationen für die Risikoaggregation hat
Die Risikoaggregation ist Grundlage für die Messung von Risikotragfähigkeit und Risikotoleranz (siehe IDW PS 981).
IDW Prüfungsstandard
- IDW Prüfungsstandard (PS) 340 n.F.
- Seit dem Jahr 2020 existiert eine neue Fassung des IDW PS 340 zur Prüfung von Risikofrüherkennungssystemen.
- Diese stellt einen Fortschritt dar, da sie unter anderem die Bedeutung der Risikoaggregation noch stärker betont.
- Sie berücksichtigt allerdings noch nicht die neuen Anforderungen an das Risikomanagement aus § 1 StaRUG und §91 Abs. 3 AktG, sondern vorrangig die Regelungen des KonTraG.
- An dem IDW PS 340 n.F. bestehen jedoch auch einige Kritikpunkte.
- Risiken werden hier nur im engeren Sinne, also als Gefahren, definiert.
- Dies führt bei der Risikoaggregation zu einer Verzerrung, da sich bei negativer Korrelation die Zielabweichungen möglicherweise aufheben können.
- Zudem werden auch Methoden der „qualitativen“ Risikoaggregation zugelassen, welche jedoch nicht in der Lage sind „bestandsgefährdende Entwicklungen“ aus einer Kombination von Einzelrisiken zu erkennen und damit die gesetzlichen Anforderungen zu erfüllen
DIIR
- DIIR Revisionsstandard Nr. 2
Im Jahr 2022 wurde eine neue Version des DIIR Revisionsstandards Nr. 2 veröffentlicht, der als einziger Prüfungsstandard bereits die Regelungen des StaRUG und des FISG berücksichtigt und damit auch Änderungen bezüglich der Risikoaggregation enthält.
- Hier wird anders als im IDW PS 340 hervorgehoben, dass nur eine quantitative Risikoaggregation mit statistischen Verfahren aussagekräftige Ergebnisse liefert.
- Es ist also neben bloßen dem Vorhandensein einer Risikoaggregationsmethode auch notwendig, dass diese geeignet für das Erkennen „bestandsgefährdender Entwicklungen“ ist.
- Auch auf die sich aus der Business Judgement Rule ergebende Aufgabe, vor unternehmerische Entscheidungen die Änderung des Risikoumfangs zu ermitteln, wird hingewiesen.
Gesetzlicher Anforderungen
- Umsetzung gesetzlicher Anforderungen
Viele DAX- und MDAX-Unternehmen erfüllen die gesetzlichen Anforderungen, die im IDW PS 340 n.F. sowie DIIR Revisionsstandard Nr. 2 präzisiert sind, nicht vollständig.
- In der Praxis fehlt die Risikoaggregation teilweise ganz oder wird nicht mit Hilfe der Monte-Carlo-Simulation durchgeführt.
- Zudem werden Ereignisse, die zu bestandsgefährdenden Entwicklungen führen können meist nur überwacht, statt Kenntnisse aus der Risikoaggregation zu nutzen, um Auswirkungen beispielsweise auf das Rating auszuwerten.
- Auch die Aggregation der Risiken über mehrere Jahre sowie vor wesentlichen Entscheidungen wird nur von einem sehr kleinen Teil der Unternehmen durchgeführt.
- Dies lässt die Frage aufkommen, ob diese Unternehmen „bestandsgefährdende Entwicklungen“, die sich aus dem Zusammenwirken mehrerer Einzelrisiken ergeben, frühzeitig erkennen können.
Risikobeurteilung
Risiko/Beurteilung - erkannte Risiko quantifizieren
Beschreibung
- nach der Risikoquantifizierung
- erkannte Risiko zu quantifizieren
- Dies geschieht in zwei Schritten
- Zunächst werden die Eintrittswahrscheinlichkeit und das Schadensausmaß bei Eintritt des Schadens bestimmt (s. a. Risikomatrix).
- Durch Multiplikation dieser beiden Kennzahlen entsteht eine Art Risikopotenzial, der Schadenerwartungswert.
- Je nach Art des Risikos können unterschiedliche Wahrscheinlichkeitsverteilungen für die quantitative Beschreibung eines Risikos verwendet werden.
- Ein Messung des Umfangs eines Risikos erfolgt mittels eines Risikomaßes.
- Eine Herausforderung in dieser Phase ist die nachvollziehbare Überführung von qualitativen Risiken, wie z. B. eines Streiks oder eines Vulkanausbruchs, in ein quantitatives Zahlenwerk (Risikoquantifizierung).
- Die Berechnung des Gesamtumfangs aus mehreren Einzelrisiken ist Aufgabe der Risikoaggregation.
- Die Risikosteuerung beschäftigt sich nun mit der Frage, wie das einzelne Wirtschaftssubjekt mit dem Risiko umgeht.
- Dazu bestehen die Möglichkeiten des Selbsttragens des Schadens, der Schadensvermeidung, der Überwälzung auf andere und der Risikobegrenzung.
- Ansätze zur Risikobegrenzung lassen sich in ursachenbezogene und wirkungsbezogene unterscheiden
- Ursachenbezogene Strategien zielen ex ante darauf ab, die Höhe möglicher Verluste oder ihre Wahrscheinlichkeitsverteilung positiv zu beeinflussen.
- Wirkungsbezogene Strategien zielen auf die Abfederung oder die Abwälzung schlagend gewordener Risiken ab.
- Ursachenbezogene Strategien sind die Risikovermeidung und die Risikominderung.
- Wirkungsbezogene Strategien sind der Risikotransfer und die Risikovorsorge.
- Risikodiversifikation weist zu beiden Strategiearten Bezüge auf.
Risikokommunikation
Risikobewältigung
Risikobewältigung - Maßnahmen zur Risikosteuerung
Beschreibung
- Risikobewältigung/Risikosteuerung
Option | Beschreibung |
---|---|
Vermeidung | |
Minderung | |
Diversifikation | |
Transfer | |
Vorsorge |
- Risikoträger
Unternehmen sind einer Vielzahl von Risiken ausgesetzt
- Sie heißen dann auch Risikoträger, weil sie bewusst oder unbewusst Risiken zu tragen haben.
- Risikoträger heißen zudem die einzelnen Objekte oder Vorgänge, die Risiken in sich bergen, etwa betriebliche Schwachstellen wie unqualifiziertes Personal.
- Diese Risiken können aus technischen, allgemein wirtschaftlichen, speziell finanziellen oder rechtlichen Gründen entstehen und zu Betriebsstörungen, Verlusten oder gar Unternehmenskrisen bis hin zur Insolvenz führen.
- Risiken dieser Art sind ein Untersuchungsgegenstand der Betriebswirtschaftslehre, die sich mit den Arten, den Folgen und der Vermeidung betrieblicher Risiken auseinandersetzt.
- Sie hat innerhalb der Risikobewältigung mehrere Strategien entwickelt, betriebliche Risiken zu minimieren oder gar vollständig auszuschalten.
- Die Risikobewältigung beeinflusst das Risikoverhalten und die Risikofreude eines Unternehmens und umgekehrt.
- Risikoidentifikation
Die Risikoidentifikation als der erste Schritt vor einer Risikobewältigung versucht eine systematische Erfassung und Sammlung möglicher Risiken, gefolgt von der Risikoanalyse, die die identifizierten Risiken nach ihren Ursachen und Eintrittswahrscheinlichkeiten untersucht.
- Eine Risikobewertung schließt sich an, die die Bedrohung der analysierten Risiken für ein Unternehmen ermittelt und die Vertretbarkeit analysierter Risiken beurteilt.
- Im Rahmen der Risikobewältigung kommt es im Anschluss darauf an, als vertretbar erachtete Risiken zu tragen und hierfür ein geeignetes Risikocontrolling zu installieren.
- Risiken müssen eingegangen werden
Gewinn und Vermögen für ein Unternehmen konstituieren
- Die maßgebliche Bemessung des Erfolges eines Unternehmens erfolgt jedoch durch die Selektion der „richtigen“ Risiken ().
- Um Risiken zu meistern, müssen die richtigen Strategien entwickelt und entsprechend effiziente und effektive Geschäftsprozesse als Teil einer risikobewussten Unternehmensführung definiert werden.
Maßnahmen
- Aktive und passive Risikobewältigung
Allgemein wird zwischen aktiver und passiver Risikobewältigung unterschieden, auch als ursachenbezogene und wirkungsbezogene Risikosteuerung bezeichnet.
Option | Beschreibung |
---|---|
Aktive Risikobewältigung | Präventive Risikopolitik, soll Einfluss auf die Eintrittswahrscheinlichkeiten und/oder Risikotragweiten nehmen. |
Passiven Risikobewältigung | korrektive Risikopolitik, werden Maßnahmen ergriffen, um die wirtschaftlichen Konsequenzen eingetretener oder erwarteter Risiken bewältigen zu können.
|
Aktiven Risikobewältigung
Option | Beschreibung |
---|---|
Vermeidung | |
Minderung | |
Versifikation |
Vermeidung
Entscheidet sich ein Unternehmen, eigentlich geplante Aktivitäten (etwa Investitionen) nicht durchzuführen oder bestehende Aktivitäten vor Risikoeintritt aufzugeben, liegt Risikovermeidung vor.
- Die Risikovermeidung beschreibt den gänzlichen Verzicht auf eine risikobehaftete Tätigkeit.
- Diese Strategie sollte jedoch erst berücksichtigt werden, wenn infolge akuter Zusammenhänge keine andere Vorgehensweise mehr möglich ist oder das Chancen-Risiko-Verhältnis nicht gebührend optimiert werden kann, da durch diese Methode auch keine Gewinne generiert werden können.
- Ein Beispiel wäre der Austritt aus einem kritischen Geschäftsbereich.
- Es handelt sich um die radikalste Möglichkeit der Risikobewältigung, bei der die Eintrittswahrscheinlichkeit eines konkreten Risikos auf null gesetzt wird.
Minderung
- Von einer Risiko(ver)minderung spricht man, wenn jemand
- Risiken an Dritte überwälzt, etwa auf Kreditinstitute (Sicherungsgeschäfte), Lieferanten oder Kunden (nicht jedoch auf Versicherer) oder
- Kreditsicherheiten hereinnimmt oder
- innerhalb des Unternehmens einen Risikoausgleich
- Risikoausgleich beruht auf der Erfahrung, dass Zufallsschwankungen umso unbedeutender sind, je größer der Umfang beobachteter Elemente und je länger der Beobachtungszeitraum eines Elements ist.
- Dies gilt insbesondere für Versicherungen, da nach dem Gesetz der großen Zahlen erfahrungsgemäß die Zufallsschwankungen umso geringer ausfallen, je größer die Anzahl und der Betrachtungszeitraum der versicherungstechnischen Einheiten ist erzielt (Selbstversicherung) oder durch organisatorische oder technische Maßnahmen Schäden verhütet (operationelles Risiko).
- Die Eintrittswahrscheinlichkeit wird dabei auf ein akzeptables Risikomaß gesenkt, denn Kreditsicherheiten (insbesondere bei Kreditinstituten und Versicherungen) oder der Eigentumsvorbehalt und die Vorauszahlung (bei Lieferanten) mindern bestehende Kredit- und Debitorenrisiken.
Eine Schadensminderung durch technische Risiken kann mit Hilfe von Rückrufaktionen erreicht werden.
- Im Rahmen der Risikokompensation werden Entscheidungen getroffen oder Geschäfte abgeschlossen, die im günstigsten Fall mit einem Korrelationskoeffizienten von negativ zur bestehenden Risikoposition korreliert sind.
Diese Risikokompensation wird im Finanzwesen definiert als die zielgerichtete Kombination des aus einem Finanzinstrument resultierenden Risikos mit einem anderen Finanzinstrument, das eine gegenläufige, negativ korrelierte Gegenwirkung aufweist.
Versifizierung
Eine Risikodiversifikation liegt vor, wenn ein Gesamtrisiko in mehrere, möglichst nicht positiv miteinander korrelierende Einzelrisiken aufgespalten wird und hierdurch eine breite Streuung entsteht.
- Das ist bei Portfolien wie Kreditportfolien der Fall, die im günstigsten Fall eine hohe Granularität und geringe Klumpenrisiken aufweisen (In der Portfoliotheorie gilt das Prinzip: „Nicht alle Eier in einen Korb legen“).
- Innerhalb eines Konzerns können durch Risikodiversifikation voneinander unabhängige Risiken regional, objektbezogen oder personenbezogen gestreut werden:
- Regionale Streuung erfolgt etwa durch Herstellung desselben Produkts in verschiedenen Betriebsstätten (Parallelproduktion);
- objektbezogene Diversifizierung erfolgt beispielsweise durch Schaffung mehrerer gleichartiger Produktionsanlagen (Redundanz);
- personenbezogene Diversifizierung liegt etwa vor, wenn mehrere Vorstandsmitglieder getrennt zum selben Reiseziel reisen.
- Die Risikodiversifikation dient der Regulierung von Risiken, minimiert allerdings nicht unbedingt die Eintrittswahrscheinlichkeit des Einzelrisikos, wirkt jedoch auf den Schadensumfang.
- Da ein synchrones Eintreten aller Risiken in ihrer Gesamtheit sehr unwahrscheinlich ist, sollte man die Gefahr von Abhängigkeiten verhindern, indem man zum Beispiel mehrere Lieferanten zur Auswahl hat und die Qualität der Geschäftspartner vergleicht.
Passive Risikobewältigung
Die passive Risikobewältigung besteht aus Risikoüberwälzung (Risikotransfer) und Risikovorsorge.
- Sie ist erforderlich, wenn für Risiken – bewusst oder unbewusst – keine aktive Risikobewältigung vorgenommen wurde, wodurch ein Risikoeintritt betrieblich zu verkraften ist.
- Bei der Risikoüberwälzung werden bestehende Risiken auf andere Wirtschaftssubjekte, die diese Risiken mindestens genauso gut beherrschen, übertragen.
- Der Risikotransfer reduziert die Folgen des Risikoeintritts, nicht jedoch die Eintrittswahrscheinlichkeit des Risikos.
- Zu nennen sind in erster Linie Versicherer, die Schadensversicherungen (wie Feuerversicherung, Betriebsunterbrechungsversicherung), Kreditversicherungen (für Lieferanten) oder Exportkreditversicherungen (für Exporteure) übernehmen.
- Das gesamte Versicherungsgeschäft wird als Risikotransfer zwischen Versicherer und Versicherungsnehmer gegen Beitragszahlung (Risikotransferkonzept) verstanden. Dabei müssen vor allem die Kosten in einer sinnvollen Relation zum Nutzen stehen.
- Auch die Risikoteilung durch Arbeitsgemeinschaften, Konsortien oder Rückversicherungen/Retrozessionen (bei Versicherungen) ist ein Risikotransfer.
- Das Outsourcing (z. B. EDV, Buchhaltung) ist ebenfalls ein Risikotransfer. Auch Derivate als Sicherungsnehmer (insbesondere Credit Default Swaps) gehören in diese Kategorie.
- Der Risikotransfer ist eine finanzwirtschaftliche Transaktion.
- Die Risikovorsorge besteht aus bilanziellen Maßnahmen, die das risikotragende Unternehmen betreffen.
- Das Vorsichtsprinzip verlangt, dass bei der Bilanzierung alle Risiken und Verluste angemessen zu berücksichtigen sind.
- Deshalb sind nach handelsrechtlichen Vorschriften Rückstellungen, Wertberichtigungen und Abschreibungen vorzunehmen.
- Zur bilanziellen Risikovorsorge gehört auch die Schaffung einer akzeptablen Eigenkapitalbasis zur Deckung eventuell eintretender Verluste und die Haltung angemessener Liquiditätsreserven zwecks Vermeidung der Zahlungsunfähigkeit, was das Überleben des Unternehmens sichern hilft. Bei der Risikovorsorge wird das Risiko vom Unternehmen selbst getragen.
- Als passive Risikobewältigung bezieht sich diese Maßnahme nur auf die Folgen des Risikoeintritts, die durch die Bilanz und Gewinn- und Verlustrechnung abgefedert werden müssen.
Übrig bleiben nach dem Einsatz aller Maßnahmen Restrisiken, die ein Unternehmen bewusst in Kauf nimmt.
- Es geht davon aus, dass die technische oder Marktentwicklung zu einer über 50 % liegenden Eintrittswahrscheinlichkeit plangemäß verläuft.
Praktische Anwendung
- Anwendung in der Praxis und Probleme
Auf Basis psychologischer Forschung wurde bewiesen, dass die meisten Menschen eine intensive Antipathie gegenüber Risiken und Verlusten haben.
- Dabei werden Risiken aus falschem Handeln als bedrohlicher empfunden als Risiken aus Nicht-Handeln (entgangene Chancen).
- Hinzu kommt die Neigung, Risiken mit geringer Eintrittswahrscheinlichkeit, aber hohem Schadenspotenzial, zu überbewerten.
- Beides kann zu übertriebenen Vermeidungsstrategien führen und damit zum wirtschaftlichen Nachteil des Unternehmens.
- Es geht beim Risikomanagement nicht um die Eliminierung aller Risiken aus der Organisation („Null-Risiko-Illusion“), da jede unternehmerische Betätigung mit dem Eingehen von Risiken verbunden ist.
- Ziel ist vielmehr eine Optimierung des Chancen-Risiko-Profils eines Unternehmens.
- Versicherungen
In einigen Unternehmen reduzieren sich die Vorgehensweisen zur Risikobewältigung allein auf Versicherungen.
- Auch dahinter steckt das unbewusste Bestreben, am liebsten alle Risiken auf außenstehende Parteien abzuwälzen und im Ergebnis gar nicht mehr falsch handeln zu können.
- Die Verwendung von nur einer Risikobewältigungsstrategie sollte in der Praxis jedoch nicht erfolgen.
- Ein Mix verschiedener Maßnahmen ist am effizientesten.
- Die Einschätzung prognostizierter Erträge mit den damit verknüpften Risiken ist Bestandteil jeder gründlichen Planung unternehmerischer Entscheidungen.
- Verdrängung
Eine andere Problematik ist das Verdrängen von Risiken
- Hier wird die Möglichkeit von Rückschlägen oder eines Scheiterns in unvernünftiger Weise nicht in Erwägung gezogen.
- Beträchtliche Folgen für das unternehmerische Risikomanagement entstehen aus dem menschlichen Bestreben, kognitive Unstimmigkeiten zu vermeiden und das Umfeld zu lenken: Das bewusste oder unbewusste Vernachlässigen existenter Risiken führt dazu, dass wirtschaftliche Risikobewältigungsverfahren nicht genutzt und eingetretene Plandiskrepanzen später nicht in Bezug auf die ursächlichen Risiken untersucht werden.
Risikobericht
Kapitalgesellschaften haben nach dem seit Mai 1998 geltenden KonTraG die Pflicht, den Lagebericht um einen Risikobericht zu erweitern, darin existenzbedrohende Risiken zu dokumentieren und auch „auf die Risiken der künftigen Entwicklung einzugehen“.
- Allerdings sind die gesetzlichen Regelungen zum Risikobericht jeweils nur in einem Halbsatz in den §Vorlage:§ Abs. 1 und Vorlage:§ Abs. 1 HGB beschrieben, so dass ein großer Ermessensspielraum für die Unternehmen besteht.
- Somit ergibt sich auch eine mittelbare gesetzliche Verpflichtung für Kapitalgesellschaften, ihre Risiken und Chancen durch Risikomanagement zu untersuchen und zu steuern.
- Sie müssen ein internes Kontrollsystem installieren, welches wiederkehrende Kontrollschritte definiert und in determinierter Häufigkeit ausführt, um Schlüsselrisiken zu reduzieren.
Risikoinformationen
- Risikoinformationen
Auch die Nutzung von Risikoinformationen für unternehmerische Entscheidungen kann als Teil des Risikomanagements aufgefasst werden (Beurteilung und Bewertung des Ertrag-Risiko-Profils von Handlungsoptionen, wie Investitionen).
Risikosteuerung
Risikobewältigung - Maßnahmen zur Risikosteuerung
Beschreibung
- Risikobewältigung/Risikosteuerung
Option | Beschreibung |
---|---|
Vermeidung | |
Minderung | |
Diversifikation | |
Transfer | |
Vorsorge |
- Risikoträger
Unternehmen sind einer Vielzahl von Risiken ausgesetzt
- Sie heißen dann auch Risikoträger, weil sie bewusst oder unbewusst Risiken zu tragen haben.
- Risikoträger heißen zudem die einzelnen Objekte oder Vorgänge, die Risiken in sich bergen, etwa betriebliche Schwachstellen wie unqualifiziertes Personal.
- Diese Risiken können aus technischen, allgemein wirtschaftlichen, speziell finanziellen oder rechtlichen Gründen entstehen und zu Betriebsstörungen, Verlusten oder gar Unternehmenskrisen bis hin zur Insolvenz führen.
- Risiken dieser Art sind ein Untersuchungsgegenstand der Betriebswirtschaftslehre, die sich mit den Arten, den Folgen und der Vermeidung betrieblicher Risiken auseinandersetzt.
- Sie hat innerhalb der Risikobewältigung mehrere Strategien entwickelt, betriebliche Risiken zu minimieren oder gar vollständig auszuschalten.
- Die Risikobewältigung beeinflusst das Risikoverhalten und die Risikofreude eines Unternehmens und umgekehrt.
- Risikoidentifikation
Die Risikoidentifikation als der erste Schritt vor einer Risikobewältigung versucht eine systematische Erfassung und Sammlung möglicher Risiken, gefolgt von der Risikoanalyse, die die identifizierten Risiken nach ihren Ursachen und Eintrittswahrscheinlichkeiten untersucht.
- Eine Risikobewertung schließt sich an, die die Bedrohung der analysierten Risiken für ein Unternehmen ermittelt und die Vertretbarkeit analysierter Risiken beurteilt.
- Im Rahmen der Risikobewältigung kommt es im Anschluss darauf an, als vertretbar erachtete Risiken zu tragen und hierfür ein geeignetes Risikocontrolling zu installieren.
- Risiken müssen eingegangen werden
Gewinn und Vermögen für ein Unternehmen konstituieren
- Die maßgebliche Bemessung des Erfolges eines Unternehmens erfolgt jedoch durch die Selektion der „richtigen“ Risiken ().
- Um Risiken zu meistern, müssen die richtigen Strategien entwickelt und entsprechend effiziente und effektive Geschäftsprozesse als Teil einer risikobewussten Unternehmensführung definiert werden.
Maßnahmen
- Aktive und passive Risikobewältigung
Allgemein wird zwischen aktiver und passiver Risikobewältigung unterschieden, auch als ursachenbezogene und wirkungsbezogene Risikosteuerung bezeichnet.
Option | Beschreibung |
---|---|
Aktive Risikobewältigung | Präventive Risikopolitik, soll Einfluss auf die Eintrittswahrscheinlichkeiten und/oder Risikotragweiten nehmen. |
Passiven Risikobewältigung | korrektive Risikopolitik, werden Maßnahmen ergriffen, um die wirtschaftlichen Konsequenzen eingetretener oder erwarteter Risiken bewältigen zu können.
|
Aktiven Risikobewältigung
Option | Beschreibung |
---|---|
Vermeidung | |
Minderung | |
Versifikation |
Vermeidung
Entscheidet sich ein Unternehmen, eigentlich geplante Aktivitäten (etwa Investitionen) nicht durchzuführen oder bestehende Aktivitäten vor Risikoeintritt aufzugeben, liegt Risikovermeidung vor.
- Die Risikovermeidung beschreibt den gänzlichen Verzicht auf eine risikobehaftete Tätigkeit.
- Diese Strategie sollte jedoch erst berücksichtigt werden, wenn infolge akuter Zusammenhänge keine andere Vorgehensweise mehr möglich ist oder das Chancen-Risiko-Verhältnis nicht gebührend optimiert werden kann, da durch diese Methode auch keine Gewinne generiert werden können.
- Ein Beispiel wäre der Austritt aus einem kritischen Geschäftsbereich.
- Es handelt sich um die radikalste Möglichkeit der Risikobewältigung, bei der die Eintrittswahrscheinlichkeit eines konkreten Risikos auf null gesetzt wird.
Minderung
- Von einer Risiko(ver)minderung spricht man, wenn jemand
- Risiken an Dritte überwälzt, etwa auf Kreditinstitute (Sicherungsgeschäfte), Lieferanten oder Kunden (nicht jedoch auf Versicherer) oder
- Kreditsicherheiten hereinnimmt oder
- innerhalb des Unternehmens einen Risikoausgleich
- Risikoausgleich beruht auf der Erfahrung, dass Zufallsschwankungen umso unbedeutender sind, je größer der Umfang beobachteter Elemente und je länger der Beobachtungszeitraum eines Elements ist.
- Dies gilt insbesondere für Versicherungen, da nach dem Gesetz der großen Zahlen erfahrungsgemäß die Zufallsschwankungen umso geringer ausfallen, je größer die Anzahl und der Betrachtungszeitraum der versicherungstechnischen Einheiten ist erzielt (Selbstversicherung) oder durch organisatorische oder technische Maßnahmen Schäden verhütet (operationelles Risiko).
- Die Eintrittswahrscheinlichkeit wird dabei auf ein akzeptables Risikomaß gesenkt, denn Kreditsicherheiten (insbesondere bei Kreditinstituten und Versicherungen) oder der Eigentumsvorbehalt und die Vorauszahlung (bei Lieferanten) mindern bestehende Kredit- und Debitorenrisiken.
Eine Schadensminderung durch technische Risiken kann mit Hilfe von Rückrufaktionen erreicht werden.
- Im Rahmen der Risikokompensation werden Entscheidungen getroffen oder Geschäfte abgeschlossen, die im günstigsten Fall mit einem Korrelationskoeffizienten von negativ zur bestehenden Risikoposition korreliert sind.
Diese Risikokompensation wird im Finanzwesen definiert als die zielgerichtete Kombination des aus einem Finanzinstrument resultierenden Risikos mit einem anderen Finanzinstrument, das eine gegenläufige, negativ korrelierte Gegenwirkung aufweist.
Versifizierung
Eine Risikodiversifikation liegt vor, wenn ein Gesamtrisiko in mehrere, möglichst nicht positiv miteinander korrelierende Einzelrisiken aufgespalten wird und hierdurch eine breite Streuung entsteht.
- Das ist bei Portfolien wie Kreditportfolien der Fall, die im günstigsten Fall eine hohe Granularität und geringe Klumpenrisiken aufweisen (In der Portfoliotheorie gilt das Prinzip: „Nicht alle Eier in einen Korb legen“).
- Innerhalb eines Konzerns können durch Risikodiversifikation voneinander unabhängige Risiken regional, objektbezogen oder personenbezogen gestreut werden:
- Regionale Streuung erfolgt etwa durch Herstellung desselben Produkts in verschiedenen Betriebsstätten (Parallelproduktion);
- objektbezogene Diversifizierung erfolgt beispielsweise durch Schaffung mehrerer gleichartiger Produktionsanlagen (Redundanz);
- personenbezogene Diversifizierung liegt etwa vor, wenn mehrere Vorstandsmitglieder getrennt zum selben Reiseziel reisen.
- Die Risikodiversifikation dient der Regulierung von Risiken, minimiert allerdings nicht unbedingt die Eintrittswahrscheinlichkeit des Einzelrisikos, wirkt jedoch auf den Schadensumfang.
- Da ein synchrones Eintreten aller Risiken in ihrer Gesamtheit sehr unwahrscheinlich ist, sollte man die Gefahr von Abhängigkeiten verhindern, indem man zum Beispiel mehrere Lieferanten zur Auswahl hat und die Qualität der Geschäftspartner vergleicht.
Passive Risikobewältigung
Die passive Risikobewältigung besteht aus Risikoüberwälzung (Risikotransfer) und Risikovorsorge.
- Sie ist erforderlich, wenn für Risiken – bewusst oder unbewusst – keine aktive Risikobewältigung vorgenommen wurde, wodurch ein Risikoeintritt betrieblich zu verkraften ist.
- Bei der Risikoüberwälzung werden bestehende Risiken auf andere Wirtschaftssubjekte, die diese Risiken mindestens genauso gut beherrschen, übertragen.
- Der Risikotransfer reduziert die Folgen des Risikoeintritts, nicht jedoch die Eintrittswahrscheinlichkeit des Risikos.
- Zu nennen sind in erster Linie Versicherer, die Schadensversicherungen (wie Feuerversicherung, Betriebsunterbrechungsversicherung), Kreditversicherungen (für Lieferanten) oder Exportkreditversicherungen (für Exporteure) übernehmen.
- Das gesamte Versicherungsgeschäft wird als Risikotransfer zwischen Versicherer und Versicherungsnehmer gegen Beitragszahlung (Risikotransferkonzept) verstanden. Dabei müssen vor allem die Kosten in einer sinnvollen Relation zum Nutzen stehen.
- Auch die Risikoteilung durch Arbeitsgemeinschaften, Konsortien oder Rückversicherungen/Retrozessionen (bei Versicherungen) ist ein Risikotransfer.
- Das Outsourcing (z. B. EDV, Buchhaltung) ist ebenfalls ein Risikotransfer. Auch Derivate als Sicherungsnehmer (insbesondere Credit Default Swaps) gehören in diese Kategorie.
- Der Risikotransfer ist eine finanzwirtschaftliche Transaktion.
- Die Risikovorsorge besteht aus bilanziellen Maßnahmen, die das risikotragende Unternehmen betreffen.
- Das Vorsichtsprinzip verlangt, dass bei der Bilanzierung alle Risiken und Verluste angemessen zu berücksichtigen sind.
- Deshalb sind nach handelsrechtlichen Vorschriften Rückstellungen, Wertberichtigungen und Abschreibungen vorzunehmen.
- Zur bilanziellen Risikovorsorge gehört auch die Schaffung einer akzeptablen Eigenkapitalbasis zur Deckung eventuell eintretender Verluste und die Haltung angemessener Liquiditätsreserven zwecks Vermeidung der Zahlungsunfähigkeit, was das Überleben des Unternehmens sichern hilft. Bei der Risikovorsorge wird das Risiko vom Unternehmen selbst getragen.
- Als passive Risikobewältigung bezieht sich diese Maßnahme nur auf die Folgen des Risikoeintritts, die durch die Bilanz und Gewinn- und Verlustrechnung abgefedert werden müssen.
Übrig bleiben nach dem Einsatz aller Maßnahmen Restrisiken, die ein Unternehmen bewusst in Kauf nimmt.
- Es geht davon aus, dass die technische oder Marktentwicklung zu einer über 50 % liegenden Eintrittswahrscheinlichkeit plangemäß verläuft.
Praktische Anwendung
- Anwendung in der Praxis und Probleme
Auf Basis psychologischer Forschung wurde bewiesen, dass die meisten Menschen eine intensive Antipathie gegenüber Risiken und Verlusten haben.
- Dabei werden Risiken aus falschem Handeln als bedrohlicher empfunden als Risiken aus Nicht-Handeln (entgangene Chancen).
- Hinzu kommt die Neigung, Risiken mit geringer Eintrittswahrscheinlichkeit, aber hohem Schadenspotenzial, zu überbewerten.
- Beides kann zu übertriebenen Vermeidungsstrategien führen und damit zum wirtschaftlichen Nachteil des Unternehmens.
- Es geht beim Risikomanagement nicht um die Eliminierung aller Risiken aus der Organisation („Null-Risiko-Illusion“), da jede unternehmerische Betätigung mit dem Eingehen von Risiken verbunden ist.
- Ziel ist vielmehr eine Optimierung des Chancen-Risiko-Profils eines Unternehmens.
- Versicherungen
In einigen Unternehmen reduzieren sich die Vorgehensweisen zur Risikobewältigung allein auf Versicherungen.
- Auch dahinter steckt das unbewusste Bestreben, am liebsten alle Risiken auf außenstehende Parteien abzuwälzen und im Ergebnis gar nicht mehr falsch handeln zu können.
- Die Verwendung von nur einer Risikobewältigungsstrategie sollte in der Praxis jedoch nicht erfolgen.
- Ein Mix verschiedener Maßnahmen ist am effizientesten.
- Die Einschätzung prognostizierter Erträge mit den damit verknüpften Risiken ist Bestandteil jeder gründlichen Planung unternehmerischer Entscheidungen.
- Verdrängung
Eine andere Problematik ist das Verdrängen von Risiken
- Hier wird die Möglichkeit von Rückschlägen oder eines Scheiterns in unvernünftiger Weise nicht in Erwägung gezogen.
- Beträchtliche Folgen für das unternehmerische Risikomanagement entstehen aus dem menschlichen Bestreben, kognitive Unstimmigkeiten zu vermeiden und das Umfeld zu lenken: Das bewusste oder unbewusste Vernachlässigen existenter Risiken führt dazu, dass wirtschaftliche Risikobewältigungsverfahren nicht genutzt und eingetretene Plandiskrepanzen später nicht in Bezug auf die ursächlichen Risiken untersucht werden.
Risikobericht
Kapitalgesellschaften haben nach dem seit Mai 1998 geltenden KonTraG die Pflicht, den Lagebericht um einen Risikobericht zu erweitern, darin existenzbedrohende Risiken zu dokumentieren und auch „auf die Risiken der künftigen Entwicklung einzugehen“.
- Allerdings sind die gesetzlichen Regelungen zum Risikobericht jeweils nur in einem Halbsatz in den §Vorlage:§ Abs. 1 und Vorlage:§ Abs. 1 HGB beschrieben, so dass ein großer Ermessensspielraum für die Unternehmen besteht.
- Somit ergibt sich auch eine mittelbare gesetzliche Verpflichtung für Kapitalgesellschaften, ihre Risiken und Chancen durch Risikomanagement zu untersuchen und zu steuern.
- Sie müssen ein internes Kontrollsystem installieren, welches wiederkehrende Kontrollschritte definiert und in determinierter Häufigkeit ausführt, um Schlüsselrisiken zu reduzieren.
Risikocontrolling
Risikocontrolling - Schnittstellen von Risikomanagement und Controlling
Beschreibung
- Ursprung
- Risikocontrolling (Finanzrisikocontrolling) in Zusammenhang mit Handelsabteilungen in Kreditinstituten
- Risikocontrolling wird dabei gemäß der „Verlautbarung über Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstitute“ des Bundesaufsichtsamt für das Kreditwesen aus dem Jahre 1998 als „System zur Messung und Überwachung der Risikopositionen und zur Analyse des mit ihnen verbundenen Verlustpotentials“ verstanden, während das Risikomanagement für die eigentliche Steuerung der Risikopositionen zuständig ist.
Seit den handels- und aktienrechtlichen Änderungen durch das KonTraG im Jahre 1998 hat auch in Nicht-Finanzunternehmen eine umfangreiche Auseinandersetzung mit dem Risikocontrolling als Aufgabenbereich und Institution eingesetzt.
- Risikomanagement, Risikocontrolling und Controlling
- Abgrenzung der Begriffe uneinheitlich
- Das Kompositum „Risikocontrolling“ ähnelt „Bindestrich-Controlling-Begriffen“ und ist aus dieser Perspektive als ein auf das Risiko bezogenes Controlling zu verstehen.
- In der Praxis und im Schrifttum wird das Risikocontrolling in Nicht-Finanzunternehmen i. d. R. als Teilgebiet des Controllings gesehen.
- Entsprechend existieren in der betriebswirtschaftlichen Literatur einige Risikocontrolling-Ansätze, die sich mehr oder weniger an akademischen Controlling-Konzeptionen orientieren.
Die dem Risikocontrolling in der Unternehmenspraxis und im Schrifttum zugeordneten Aufgabengebiete umfassen z. B. die Einrichtung und den Betrieb von Risikoberichtssystemen sowie die Risikobewertung einschließlich der Risikoaggregation.
- Die Risikocontrolling-Aufgaben werden in der Regel von Controllern wahrgenommen.
Als spezieller Gegenstand des Risikocontrollings kann die monetäre Abbildung und Kommunikation von Unternehmensrisiken mithilfe einer Risikorechnung angesehen werden.