Unternehmerische Tätigkeit ist immer mit Unsicherheiten
verbunden. Aufgabe des
Risikomanagements ist es die Chancen und Risiken systematisch
zu identifizieren und sie hinsichtlich potenzieller
Auswirkungen auf das Unternehmen zu bewerten. Der
Begriff Risiko wird daher als Streuung
um einen Erwartungswert definiert. Nach
dieser Definition werden sowohl positive Abweichungen
(Chancen) als auch negative Abweichungen (Gefahren)
berücksichtigt.
Es ist unter anderem eine Aufgabe des
Risikomanagements bei Unternehmen, die Streuung bzw. die
Schwankungsbreite von Gewinn und Cash
Flow zu reduzieren bzw. insgesamt die
Planungssicherheit zu erhöhen. Dies kann unter anderem zu
folgenden positiven Effekten für Unternehmen führen [vgl.
Gleißner/Romeike 2005, S. 28 ff. sowie Romeike, Hager 2009,
S. 108]:
Die Reduzierung der Schwankungen erhöht die Planbarkeit
und Steuerbarkeit eines Unternehmens, was einen positiven
Nebeneffekt auf das erwartete Ertragsniveau hat.
Eine prognostizierbare Entwicklung der Zahlungsströme
reduziert die Wahrscheinlichkeit, unerwartet
auf teure externe Finanzierungsquellen zurückgreifen zu
müssen.
Eine Verminderung der risikobedingten Schwankungsbreite
der zukünftigen Zahlungsströme senkt die Kapitalkosten und
wirkt sich positiv auf den Unternehmenswert aus.
Eine stabile Gewinnentwicklung mit einer
hohen Wahrscheinlichkeit für eine
ausreichende Kapitaldienstfähigkeit ist im Interesse der
Kapitalmärkte, was sich in einem
guten Rating, einem vergleichsweise hohen
Finanzierungsrahmen und günstigen Konditionen widerspiegelt.
Eine stabile Gewinnentwicklung sowie eine
hohe Risikotragfähigkeit(Eigenmittelausstattung)
reduziert die Wahrscheinlichkeit einer
Insolvenz.
Eine stabile Gewinnentwicklung sowie eine niedrigere
Insolvenzwahrscheinlichkeit sind im Interesse von
Arbeitnehmern, Kunden und Lieferanten, was es erleichtert,
qualifizierte Mitarbeiter zu gewinnen und langfristige
Beziehungen zu Kunden und Lieferanten aufzubauen.
Bei einem progressiven Steuertarif haben zudem
Unternehmen mit schwankenden Gewinnen Nachteile gegenüber
Unternehmen mit kontinuierlicher Gewinnentwicklung.
Ein effizienter Risikomanagement-Prozess funktioniert
ähnlich dem menschlichen Organismus oder anderer
Netzwerkstrukturen in der Natur. In einem menschlichen
Organismus arbeiten Gehirn, Herz und Nervensystem zusammen.
Netzwerke sind anpassungsfähig und flexibel, haben
gemeinsame Ziele, spielen zusammen und vermeiden
Hierarchien. Netzwerkstrukturen sind skalierbar und
außerordentlich überlebensfähig.
Der Regelkreis des Risikomanagements in der
Praxis
Übertragen auf den Prozess des
Risk Managements bedeutet dies, dass verschiedene Sensoren
und Sinne (etwa Auge, Ohr, Nerven oder Frühwarnindikatoren)
die Risiken aufnehmen und sie an eine zentrale Stelle
weiterleiten (Gehirn bzw. Risikomanager).
Und insgesamt entscheidet die strategische Ausrichtung des
Systems (Unternehmens) über das Risikoverständnis. In
diesem Zusammenhang ist es wichtig, die strategische
Dimension des Risikomanagements nicht losgelöst von der
strategischen Unternehmensführung (Geschäftsstrategie) zu
betrachten.
Das Strategische Risikomanagement bildet
die integrative Klammer und das Fundament des gesamten
Risk-Management-Prozesses. Es beinhaltet vor allem die
Formulierung von Risk-Management-Zielen in Form einer
"Risikostrategie". Bevor das Risk
Management als kontinuierlicher Prozess
eingeführt und gelebt werden kann, müssen zunächst die
Grundlagen bezüglich der Rahmenbedingungen
(beispielsweise Risikoappetit, Risikotragfähigkeit),
Organisation
(etwa Funktionen, Verantwortlichkeiten und
Informationsfluss) und die eigentlichen Prozessphasen
definiert werden.
Das operative Risikomanagement (vgl.
Abbildung oben) beinhaltet den Prozess der
systematischen und laufenden Risikoanalyse der
Geschäftsabläufe. Ziel der
Risikoidentifikation ist die frühzeitige Erkennung von "den
Fortbestand der Gesellschaft gefährdende Entwicklungen",
d. h. die
möglichst vollständige Erfassung aller potenziellen
Risikoursachen, Schadensursachen und Störpotenzialen. Für
einen effizienten Risk-Management-Prozess kommt
es darauf an, dass dieser als kontinuierlicher Prozess – im
Sinne eines Regelkreises – in die Unternehmensprozesse
integriert wird.
Die Informationsbeschaffung ist die schwierigste Phase im
gesamten Prozess und
eine Schlüsselfunktion des Risk Managements, da dieser
Prozessschritt die Informationsbasis für alle nachfolgenden
Phasen liefert – schließlich können nur Risiken bewertet
und gesteuert werden, die auch erkannt wurden. In der
Prozessphase der Risikoidentifkation ist es wichtig, dass
zwischen Risikoursachen (Causes), den potenziellen Plan-/Zielabweichungen
(Risiken) und den Wirkungen (Effects) unterschieden
wird.
Die Unterscheidung zwischen Risikoursachen bzw.
Risikotreibern sowie den Risikowirkungen kann illustrativ
im Bow-Tie-Diagramm dargestellt
werden. Ergänzend können hierbei auch die ursachen- und
wirkungsbezogenen Maßnahmen abgebildet werden.
Das Bow-Tie-Diagramm zur Visualisierung von Ursachen und
Wirkungen
Ein wichtiges Instrument zur Risikoidentifikation sind
Frühwarnsysteme, mit deren Hilfe Frühwarnindikatoren (etwa
Konjunktur- oder Einkaufsindizes, aber auch interne
Faktoren wie etwa Mitarbeiterunzufriedenheit oder
Prozessqualität) ihren Benutzern rechtzeitig latente (das
heißt verdeckt bereits vorhandene) Risiken signalisieren,
sodass noch hinreichend Zeit für die Ergreifung geeigneter
Maßnahmen zur Abwendung des Risikoeintritts bzw. zur
Reduzierung der Risikoauswirkung besteht [vgl. Romeike
2008, S. 65 sowie Romeike 2005, S. 22-27]. Frühwarnsysteme
verschaffen damit einem Unternehmen Zeit für Reaktionen und
optimieren die Steuerbarkeit.
Erkennen von schwachen Signalen im Kontext
Frühwarnung und Krisenprävention
Die Wahl der Methodik zur Risikoidentifikation hängt stark
von den spezifischen Risikoprofilen des Unternehmens und
der Branche ab. In der betrieblichen Praxis sollten die
einzelnen Methoden und
Werkzeuge kombiniert werden. Die nachfolgende Abbildung
gibt einen Überblick über die verschiedenen in der Praxis
angewendeten Methoden. Bei
der Erfassung der Risiken helfen Checklisten, Workshops,
Besichtigungen, Interviews, Organisationspläne, Bilanzen
und Schadenstatistiken. Die Ergebnisse
der Risikoanalyse fließen
in ein Risikoinventar ein.
Die identifizierten Risiken müssen im anschließenden
Prozessschritt detailliert analysiert und bewertet werden.
Ziel sollte
dabei ein sinnvolles und möglichst für alle
Risikokategorien anwendbares Risikomaß sein.
In der Unternehmenspraxis erfolgt traditionell eine
Quantifizierung der Risiken hinsichtlich Schadensausmaß und
Eintrittswahrscheinlichkeit (mathematisch wird damit eine
so
genannte Binomialverteilung unterstellt).
Der Erwartungswert bestimmt sich (bei
diskreten Zufallsvariablen) zweidimensional aus der
Multiplikation der Eintrittswahrscheinlichkeit mit dem
Schadensausmaß (Risikodimension, Risikopotenzial,
Tragweite). Der ErwartungswertE(X) oder μ
einer Zufallsvariablen (X) ist jener Wert, der sich (in der
Regel) bei vielfachem Wiederholen des zugrunde liegenden
Experiments als Mittelwert der
Ergebnisse ergibt. Er bestimmt die Lokalisation (Lage)
einer Verteilung und ist vergleichbar mit dem empirischen
arithmetischen Mittel einer Häufigkeitsverteilung in der
deskriptiven Statistik. Das Gesetz der großen
Zahlen sichert in vielen Fällen zu, dass der
Stichprobenmittelwert bei wachsender Stichprobengröße gegen
den Erwartungswert konvergiert.
Im Rahmen dieses kurzen einführenden Textes kann nicht im
Detail auf die verschiedenen Bewertungsmethoden in der
Praxis eingegangen werden [vgl. vertiefend Romeike/Hager
2013].
Der Werkzeugkasten des Risikomanagers bietet eine große
Vielfalt an Methoden und
Analysemethoden. Die Auswahl der Werkzeuge und Methode wird
dabei primär von den verfügbaren Daten der einzelnen
Risiken determiniert. Bei quantifizierbaren Risiken können
die potenziellen Verlust in drei Bereiche aufgeteilt
werden: Erwartete Verluste, statistische Verluste und
Stressverluste.
Der erwartete Verlust (im Bereich der Finanzdienstleister
auch als "Expected Loss" oder
Standardrisikokosten bezeichnet) spiegelt die mit einer
Geschäftstätigkeit zusammenhängenden, durchschnittlichen
inhärenten Verluste wider. Diese sind in der Planung
abgebildet und werden – sofern es die
Rechnungslegungsstandards zulassen – direkt von den
Erträgen abgezogen.
Der statistische Verlust (unerwartete Verlust bzw.
"unexpected loss") ist die geschätzte
Abweichung des effektiven Verlusts vom erwarteten Verlust
über einen bestimmten Zeithorizont und unter Annahme eines
vorgegebenen Konfidenzintervalls
(auch Vertrauensbereich oder Mutungsintervall genannt).
Der Stressverlust ist der Verlust, der durch extreme
Ereignisse (high-severity/low-frequency-Risiken) ausgelöst
werden kann. Da in der Praxis für derartige
Extremereignisse in aller Regel nicht genügend
historische Risiko- oder Schadensdaten
vorhanden sind, muss man entweder mit theoretischen
Zufallsverteilungen arbeiten oder mit Hilfe von Stresstests
potenzielle Stressszenarien analysieren. Bei potenziell
katastrophalen Ereignissen, die zwar selten eintreten,
dafür aber fatale Schadenssummen produzieren, greift man in
der Praxis auch auf die Extremwert-Theorie ("Extreme Value
Theorie", EVT) bzw. die Peaks-over-Threshold-Methode (PoT)
zurück [vgl. Embrechts/Klüppelberg 1997].
In der Unternehmenspraxis beschränkten sich viele Unternehmen
auf ein einfaches System, in dem
die Eintrittswahrscheinlichkeit und das Schadensausmaß mit
Hilfe weniger Stufen – in der Regel basierend auf einer
Experteneinschätzung – klassifiziert wird (vgl. nachfolgende
Tabellen).
Eintrittswahrscheinlichkeit
1 = Hohe Eintrittswahrscheinlichkeit (häufig)
Eintritt innerhalb eines Jahres ist zu erwarten; bzw.
Eintritt empirisch in den vergangenen 3 Jahren
Eintritt innerhalb von 3 Jahren ist zu erwarten; bzw.
Eintritt empirisch in den vergangenen 8 Jahren
3 = Niedrige Eintrittswahrscheinlichkeit (selten)
Eintritt innerhalb von 8 Jahren ist zu erwarten; bzw.
Eintritt empirisch in den vergangenen 15 Jahren
4 = Unwahrscheinlich
Risiko ist bisher, auch bei vergleichbaren
Unternehmen, noch nicht eingetreten. Risiko kann aber
auch nicht ausgeschlossen werden
Schadensausmaß
1 = Katastrophenrisiko
Die Existenz des Unternehmens wäre bei Risikoeintritt
gefährdet
2 = Großrisiko
Der Eintritt des Risikos zwingt zur kurzfristigen
Änderung der Unternehmensziele bzw. Strategie
3 = Mittleres Risiko
Der Eintritt des Risikos zwingt zur mittelfristigen
Änderungen der Unternehmensziele bzw. Strategie
4 = Kleinrisiko
Der Eintritt des Risikos zwingt zur Änderung von
Mitteln und Wegen
5 = Bagatellrisiko
Der Eintritt des Risikos hat keine Auswirkungen auf
den Unternehmenswert
Die Ersteinschätzung der Relevanz geschieht in der Praxis
durch kompetente Experten, die sich dabei vor allem am
realistischen Höchstschaden orientieren.
Sie unterteilen die Risiken beispielsweise in fünf
Relevanzklassen von "unbedeutendes Risiko"
bis "bestandsgefährdendes Risiko". Die
nachfolgende Tabelle zeigt exemplarisch verschiedene
Relevanzklassen.
Relevanz wird dabei als die Gesamtbedeutung des Risikos für
das Unternehmen verstanden. Sie gilt als weiteres Risikomaß
und ist von folgenden Parametern abhängig:
Mittlere Ertragsbelastung (Erwartungswert),
Realistischer Höchstschaden,
Wirkungsdauer.
Ein weiterer Vorteil der Relevanzeinschätzung besteht darin,
dass sie die Information über die Schwere eines Risikos in
einfacher Form beschreibt und so die Kommunikation relevanter
Risikoinformationen erleichtert.
Als Bewertungsmethodik bietet sich entweder ein "Top-down"-
oder ein "Bottom-up"-Ansatz an. Erfolgt die Bewertung nach
einer Top-down-Methode, so stehen für das Unternehmen die
bekannten Folgen bzw. Wirkungen der Risiken im Vordergrund
(siehe Bow-Tie-Diagramm). Hierbei werden
Daten der Gewinn- und Verlustrechnung wie etwa Erträge,
Kosten oder das Betriebsergebnis im Hinblick auf deren
Volatilitäten hin untersucht. Der Top-down-Ansatz bietet den
Vorteil einer relativ schnellen Erfassung der Hauptrisiken
aus strategischer Sicht. Diese "Makroperspektive" kann jedoch
auch dazu führen, dass bestimmte Risiken nicht erfasst werden
oder Korrelationen zwischen Einzelrisiken nicht korrekt
bewertet werden.
Relevanzklasse
Wirkung auf Risikotragfähigkeit
Erläuterungen
1
Unbedeutendes Risiko
Unbedeutende Risiken, die weder Jahresüberschuss noch
Unternehmenswert spürbar beeinflussen
2
Mittleres Risiko
Mittlere Risiken, die eine spürbare Beeinträchtigung
des Jahresüberschusses bewirken.
3
Bedeutendes Risiko
Bedeutende Risiken, die den Jahresüberschuss stark
beeinflussen oder zu einer spürbaren Reduzierung des
Unternehmenswertes führen.
4
Schwerwiegendes Risiko
Schwerwiegende Risiken, die zu einem Jahresfehlbetrag
führen und den Unternehmenswert erheblich reduzieren.
5
Bestandsgefährdendes Risiko
Bestandsgefährdende Risiken, die mit einer
wesentlichen Wahrscheinlichkeit den Forbestand des
Unternehmens gefährden.
Bei den Bottom-up-Ansätzen stehen die Ursachen
(siehe Bow-Tie-Diagramm) der verschiedenen
Risiken im Mittelpunkt der Analyse. Es wird
versucht, die möglichen Folgen eines Risikoeintritts für das
Unternehmen herzuleiten und zu bewerten. Hierbei sind eine
eingehende Analyse der
Prozesse sowie
deren Ursache-Wirkungsketten und Abhängigkeiten erforderlich.
Die Bottom-up-Ansätze bieten den Vorteil, dass sämtliche
Geschäftsbereiche und Prozesse erfasst
und analysiert werden können. Allerdings ist der
Bottom-up-Ansatz auch um ein Vielfaches aufwendiger. In der
Praxis bietet sich eine Kombination von Top-Down- und
Bottom-Up-Ansätzen
an.
Der Werkzeugkasten des Risikomanagers bietet eine große
Vielfalt an Methoden und
Analysemethoden. Die Auswahl der Werkzeuge und Methode wird
primär von den verfügbaren Daten der einzelnen Risiken
determiniert. Bei quantifizierbaren Risiken können die
potenziellen Verlust in drei Bereiche aufgeteilt werden:
Erwartete Verluste, statistische Verluste und Stressverluste.
Auf die einzelnen Methoden
der Risikobewertung kann an dieser
Stelle nicht ausführlich eingegangen werden (eine
ausführliche Einführung und Vertiefung in die diversen
Methoden bietet
beispielsweise die Veröffentlichung Romeike/Hager 2013).
Außerdem enthält das RiskNET Glossar eine kompakte
Einführung in die wesentlichen Methoden.
Ergänzende Informationen enthält außerdem die
Rubrik Risk-Management-Methoden.
Die Ergebnisse
der Risikobewertung können in
das Risikoinventar (bzw. den
Risikokatalog) übernommen werden. Wenn basierend auf den oben
skizzierten Bottom-up- bzw. Top-down-Methoden die
Eintrittswahrscheinlichkeiten und der Ergebniseffekt
(Erwartungswerte bzgl. Impact, Schadensausmaß etc.)
quantifiziert wurden, lassen sich diese in einer Risk Map
(auch Risikomatrix, Heat Map oder Risikolandkarte genannt)
darstellen. In der nachfolgenden Abbildung ist exemplarisch
eine Risk Map dargestellt. Eine Risk Map gibt einen (stark
vereinfachten) Gesamtüberblick über das Risikoportfolio eines
Unternehmens und kann den Entscheidungsträgern als erste
Grundlage zur Risikosteuerung und
-kontrolle dienen.
Formal handelt es sich bei den in einer Risk Map abgebildeten
Risiken um binomialverteilte Risiken. Diese weisen genau zwei
Zustände auf: Entweder das Risiko tritt
ein (dann tritt ein Schaden infolge einer Schadenshöhe ein)
oder es tritt nicht ein.
Nachfolgend ein konkretes Beispiel basierend auf der
skizzierten Risk Map: Wenn Risiko 6
eintritt (mit 50
Prozent Wahrscheinlichkeit tritt
das Risiko ein, mit 50 Prozent tritt es
nicht ein; damit quasi ein Münzwurf), dann beträgt die
Schadenshöhe exakt 50.000 EUR. In der Praxis ist es
allerdings eher so, dass sowohl
die Wahrscheinlichkeit für den Eintritt
des Risikos unbekannt ist, als auch die Schadenshöhe.
Beispiel für eine Risk Map (Heat Map,
Risikolandkarte, Risikomatrix)
Die Mehrzahl Risiken können durch den zu Grunde liegenden
Bernoulli-Prozess nicht
beschrieben werden, da beispielsweise die Anzahl der
"Versuche" n (bzw. potenziellen Risikoeintritte) nicht
bekannt ist oder auch die Erfolgswahrscheinlichkeit p
unbekannt ist. Man denke etwa an die Unsicherheit bezüglich
Nachfrage oder die Entwicklung von Wechselkursen und
Rohstoffpreisen – hier beträgt die
Eintrittswahrscheinlichkeit für eine potenzielle
Planabweichung 100 Prozent. Unbekannt ist lediglich die
potenzielle Schwankungsbreite
bzw. Volatilität.
Szenariobasierte Ansätze, Kreativitätsmethoden sowie
Simulationsmethoden helfen, existenzbedrohende
Extremereignisse zu identifizieren und zu bewerten
(beispielsweise mit Hilfe einer geeigneten
Verteilungsfunktion, etwa einer Dreiecksverteilung,
einer PERT-Verteilung,
einer Normalverteilung,
einer Poisson-Verteilung).
Bereits der Wissenschaftler Benoît B. Mandelbrot, bekannt für
seine wegweisenden Arbeiten zur Fraktalen Geometrie und
Chaosforschung, hatte das Thema lange vor den jüngsten
Marktturbulenzen auf den Punkt gebracht: "Wenn jemand ein
Schiff baut, interessiert ihn nicht, wann genau der nächste
Sturm kommt. Er baut das Schiff so, dass es jeden denkbaren
Sturm überlebt."
Eine Aggregation der identifizierten
und relevanten Risiken ist erforderlich, weil sie auch in
der Realität zusammen auf Gewinn und Eigenkapital wirken.
Es ist damit offensichtlich, dass alle Risiken gemeinsam
die Risikotragfähigkeit eines
Unternehmens belasten (siehe nachfolgende Abbildung
zur Risikotragfähigkeit).
Die Risikotragfähigkeit wird –
vereinfacht betrachtet – von zwei Größen bestimmt, nämlich
zum einen vom Eigenkapital und zum anderen von den
Liquiditätsreserven. Die Beurteilung des
Gesamtrisikoumfangs ermöglicht eine Aussage darüber, ob
die Risikotragfähigkeit eines
Unternehmens ausreichend ist, um den Risikoumfang des
Unternehmens tatsächlich zu tragen und damit den
Fortbestand des Unternehmens zu gewährleisten.
Das Gesetz der Risikotragfähigkeit
Die Notwendigkeit eines solchen Verfahrens wird auch von
den Wirtschaftsprüfern betont, wie die folgende
Stellungnahme des IDW (Institut der Wirtschaftsprüfer)
zum KonTraG (IDW PS 340)
zeigt:
"Die Risikoanalyse beinhaltet
eine Beurteilung der Tragweite der erkannten Risiken in
Bezug auf Eintrittswahrscheinlichkeit und quantitative
Auswirkungen. Hierzu gehört auch die Einschätzung, ob
Einzelrisiken, die isoliert betrachtet von nachrangiger
Bedeutung sind, sich in ihrem Zusammenwirken oder durch
Kumulation im Zeitablauf zu einem
bestandsgefährdenden Risiko aggregieren
können."
Die Aggregation von Risiken zu einer
Gesamtrisikoposition kann grundsätzlich auf zwei Wegen
erfolgen, analytisch oder durch Simulation.
Für den analytischen Weg bedarf es einer
Verteilungsannahme.
Der Varianz-Kovarianz-Ansatz ist ein
analytisches Verfahren zur Bestimmung des Value
at Risk, einer Gesamtrisikoposition die sich aus
verschiedenen Einzelrisiken additiv zusammensetzt. Der
Begriff wird häufig synonym mit der korrekteren
Bezeichnung "Delta-Normal-Ansatz" verwendet und
entspricht dem ursprünglichen VaR-Modell von
J. P. Morgan.
Die Stochastik der
Risikofaktoren (Volatilitäten und Korrelationen) wird
durch eine Kovarianzmatrix beschrieben, d. h. man
geht von multivariat normalverteilten Änderungen der
Risikofaktoren aus. Über die Volatilitäten
(Standardabweichung) der Risikofaktoren wird
der Value at Risk in den einzelnen
Risikofaktoren ermittelt und über die Korrelationsmatrix
auf die
jeweilige Risiko-Konsolidierungsstufe aggregiert
zur Gesamtrisikoposition.
Für eine methodisch
saubere Risikoaggregation sollten
Methoden
gewählt werden, die
durch beliebige Wahrscheinlichkeitsverteilungen
beschriebene Risiken erfassen können,
dabei auch nicht additive (beispielsweise
multiplikative) Verknüpfungen
der Risiken berücksichtigen und
den Kontext zur Unternehmensplanung herstellen,
da Risikomanagement letztlich
die Planungssicherheit und den Eigenkapitalbedarf eines
Unternehmens konsistent zur tatsächlichen Planung
aufzeigen möchte.
Die "historische Simulation",
die insbesondere im Risikomanagement der
Banken häufig genutzt wird, disqualifiziert sich insofern
zumindest teilweise.
Für die Aggregation von Risiken
bieten sich daher simulationsbasierte Ansätze an (etwa
basierend auf der so
genannten Monte-Carlo-Simulation).
Hier werden zunächst die Wirkungen der Einzelrisiken
bestimmten Positionen, etwa der Plan-Erfolgs-Rechnung
oder der Plan-Bilanz,
zugeordnet: Beispielsweise wird sich eine ungeplante
Erhöhung der Stornoquote auf verschiedene Position in der
Gewinn- und Verlustrechnung auswirken.
Eine Voraussetzung für die Bestimmung des
"Gesamtrisikoumfangs"
mittels Risikoaggregation stellt die
Zuordnung von Risiken zu Positionen der
Unternehmensplanung dar. Dabei können Risiken als
Schwankungsbreite um einen Planwert modelliert werden
(beispielsweise +/– 10 % Schwankungen bei definierten
Marktrisiken). In der folgenden Abbildung ist das
grundsätzliche Prinzip der Aggregationvon
Risiken sowie der Sensitivitätsanalyse dargestellt.
S1 bis Sn zeigen dabei die unterschiedlichen
Zukunftspfade der Outputvariablen – basierend auf den
modellierten Risiken (= Inputfaktoren) – auf.
Ein Blick auf die verschiedenen Szenarien der
Simulationsläufe (vgl. Abbildung unten) veranschaulicht,
dass sich bei jedem Simulationslauf andere Kombinationen
von Ausprägungen der Risiken bzw. der Outputfaktoren
ergeben. Damit erhält man in jedem Schritt einen
simulierten Wert für die betrachtete Zielgröße
(beispielsweise EBIT oder Cash Flow). Die
Gesamtheit aller Simulationsläufe liefert eine
"repräsentative Stichprobe"
aller möglichen Risikoszenarien des Unternehmens und
ermöglicht einen Einblick in potenzielle
Zukunftszenarien. Aus den ermittelten Realisationen der
Zielgröße ergeben sich aggregierte
Wahrscheinlichkeitsverteilungen (Dichtefunktionen), die
dann für weitere Analysen genutzt werden. Als weiteres
Ergebnis können Stresspfade analysiert werden und mit
Hilfe der Sensitivitätsanalyse die
Stärke der Wirkung von Einzelrisiken auf die Output-Größen
berechnet werden.
Methodisches Vorgehen bei der Aggregation von
Risiken
Erst der Gesamtrisikoumfang – als Ergebnis
der Risikoaggregation – ermöglicht
erst eine fundierte Beurteilung der
Risikoeigentragungskraft des Unternehmens, die maßgeblich
die Maßnahmen
der Risikofinanzierung oder des
Risikotransfers bestimmen. In diesem Zusammenhang ist auch
eine Berechnung der kalkulatorischen Eigenkapitalkosten –
eine wesentliche Komponente der Gesamtrisikokosten –
wichtig. So substituieren Risikotransferlösungen
(beispielsweise Versicherungen) letztlich knappes und
relativ teures Eigenkapital.
Die kalkulatorischen Eigenkapitalkosten resultieren als
Produkt von
Eigenkapitalbedarf und Eigenkapitalkostensatz, der von der
akzeptierten Ausfallwahrscheinlichkeit und der erwarteten
Rendite von Alternativanlagen (beispielsweise am
Aktienmarkt) abhängt.
Eine Schlüsselstelle im
gesamten Risk-Management-Prozess nimmt
die Risikosteuerung und -kontrolle ein
(siehe Abbildung). Diese Phase zielt darauf ab, die
Risikolage des Unternehmens positiv zu verändern bzw. ein
ausgewogenes Verhältnis zwischen Ertrag (Chance) und
Verlustgefahr (Risiko) zu erreichen, um den
Unternehmenswert zu steigern.
Die Risikosteuerung und -kontrolle
umfasst alle Mechanismen und Maßnahmen zur Beeinflussung der
Risikosituation, entweder durch eine Verringerung der
Eintrittswahrscheinlichkeit und/oder des Schadensausmaßes.
Dabei sollte die Risikosteuerung und
-kontrolle mit den in
der Risikostrategie definierten Zielen
sowie den allgemeinen Unternehmenszielen übereinstimmen.
Ziele dieser Prozessphase sind die Vermeidung von nicht
akzeptablen Risiken sowie die Reduktion und der Transfer von
nicht vermeidbaren Risiken auf ein akzeptables Maß. Eine
optimale Risikosteuerung und
-bewältigung ist dabei diejenige, die durch eine Optimierung
der Risikopositionen des Unternehmens den Unternehmenswert
steigert.
Im Hinblick auf die Steuerung bzw.
das Management von Risiken bestehen prinzipiell drei
Strategiealternativen. Die so genannte präventive (oder auch
ätiologische) Risikopolitik zielt darauf
ab, Risiken aktiv durch eine Beseitigung oder Reduzierung der
entsprechenden Ursachen zu vermeiden oder zu vermindern
(siehe Bow-Tie-Diagramm oben). Es wird
versucht, die Risikostrukturen durch Verringerung der
Eintrittswahrscheinlichkeit und/oder der Tragweite einzelner
Risiken zu verringern.
Im Gegensatz zu diesen aktiven Steuerungsmaßnahmen, die
direkt an den
strukturellen Risikoursachen (Eintrittswahrscheinlichkeit,
Schadensausmaß) ansetzen, wird bei der so genannten
korrektiven (oder
palliativen) Risikopolitik der Eintritt
eines Risikos bewusst akzeptiert. Ziel der
passiven Risikopolitik ist es nicht, die
Eintrittswahrscheinlichkeiten oder die Tragweite der Risiken
zu reduzieren, d. h. die
Risikostrukturen werden nicht verändert. Der Risikoträger
versucht vielmehr, durch geeignete Maßnahmen Risikovorsorge
zu betreiben. Diese Risikovorsorge hat zum Ziel, die
Auswirkungen des Risikoeintritts zu vermeiden oder zu
vermindern (siehe Bow-Tie-Diagramm). Dies
kann beispielsweise in Form der häufig praktizierten
Überwälzung von Risiken auf andere Risikoträger (etwa
Versicherer oder Kapitalmarkt) geschehen. Bei einem
Risikoeintritt werden neben der Bereitstellung der
erforderlichen Liquidität die negativen Konsequenzen auf der
Ertragslage abgefedert.
Embrechts, P./Klüppelberg,
C./Mikosch, T. (1997): Modelling extremal events for
insurance and finance, Berlin 1997.
Gleißner, W./Romeike, F. (2005): Risikomanagement
– Umsetzung, Werkzeuge, Risikobewertung, Freiburg i. Br.
2005.
Romeike, F./Hager, P. (2009):
Erfolgsfaktor Risk Management
2.0 – Methoden,
Beispiele, Checklisten: Praxishandbuch für Industrie und
Handel, 2. Auflage, Wiesbaden 2009.
Romeike, F./Hager, P. (2013):
Erfolgsfaktor Risk Management
3.0 – Methoden,
Beispiele, Checklisten: Praxishandbuch für Industrie und
Handel, 3. Auflage, Wiesbaden 2013.
Romeike, F. (2008): Gesunder Menschenverstand als
Frühwarnsystem (Gastkommentar), in: Der Aufsichtsrat, Ausgabe
05/2008, S. 65.
Romeike, F. (2005): Frühwarnsysteme im Unternehmen, Nicht
der Blick in den Rückspiegel ist entscheidend, in: RATING
aktuell, April/Mai 2005, Heft 2, S. 22-27.
Das Bow-Tie-Diagramm zur Visualisierung von Ursachen und Wirkungen
