Risikomanagement in mittelständischen Unternehmen

Diplomarbeit von Olesja Gerasimenko

Einleitung:

Die zunehmende Globalisierung der Absatz- und Faktormärkte, der stetig wachsende Wettbewerbsdruck sowie das immer komplexer gewordene Unternehmensumfeld prägen entscheidend das Geschäftsgeschehen des 21. Jahrhunderts. Zudem hat das Informationszeitalter, welches durch leistungsfähigere und schnelllebigere Informations- und Kommunikationstechnologien gekennzeichnet ist, Einzug gehalten, weshalb heutzutage die Marktteilnehmer immer stärker zur Steigerung der eigenen Reaktions- und Anpassungsfähigkeit gezwungen sind. Demzufolge führten die Entwicklungen der letzten Jahrzehnte dazu, dass Unternehmen unter einem immer höheren Zeitdruck komplexere Entscheidungen treffen mussten. Gleichzeitig haben sich die Konsequenzen falscher Entscheidungen zunehmend verschärft. Hinzu kommen auch die auf nationaler und europäischer Ebene erlassenen Gesetzgebungen. An dieser Stelle ist das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, das Publizitätsgesetz, die internationalen Prüfungsstandards sowie die strengen Richtlinien des zweiten Baseler Akkords, als einige der wesentlichen Änderungen bzw. Neuerungen, zu nennen. Nicht zuletzt stellt der seit mehreren Monaten durch die Finanzmarktkrise ausgelöste Konjunkturabschwung die mittelständischen Unternehmen in Deutschland vor weitere, noch härtere Herausforderungen. Die veränderten, zum Teil verschlechterten gesamtwirtschaftlichen Rahmenbedingengen bergen für die KMU zahlreiche Gefahren, denen die Unternehmen durch neue, flexible Strategien begegnen müssen, um somit die eigene Existenz aufrecht zu erhalten.

Die genannten Entwicklungen spiegeln sich in den jüngst gestiegenen Insolvenzzahlen wieder, nachdem noch in den Vorjahren ein rückläufiger Trend zu beobachten war. So wurden im Laufe des Jahres 2008 rund 29.800 (VJ: 29.150) Unternehmensinsolvenzen in Deutschland registriert. Dies entspricht zwar einem marginalen Zuwachs von etwa 2,2 %, in 2009 erwartet man jedoch, infolge des anhaltenden globalen Abschwungs, einen weitaus größeren Anstieg der Unternehmenspleiten. Hierbei wird ein unzureichendes bzw. fehlendes Risikomanagement bereits lange vor der aktuellen Wirtschaftskrise als einer der entscheidenden Gründe für steigende Insolvenzzahlen der mittelständischen Unternehmen gesehen.

Vor diesem Hintergrund hat sich die Öffentlichkeit und vor allem der Gesetzgeber bereits seit einigen Jahren mit dem Thema „Risikomanagement“ verstärkt auseinandergesetzt. Infolge dessen verpflichtete der Gesetzgeber durch Verabschiedung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich die Vorstände einer Aktiengesellschaft u. a. zur Einrichtung eines unternehmensweiten Risikomanagementsystems. Mit der Erlassung des KonTraG wurden neue Anforderungen an den Umgang mit vorhandenen bzw. potenziellen Risiken eines Unternehmens gestellt, da in einer Zeit stetig wachsender Unsicherheit und Ungewissheit das managen von Risiken für den Erfolg und den Fortbestand eines Unternehmens unabdingbar geworden ist.

Neben dem Gesetzgeber weisen auch die Banken mit verschärften Anforderungen des Basels II auf die Notwendigkeit des Risikomanagements für mittelständische Unternehmen hin. So zählt das Vorhandensein eines adäquaten Risikomanagementsystems zu einem wichtigen Beurteilungskriterium eines Unternehmensratings, welches über die Gewährung des Kredites sowie die Höhe der Kreditkosten bestimmt. Insofern sind auch die von der Kreditfinanzierung abhängigen mittelständischen Unternehmen immer mehr gefordert, ein geeignetes und unternehmensweites Risikomanagementsystem einzurichten, um bestehende und künftige Gefahrpotenziale besser bewältigen sowie die damit einhergehenden Chancen nutzen zu können.

Obwohl das Thema „Risikomanagement“ anlässlich der aktuellen Wirtschaftskrise stark präsent ist, fällt es immer noch den meisten mittelständischen Unternehmen schwer, sich mit dieser Thematik auseinanderzusetzen. Dies lässt sich zum einen darauf zurückführen, dass der Gesetzgeber zwar das vorhanden sein eines Risikomanagementsystems fordert, dessen gestalterische Umsetzung jedoch weitestgehend offen lässt. Zum anderen ist es der mit der Implementierung verbundene Kosten- und Zeitaufwand, der die Mehrheit der KMU vor dessen Einführung zurückschrecken lässt.

Inhaltsverzeichnis:

Textprobe:

Kapitel 4.3, Risikobewertung:

Nach der Identifizierung relevanter Risiken werden diese in einem nächsten Schritt einer genauen Analyse bzw. Bewertung unterzogen, so dass abschließend eine angemessene Steuerung der Risiken gewährleistet werden kann. Denn nur messbare Risiken können vom Unternehmen zielgerichtet gesteuert bzw. bekämpft werden. Die wesentliche Zielsetzung der Bewertungsphase besteht daher in einer qualitativen Charakterisierung und quantitativen Messung der Risiken sowie deren Zusammenfassung zum Gesamtrisiko unter der Berücksichtigung der gegenseitigen Interdependenzen. Zu den grundlegenden Aufgaben der Risikobewertung gehört zum einen die Selektion in unbedeutende bzw. schwerwiegende Störpotenziale und zum anderen die Aufteilung in die durch das Unternehmen steuerbaren und nicht steuerbaren Risiken. Die Bewertungsphase bildet somit eine Entscheidungsgrundlage für den weiteren Handlungsbedarf des Unternehmens.

Zur Bewertung identifizierter Risiken kann das Unternehmen auf zahlreiche Bewertungsverfahren zurückgreifen. Dabei lassen sich die bestehenden Verfahren in zwei grundlegenden Gruppen unterteilen, welche im nachfolgenden Kapitel näher erläutert werden.

Qualitative Methoden der Risikobewertung:

Die qualitative Bewertung kann generell bei allen bestehenden sowie potenziellen Risiken des Unternehmens durchgeführt werden. In der Regel wird diese am Anfang der eigentlichen Bewertungsphase vorgenommen, um anschließend daraus quantitative bzw. messbare Ergebnisse für Einzelrisiken zu erhalten. Sie wird aber auch häufig dann angewendet, wenn die Quantifizierung der Einzelrisiken nicht oder nur begrenzt möglich ist. So stellen z. B. die fehlende Kompetenz der Verantwortlichen, verlangsamter bzw. veralteter Informationstand oder ineffiziente Informationsbeschaffung einige der zahlreichen Gründe einer problematischen Messbarkeit der Risikofaktoren dar.

Zur qualitativen Ermittlung der Schadenshöhe werden zunächst alle relevanten Gefahrpotenziale zusammengefasst und einer verbalen Qualifizierung unterzogen. Bei der Qualifizierung werden insbesondere solche Kriterien, wie die Ertragsbelastung, Höchstschaden oder Wirkungsdauer berücksichtigt. In einem weiteren Schritt wird jedem qualifizierten Risiko ein Wert zugewiesen, welcher bspw. mit Hilfe der Schulnoten ermittelt wird, wobei die 1 „unbedeutende“ und die 5 „bestandgefährdende“ Risiken repräsentieren. Schließlich werden sämtliche Risiken den sog. Risikoklassen zugeordnet, die i. d. R. in „Kleinstschäden“ über „mittlere Schäden“ bis hin zur „Höchstschäden“ aufgeteilt werden.

Durch die Festlegung der Risikokategorien wird zum einen die Komplexität der bestehenden Gegebenheiten gemindert, da dadurch zahlreiche Perspektiven eines Risikos zu einer veranschaulichen Gesamtnote komprimiert werden. Zum anderen kann dadurch eine bessere Priorisierung der Gefahrpotenziale ermöglicht werden. So werden Risiken mit geringerer Gefahreinstufung dementsprechend nur mit geringerem Aufwand begegnet. Mittel bis hoch eingestufte Risikofaktoren werden hingegen intensiver erforscht. Weiterhin kann durch die Kategorienbildung die Kommunikation bedeutsamer Informationen innerhalb des Unternehmens, welche eine wichtige Teilaufgabe des Risikomanagementprozesses darstellt, verbessert werden.

Quantitative Methode der Risikobewertung:

Im Rahmen der quantitativen Risikobewertung werden zunächst alle erfassten Störfaktoren eines Unternehmens hinsichtlich ihrer Eintrittswahrscheinlichkeit, möglicher Schadenshöhe sowie der Häufigkeit des Schadeneintritts bewertet. Das Produkt dieser Elemente bildet den sog. Schadenerwartungswert eines Einzelrisikos. Dieser Wert ermöglicht es verschiedenartige Risiken mit einander vergleichbar zu machen.

Die Eintrittswahrscheinlichkeit, Schadenshöhe und die Eintrittshäufigkeit stellen drei wichtige Bestandteile des Risikoausmaßes dar, welche in der betriebswirtschaftlichen Literatur auch als „Risk-Exposure“ bezeichnet werden. Die Eintrittswahrscheinlichkeit beschreibt ein Maß für die Möglichkeit des Eintretens eines Ereignisses, welche mit entsprechenden Werten entweder in hohe, mittlere oder geringe Wahrscheinlichkeit klassifiziert wird. Die Ermittlung der Eintrittswahrscheinlichkeit kann auf objektive oder subjektive Weise erfolgen. Objektiv errechnete Wahrscheinlichkeit beruht auf einer Fortschreibung von Vergangenheitshäufigkeiten und findet in der Praxis, auf Grund ihrer relativ komplexen Berechnung, selten Anwendung. Die subjektive Wahrscheinlichkeitsermittlung basiert hingegen auf einem aktuellen Informations- bzw. Erfahrungsstand der Experten. Die Befragung von mehreren Spezialisten kann bspw. im Rahmen der bekannten Delphi-Methode vorgenommen werden. Die subjektive Ermittlung der Wahrscheinlichkeit findet in der betriebswirtschaftlichen Praxis häufiger Anwendung als die objektive Ermittlungsmethode.

Die Schadenshöhe, als zweite Komponente des Schadenerwartungswertes, beschreibt die maximal eintretende Verlustgefahr für das Unternehmen, welche in monetäre und nicht monetäre Auswirkung unterteilt wird. Während die monetäre Schadenshöhe primär die finanziellen Konsequenzen des Unternehmens widerspiegelt und sich relativ einfach und genau in Geldeinheiten messen lässt, ist die nicht monetäre Schadenshöhe, wie bspw. das Image, nur sehr schwer in Zahlenwerte zu ermittelt. Die Schadenshöhe kann ebenfalls, wie die Wahrscheinlichkeitsermittlung, entweder objektiv oder subjektiv errechnet werden. Der dritte Bestandteil der „Risk-Exposure“ betrifft die Eintrittshäufigkeit. Hierbei handelt es sich um Quantifizierung der Risiken unter Beachtung des Aspektes Zeit, d. h. es wird überprüft, wie häufig jedes Risiko pro Zeiteinheit vorkommt. Grundsätzlich lassen sich Risiken in regelmäßig und gelegentlich auftretende Störpotenziale unterteilen.

Sind die genannten Komponenten ermittelt, so kann abschließend der Erwartungswert des Schadens bestimmt werden. Der Schadenerwartungswert pro Einzelrisiko (V) ist das Produkt aus potenziell geschätzter Schadenshöhe (S) und der geschätzten Wahrscheinlichkeit (W) des drohenden Vermögensverlustes: V = S * W.

Die ermittelten Schadenerwartungswerte, die i. d. R. auch als Maßstab für die Relevanz eines Risikos angewendet werden, lassen sich zur Veranschaulichung in einem sog. „Risiko-Portfolio“, auch „Risk-Map“ genannt, graphisch darstellen (Abbildung 11). Dabei werden die Eintrittswahrscheinlichkeit und die Schadenshöhe als Parameter des Ordinatensystems definiert, wobei das Erstere in Prozent und das Letztere in Geldeinheiten ausgedrückt wird. Es empfiehlt sich auch eine unternehmensindividuelle Akzeptanzlinie, sog. Risikoschwelle, innerhalb des Risk-Map abzubilden, welche das Risiko-Portfolio in zwei entscheidende Bereiche unterteilt. Die vom Unternehmen festgelegte Risikoschwelle signalisiert den Entscheidungsträgern, ab welcher Schwellenhöhe dringender Handlungsbedarf besteht und mit welchen Steuerungsmaßnamen bzw. „Notfallplänen“ in diesen Fällen zu reagieren ist.

Die in der Abbildung dargestellten Risiken, welche oberhalb der Akzeptanzlinie liegen, bergen existenzbedrohende Verlustpotenziale in sich und sind als besonders kritisch zu bewerten. Sie fordern somit eine erhöhte Aufmerksamkeit der Unternehmensführung sowie eine sofortige Entscheidung über den Einsatz der entsprechenden Steuerungsmaßnahmen. Diesen Risiken sind Maßnahmen zur Reduzierung, Vermeidung bzw. Eliminierung herzuleiten. Risiken hingegen, welche sich unterhalb der Akzeptanzschwelle bewegen, sind weniger bedeutend. Dennoch soll sichergestellt werden, dass solche Risiken nicht vernachlässigt sondern stets überwacht und kontinuierlich neu beurteilt werden, da es nicht ausgeschlossen werden kann, dass durch die Kumulation dieser Risiken doch noch wesentliche und unternehmensrelevante Gefahrpotenziale entstehen können. Als geeignete Steuerungsmaßnahme kann hier die Risikoakzeptanz eingesetzt werden.

Zu der Risk-Map kann grundsätzlich festgehalten werden, dass sie zum einen relativ einfach zu handhaben ist und zum anderen einen guten Gesamtüberblick über die Risikolage der einzelnen Geschäftsbereiche und der gesamten Unternehmensorganisation verschafft. Vor diesem Hintergrund findet das Instrument der Risk-Map in der unternehmerischen Praxis eine starke Verbreitung.

Neben der Risk-Map bietet die Betriebswirtschaftslehre zahlreiche andere Konzepte zur quantitativen Bewertung der Risiken. Hier sind insbesondere die Sensitivitätsanalyse, Value-at-Rist-Methode und Monte-Carlo-Simulation, als einige der möglichen Bewertungsverfahren zu nennen. Diese Methoden sind durch eine sehr umfangreiche und hoch komplexe Vorgehensweise gekennzeichnet und setzen dementsprechend das fachliches Know-How der Verantwortlichen, hohen zeitlichen und personellen Aufwand sowie leistungsfähige EDV-Systeme voraus. Da jedoch mittelständische Unternehmen aufgrund ihrer knappen Zeit- und Personalkapazitäten nicht die Möglichkeit besitzen solch aufwendige Verfahren durchzuführen, ist deren Einsatz für KMU weniger praktikabel. In der Regel greift der Mittelständler auf die bekannte Risk-Map oder Befragung interner bzw. externer Experten zurück.