Kennen Sie das Reifegrade-Modell?

Unternehmensweites Risikomanagement hat sich in den letzten Jahren als fixer Bestandteil der Corporate Governance der meisten großen Unternehmen etabliert. Die in den Unternehmen implementierten Risikomanagementsysteme sind aber keineswegs einheitlich, sondern je nach Unternehmen sehr unterschiedlich entwickelt. Ein wesentliches Differenzierungsmerkmal ist die Vorgehensweise bei der Bewertung und Aggregation der Risiken. Hier findet man eine große Bandbreite an Methoden: von einfachen, qualitativen Vorgehensweisen bis hin zu komplexen, quantitativen Ansätzen. Dieser Beitrag stellt unterschiedliche Methoden der Risiko­bewertung vor, zeigt Zusammenhänge zwischen Risiko­bewertung und Reifegrad der Risikomanagementsysteme auf und beschreibt die Herausforderungen bei der Risiko­bewertung in der Praxis.

Das Risikomanagement hat sich in den letzten Jahren im Großteil der österreichischen Unternehmen als fixer Bestandteil der Corporate-Governance-Systeme etabliert. Motiviert einerseits durch gesetzliche Anforderungen, Selbst­verpflichtung zum Corporate-Governance-Kodex, aber auch durch zunehmendes Interesse der Unternehmensaufsicht an Unternehmensrisiken und Risikomanagement haben praktisch alle kapitalmarktorientierten Unternehmen und ein Großteil der großen Unternehmen in Österreich Risikomanagementsysteme implementiert.

Betrachtet man die implementierten Systeme genauer, so ist zu erkennen, dass sich noch kein Standard etabliert hat, sondern sich die Risikomanagementsysteme der Unternehmen stark unterscheiden und einem typischen Entwicklungspfad folgen: Oft starten Unternehmen mit eher einfachen Systemen, die primär den Anspruch haben, den gesetzlichen Anforderungen zu genügen, und entwickeln diese weiter zu komplexeren Systemen, die vor allem auch einen Beitrag zur operativen und strategischen Steuerung der Unternehmen leisten sollen. Abbildung 1 gibt einen Überblick über diesen typischen Entwicklungspfad und die Ausprägungen der Risikomanagementsysteme in den einzelnen Entwicklungsstufen.

Abb 1: Entwicklungsstufen des Risikomanagements

In der ersten Stufe ( „Initiales“ Risikomanagement) wird Risikomanagement noch eher unsystematisch betrieben. Häufig werden nur einige Großrisiken anlassbezogen analysiert und berichtet.

In der nächsten Stufe wird das Risikomanagement zu einem „rechtlich vorgeschriebenen Minimalsystem“ ausgebaut: Es wird versucht, unternehmensweit alle wesentlichen Risiken systematisch zu erfassen und zu dokumentieren. Darüber hinaus wird ein Prozess etabliert, mit dem diese Risiken aktualisiert und regelmäßig berichtet werden.

Die nächste Ausbaustufe ( „Risikomanagement als komplexe Rechenübung“) ergänzt diesen Prozess durch qualitative oder quantitative Risiko­bewertung und häufig auch aggregierte Darstellungen der wesentlichen Risiken (bspw Risk Maps). Der Fokus liegt aber immer noch auf der Erfüllung der rechtlichen Anforderungen, insb auf dem regelmäßigen Risikoberichtswesen, und weniger auf der Steuerung der Risiken bzw der Risikogesamtposition. Risikomanagementsysteme dieser Ausbaustufe sind auch häufig eher revisionsgetrieben, eine Integration in die Unternehmens­steuerung (Strategie, Controlling) gibt es kaum.

Erst im nächsten Schritt ( „Risikomanagement als integriertes Steuerungssystem“) entwickeln sich ein stärkerer Fokus auf die Steuerung der Risiken bzw der Risikogesamtposition und eine Integration mit den Steuerungssystemen der Unternehmen. Unternehmen versuchen hier, bspw durch Ausrichtung der Risikoidentifikation- und -bewertung sowie des Risikoberichtswesens auf die wesentlichen Zielgrößen des Unternehmens, eine Verschränkung mit den Steuerungssystemen zu erreichen. Risiken werden als positive oder negative Abweichungen von der jeweils aktuellen Planung bzw Erwartungs­rechnung definiert und bewertet, eine Darstellung von Bandbreiten- bzw Korridorplanungen ist dadurch möglich. Der Fokus liegt typischerweise auf operativen Plangrößen wie EBT und/oder Cash Flow.

In einer weiteren Stufe ( „Integriertes Chancen- und Risikomanagement“) wird das System stärker strategisch ausgerichtet – nicht nur operative Zielgrößen, sondern zunehmend auch strategische Ziele dienen als Bezugspunkte zur Risikoidentifikation und -bewertung. Darüber hinaus erfolgt eine starke Integration in die strategischen Planungs- und Steuerungsprozesse der Unternehmen.

Der gesamte Beitrag ist unter dem Titel „Risikoquantifizierung“ in der „CFO aktuell – Zeitschrift für Finance & Controlling“ (Heft 2/2017) erschienen.