Risikocontrolling

Aus Controlling-Wiki

Das Risikocontrolling kann als Unterstützung des Risikomanagements und der Unternehmensleitung definiert werden, indem es Informationen und Instrumente für den Risikoumgang bereitstellt. Es trägt dazu bei, Risiken zu identifizieren, zu bewerten, zu aggregieren, zu steuern, zu kommunizieren und zu kontrollieren, um die Unternehmensexistenz zu gewährleisten (Wolke, 2016, S. 1-5; Gebhardt, 2007, S. 1713-1715; Horváth, 2003, S. 780). Zudem kann das Risikocontrolling als Managementfunktion des funktionalen Controllings betrachtet werden.

Einführungsmotive des Risikocontrollings

Die Einführungsmotive eines Risikocontrollings bzw. eines Risikomanagements sind vielfältig, wobei gesetzliche Anforderungen und Forderungen seitens der Eigner als am Wichtigsten zu erachten sind (Hoitsch, Winter & Baumann, 2006, S. 71). So müssen in der Schweiz revisionspflichtige Unternehmen gemäss OR Art. 961c eine Risikobeurteilung durchführen und nach OR Art. 728b das interne Kontrollsystem bzw. IKS von der Revisionsstelle prüfen lassen. OR Art. 727 definiert in diesem Zusammenhang, welche Unternehmen revisionspflichtig sind. In Deutschland bildet das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) die rechtliche Grundlage. Auch der internationale Rechnungslegungsstandard IFRS verlangt ein umfangreiches Risikoreporting. Beispielsweise verlangen IAS 32 und IFRS 7 Angaben über die Risikomanagementpolitik, das Zinsänderungsrisiko oder das Ausfallrisiko (Gleissner, 2017, S. 75-77). Weitere Einführungsmotive des Risikocontrollings sind volkswirtschaftliche Ursachen, technologische Fortschritte und gesellschaftliche Veränderungen (Wolke, 2016, S. 3). Darüber hinaus kann die Einführung zu einem verbesserten Rating und somit auch zu tieferen Kapitalkosten verhelfen (Ossadnik, 2009, S. 538-539).

Begriffsdefinition Risiko

Es gibt keine allgemeine Begriffsdefinition von Risiko, sondern es kann unterschiedlich definiert werden (Borghesi & Gaudenzi, 2013, S. 7-10). Diederichs (2012) hat aber festgestellt: „Eine häufig gebrauchte Definition bezeichnet ein Risiko als die Möglichkeit einer Abweichung eines zukünftigen, mit bestimmter Wahrscheinlichkeit eintretenden Kennzahlenwertes (oder Ereignisses) von einem ursprünglich geplanten Kennzahlenwert (oder erwarteten Ereignis). Sowohl die positive als auch die negative Abweichung wird dabei als Risiko verstanden“ (S. 8). Positiv meint in der weiteren Begriffsdefinition, dass eine Gewinnmöglichkeit besteht. Negativ auf der anderen Seite eine Verlustmöglichkeit (Diederichs, 2012, S. 8). Jedes Unternehmen muss jedoch für sich selber eine geeignete Definition bestimmen und diese kommunizieren.

Struktur des Risikocontrollings

Struktur
Abb. 1: Modifiziertes Kennzahlen- und Controllingsystem (in Anlehnung an Reichmann, 2001, S. 68)

In der Literatur gibt es viele Möglichkeiten, wie Risikocontrolling strukturiert sein kann. Das Risikocontrolling kann zum Beispiel als Element des Risikomanagements verstanden werden. Hingegen wird es in der Literatur auch als integraler Bestandteil des Controllings bezeichnet und kann so als Querschnittsfunktion über alle Controllingmodule interpretiert werden (Diederichs, 2012, S. 19-20). Dies bedeutet, dass alle auf der Abbildung 1 ersichtlichen Controllingmodule zusätzlich die risikorelevanten Aspekte ihres Bereiches zu analysieren haben. Die Besonderheit des Risikocontrollings liegt folglich in der modulübergreifenden Reichweite.

Schliesslich kann das Risikocontrolling auch in Form einer Parallelhierarchie zum strategischen Controlling aufgebaut sein, dessen Aufgabe darin besteht, die langfristige Unternehmensplanung und -kontrolle durchzuführen und die strategischen Erfolgspotentiale aufzubauen und zu erhalten (Diederichs, 2012, S. 19-20).

Ziele des Risikocontrollings

Abb. 2: Aufgaben des Risikomanagements und Risikocontrollings (in Anlehnung an Diederichs, 2012, S. 21)

Wie aus der Abbildung 2 ersichtlich, lassen sich die Ziele des Risikocontrollings vom Risikomanagement ableiten. Das Ziel des Risikomanagements besteht darin, die zukünftigen, risikobehafteten Entwicklungen so früh wie möglich zu erkennen, zu beurteilen, zu steuern und fortlaufend zu überwachen, damit die unternehmerische Existenz gesichert bzw. der Unternehmenswert gesteigert werden kann. Ziel des Risikocontrollings ist es, das Management dabei zu unterstützen (Reichmann, 2011, S. 569; Rautenstrauch, 2014).

Das Risikocontrolling hat daher weiter zum Ziel, die betriebswirtschaftlichen und technischen Strukturen im Unternehmen so aufzubauen, dass die entscheidungswichtigen Informationen systematisch identifizierbar und vermittelbar sind, um so für das strategisch und entscheidungsverantwortliche Management eine effiziente und effektive Entscheidungsfindung zu ermöglichen (Braun, Gänger & Schmid, 1999, S. 238; Hornung, 1998, S. 280; Karten, 1993, S. 3828).

Zusammengefasst ist das Ziel des Risikocontrollings die Koordination von Planung, Steuerung und Kontrolle in Bezug auf risikorelevante Sachverhalte sowie die Überwachung und Aufbereitung dieser Sachverhalte in Form von Auswertungen und Dokumentationen für das Risikomanagement, welches schliesslich die Entscheidung trifft (Kropp, 1999, S. 132).

Aufgaben des Risikocontrollings

Die Aufgaben des Risikocontrollings lassen sich von denjenigen des klassischen Controllings sowie den Zielen des Risikocontrollings ableiten.

  • Unterstützung des Risikomanagements im Zusammenhang mit der Risikosteuerung und -Überwachung
  • Sicherstellung der Informationsversorgung
  • Aufbau einer hierarchieebenenübergreifenden Risikoberichterstattung
  • Entwicklung, Bereitstellung und Anwendung von Instrumenten zur Identifikation, Beurteilung und Steuerung von Risiken (Diederichs, 2012, S. 20-21)

Das Risikocontrolling unterstützt somit das Risikomanagement bei dessen Entscheidungen, indem es die wichtigsten Risikoinformationen für die Entscheidungsträger bereitstellt.

Risikomanagement-Prozess

Der Risikomanagement-Prozess in Abbildung 3 umfasst die Risikoidentifikation, -bewertung, -aggregation, -steuerung, -kommunikation und -kontrolle. Wichtig ist, dass dieser Prozess kontinuierlich durchlaufen wird, um die ständig ändernden Umfeldbedingungen zu berücksichtigen (Reichmann, 2011, S. 572-573). In der Praxis dominiert eine quartalsweise Durchführung (Denk, Exner-Merkelt & Ruthner, 2008, S. 82-84).

Abb. 3: Kontinuierlicher Managementprozess (in Anlehnung an Klein, 2011, S. 33)

Risikoidentifikation

Kultur

„Nur wenn ein Unternehmen die relevanten Risiken identifiziert hat, können diese auch im weitergehenden Risikomanagementprozess effizient gesteuert werden“ (Wild, 2012, S. 319). Daher werden zunächst einmal mögliche Risiken evaluiert, die auf das Unternehmen einwirken können. Für die Identifikation von Risiken stehen dem Risikocontroller viele unterschiedliche Instrumente zur Verfügung. Die bekanntesten Instrumente sind wohl die gängigsten strategischen Instrumente wie PESTE-, SWOT-, Five-Forcesanalyse oder Balanced Scorecard. Gemäss einer PwC-Studie verwenden Unternehmen am häufigsten Checklisten, Interviews, Erhebungsbögen und IT-Eingabetools (PwC, 2015, S. 26). Einige dieser Instrumente werden nachfolgend beschrieben:

Instrument Beschreibung
Checklisten

„Checklisten sind standardisierte Fragebögen zur systematischen Erfassung von Risiken und können offene oder geschlossene Fragen enthalten“ (Gleissner, 2017, S. 123). Auch Sartor & Bourauel (2013) bestätigen, dass Checklisten in der Praxis häufig verwendet werden (S. 42).

Delphi-Methode

Die Delphi-Methode ist im Grunde genommen eine mehrstufige Expertenbefragung möglichst vieler Experten und Expertinnen. Ergebnisse der ersten Umfragen werden bei nachfolgenden Befragungen berücksichtigt. Dies soll von Stufe zu Stufe zu verbesserten Ergebnissen führen (Gleissner, 2017, S. 123).

Mitarbeitendenbefragung

Die Mitarbeitendenbefragung soll vor allem interne Risiken aufdecken. Dabei werden alle Mitarbeitenden befragt, welche wichtige Informationen liefern können (Gleissner, 2017, S. 123). Die Implementierung einer unternehmensweiten Risikokultur unterstützt das Instrument der Mitarbeitendenbefragung bei der Risikoidentifikation.

Brainstorming

Beim Brainstorming handelt es sich um eine sogenannte Kreativitätsmethode (Sartor & Bourauel, S. 42). Durch uneingeschränkte Aufzählung soll die Kreativität angeregt werden, mit dem Ziel, möglichst viele potenzielle Risiken zu identifizieren. Brainstorming basiert vorwiegend auf Erfahrung und Intuition, weshalb eine Kombination mit anderen Methoden empfehlenswert ist (Gleissner, 2017, S. 123).

Risikobewertung und -aggregation

Nachdem potenzielle Risiken identifiziert wurden, müssen diese entsprechend beurteilt und quantifiziert werden. Dies ist notwendig, damit das Unternehmen Risiken besser einschätzen kann (Wild, 2012, S. 320). Die Beurteilung von Risiken (bzw. Risikoanalyse) wird auch als Kern des Risikomanagements bezeichnet (Wolke, 2016, S. 13). Bei der Beurteilung müssen auch wechselseitige Beziehungen zwischen einzelnen Risiken berücksichtigt werden, sofern diese sich gegenseitig verstärken (Wild, 2012, S. 320). Um festzustellen, wie gross das Gesamtrisiko unter Berücksichtigung der Abhängigkeiten der Einzelrisiken ist, ist eine Risikoaggregation erforderlich (Gleissner, 2017, S. 245). Dazu werden statistische und aufwändige Instrumente wie der Value at Risk oder die Monte-Carlo-Simulation verwendet. Die PwC-Studie zeigt auf, dass in der Praxis am häufigsten Schätzwerte bzw. Erfahrungswerte verwendet werden. Weiter werden auch Szenariotechniken und mathematische Modelle angewandt (PwC, 2015, S. 30). Deshalb werden die folgenden Instrumente beschrieben:

Abb. 4: Risk-Map zur Darstellung und Priorisierung von Einzelrisiken (in Anlehnung an Sartor & Bourauel, 2013, S. 52)
Instrument Beschreibung
Risk-Map

Die wesentlichen Risiken können in einer Risk-Map dargestellt werden. Risk-Maps werden häufig auch als Risikoportfolio bezeichnet und ermöglichen eine zweidimensionale Darstellung der Einzelrisiken auf den beiden Achsen Eintrittswahrscheinlichkeit und Schadenshöhe (Sartor & Bourauel, 2013, S. 52), welche aufgrund von Schätz- und Erfahrungswerten berechnet werden. Abbildung 4 veranschaulicht eine mögliche Risk-Map, wobei vor allem die Risiken oberhalb der roten Akzeptanzlinie als besonders gefährlich zu erachten sind und mit geeigneten Massnahmen gesteuert werden sollten. Die Pfeile der Risk-Map können sowohl die zeitliche und die gewünschte Entwicklung aufzeigen als auch eine vergleichende Bewertung der einzelnen Risiken vollziehen (Diederichs, 2012, S. 142-145).

Value at Risk

Der Value at Risk ist eine Kennzahl, welche den maximal zu erwartenden Verlust bei einem bestimmten Konfidenzniveau innerhalb einer bestimmten Zeitperiode angibt (Wild, 2012, S. 320). Neben dem Konfidenzniveau müssen für die Berechnung ein Mittelwert und eine Standardabweichung evaluiert werden.

Szenarioanalyse

Die kritischen Indikatoren sind dabei zu definieren und die Planung kann unter Einbezug der Szenarioanalyse (auch Szenariotechnik genannt) kalkuliert werden. Gerechnet wird dabei mit einem Worst, Average oder Best Case. So können die Risiken besser quantifiziert werden. Die Szenarioanalyse ist ein Instrument der Risikobeurteilung oder -überwachung, weil die kritischen Indikatoren für die Szenarioanalyse gegeben sein müssen (Heidrich, 2007, S. 47-48). Szenarioanalysen können auch von neuronalen Netzwerken unterstützt werden (Hassani, 2016, S. 111-120).

Kennzahlen gestützte Beurteilung

Die Kennzahlen gestützte Beurteilung ist vor allem für die Beurteilung des Gesamtrisikos bzw. der finanziellen Stabilität eines Unternehmens geeignet. Die Beurteilung basiert hauptsächlich auf dem Jahresabschluss. Die daraus ermittelten Kennzahlen ergeben einen Überblick über die allgemeine Ertrags-, Finanz- und Vermögenslage sowie die Zahlungswürdigkeit des Unternehmens (Diederichs, 2012, S. 155-157).

Monte-Carlo-Simulation

Bei der Risikoaggregation mittels der Monte-Carlo-Simulation werden Wahrscheinlichkeitsverteilungen von Zufallsgrössen experimentell bestimmt. Unbekannte Strukturen und Verhalten können somit auf der Basis von Risikofaktoren und deren Wahrscheinlichkeitsverteilung simuliert werden (Sartor & Bourauel, 2013, S. 76). Um Rückschlüsse auf den Gesamtrisikoumfang zu erhalten, wird eine grosse repräsentative Anzahl möglicher zukünftiger Risikoszenarien berechnet und analysiert (Gleissner, 2017, S. 254).

Risikosteuerung

Nach der Risikobeurteilung muss entschieden werden, wie mit den analysierten Risiken umgegangen werden soll. Dabei können nachfolgende fünf Strategien kombiniert zur Anwendung kommen (Wild, 2012, S. 321).

Strategie Beschreibung
Risikovermeidung

Die Einzelrisiken werden in ihrem Ursprung angegangen und beseitigt. Dies könnte z. B. der Ausstieg aus einem Projekt oder Markt bedeuten (Sartor & Bourauel, 2013, S. 82).

Risikoverminderung

Hierbei wird versucht, die Schadenshöhe und die Eintrittswahrscheinlichkeit zu vermindern (Wild, 2012, S. 321).

Risikobegrenzung

Die Risikobegrenzung unterteilt sich in Risikostreuung (Risikodiversifikation) und Limitierung. Bei der Diversifikation wird eine Kombination von verschiedenen Geschäftsbereichen bzw. Anlagemöglichkeiten, die nicht miteinander korrelieren, angestrebt. Bei der Limitierung handelt es sich um eine Vorgabe von der Unternehmensleitung, dass ein bestimmtes Mass an Risiko nicht überschritten werden darf (Wild, 2012, S. 321).

Risikoüberwälzung

Die finanzielle Wirkung wird auf Dritte (z. B. Kunden oder Lieferanten) übertragen. Dies kann durch Vertragsbedingungen, Versicherungsverträge oder Finanzderivate erfolgen (Sartor & Bourauel, 2013, S. 83).

Risikoakzeptanz

Die erkannten Risiken werden bewusst akzeptiert (Sartor & Bourauel, 2013, S. 83), um beispielsweise von möglichen Gewinnchancen profitieren zu können.

Risikokommunikation und -kontrolle

Kultur

Risiken können mittels Risikoreporting kommuniziert werden. Die Aufgabe des Risikoreportings besteht darin, über die identifizierten und bewerteten Risiken sowie über eingeleitete Massnahmen zur Steuerung und Bewältigung der Risiken zu berichten. Ein Risikoreporting soll Auskunft über Identifikation, Beurteilung, Quantifizierung, Aggregation und Steuerung der Risiken geben (Sartor & Bourauel, 2013, S. 90). Umfang, Inhalt und Frequenz des Reportings sind zwingend mit den Berichtsempfängern zu definieren (Diederichs, 2012, S. 163-174).

Rautenstrauch betont bei der Kommunikation von Risiken, dass eine angemessene Risikokultur aufgebaut werden sollte. Alle Mitarbeitenden einer Unternehmung müssen die Bereitschaft entwickeln, Risiken (im weiteren Sinne) in ihrer internen als auch externen Umwelt bewusst wahrzunehmen und zu kommunizieren. Es reicht nicht aus, wenn lediglich das Management und das Controlling bei diesem Prozess vertreten sind. Um das zu erreichen, ist eine Schulung der Kommunikationsbereitschaft bei den relevanten Fach- und Führungskräften empfehlenswert. Darüber hinaus sollen auch Grenzwerte und Revisionszyklen festgelegt werden (2014).

Darüber hinaus soll das Controlling prüfen, ob die Vorgaben des Managements eingehalten werden. Dafür stehen dem Controlling unterschiedliche Instrumente zur Verfügung wie z. B. ein Soll-Ist-Vergleich oder Soll-Wird-Vergleich (Wild, 2012, S. 321). Da sich die Risiken im Zeitverlauf ständig verändern, sollte die Kontrolle kontinuierlich durchgeführt werden (Gleissner, 2017, S. 417). Zudem soll das Risikocontrolling im Rahmen der Risikokontrolle die Effizient der oben beschriebenen Prozessschritte gewährleisten (Ossadnik, 2009, S. 538-539).

Kritische Würdigung

Es ist grundsätzlich illusorisch, genaue Prognosen und Konsequenzen über die zukünftige Entwicklung der Weltgeschehnisse aufzustellen. Bei Prognosen wird in der Praxis durchwegs auf Vergangenheitsdaten – sofern solche überhaupt vorliegen – referenziert (Heri & Zimmermann, 2000, zit. in Gleissner, 2017, S. 193). Da sich die Umfeld-Bedingungen jedoch stetig verändern, sind diese für Geschehnisse in der Zukunft nicht repräsentativ. Gerade deshalb kann das Risikomanagement und somit auch das Risikocontrolling als lästige Pflichtaufgabe anstelle der Kernaufgabe des Managements verstanden werden (Gleissner, 2017, S. 12). Weiter werden einfachere Bewertungs- und Reportinginstrumente in der Praxis häufiger angewendet als aufwändigere Methoden wie z. B. der Value at Risk (Hoitsch, Winter & Baumann, 2003, S. 73). Dies obwohl besonders einfachere Bewertungsmethoden die Wirklichkeit unzureichend abbilden (Wolke, 2016, S. 14; Sartor & Bourauel, 2013, S. 47). So wird unter anderem die Risk-Map dafür kritisiert, dass ihre Darstellungsform impliziere, es liessen sich die Risiken meistens nur durch Schadenshöhe und Eintrittswahrscheinlichkeit beschreiben. Zudem bildet die Risk-Map Einzelrisiken ab und berücksichtigt die Korrelationen zwischen den einzelnen Risiken unzureichend (Sartor & Bourauel, 2013, S. 53). Beispielsweise korreliert ein Brand in der Produktionsstätte mit einem Produktionsausfall. Aber auch der Value at Risk steht unter Kritik, da dieser Extremsituationen nur unzureichend abbilden kann. Der Basler Ausschuss für Bankenaufsicht empfiehlt daher, dass der Value at Risk auf einem 99-%-igen Konfidenzniveau berechnet wird (Lechner & Ovaert, 2010, S. 478).

Ein weiteres Problem ist, dass immer noch fachliche Kenntnisdefizite bestehen. So ist das Risikomanagement kaum ein Ausbildungsschwerpunkt für potenzielle Manager und hat im Studium für Ökonomen einen vergleichsweise geringen Zeitanteil (Gleissner, 2017, S. 12). Zudem ist davon auszugehen, dass die mangelnde begriffliche Klarheit (z. B. uneinheitliche Trennung von Risikocontrolling und -management) eine Beschäftigung mit der Thematik behindert (Winter, 2007, S. 26). Weiter können psychologische als auch persönliche Interessen ein adäquates Risikocontrolling (bzw. Risikomanagement) erschweren. Gemäss psychologischer Forschung ist der Mensch aversiv gegenüber Risiken bzw. Verlusten. Daher können Risiken bewusst aber auch unbewusst ignoriert werden, um kognitive Dissonanzen zu vermeiden (Gleissner, 2017, S. 13). Zudem verschafft das Risikocontrolling Transparenz über die Risikosituation einer Unternehmung. Eine solche Transparenz muss aber nicht zwangsläufig im Interesse jedes Managers sein (Gleissner, 2017, S. 14). Ein weiteres Problem ist, dass Opportunitätskosten meistens vernachlässigt werden. Falls sie berechnet werden, werden deren Werte subjektiv geschätzt. Opportunitätskosten treten beispielsweise dann auf, wenn aufgrund eines Schadenfalles finanzielle Mittel aufgewendet werden müssen, um den vorherigen Zustand wiederherzustellen. Wäre dieser Schadensfall nicht eingetroffen, hätten die Mittel anderweitig eingesetzt werden können (Diederichs, 2012, S. 89).

Lern- und Praxismaterialien

Aufgaben Fallstudien

Quellen

Literaturverzeichnis

Weiterführende Literatur

Autoren

Manuel Scherrer, David Schöpfer, Michael Schriber, Micha Gabriel Teuscher