Risikomanagement ist weder eine neue Aufgabe für die Unternehmensführung, noch eine neue betriebswirtschaftliche Disziplin. In den letzten Jahren hat das Thema allerdings neue Impulse erlebt.

Folgende Faktoren waren dafür ausschlaggebend:

• Die zunehmende Dynamik des wirtschaftlichen Umfelds der Unternehmen, Volatilitäten am Kapitalmarkt und in wichtigen Commodity-Märkten erfordern immer mehr und immer komplexere Instrumente zur Risikobeherrschung.
• Gesetzgeber, Kapitalmarkt und Banken haben in den letzten Jahren – bedingt durch Krisen und Zusammenbrüche großer Unternehmen – ihre Anforderungen an die Führungs- und Überwachungssysteme von Unternehmen verschärft.

Traditionelle Risikomanagement-Ansätze, in denen die isolierte Betrachtung und Absicherung von Einzelrisiken im Vordergrund stand, konnten in vielen Fällen die Beherrschung der Gesamtrisikoposition von Unternehmen nicht sicherstellen. Sowohl im anglo-amerikanischen Sprachraum als auch in Deutschland und Österreich lässt sich daher eine Weiterentwicklung in Richtung eines unternehmensweiten Risikomanagements erkennen.

Zentrale Elemente dieses unternehmensweiten Risikomanagements sind

• das ganzheitliche Management von Risiken, d.h. das Management aller betrieblichen Risiken unter Berücksichtung von Risikointerdependenzen und
• die Integration des Risikomanagements in die Unternehmenssteuerung und damit notwendigerweise die Ausrichtung auf die Unternehmensziele.

Unternehmensweites Risikomanagement soll gewährleisten, dass alle Risiken des Unternehmens systematisch identifiziert und bewertet werden, sowie dass risikorelevante Informationen an Entscheidungsträger weitergeleitet werden. Ziel ist sicherzustellen, dass Risikosteuerungsmaßnahmen rechtzeitig ergriffen werden können.

Der Risikomanagement-Prozess besteht aus den Phasen

• Risikoidentifikation
• Risikobewertung und -aggregation
• Risikosteuerung und
• Risikoberichtswesen.

Die folgende Abbildung zeigt den Risikomanagementprozess sowie die wesentlichen Inhalte der einzelnen Prozessschritte.

Ziel der Risikoidentifikation ist das rechtzeitige, regelmäßige, schnelle, vollständige und wirtschaftliche Erfassen aller Einzelrisiken im Unternehmen, die Einfluss auf die wesentlichen Unternehmensziele haben. Im Rahmen der Risikoidentifikation werden alle relevanten Chancen und Risiken im Zusammenhang mit der Unternehmenstätigkeit systematisch und strukturiert erhoben.

Die Risikobewertung basiert auf den Ergebnissen der Risikoidentifikation. Ziel ist eine regelmäßige und möglichst vollständige quantitative Bewertung aller identifizierten Risiken. Durch die Quantifizierung ist es möglich, bestandsgefährdende Risiken bzw. solche Risiken zu erkennen, die zu wesentlichen Abweichungen von Zielgrößen führen können. Dies ermöglicht es, die Risikosteuerung auf die wichtigsten Risiken auszurichten. Die Quantifizierung ist Voraussetzung für die Risikoaggregation, d.h. für die Beurteilung der Gesamtwirkung der Risiken auf die Unternehmensziele.

Risikoidentifikation, -bewertung und -aggregation bilden die Entscheidungsgrundlagen für die Entwicklung von Risikosteuerungsstrategien und -maßnahmen. Ziel ist, die erkannten und quantifizierten Risiken für das Unternehmen – unter Beachtung der Risikostrategie – zu vermeiden, zu reduzieren oder bewusst einzugehen. Mit Hilfe der Risikosteuerung soll eine Optimierung des Verhältnisses zwischen Ertragschance und Verlustgefahr erreicht werden (Risk/Return Optimierung).

Im Rahmen des Risiko-Reportings wird über die identifizierten und bewerteten Risiken sowie über die eingeleiteten Maßnahmen zur Risikobewältigung regelmäßig berichtet. Inhalt der Risikoberichte sind die Ergebnisse der Risikoidentifikation, -analyse, -bewertung und -aggregation, der Status der Planung, Steuerung und Umsetzung der Maßnahmen zur Risikobewältigung sowie Informationen aus Risikokontrolle und -überwachung.