Risikopolitik
Als Risikopolitik eines Unternehmens bezeichnet man sämtliche Maßnahmen, die im Rahmen des Risikomanagements der Risikobewältigung sämtlicher Unternehmensrisiken dienen.
Allgemeines
Risiken und die Möglichkeiten ihrer Begrenzung sind ein zentrales Thema der Betriebswirtschaftslehre, da sie untrennbar mit dem unternehmerischen Handeln verbunden sind.[1] Das Unternehmensrisiko findet zunächst in der Volatilität des Ergebnisses (Gewinn oder Verlust) seinen Niederschlag, die durch statistische Analysen oder zukunftsorientiert mittels Risikoaggregation bestimmbar ist. Die extreme Ausprägung des Unternehmensrisikos wird Insolvenzrisiko genannt und drückt die Wahrscheinlichkeit aus, dass das Unternehmen wegen Zahlungsunfähigkeit und/oder Überschuldung seinen Verpflichtungen nicht oder nicht in voller Höhe nachkommen kann. Die vom aggregierten Risikoumfang – aber auch der Risikotragfähigkeit (Eigenkapital) und der Ertragskraft – abhängige Insolvenzwahrscheinlichkeit wird durch das Rating ausgedrückt (siehe auch Ratingprognose und Insolvenzprognoseverfahren). Risiken können im schlimmsten Fall zur Unternehmenskrise und letztlich zur Insolvenz eines Unternehmens führen. Um diese existenziellen Folgen zu vermeiden, hat die Risikopolitik für eine Analyse, Katalogisierung und Bewertung der Unternehmensrisiken zu sorgen.
Dabei orientiert sich die Risikopolitik an den Unternehmenszielen[2] mit dem klassischen Zielkonflikt zwischen Rentabilität, Liquidität und Risiko. Um eine bestimmte Rentabilität bei Erhaltung der Liquidität zu erreichen, müssen angemessene und beherrschbare Risiken eingegangen werden. Diese Risiken müssen jedoch stets mit Maßnahmen, den so genannten risikopolitischen Instrumenten, überwacht und gesteuert werden. Der Risikopolitik kommt die Aufgabe zu, die Risikosituation eines Unternehmens zielgerichtet und planmäßig zu analysieren und zu gestalten.[3] Die Risikopolitik legt fest, wer im Unternehmen mit welchem Ziel Risikomanagement betreibt und welche Mittel und Methoden hierfür eingesetzt werden.[4]
Risikopolitische Instrumente
Die Risikoidentifikation ist der erste Schritt einer systematischen Erfassung und Sammlung möglicher Risiken, gefolgt von der Risikoanalyse, die die identifizierten Risiken nach ihren Ursachen und Eintrittswahrscheinlichkeiten untersucht. Eine Risikobewertung schließt sich an, die die Bedrohung der analysierten Risiken für ein Unternehmen ermittelt und die Vertretbarkeit analysierter Risiken beurteilt. Im Rahmen der Risikobewältigung kommt es im Anschluss darauf an, als vertretbar erachtete Risiken zu tragen (Restrisiko) und hierfür ein geeignetes Risikocontrolling zu installieren. Die Risikobewältigung setzt risikopolitische Instrumente ein und versteht darunter alle Maßnahmen, die der betrieblichen aktiven und passiven Risikobewältigung dienen. Zur aktiven gehören Risikovermeidung, Risikominderung und Risikodiversifikation. Die passive Risikobewältigung besteht aus Risikotransfer und Risikovorsorge und ist erforderlich, wenn für Risiken – bewusst oder unbewusst – keine aktive Risikobewältigung vorgenommen wurde.
Risiken müssen eingegangen werden, um Gewinn für ein Unternehmen zu erwirtschaften. Die maßgebliche Bemessung des Erfolges eines Unternehmens findet durch die Selektion der „richtigen“ Risiken (englisch „upside risks“) statt. Finanzierungsrisiken hingegen gehören zu den vermeidbaren Risiken (englisch „downside risks“). Um Risiken zu meistern, müssen die richtigen Strategien entwickelt und entsprechend effiziente und effektive Geschäftsprozesse als Teil einer risikobewussten Unternehmensführung definiert werden.[5] Bei Finanzinstrumenten können Unternehmen ihre Finanzrisiken durch Hedginginstrumente steuern.
Risikopolitik als Teil der Unternehmensstrategie
Die Risikopolitik ist in der Unternehmensstrategie als Voraussetzung für die Festlegung der zukünftigen strategischen Stoßrichtung zur Unternehmenswertsteigerung verankert. Durch eine angemessene Risikopolitik sollen die in der Unternehmensstrategie angestrebten Kernkompetenzen, Wettbewerbsvorteile sowie allgemeinen Unternehmensziele erreicht und gesichert werden. Dafür müssen zum einen alle relevanten Risiken, die die innerhalb der Unternehmensstrategie festgelegten strategischen Ziele und zentralen Erfolgsfaktoren beeinflussen, erfasst und quantifiziert werden, um danach zu einem standardisierter Umgang mit Risiken zu gelangen. Aufgrund ihrer strategischen Ausrichtung ist die Festlegung der Risikopolitik also Aufgabe der Unternehmensführung. Dabei muss die Unternehmensleitung eine Art Risikokultur ausstrahlen und die Wichtigkeit dieses Themas unterstreichen. Die Ausführung der Risikopolitik dagegen ist Aufgabe der gesamten Mitarbeiter des Unternehmens. Durch eine strategisch- und wertorientierte Risikopolitik wird eine unternehmensweite einheitliche Kommunikation des Risikomanagements erschaffen.
Abwägung von Rendite und Risiko
Für ein optimal agierendes Unternehmen ist es unabdingbar, Rendite und Risiko bezüglich möglicher unternehmerischer Handlungsoptionen abzuwägen. Die Rendite allein ist nicht aussagekräftig genug, ob eine Entscheidung gut oder schlecht ist. Denn eine Entscheidung mit der möglichen Rendite von 8 % ist nicht unbedingt besser als eine Entscheidung mit einer Rendite von 5 %, wenn im ersten Fall ein unverhältnismäßig großes Risiko eingegangen wird. Die Risikopolitik soll ein einheitliches Entscheidungskriterium festlegen, wonach festgelegt wird, wie Mitarbeiter bezüglich möglicher Risiken und Renditen handeln sollen und ein gezieltes Steuern stattfindet. Eine Kennzahl, die Rendite und Risiko verbindet, ist der Unternehmenswert. Je höher die Risiken des Unternehmens, desto mehr Eigenkapital muss als Risikodeckungspotential vorhanden sein, um risikobehaftete Positionen gegebenenfalls decken zu können. Berechnet man also den Unternehmenswert, indem Kapitalkosten aus zukünftigen Ertragsrisiken abgeleitet werden und der Werttreiber Rating betrachtet wird, ist ein Performance-Maß geschaffen, das Ertrag und Risiko verbindet.
Das Risikomanagementsystem soll Chancen und Gefahren (Risiken) gemeinsam betrachten und diese gegeneinander abwägen.
Obergrenze des Gesamtrisikoumfangs und Fixierung des angestrebten Ratings
Um den Fortbestand des Unternehmens zu gewahren, darf der Gesamtumfang der Risiken nicht die Risikotragfähigkeit eines Unternehmens überschreiten. Dafür müssen zunächst innerhalb der Risikoidentifizierung alle Risiken des Unternehmens erfasst und anschließend quantifiziert werden. Dies geschieht durch ein Gesamtrisikoportfolio, das zeigt, wie die Risiken im Unternehmen nach Schadenshöhe und Eintrittswahrscheinlichkeit verteilt sind.
Mit Hilfe von Value-at-Risk-Berechnungsverfahren wie der Monte-Carlo-Simulation wird im nächsten Schritt das Gesamtrisiko des Unternehmens im Rahmen der Risikoaggregation ermittelt. Dabei ist zu beachten, dass die Addition der Einzelrisiken nicht dem aggregierten Gesamtrisiko entspricht, sondern durch Korrelation zwischen den Einzelrisiken geringer ausfällt. So stellt eine Addition von Risiken eben keine Risikoaggregation dar, wie notwendig ist, um „bestandsbedrohende Entwicklungen“ im Sinne § 91 Aktiengesetz zu genügen.[6]
Um das ermittelte Gesamtrisiko einschätzen zu können, wird es mit der Risikotragfähigkeit des Unternehmens verglichen. Die Risikotragfähigkeit ist ein objektives Maß dafür, welchen Verlust ein Unternehmen ohne Existenzbedrohung tragen kann.[7] Die Finanzierungsstruktur spielt also eine entscheidende Rolle bezüglich des maximal einzugehenden Risikos des Unternehmens. Dadurch stellt sich für jedes Unternehmen ein individuelles Rendite-Risiko-Verhältnis ein.
Speziell ist die Eigenkapitalquote Entscheidungskriterium für das Rating des Unternehmens. Eine hohe Eigenkapitalquote signalisiert die Unabhängigkeit des Unternehmens von Fremdkapitalgebern und damit von Tilgung und Zinsen. Das Rating des Unternehmens wird durch betriebswirtschaftliche Kennzahlen wie der Eigenkapitalquote beeinflusst, sodass darüber ein angestrebtes Rating fixiert werden kann. Dieses angestrebte Rating festzulegen, ist ebenfalls Aufgabe der Risikopolitik.
Kern- und Randrisiken
Mit der Trennung von Kern- und Randrisiken geschieht eine systematische Prüfung, welche Risiken ein Unternehmen selbst tragen soll und welche nicht. Kernrisiken sind Risiken, die im unmittelbaren Zusammenhang mit dem Ausbau und der Nutzung von Erfolgspotentialen des Unternehmens steht und nicht sinnvoll auf Dritte übertragbar sind. Dazu gehören beispielsweise technologische Fähigkeiten, für die es gilt in Forschung und Entwicklung hohe Ausgaben zu tätigen und damit auch ein gewisses Risiko einzugehen.
Durch die Vermeidung oder Übertragung aller anderen Risiken, welche als Randrisiken bezeichnet werden, kann das Gesamtrisiko des Unternehmens gesenkt werden. Neben dem Risikotransfer, also der Risikoübertragung an Dritte, gibt es die Möglichkeit Derivate auf Währungen, Zinsen oder Rohstoffpreise einzusetzen. Wie ein Unternehmen damit umgeht, hängt maßgeblich von den Risikokosten ab, die für die Übertragung des Risikos anfallen und muss klar in den in der Risikopolitik festgelegten Limite vorgegeben sein.
Limits für einzelne Risiken
Das Limit eines Risikos bezeichnet eine monetäre Grenze des Verlustes, die das Unternehmen bezüglich dieses Risikos maximal eingehen möchte. Das Limit steht in Relation zur Risikotragfähigkeit des Unternehmens, muss dieser aber nicht entsprechen, sondern wird individuell festgelegt. Diese schwierige Aufgabe der Limit-Bestimmung hängt maßgeblich von der Risikobereitschaft des Unternehmens ab. Bei höherer Risikobereitschaft wird das Limit höher ausfallen als bei geringerer Risikobereitschaft. Man unterteilt allgemein in das relative und das absolute Limit. Das relative Limit ist eine Art Abweichungslimit, bei dem festgelegt wird, wie stark das eigene Risiko vom Risiko eines Benchmarks abweichen kann. Problem des relativen Limits ist der fehlende Bezug zum Eigenkapital und damit zum individuellen Risiko-Rendite-Verhältnis des Unternehmens. Das absolute Limit stellt dagegen einen absoluten Höchstwert dar, der durch Verluste nicht überschritten werden darf. Dieser Wert wird unter Beachtung der Eigenkapitalquote festgelegt, womit das Problem der relativen Limits wegfällt.[8]
Vorgehensweise für die Bewertung von Risiken
Risiken werden nach der Identifikation innerhalb der Risikobewertung qualitativ und quantitativ gewichtet. Abhängig von der Art der Daten wird ein Risiko entweder qualitativ durch Betrachtung und Analyse der Ursache-Wirkungsbeziehung des Risikos oder quantitativ durch die Bewertung mit Hilfe der zwei Risikodeterminanten Eintrittswahrscheinlichkeit und Schadenshöhe bewertet. Diese Vorgehensweise muss in der Risikopolitik festgelegt werden, sodass im Unternehmen eine einheitliche Risikobewertung stattfindet.[9]
Probleme der Risikopolitik
Die Risikopolitik ist mehreren Problemfeldern ausgesetzt, die zu beachten sind:
- Es werden verschiedene Entscheidungskriterien (beispielsweise einmal der Umsatz, einmal der Gewinn) für verschiedene Risiken verwendet.
- Die Risikopolitik ist nicht genug auf die Risikotragfähigkeit des Unternehmens (Eigenkapital) ausgerichtet.
- Risiken werden zwar identifiziert, jedoch werden in der Risikopolitik keine geeigneten Maßnahmen dargestellt.
- Ohne eine ausführliche Risikopolitik entsteht kein einheitliches Handeln mit Risiken im Unternehmen.
- Fehlende Aufteilung der Risiken in Kern- und Randrisiken führt zu ineffizientem Umgang mit Risiken. Es ist unklar, welche Risiken selbst getragen werden sollten und welche nicht.
- Die Risikopolitik muss permanent an Veränderungen im Unternehmen hinsichtlich Erfolgspotentiale, Wettbewerbsvorteile sowie allgemeine Unternehmensziele angepasst werden. Gerade externe Randbedingungen können sich ständig ändern und ein unterschiedliches Vorgehen im Umgang mit Risiken fordern.
Abgrenzung
Die Fachliteratur sieht zuweilen die Begriffe Risikopolitik und Risikomanagement als Synonyme an,[10] doch ist letzteres die funktionale Umsetzung der Risikopolitik im Rahmen der Ablauforganisation von Unternehmen. In diesem Sinne fungiert das Risikomanagement als Abteilung, die sich mit der Umsetzung der Risikopolitik befasst.
Veröffentlichung
Die in Unternehmen verfolgte Risikopolitik interessiert bei publizitätspflichtigen Rechtsformen auch die Öffentlichkeit. Deshalb hat das KonTraG im Mai 1998 die Kapitalgesellschaften verpflichtet, den Lagebericht um einen Risikobericht zu erweitern und darin existenzbedrohende Risiken zu dokumentieren und auch „auf die Risiken der künftigen Entwicklung einzugehen“.[11] Im Risikobericht veröffentlichen diese Unternehmen das Ergebnis ihrer Risikopolitik.
Literatur
- Werner Gleißner: Grundlagen des Risikomanagements im Unternehmen. München 2011, ISBN 978-3-8006-3767-6.
- Werner Gleißner: Future Value- 12 Module für eine strategische wertorientierte Unternehmensführung. 2013, ISBN 3-322-82328-8.
- Franz J. Sartor, Corinna Bourauel: Risikomanagement kompakt: In 7 Schritten zum aggregierten Nettorisiko des Unternehmens. 2013, ISBN 3-486-71773-1.
- Thomas Kaiser: Wettbewerbsvorteil Risikomanagement: Erfolgreiche Steuerung der Strategie-, Reputations- und operationellen Risiken. 2007, ISBN 3-503-10015-6.
- Werner Gleißner, Günther Meier: Wertorientiertes Risiko-Management für Industrie und Handel: Methoden, Fallbeispiele, Checklisten. 2013, ISBN 3-322-90746-5.
- Werner Gleißner: Risikopolitik und strategische Unternehmensführung. In: Der Betrieb Heft 33/2000, S. 1625–1629.
- Frank Scholz: Risikomanagement der öffentlichen Hand. 2009, ISBN 3-7908-2142-X.
- Bruno Brühwiler, Frank Romeike: Praxisleitfaden Risikomanagement: ISO 31000 und ONR 49000 sicher anwenden. 2010, ISBN 3-503-12476-4.
- Hans-Jörg Hoitsch, Peter Winter, Raphael Bächle: Risikokultur und risikopolitische Grundsätze: Strukturierungsvorschläge und empirische Ergebnisse. 2005, ISBN 3-89936-493-7.
- IRM-Projekt, HSLU IBR – Hübscher/Senn: Risikopolitik und Strategie. https://www.hslu.ch/de-ch/hochschule-luzern/search/#?q=risikopolitik
Einzelnachweise
- Silvia Rogler, Risikomanagement im Industriebetrieb, 2002, S. 1.
- Bruno Wiederkehr/Rita-Maria Züger, Risikomanagementsystem im Unternehmen, 2010, S. 77.
- Dieter Farny (Hrsg.): Handwörterbuch der Versicherung HdV, 1988, S. 659.
- Torsten Gründer (Hrsg.): Managementhandbuch IT-Sicherheit, 2007, S. 36.
- Frank Romeike, Risikomanagement im Kontext von Corporate Governance. In: Der Aufsichtsrat 70, 2014, S. 72.
- Werner Gleißner: Die Risikoaggregation: Früherkennung „bestandsbedrohender Entwicklungen“. In: Der Aufsichtsrat, 04/2016, S. 53–55.
- Franz J. Sartor, Corinna Bourauel: Risikomanagement kompakt: In 7 Schritten zum aggregierten Nettorisiko des Unternehmens. 2013, S. 1.
- P. Hager: Limitsysteme (Memento vom 30. Dezember 2015 im Internet Archive). 2004, S. 239 ff.
- Studierende des Seminars „Einkauf und Logistik“: Leitfaden zur Einführung eines Risiko-Management-Systems in Einkauf und Logistik. 2005, S. 30–32 (PDF-Datei)
- Bernd C. Mossgraber, Versicherung als Bestandteil der Risikopolitik privater Haushalte, 1996, S. 9, FN 41
- Walther Busse von Colbe/Monika Ordelheide/Günther Gebhardt/Bernhard Pellens, Konzernabschlüsse: Rechnungslegung nach betriebswirtschaftlichen Grundsätzen, 2010, S. 627 ff.