Welches sind die zentralen Risiken in einem Unternehmen, und wie gefährlich können sie werden? Die Antworten auf diese Fragen müssen künftig deutlich präziser ausfallen als bisher. Der Grund dafür trägt den sperrigen Namen IDW PS 340 und ist der kürzlich überarbeitete Standard für die Prüfung von Risikofrüherkennungssystemen. Für viele Aktiengesellschaften gelten dadurch seit Jahresbeginn strengere Anforderungen an Risikomanagementsysteme. Das Ziel: Risiken möglichst mit genauen Kennzahlen hinterlegen.
„Fortan muss ein Unternehmen die Risikotragfähigkeit bewerten und darlegen, welche finanziellen Risiken es schultern kann, bevor es in seinem Fortbestand gefährdet ist“, erklärt Adrian Bötz, Senior Project Manager im Bereich Risk & Compliance Excellence bei Horváth & Partners. Dafür reiche es nicht mehr aus, die Risiken bloß aufzulisten und mit Experteneinschätzungen zu versehen.
Zwar versuchten viele Unternehmen bereits, ihre Risiken in Bezug zu finanziellen Kennzahlen wie dem Ergebnis vor Zinsen und Steuern (Ebit) zu setzen, doch häufig genüge dies noch nicht den Anforderungen des Standards. „Der Großteil der Industrieunternehmen hat noch einen Weg zu gehen“, sagt Bötz.
Bezugsgrößen für Risiken finden
Der Standard IDW PS 340 bezieht sich zunächst auf Aktiengesellschaften. Dennis Müllerschön, Senior Project Manager im Bereich Risk & Compliance Excellence bei Horváth & Partners, rechnet jedoch auch mit Auswirkungen auf Kapitalgesellschaften, die nicht dem Aktiengesetz unterliegen: „Die Ausgestaltung von professionellen Risikomanagementsystemen wird sich insgesamt an diesen Vorgaben orientieren“, erwartet er.
Zeichnet sich ein Risiko ab, muss das Unternehmen versuchen, dessen Folgen bestmöglich mit Zahlen zu hinterlegen. Auch Ad-hoc-Risiken wie etwa ein Abbruch von Lieferketten, der während der Coronakrise viele Unternehmen betroffen hat, müssen umgehend erfasst werden. Zur Quantifizierung des Risikos eignen sich dann Bezugsgrößen. Ein Beispiel: Bei Lieferkettenstörungen könnte das Unternehmen einen Kunden verlieren, dessen Bestellung nicht rechtzeitig fertig wird. „In einem solchen Fall wäre der damit verbundene Umsatzausfall eine quantitative Bezugsgröße“, erklärt Bötz.
„80 Prozent widmen sich dem Risikomanagement aus regulatorischem Pflichtgefühl, nur 20 Prozent aus strategischen Beweggründen. Es sollte andersherum sein.“
Bei drohenden Rechtsstreitigkeiten könne man potentielle Strafzahlungen ansetzen. „Oft lohnt eine Einstufung des höchsten, des niedrigsten und des wahrscheinlichsten Schadenswerts. Über diese Szenarien kann man das Risiko eingrenzen.“ Im Idealfall entsteht so ein Überblick über die Gesamtrisikolage des Unternehmens, der die Basis für weitere Entscheidungen wie Investitionen oder Finanzierungen bildet. „Ein Unternehmen kann beispielsweise ermitteln, ob die aktuelle Finanzierungssituation ausreicht, um auch den Worst Case bei Eintritt eines Risikos abzubilden“, sagt Müllerschön.
Risikomanagement: System vor Software
Die Überarbeitung des Standards hat das Thema Risikomanagement bei vielen Kunden nun auf die Agenda gesetzt. Die regulatorischen Vorgaben zu erfüllen sollte jedoch kein Selbstzweck sein, mahnt Müllerschön: „Ich habe den Eindruck, dass etwa 80 Prozent der Unternehmen sich dem Risikomanagement aus regulatorischem Pflichtgefühl widmen und nur 20 Prozent aus strategischen Beweggründen. Es sollte besser andersherum sein.“
„Das Tool ist nur so gut wie die Systematik dahinter.“
Sein Kollege Bötz hat den Eindruck, dass viele Unternehmen das Thema scheuen, weil es sehr komplex anmutet. Die Risikoermittlung wird in der Regel auf Basis stochastischer Methoden vorgenommen. Unterschiedliche Software-Tools am Markt helfen dabei, die Daten zu ermitteln.
Doch mit der Anschaffung der Software allein ist es nicht getan: „Wichtig ist es, sich zuerst konzeptionell Gedanken zu machen, wie das Risikomanagementsystem aussehen soll und welche Methoden man nutzen möchte“, sagt Bötz. Erst dann könne man die passende Software auswählen. „Häufig passiert es leider andersherum. Dann hat ein Unternehmen im Zweifel eine teure Software angeschafft und keine Idee davon, wie es diese operativ nutzen soll. Das Tool ist nur so gut wie die Systematik dahinter.“
Was dezentrale Risikomanager leisten
Um sicherzustellen, dass wesentliche Risiken und plötzliche unvorhergesehen Ereignisse überhaupt den Weg ins Risikomanagementsystem finden, sind allerdings die Mitarbeiter der zentrale Schlüssel. Dafür spielt auch die Unternehmenskultur eine wichtige Rolle: „Mitarbeiter müssen Schwierigkeiten offen benennen dürfen, ohne negative Konsequenzen fürchten zu müssen“, sagt Müllerschön. Andernfalls könnten Risiken aus Angst lange unbenannt bleiben – mit womöglich schwerwiegenden Folgen.
Müllerschön warnt davor, das Risikomanagement ausschließlich bei einer Person zu verankern. Um keine Risiken zu übersehen, sollten Unternehmen neben einem zentralen Verantwortlichen auf Management-Ebene auch dezentrale Risikomanager benennen. „Das sind in der Regel Prozessverantwortliche in den einzelnen Unternehmensbereichen, die in ihrer täglichen Arbeit operative Risiken erkennen und diese dann melden können.“
Fokus auf den Top-Risiken
Wie in allen datenbezogenen Bereichen droht allerdings auch beim Risikomanagement die Gefahr, sich zu verzetteln. Daher sollten Unternehmen sich auf die zentralen und geschäftsbedrohenden Risiken fokussieren, rät Bötz: „Das können zu Beginn 20 Top-Risiken sein, die man in einem gemeinsamen Workshop mit dem Management und den Prozessverantwortlichen in den operativen Einheiten erarbeitet und dann mit einem seriösen Verfahren quantifiziert.“
Müllerschön rät Unternehmen, keine Scheu vor Risikomanagementsystemen zu haben. „Es ist völlig in Ordnung, zunächst einmal im Kleinen mit einfachen Verteilungsfunktionen zu beginnen“, sagt er. Wichtig sei es, den Mitarbeitern in einfachen Zusammenhängen zu erklären, was die Ergebnisse der Risikobewertung für die Unternehmensstrategie bedeuten. „Nur wenn das Ergebnis verstanden wird, wird Risikomanagement auch gelebt.“
