Kanzlei Nickert //images.kanzleinickert.de/nickert-logo-fb.jpg KANZLEI NICKERT | Rechtsanwälte und Steuerberater, Offenburg, kompetent in Rechts-, Steuerberatung, Finanz-, Lohnbuchhaltung, spezialisiert auf Branchen Bau, Handel und Industrie. info@kanzlei-nickert.de
Rammersweierstraße 120 77654 Offenburg

kanzlei nickert logo

Freitag, 21 Juli 2017 07:36

Aufbau eines Risikomanagements

Unternehmen sehen sich immer häufiger mit einer unsicheren Zukunft konfrontiert. Für Unternehmen ergeben sich daraus Chancen und Risiken, die zugleich Fluch und Segen sind.

Deshalb implementieren Unternehmen vermehrt ein Risikomanagement, das sich präventiv mit Chancen und Risiken auseinandersetzt, wodurch ein krisenfesteres bzw. robusteres Unternehmen entsteht. Wie bei vielen Unternehmensfunktionen gibt es auch beim Risikomanagement nicht die eine perfekte Umsetzung.

In der Praxis bestehen diverse Möglichkeiten, wie ein Risikomanagement im Detail aufgebaut werden kann, wobei ein branchentypischer und anerkannter Aufbau, der ebenfalls die gesetzlichen Anforderungen erfüllt, empfehlenswert ist. Ein Grundschema hat sich bei den diversen Ansätzen etabliert.

Ausgangspunkt des Risikomanagements

Von gesetzlicher Seite sind von der Geschäftsführung „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ (§ 91 Abs. 2 AktG).

Dieser Paragraf beabsichtigt u. a. ein angemessenes Risikomanagement im Unternehmen zu initiieren, das nach unternehmensindividuellen Aspekten aufgebaut ist und wesentliche Veränderung der Vermögens-, Ertrags und Finanzlage frühzeitig erkennt, sodass Unternehmen bei möglichen existenziellen Entwicklungen noch gegensteuern können.

Entstehung von Risiken

Die Bestimmung der existenzbedrohlichen Risiken ergibt sich z. B. über den § 92 Abs. 1 AktG „Verlust in Höhe der Hälfte des Grundkapitals“ oder über den § 17 Abs. 1 InsO, wenn eine Zahlungsunfähigkeit folgt. Jedoch sind nicht nur Einzelrisiken zu begutachten, sondern auch die Kombination von Einzelrisiken. Denn oftmals entsteht ein existenzbedrohliches Risiko aus der Kombination von mehreren Einzelrisiken. Daher ist eine sogenannte Gesamtrisikoaggregation vorzunehmen, die auf einer risikoadjustierten Planung beruht.

Auswirkung auf die GmbH und die GmbH & Co. KG

Wenngleich die gesetzliche Bestimmung aus dem Aktienrecht stammt, wirkt sie sich auch auf (größere) Kapitalgesellschaften aus – also auch auf die GmbHs und die GmbH & Co. KG. Dabei richtet sich die Ausgestaltung z. B. nach Unternehmensgröße und nach der Komplexität der Strukturen.

Praxisrelevante Ansätze

In der Praxis bestehen diverse Ansätze für den Aufbau eines Risikomanagements. Die verbreitetsten Ansätze sind die ISO 31000 und das COSO ERM. Allerdings geben beide Normen nur Rahmenbedingungen wieder. Demgegenüber bietet die österreichische Risikomanagement-Norm ONR 49000:2014 ff, einen, auf die ISO 31000 aufbauenden, praxistauglichen Ansatz.

Daneben bieten auch die Standards vom Institut der Wirtschaftsprüfer, der IDW PS 340 oder IDW EPS 981 Orientierungspunkte. Ersterer konkretisiert eine Mindestausgestaltung der Risikofrüherkennung. Hingegen dient der IDW EPS 981 als Darstellung des gesamtheitlichen Umgangs mit Chancen und Risiken im Unternehmen.

Aufbau des Risikomanagements

Im Großen und Ganzen haben die unterschiedlichen Ansätze Gemeinsamkeiten. So verlangen sie einen ganzheitlichen Ansatz, der in unterschiedlichen Unternehmensfunktionen und -bereichen integriert ist – also nicht als isolierte Funktion angesehen wird.

Ebenso verstehen die Ansätze, dass sich das Risikomanagement sowohl mit Chancen als auch mit Risiken auseinandersetzt. Für diesen Umgang verfolgen die einzelnen Ansätze weitestgehend den Risikomanagementprozess bestehend aus: Risikoidentifikation, analyse/ bewertung, -steuerung, -überwachung.

Ergänzt wird der Prozess durch die Querschnittsbereiche Risikokommunikation und -dokumentation, die eine transparente Kommunikation und Dokumentation über alle Phasen mit in- und/oder externen Adressaten gewährleisten.

Bestandteile des Risikomanagements

Nachfolgend ein kurzer Überblick der grundsätzlichen Bestandteile für ein Risikomanagement:

Risikostrategie als Grundlage

Grundlage des Risikomanagements und des Prozesses ist die Risikostrategie. In ihr werden die wesentlichen Faktoren für den Risikoumgang geklärt. Dies beruht wiederum auf der Bestimmung: einer Risikokultur, der Risikoneigung, der Risikoziele, der Risikotragfähigkeit, des Risikoappetits und dem gewollten Ertrags-Risiko-Profil.

Risikoidentifikation

Die Risikoidentifikation ist entscheidend für den weiteren Prozess und ausschlaggebend für das gesamte Risikomanagement. Nur, wenn die Risiken identifiziert sind, kann mit diesen umgangen werden. Bei der Risikoidentifikation sollten unter Einfluss sämtlicher Informationsquellen „alle“ vorhandenen und potenziellen Risiken, die das Unternehmen betreffen bzw. eine Plan-/Zielabweichung ermöglichen, systematisch und detailliert erkannt werden.

Um eine leichtere und zugleich umfangreiche Identifikation zu erlangen, ist eine Zusammenarbeit mit anderen Unternehmensbereichen wünschenswert. Verwendete Methoden sind z. B. Workshops, Brainstorming, Risikochecklisten, historische Risiken, Abweichungen von Planungen, unsicher bestimmbare Planannahmen.

Damit ein unverfälschtes Situationsabbild entsteht, sind einerseits die erkannten Chancen/Risiken separiert aufzulisten und andererseits etwaige spätere Risikosteuerungsmaßnahmen vorerst nicht zu berücksichtigen. Ziel sollte ein Risikoinventar sein, das sämtliche Chancen und Risiken umfasst.

Risikoanalyse / Risikobewertung

Innerhalb der Risikoanalyse werden die identifizierten Risiken analysiert, beschrieben, bewertet und klassifiziert. Daraus bestimmt sich ihre Bedeutung für das Unternehmen sowie ihre Auswirkung auf das Unternehmen, wobei auch das Gesamtrisiko zu ermitteln ist. In einem ersten Schritt analysiert das Risikomanagement die Risiken – die Wechselwirkung sowie die Ursache- und Wirkungssysteme der Risiken. Das Unternehmen kann somit an den Gründen und nicht an den Symptomen ansetzen. Es ist ein Indikator für die Risikosteuerung.

Im zweiten Schritt erfolgt die Risikobewertung der Einzelrisiken, die in quantitativer Form erfolgen sollte. Das einfachste Vorgehen ist, durch Multiplikation der potenziellen Eintrittswahrscheinlichkeit mit der Schadenshöhe, den erwarteten Schadenswert zu errechnen.

Je nach Risiko wird diese einfache Form nicht ausreichen, es bedarf weiterer Formen. Teilweise wird auch eine qualitative Bewertung genutzt, bei der das Risiko verbal beschrieben wird oder ein semi-quantitativer Ansatz, bei dem die Risiken in Klassen eingeteilt werden (z. B. klein: Eintrittswahrscheinlichkeit 0-20%, mittel: 21-40% usw.). Überdies sollte keine Verrechnung von Chancen und Risiken erfolgen.

Bei der Bewertung der Risiken können unterschiedliche Ansätze angewandt werden. So können Risikomanager z. B. statische Analysen, historische Daten oder Expertenbefragungen nutzen.

Risikoaggregation

Nach der Bewertung sollte eine Gesamtrisikoaggregation der Risiken erfolgen, da sich bestandsbedrohende Risiken meist durch die Kombination von Einzelrisiken ergeben. Mittels einer risikoadjustierten Planung lässt sich eine Gesamtaggregation vornehmen. In der risikoadjustierten Planung werden die Auswirkungen der Risiken auf entsprechende Plangrößen transferiert und mit einer Monte-Carlo-Simulation Tausende von zufälligen Szenarien simuliert.

Durch die Simulation entsteht eine Wahrscheinlichkeitsverteilung, die wiederum Aufschluss zur Wahrscheinlichkeit einzelner Szenarien gibt.

Risikosteuerung

Bevor das Unternehmen Risikosteuerungs- bzw. -bewältigungsaktivitäten anwendet, ist zuerst eine „Soll-Situation“ zu bestimmen – welches Restrisiko kann und will das Unternehmen selbst tragen, speziell in Abhängigkeit der Risikotragfähigkeit.

Danach wird das Risiko durch diverse zielgerichtete Maßnahmen, die mit der Risikostrategie abgestimmt sind, in Richtung der geplanten Ziel-/Soll-Situation gesteuert. Es bleibt somit ein Restrisiko übrig, dies wird für die unternehmerischen Erfolgspotenziale benötigt.

Für die Risikosteuerung sind 5 übergeordnete Möglichkeiten zu nennen: Risiko vermeiden, vermindern (z. B. Anwendung 4-Augen-Prinzip), diversifizieren (z. B. Projekte streuen, kein Klumpenrisiko durch einzelne Großkunden), überwälzen (z. B. Versicherungen), akzeptieren (tragbare Risiken eingehen, um Chancen zu nutzen).

Risikoüberwachung

Die Risikoüberwachung kann ein Unternehmen sowohl durch prozessunabhängige als auch durch prozessabhängige Prüfungsmaßnahmen initiieren. Ersteres prüft die Ordnungsmäßigkeit des Risikomanagementprozesses (z. B. durch Interne Revision).

Letzteres dient als eine Soll-Ist-Kontrolle der einzelnen Prozessschritte: Wurden alle wesentlichen Risiken identifiziert, gibt es neue Risiken, stimmten die Risikobewertungen, wirken die Steuerungsmaßnahmen?

Diese Kontrolle hilft zur kontinuierlichen Optimierung des Prozesses bzw. der Prozessinhalte und liefert die nötigen Informationen mit dem Ziel, die Datenqualität für die zukünftigen historischen Daten zu erhöhen.

Hierbei dient ebenfalls die risikoadjustierte Planung, bei der geklärt wird, welche Planabweichungen entstanden sind und weshalb. Denn: Abweichungen sind Resultate aus Chancen und Risiken.

Herausforderungen in der Anwendung

Innerhalb der einzelnen Schritte sind diverse Methoden und Instrumente vorhanden, die je nach Situation und Unternehmen ihre Relevanz haben. Hinzu sind in den einzelnen Methoden/Instrumenten sensible Vorgehensweisen und Interpretationen zu beachten, sodass ein aussagekräftiges Risikomanagement entsteht.

Z. B. ist es bei der Risikoidentifikation hilfreich zu wissen, weshalb (andere) Unternehmen in eine Krise oder Insolvenz geraten (sind) und welche Maßnahmen zur Krisenüberwindung geholfen haben. Denn häufig lernt man auch aus Fehlern anderer, damit man diese Fehler nicht selbst macht.
Ebenso ist auch die rechtliche Bestandsfähigkeit zu bedenken, sodass sich auch Geschäftsführer/Vorstände bei Fehlentscheidungen einer persönlichen Haftung entziehen können. Deshalb ist die Unterstützung von fachkundigen Dritten empfehlenswert.

Tipp der KANZLEI NICKERT

  • Grundlage ist ein Verständnis fürs Risikomanagement, d.h., dass Sie hinter dem ökonomischen Nutzen des Risikomanagements stehen. Dies ist auch den Mitarbeitern zu verdeutlichen (tone at the top / von Führungspersonen vorgelebt).
  • Schaffen Sie im Unternehmen eine Risikokultur und sensibilisieren Sie auch Ihre Mitarbeiter für das Risiko, werden Sie somit zur risikoorientierten Unternehmensführung und berücksichtigen Sie den Risikoumgang in Ihrer Unternehmensstrategie.
  • Wenden Sie präventiv die Risikomanagementansätze an. Bevor Sie wesentliche Entscheidungen treffen, machen Sie sich über die Risiken und die Chancen einschließlich deren Auswirkungen Gedanken.
  • Fokussieren Sie (anfänglich) Ihre Arbeit auf die wesentlichen Risiken.
  • Ausgangslage für ein gutes Risikomanagement ist auch die Kombination mit der Unternehmensplanung. Erweitern Sie daher Ihre Planung zu einer risikoadjustierten Planung, wodurch eine Gesamtrisikoaggregation möglich ist.
  • Schärfen Sie ebenfalls Ihren Sinn für schwache Signale und für theoretisch denkbare („neue“) Risiken. Führen Sie Stresstests durch, in denen Sie die Auswirkung von Extremereignissen simulieren.
  • Bestimmen Sie einen Verantwortlichen für das Risikomanagement, Hauptverantwortlicher sollte der Vorstand/Geschäftsführer sein.
  • Integrieren Sie Ihr Risikomanagement in unterschiedliche Unternehmensfunktionen, wie in das Qualitätsmanagement oder Controlling.
  • Dokumentieren Sie regelmäßig und verständlich das Vorgehen beim Risikomanagementprozess, insbesondere bei der Bewertung.
  • Ziehen Sie auch beim Risikomanagement die Mitarbeiter mit ein, da die Mitarbeiter direkt mit den Risiken konfrontiert sind und nützliche Risikoinformationen haben.
  • Bei der Implementierung eines Risikomanagements geht es vordergründig um die Funktion und nicht um die Institution. Deshalb kann die Funktion auch z. B. in Personalunion, wie dem Geschäftsführer und Controller, ausgeübt werden. Je nach Unternehmensgröße ist eine separate Institution empfehlenswert.

 

Weiterführende Beiträge der KANZLEI NICKERT zum Thema

 [Benjamin Schilling]

HINWEIS

Falls Sie über den Beitrag hinausgehende Fragen haben, stehen wir Ihnen gerne zur Verfügung. Allerdings weisen wir Sie darauf hin, dass wir diese individuelle Leistung nach dem Rechtsdienstleistungsgesetz auch abrechnen.

Alle Angaben sind sorgfältig geprüft. Durch Gesetzgebung, Rechtsprechung und Verordnungen sowie Zeitablauf ergeben sich zwangsläufig Änderungen. Bitte haben Sie Verständnis dafür, dass wir für die Richtigkeit und Vollständigkeit des Inhalts keine Haftung übernehmen.

 

Die von uns verwendeten Cookies sollen sicherstellen, dass Sie unsere Website optimal genießen können.
Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung dieser Cookies einverstanden. Weitere Informationen zum Datenschutz