Risikomanagement

Poll without page-refresh

Article on other languages:

	del.icio.us
	Digg
	Furl
	Reddit
	Rojo
	Add to OnlyWire

Unter Risikomanagement [-ˌmænɪdʒmənt] ist die systematische Erfassung und Bewertung von Risiken sowie die Steuerung von Reaktionen auf festgestellte Risiken zu verstehen. Es ist ein systematisches Verfahren, das in vielfältigen Bereichen Anwendung findet, zum Beispiel bei

Unternehmensrisiken,
Kreditrisiken,
Finanzanlagerisiken,
Umweltrisiken,
versicherungstechnischen Risiken,
technischen Risiken.

Inhaltsverzeichnis

1 Inhalte
2 Risikomanagementprozess
3 Anwendungsbereiche
4 Mathematische Größen im Risikomanagement
5 Rechtliche Aspekte
6 Literatur
7 Siehe auch
8 Einzelnachweise
9 Weblinks

Inhalte

Risikomanagement umfasst:

Festlegungen von Zielen auf Basis der Definition von Strategie, ggf. auch Visionen der das Risikomanagement anwendenden Stelle
Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen
Festlegung einer Risikomanagement-Strategie
Identifikation von Risiken (im Finanzrisikomanagement mit „Exposure-Ermittlung” bezeichnet)
Bewertung/Messung von Risiken
Bewältigung von Risiken
Steuerung der Risikoabwehr
Monitoring, also Früherkennung.

Grundsätzlich beginnt Risikomanagement in dem Moment, in dem eine Vision, ein Wunschbild der zukünftigen Realität entsteht. Denn die Chancen, die man dazu wahrnehmen muss, werden durch Unwägbarkeiten gefährdet. Ohne konkrete Ziele lassen sich keine Abweichungen messen.

Die Wahl der Strategie ist im Wesentlichen abhängig von der Risikobereitschaft (risikoavers, risikoneutral oder risikofreudig) bei einem Vorhaben.

Erfassung

Die Identifikation von Risiken kann z. B. mittels Szenario-Technik, Post-Mortem-Analyse, Expertenbefragungen, Delphi-Methode, Checklisten, Kreativitätstechniken oder einfach durch offene und ehrliche Kommunikation erfolgen.

Eine Möglichkeit für die Messung von Risiken sind Risikokennzahlen wie der Value at Risk (VaR). Eine Bewertung kann auch durch Expertenurteil erfolgen. Zur Darstellung kann eine Risikomatrix verwendet werden, die die Eintrittswahrscheinlichkeit eines Risikos seinen Folgen bzw. Schäden gegenüberstellt. Um die Auswirkung der einzelnen Risiken auf das Unternehmen darzustellen, ist eine Risikoaggregation erforderlich, die mittels Simulation den Gesamtrisikoumfang des z. B. Eigenkapitalbedarf zur Risikodeckung berechnet.

Bei der internen Erfassung sind Kreditinstitute grundsätzlich frei. Hingegen bei der Erfassung für den externen Adressaten sind die Kreditinstitute an die Vorgaben der Bankenaufsicht/BAFin im Grundsatz 1 gebunden.

Steuerung

Grundsätzlich gibt es fünf unterschiedliche Risikosteuerungsstrategien:

Risikovermeidung: Eine vollständige Vermeidung von Risiken ist nicht Ziel des Risikomanagements und kann nur erreicht werden, indem man die risikobehaftete Aktivität unterlässt. Sinnvoll ist dies nur bei bestandsgefährdenden Risiken.
Risikoverminderung: Die Verminderung von Risiken setzt darauf, Risikopotenziale - nicht wie bei der Risikovermeidung - auszuschließen, sondern auf ein akzeptables Maß zu reduzieren.
Risikobegrenzung: Die Risikobegrenzung gliedert sich auf in zwei Teilbereiche, der Risikostreuung (auch -diversifikation) und der Risikolimitierung. Die Risikostreuung fußt auf der Portfolio-Theorie, die besagt, dass die Kombination nicht vollständig miteinander korrelierender Anlagealternativen in einem Portfolio einen Diversifikationseffekt bewirkt, der in der Summe das Gesamtrisiko verringert oder sogar neutralisiert. Bei der Risikolimitierung setzt das Management Limite (also definierte Obergrenzen) für das Eingehen von Risiken.
Risikoüberwälzung: Bei der Risikoüberwälzung wird das Risiko durch faktische oder vertragliche, teilweise oder völlige Überwälzung an Dritte übertragen. Die Übertragung steht in Verbindung mit einem zusätzlichen Geschäft, das das Risiko vollständig oder zu wesentlichen Teilen an Dritte weitergibt. Das Risiko wird hierbei nicht beseitigt, sondern wechselt den Risikoträger. Unterschieden werden kann zwischen der Überwälzung auf Versicherungsunternehmen und auf Vertragspartner.
Risikoakzeptanz: Die Vermeidung, Verminderung und Überwälzung von Risiken kann die Risiken nicht voll-ständig ausschließen. Das verbleibende Restrisiko muss das Unternehmen akzeptieren und selbst tragen. Dies bedingt das Vorhandensein eines entsprechenden Risikodeckungspotenzials, da ein ggf. eintretender Schaden aus eigener Kraft gedeckt werden muss. Die Akzeptanz von Risiken sollte dann gewählt werden, wenn die vorstehend beschriebenen Wege in keiner positiven Aufwand-Nutzen-Relation stehen würden.

Kontrolle

Ziel des Risiko-Monitoring ist es, die erkannten Risiken im Auge zu behalten.

Risikomanagementprozess

Das Vorgehen beim Risikomanagement kann auch in Phasen dargestellt werden.

Beispiel für einen Risikographen

Die wesentlichen Schritte eines Risikomanagementprozesses bestehen aus den Phasen

Vor der Risikoanalyse wird ein Risikograph festgelegt, der die elementaren Parameter Eintrittswahrscheinlichkeit und Schadensausmaß einem Akzeptanzbereich zuordnet. Während der Risikobewertung wird jede in der Phase Risikoanalyse identifizierte Gefährdung unter dem Aspekt Eintrittswahrscheinlichkeit und Schadensausmaß bewertet. Damit landet jedes Risiko in einem Bereich des Risikographen. Ziel der Risikominimierung ist es schließlich für alle Risiken, die im inakzeptablen Bereich (bzw. im ALARP-Bereich) des Risikographen liegen, Maßnahmen festzulegen, die Eintrittswahrscheinlichkeit und/oder Schadensausmaß verringern. Am Ende dieser Phase sollte kein Risiko mehr im inakzeptablen Bereich liegen. In der Praxis lässt sich in der Regel das Schadensausmaß kaum verringern, meistens wird eine Risikominimierung durch Verringerung der Eintrittswahrscheinlichkeit erreicht (z. B. durch zweihändige Bedienung von Industriepressen wird die Eintrittswahrscheinlichkeit für einen Unfall verringert). Bei Finanzrisiken jedoch ist häufig nur das Schadensausmaß, nicht aber die Eintrittswahrscheinlichkeit beeinflussbar (z. B. kann ein Unternehmen die Wahrscheinlichkeit eines Anstieges des Dollarkurses nicht beeinflussen, kann aber durch entsprechende Sicherungsgeschäfte die potentiellen Auswirkungen steuern).

Während der Phase der Risikokontrolle erfolgt schließlich eine Neubewertung aller Risiken zur Überprüfung der eingeführten Maßnahmen, und um festzustellen, ob eingeführte Maßnahmen neuen Risiken mit sich bringen.

Risiken im ALARP-Bereich (ALARP bedeutet As Low As Reasonably Practicable) sollen auf ein vernünftiges und durchführbares Maß minimiert werden. Dies bedeutet zum Beispiel, dass ein Risiko als tolerierbar eingestuft werden kann, wenn die Kosten für seine Minimierung höher liegen als die Kosten, die bei Eintritt des Risikos zu erwarten sind. In diesem Fall sind weitere Maßnahmen zur Risikokontrolle nicht praktikabel. Eine Risiko-Nutzen-Analyse kann in diesem Fall verwendet werden, um abzuschätzen, ob der Nutzen des Produkts das Restrisiko überwiegt.

Anwendungsbereiche

Unternehmensrisiken lassen sich unterteilen in Fortführungsrisiken und Ertrags- und Reputationsrisiken
Kreditrisiken befassen sich mit möglichen Kreditausfällen und den Marktrisiken wie zum Beispiel Zinsänderungen
Finanzanlagerisiken
Umweltrisiken befassen sich mit Antizipation Schadensereignissen wie Lawinen, Überschwemmungen, Steinschlag und Murgängen und deren Steuerung zum Beispiel mit baulichen Maßnahmen und Gefahrenzonenplanung.
Versicherungstechnischen Risiken
Technische Risiken: Auch technische Risiken können in einem Managementsystem behandelt werden, dies ist z. B. Bestandteil des Arbeitsschutzes bzw. Arbeitsschutzmanagement. Über die Schadensbewertung und Maßnahmen zur Schadensvermeidung besteht auch eine Verbindung zum finanzbezogenen Risikomanagement. So beziehen sich einige Fragen des Fragenkatalog von Basel II auch auf technische Risiken, wie z. B. Risiken des Herstellungsprozesses und der Arbeitssicherheit.

Das Risikomanagement spielt im Versicherungsmarkt und als Vorstufe zur Versicherung eine zentrale Rolle.

Allgemein kann unterschieden werden zwischen quantitativem Risikomanagement (Risiko wird in „Geld“ bewertet) und qualitativem Risikomanagement (Risiken werden mit einer Risikomaßzahl belegt, die nur die relative Risikohöhe der Risiken zueinander innerhalb eines abgeschlossenen Risikomanagementsystems beschreibt). Welche Risikomanagementmethode zum Einsatz kommt, hängt vor allem von den im Folgenden dargestellten Einsatzbereichen ab:

im Finanzwesen (hier liegen die Ursprünge des Risikomanagements)
in der Versicherungswirtschaft
in der Unternehmungsführung. Implementierung einer Risikomanagement-Organisation zur Steuerung von operationellen Risiken, welche die Kernprozesse gefährden. Dabei gilt der Grundsatz Prozess-Eigner = Risiko-Eigner. Unterstützt wird die RM Organisation durch eine unternehmensweite Risikoberichterstattung (Risk Reporting), welches richtig eingesetzt eine Frühwarnung ermöglicht.
im Projektmanagement zur Minimierung von Prozessrisiken. Typische „Kernrisiken“ (Prozessrisiken) im Projektmanagement sind fehlerhafte Zeitpläne, Inflation von Anforderungen, Mitarbeiterfluktuation, Spezifikationskollaps, geringe Produktivität und Gruppendruck/„group think“. Das Thema Projektmanagement wird auch ausführlich in den englischen Wikipedia-Seiten behandelt.)
in der Informationstechnologie (z. B. im Rahmen von Disaster Recovery Planning und Business Continuity Management)
in der Entwicklung sicherheitskritischer Systeme und Produkte wird Risikomanagement verwendet, um Produktrisiken zu minimieren (vgl. beispielsweise ISO 14971 für Medizinprodukte)
in der Informatik in Softwareentwicklungsprojekten im Rahmen des Projektmanagements

Im Finanzwesen und in der Versicherungswirtschaft kommen hier hauptsächlich quantitative Risikomanagementmethoden zum Einsatz. In der Unternehmensführung erzwingt § 91 Abs. 2 AktG (siehe KonTraG, Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) seit 1998 Aktiengesellschaften zur Einrichtung eines Überwachungssystems, um Risiken frühzeitig zu erkennen. § 91 Abs. 2 AktG sieht vor, dass "der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten hat, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden".

Bereits vor dem Inkrafttreten des KonTraG war es jedoch unbestritten, dass aus der Leitungsaufgabe des Vorstandes nach § 76 AktG eine Verpflichtung zur Einrichtung eines Überwachungssystems folgt.

Qualitative Risikomanagementmethoden zeichnen sich dabei dadurch aus, dass sie eine weniger aufwändige Mathematik voraussetzen. Quantitative Risikomanagementmethoden dagegen nutzen überwiegend Finanz- und Versicherungsmathematische Methoden und Modelle zur Ermittlung der Höhe der Risiken. Ein Versuch die verschiedenen Ansätze des Risikomanagements zu vereinen, stellt das erweiterte Risikomanagement (XRM) dar.

Projektmanagement

Risikomanagement in Projekten beschäftigt sich mit allen Tätigkeiten, welche zur Verhinderung von oder zum Umgang mit ungeplanten Ereignissen beschäftigt, welche den Projektverlauf gefährden.

Es findet immer ein Abwägen der notwendigen Aufwände zur Risikominimierung oder des (mit der Eintrittswahrscheinlichkeit gewichteten) Schadens bei Risikoeintritt statt. Teilweise werden im Risikomanagement auch Themen des sog. Issuemanagement - also der Behandlung eingetretener und vorher nicht identifizierter Risiken behandelt.

Das PMBOK Guide sieht hierfür sechs Hauptprozesse vor:

Risikomanagementplanung: Hier werden die Verfahren festgelegt, mit denen die folgenden Risikoprozesse arbeiten. Hierzu gehören Identifikationsmethoden, Dokumentationsstrategien, Bewertungsstrategien und Verantwortlichkeiten.
Risikoidentifikation: Während der Risikoidentifikation werden Risiken (potentielle Behinderungen) mit verschiedenen Methoden identifiziert und dokumentiert.
Qualitative Risikoanalyse: Die identifizierten Risiken werden qualifiziert, hierzu gehört die Priorisierung auf Basis der Wahrscheinlichkeit des Eintretens und Auswirkungen auf den Projekterfolg.
Quantitative Risikoanalyse: Danach erfolgt die quantitative Bewertung (in geldwerten Größen) von Risikowirkung, Gegenmaßnahmen und/oder erforderlichen Rückstellungen.
Planung zur Risikobewältigung: Die Planung der Risikobewältigung ermittelt Gegenmaßnahmen, um das Eintreten von Risiken zu minimieren oder die Auswirkungen der Risiken zu reduzieren.
Risikoüberwachung und - verfolgung: Der Status der Risiken (meist in einer Risikoliste dokumentiert) und der Status der Gegenmaßnahmen wird kontinuierlich überwacht.

Siehe auch: Projektmanagement

Versicherungswirtschaft

Für Versicherungsunternehmen zählt die Übernahme von Risiken zum eigentlichen Geschäftsmodell. Versicherungen begrenzen die Wahrscheinlichkeit einer überdurchschnittlichen Belastung durch Schadensfälle in erster Linie durch Rückversicherung, mit deren Hilfe sie Großschäden und Kumulrisiken begrenzen.

Kreditwirtschaft

Für Banken unterteilt man das betriebswirtschaftliche Gesamtrisiko in ein operationelles Risiko (z. B. durch Ausfälle in der IT), das Kreditrisiko (d. h. den Ausfall von Kreditnehmern), das Kontrahentenrisiko (d. h. den Ausfall von Kontrahenten bei Handelsgeschäften) als besonderen Teil des Kreditrisikos, das Liquiditätsrisiko (fällige Gelder können nicht aus den flüssigen Mitteln bedient werden, Geschäfte können auf Grund mangelnder Marktliquidität nicht zu den erwarteten Bedingungen abgeschlossen werden) und das Marktrisiko (z. B. Wechselkursrisiko, Zinsänderungsrisiko). In der Praxis wird oftmals das Reputationsrisiko (Risiko des Ansehensverlustes durch geschäftspolitische Entscheidungen o. Ä.) separat vom operationellen Risiko betrachtet. Den systematischen Ausfall mehrerer Geschäftspartner aufgrund von Branchenrisiko oder Länderrisiko bezeichnet man in der Kreditwirtschaft auch als Klumpenrisiko.

Ingenieur- und Umweltwissenschaften

Das Risikomanagement hat sich in den Ingenieurwissenschaften, z. B. bei der Entwicklung von sicherheitskritischen Systemen, und in den Umweltwissenschaften etabliert.

Es wird unterschieden zwischen der Minimierung von Prozessrisiken und Produktrisiken. Z. B. im Hinblick auf die Produktrisiken bei Medizinprodukten ist durch Normung vorgeschrieben, dass die Entwicklung und Herstellung dieser Produkte durch einen Risikomanagementprozess überwacht wird.

Unter Produktrisiken versteht man Gefährdungen, die zu Lasten des Kunden (Ausfall, Versagen, Tod, Zerstörung) und damit auch zu Lasten des Herstellers (Haftung, Imageverlust, Wartungsaufwand) fallen können. Mithilfe eines systematischen Risikomanagementprozesses soll sichergestellt werden, dass Produktrisiken bereits bei der Entwicklung identifiziert, bewertet, kontrolliert und überwacht werden.

Im Umgang mit Naturgefahren wird das Konzept des integrierten Risikomanagements in der Praxis immer wichtiger. So wurde z. B. jüngst im Bereich des Hochwasserschutzes der Begriff des Hochwasserrisikomanagements durch die Hochwasserrichtlinie 2007/60/EG eingeführt. Diese verlangt ein mehrstufiges Vorgehen zum Management dieser Naturgefahr: zuerst die vorläufige Abschätzung, dann das Erstellen und Hochwassergefahrenkarten (HWGK) und Hochwasserrisikokarten (HWRK), darauf aufbauend dann die Erstellung von Hochwasserrisikomanagementplänen (HWRMP).

Softwareentwicklung

Bei der Entwicklung und Implementierung von Informationssystemen werden zunehmend Methoden des Risikomanagements eingesetzt, um der zunehmenden Komplexität und der damit verbundenen Fehleranfälligkeit zu begegnen. Aspekte des Risikomanagements sollten über den gesamten System-Lebenszyklus, also beginnend mit dem Konzept, über die Entwicklung oder Programmierung, Implementierung und Konfiguration und während des Betriebes bis hin zur Stilllegung des Systems berücksichtigt werden.

Medizinprodukte

Bei der Entwicklung und Herstellung von Medizinprodukten werden müssen unter anderem die Methoden des Risikomanagements gemäß den Vorgaben der DIN EN ISO 14971 eingesetzt werden, um der zunehmenden Komplexität und der damit verbundenen Fehleranfälligkeit effektiv und sicher zu begegnen. Aspekte des Risikomanagements sollten über den gesamten System-Lebenszyklus, also beginnend mit dem Konzept, über die Entwicklung, Fertigung, Nutzung und in Verwendung mit anderen Medizinprodukten und während des Betriebes bis hin zur Entsorgung eines Medizinprouktes berücksichtigt werden.

Supply Risk Management

Das Supply Risk Management ist ein Teilbereich des Risikomanagements, dass sich mit der Identifikation, Analyse und Kontrolle von auftretenden Gefahren im Beschaffungsumfeld eines Unternehmens beschäftigt^[1].

Mathematische Größen im Risikomanagement

Rechtliche Aspekte

Nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) sind Aktiengesellschaften (AGs) in Deutschland gesetzlich zur Risikofrüherkennung, einem Teilbereich des Risikomanagements, verpflichtet, um den Erhalt des eigenen Unternehmens sicherzustellen. Dies gilt anerkanntermaßen heute auch für andere Unternehmensformen und -größen und insbesondere für GmbH (§ 43 I und II GmbHG - wobei § 43 II in Bezug auf das Risikomanagement so ausgelegt wird, dass der GmbH-Geschäftsführer die ausgewiesenen Pflichten des § 91 II AktG erfüllen muss). Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB durch die Abschlussprüfer richtet sich dabei vornehmlich an dem IDW Prüfungsstandard 340 (IDW PS 340) aus. Bei der Früherkennung von Risiken ist zu unterscheiden nach „bestandsgefährdenden Risiken“ - mit einer 12 Monatssichtweise - und den „Risiken, die Auswirkungen auf die Ertrags-, Finanz- und Vermögenslage“ - mit einer 24 Monatssicht - des Unternehmens haben. International finden sich ähnliche rechtliche Anforderungen beispielsweise im Sarbanes-Oxley Act, einer Rechnungslegungsvorschrift für Unternehmen, die an US-Börsen gelistet sind. Risikomanagement ist eine Komponente des im Sarbanes-Oxley Act geforderten internen Kontrollsystems (IKS).

Literatur

Diederichs, Marc: Risikomanagement und Risikocontrolling : Risikocontrolling - ein integrierter Bestandteil einer modernen Risikomanagement-Konzeption. München : Vahlen, 2004 (Controlling Praxis). – ISBN 3800630842
Bundesanstalt für Finanzdienstleistungsaufsicht: Mindestanforderungen an das Risikomanagement. Bank-Verlag Medien, ISBN 3-86556-129-2.
Thorsten M. Bröder: Risiko-Management im internationalen Bankgeschäft. Eine holistische Analyse unter besonderer Berücksichtigung der Steuerung und Kontrolle. Reihe Bank- und finanzwirtschaftliche Forschungen. Band 375, Haupt Verlag AG, Bern/Stuttgart/Wien 2006, ISBN 3-258-07078-4.
Tom DeMarco, Timothy Lister: Bärentango. ISBN 3-446-22333-9.
Michael Durica: Die Risiken der Risikoabsicherung. In: Risiko-Manager. 21/2006.
Roland Erben, Frank Romeike: Allein auf stürmischer See. Wiley-VCH, 2004, ISBN 3-527-50073-1.
Gietl, Lobinger: Risikomanagement für Geschäftsprozesse. Hanser, 2005, ISBN 3-446-40283-7.
W. Gleißner, Frank Romeike: Risikomanagement – Umsetzung, Werkzeuge, Risikobewertung. Haufe 2005, ISBN 3-448-06209-X.
Kai Ullrick Hopp: GmbH-Risikomanagement. Bonn 2001, ISBN 3-923763-72-7.
Detlef Keitsch: Risikomanagement. Schäffer-Poeschel, 2004, ISBN 3-7910-2295-4.
Koller: Wissensrisiken – Risiken aus Sicht des Wissensmanagements.
Locher, Mehlau, Hackenberg, Wild: Risikomanagement in Finanzwirtschaft und Industrie.
Klaus-Rainer Müller: Handbuch Unternehmenssicherheit. Vieweg, 2005, ISBN 3-528-05889-7.
Frank Romeike, R. Finke (Hrsg.): Erfolgsfaktor Risiko-Management. Gabler-Verlag, 2003, ISBN 3-409-12200-1.
Thosten Schmitz, Michael Wehrheim: Risikomanagement. Grundlagen – Theorie – Praxis. Kohlhammer, Stuttgart 2006, ISBN 3-17-019330-9.
Axel Sitt: Dynamisches Risiko-Management. Deutscher Universitätslegende, 2004, ISBN 3-8244-0734-5.
Gerhard Versteegen (Hrsg.): Risikomanagement in IT-Projekten. ISBN 3-540-44175-1.
Worst Case. Zwischen Angst, Alarm und Gelassenheit. Themenheft der Schweizer Monatshefte, Ausgabe September/Oktober 2006.
Mensch, G. (2003): Risikomanagement – Aufgaben und Lösungsansätze im Controlling, in: Betrieb und Wirtschaft, Nr. 12, 2003, S. 485-490

Siehe auch

Einzelnachweise

↑ Rogler, S. (2002): Risikomanagement im Industriebetrieb: Analyse von Beschaffungs-, Produktions- und Absatzrisiken. Zugl. Habil. Univ. Göttingen, 1999. Wiesbaden: DUV, ISBN 3-8244-9084-6

Weblinks

Von „http://de.wikipedia.org/wiki/Risikomanagement“

Kategorien: Projektmanagement | Risikomanagement | Risikomanagement (Bank)

This article is from Wikipedia. All text is available under the terms of the GNU Free Documentation License.