Risikomanagementsystem (RMS)

Aus ControllingWiki

Wechseln zu: Navigation, Suche
Achtung. Sie nutzen eine nicht mehr unterstützte Version des Internet Explorer. Es kann zu Darstellungsfehlern kommen. Bitte ziehen Sie einen Wechsel zu einer neueren Version des Internet Explorer in Erwägung oder wechseln Sie zu einer freien Alternative wie Firefox.

Prüfsiegel gültig bis 09.03.2022

Zusammenfassung

Das RMS stellt die Gesamtheit aller Maßnahmen zur Erkennung, Analyse, Bewertung, Kommunikation, Überwachung und Steuerung von Risiken dar. Dabei werden Risiken, unter denen allgemein die durch Ungewissheit bedingten möglichen negativen oder positiven Abweichungen zwischen Handlungsergebnissen und gesetzten Zielen verstanden werden, in diesem Zusammenhang i.d.R. auf die negativen Abweichungen, d.h. die Verlustgefahr, beschränkt. Das RMS ist Teil des gesamten Managementsystems, wobei dieses sozioökonomische System weniger als ein greifbares Gebilde, sondern eher als Gesamtheit von formalen Strukturen und konkreten Durchführungsausgestaltungen zu verstehen ist und den Controllingsystemen zuzurechnen ist. Ein formalisiertes Ablaufschema stellt somit lediglich eine notwendige, nicht aber hinreichende Voraussetzung für ein RMS dar. Daher müssen die Unternehmensführung und die Mitarbeiter für das Risiko ihres Handelns sensibilisiert werden, sodass sie dieses erkennen und bewerten sowie die unternehmenszielkonforme Risikobehandlung beherrschen.

Aufbau

Das RMS erfordert ein Risikofrühwarnsystem, welches Risikoidentifikation, Einzelrisikobewertung, Risikokommunikation, Risikoaggregation und Risikobericht umfasst, sowie ein Risikoüberwachungssystem und ein Risikobewältigungssystem. Explizit gesetzlich verpflichtend sind nach § 91 Abs. 2 AktG zunächst nur die ersten beiden Bestandteile, die auch Gegenstand der Abschlussprüfung sind). Die Notwendigkeit zur Einrichtung eines Risikobewältigungssystems kann aber aus der allgemeinen Sorgfaltspflicht des Vorstands nach § 93 Abs. 1 AktG abgeleitet werden. Risikomanagement ist mithin ein kontinuierlicher Risikoerkennungs- und Risikobewertungsprozess, der stets mit entsprechenden Risikobewältigungsentscheidungen verbunden werden muss. Es stellt einen permanenten Prozess dar, der ausschnittweise und situativ im Risikobericht abzubilden ist. In Wissenschaft und Praxis sind zahlreiche Ansätze und Instrumente für die einzelnen Teilkomponenten des Risikomanagementsystems entwickelt worden, die zusammenfassend als Bestandteil des Risikocontrollings (Risiko- und Chancencontrolling) bezeichnet werden können.

Risikomanagementsystem.JPG

Abb.: Risikomanagementsystem

Risikoidentifikation

Das Risikofrühwarnsystem soll die bestandsgefährdenden Risiken für ein Unternehmen (Bestandsgefährdung) so rechtzeitig aufzeigen, dass Reaktionen durch das Management den Fortbestand des Unternehmens noch sichern können. Ausgangspunkt für die Risikoidentifikation ist eine artliche Erfassung der Risiken. Diese Risikoinventur bedingt die Untersuchung sämtlicher betrieblicher Prozesse und Funktionsbereiche auf allen Hierarchiestufen des Unternehmens. Dazu ist eine vorherige Festlegung der risikorelevanten Bereiche in einem Unternehmen und somit eine gewisse Systematik denkbarer Risikoerscheinungsformen erforderlich. Ergänzend zu einer solchen Darstellung der Risiken nach Unternehmensbereichen und Prozessen (Geschäftsprozesse) ist eine Systematisierung nach Art der Bedrohung sowie nach Beeinflussbarkeit der Risiken erforderlich. Als Methoden zur Risikoerkennung kommen bspw. Prüflisten (Checklisten), Risikomanagement-Fragebögen, Dokumenten- und Organisationsanalysen, Besichtigungen, Befragungen, Beobachtungen, Schadensstatistiken oder Risiko-Workshops in Betracht. Die methodischen Hauptprobleme der Risikoidentifikation liegen in der Vollständigkeit und Frühzeitigkeit der Erfassung der Risiken.

Einzelrisikobewertung

Zur Bewertung der Einzelrisiken sind Kriterien für eine sachliche Risikoklassifikation nach Gefahrenpotenzial sowie Methoden zur Quantifizierung der Risiken nötig. Dazu ist festzulegen, welche Risiken als Schwerpunktrisiken einzustufen sind und welche Risiken in der Sache vernachlässigt werden können, um auf dieser Grundlage das Risikoportfolio des Unternehmens abzubilden. Zur endgültigen Beurteilung, ob ein Risiko bestandsgefährdend werden kann oder nicht, ist eine Quantifizierung des Gefahrenausmaßes nötig. Zur Bewertung des Risikos wird zunächst der Schadenserwartungswert (bewertetes Risiko) ermittelt. Dieser wird als Produkt aus der Höhe des drohenden Vermögensverlustes (Qualitätsdimension) und der Wahrscheinlichkeit des Verlustes (Intensitätsdimension) ermittelt. Da existenzbedrohende Risiken trotz geringer Eintrittswahrscheinlichkeit eine andere Behandlung erfahren müssen als geringe Risiken mit höherer Eintrittswahrscheinlichkeit, müssen je Risiko auch der Höchstschadenswert und die Bandbreite der Eintrittswahrscheinlichkeiten betrachtet und in Abhängigkeit von der übergeordneten Risikostrategie des Unternehmens behandelt werden.

Risikokommunikation

Nach der Identifikation und Einzelbewertung der Risiken ist die Kommunikation zwischen den Risikoverantwortlichen entscheidend für die Funktionsfähigkeit eines Risikomanagementsystems. Es muss sichergestellt sein, dass die bewerteten Risiken in nachweisbarer Form an die zuständigen Entscheidungsträger weitergeleitet werden.

Risikoaggregation

Da Einzelrisiken sich gegenseitig verstärken können, es zwischen ihnen zu Kompensationseffekten kommen kann oder ein Risiko durchaus Ursache eines anderen Risikos sein kann, sind derartige Abhängigkeiten zu klären und bei der Risikoerfassung und -verarbeitung zu berücksichtigen. Die Notwendigkeit, eine aggregierte Risikenbewertung vornehmen zu müssen, bedeutet für Mutterunternehmen, das RMS auf den Gesamtkonzern auszuweiten.

Risikobericht

Die Ergebnisse der Risikoanalyse sind abschließend durch eine Auswertung in einer „Risk Map“ zu erfassen und zu beschreiben. In die Risk Map, in der das Risiko als Wertepaar (Höchstschadenssumme/Schadenserwartungswert) in einem Koordinatensystem abgetragen wird, sollten ergänzend auch Vorschläge für Risikoabwehrmaßnahmen, die bereits eingeleiteten Maßnahmen sowie die jeweiligen Zuständigkeiten aufgenommen werden, um einen umfassenden Überblick über die bestehenden und potenziellen Risiken zu bekommen. Dieser Informationspool muss zum einen ständig aktualisiert, überwacht und analysiert werden. Zum anderen sollten die Schadenserwartungswerte für Erfolg und Liquidität in den integrierten Unternehmensplanungsprozess einbezogen werden (Erfolgscontrolling; Liquiditätscontrolling; Planung; Planungssysteme). Des Weiteren sind relevante Risiken im Risikobericht dem AR mitzuteilen (Risikomanagementsystem, Prüfung durch den Aufsichtsrat) und als Bestandteil der externen Kommunikation des Unternehmens (Publizität) zu benennen (Chancen- und Risikobericht).

Risikobewältigungssystem

Mithilfe des Risikobewältigungssystems sind die Risiken im Hinblick auf die anzustrebenden Unternehmensziele zu steuern (Risiko- und Chancencontrolling). Im Prinzip kann auf erkannte Risiken mit Maßnahmen zur Risikovermeidung, Risikoverminderung, Risikoüberwälzung oder Risikokompensation geantwortet werden.

Risikoüberwachungssystem

Die Funktionsfähigkeit des Risikofrühwarnsystems sowie des Risikobewältigungssystems ist durch ein angemessenes Überwachungssystem fortlaufend sicherzustellen. Voraussetzung für die Risikoüberwachung ist ein Internes Kontrollsystem (IKS) und die Interne Revision, in welche die Risikoüberwachung zu integrieren ist.

Literaturtipps

  • Hölscher, R.: Herausforderung Risikomanagement, Wiesbaden 2002.
  • Lachnit, L./Müller, S.: Risikomanagementsystem nach KonTraG und Prüfung des Systems durch den Wirtschaftsprüfer, in: Freidank, C.-C. (Hrsg.): Die deutsche Rechnungslegung und Wirtschaftsprüfung im Umbruch, FS für Prof. Dr. Wilhelm Strobel, München 2001, S. 363-394.
  • Lück, W.: Risikomanagement und Überwachungssystem. KonTraG: Anforderungen und Umsetzungen in der betrieblichen Praxis, Karlsruhe 1998.

Ersteinstellender Autor

Prof. Dr. Stefan Müller

smueller@hsu-hh.de

www.hsu-hh.de/abwl