Unternehmen Risiko

Unternehmen heißt riskieren. Erfolgreich unternehmen heißt kalkuliert riskieren. Aber was und wie viel?
Und vor allem: zu welchem Preis? In unserer dynamischen, globalisierten Welt wächst die Unsicherheit. Stark regulierte, abgegrenzte Märkte reduzieren Chancen und Wachstumspotenziale, gleichzeitig schafft die Verflechtung und Deregulierung der Märkte neue, bislang unbekannte Risiken. Neue Technologien beschleunigen das Geschäft, zwingen zu raschen Entscheidungen und oft zum radikalen Umbau von Organisationsstrukturen und Verhaltensmustern. Vor allem aber erzwingen sie, was bislang als Domäne von Banken und Versicherern galt: professionelles Riskmanagement.
Was das bedeutet? Umdenken. Risiken mögen zum Geschäftsalltag gehören, schwer identifizierbar und noch schwerer kalkulierbar sein. Schicksalhafte Ereignisse sind sie nicht: „Immer mehr Risiken lassen sich messen, steuern und optimieren“, sagt Andreas Merbecks, Leiter der Deutschen Risk Management Practice und Principal bei McKinsey & Company.




Der Weg ist das Ziel

Erfolgreiche Unternehmen managen ihre Risiken. Richtig konzipiert und umgesetzt, ermöglicht ein professionelles Riskmanagement sowohl die Analyse als auch die Kontrolle der Risiken, die ein Unternehmen eingeht. Der Weg dorthin hat vier Stufen:

1 Messen, wiegen, zählen: Alle potenziellen Risiken müssen zunächst identifiziert und nach ihren Auswirkungen auf den Erfolg des Unternehmens und ihrer Eintrittswahrscheinlichkeit so weit wie möglich quantifiziert werden. Je umfassender und systematischer das geschieht, desto zuverlässiger können Risiken und ihre Einflussfaktoren analysiert und verglichen werden. Sorgfalt lohnt sich: Die Analyse ist wesentlicher Ausgangspunkt jeder weiteren Entscheidung. 2 Abwägen und Alternativen prüfen: Im zweiten Schritt gilt es, darüber zu entscheiden, wie die Risiken angegangen werden sollen: Können sie vermieden werden? Wo ist eine Versicherung die bessere Lösung? Sollten bestimmte Risiken, die das Unternehmen gut beherrscht, sogar verstärkt eingegangen werden? Wie lässt sich das Verhältnis von Risiko und Ertrag optimieren? Mit überlegten Risikonahmestrategien wird Risikomanagement zu Chancenmanagement: Gefahren für das Unternehmen können gemindert, Risikokosten reduziert und Ertragspotenziale verstärkt genutzt werden. 3 Kapital managen: Im Vordergrund steht die optimale Abstimmung von Kapitalausstattung und Risikostruktur. Hier zeigt sich, dass Risiko- und Kapitalentscheidungen in Unternehmen – entgegen der weit verbreiteten Praxis – in enger Verbindung zu treffen sind: Wie viel Risiko kann ein Unternehmen tragen? Wo liegt die Obergrenze? Es gilt, das verfügbare Kapital zu den Risiken in Bezug zu setzen. Auf dieser Grundlage können Geschäftsstrategie, Kapitalausstattung und Risikonahmestrategie sinnvoll aufeinander abgestimmt werden. 4 Strukturen schaffen: Zielorientiertes Risikomanagement muss in den Prozessen und Strukturen des Unternehmens verankert werden. Einige Unternehmen entscheiden sich für eine zentrale Riskmanagement-Einheit, andere sehen größere Vorteile in dezentralen Aktivitäten. In jedem Fall muss die Zuständigkeit für die Analyse und Messung von Risiken sowie für die Vorbereitung von Entscheidungen über Risikonahmestrategien und über die Kapitalausstattung so auf die Bedürfnisse des Unternehmens abgestimmt werden, dass Risiken angemessen sowohl in die strategischen als auch in die alltäglichen operativen Entscheidungen eingehen.

Keine Chance ohne Gefahr

Häufig wird angenommen, professionelles Risikomanagement sei die Domäne von Banken und Versicherungen. Heute aber nutzen praktisch alle Industrien Risikomanagement-Überlegungen in mehr oder weniger ausgefeilten Formen. So nutzen die klassischen Rohstoffindustrien, die sich schwankenden Preisen etwa für Öl, Gold oder Metalle gegenübersehen, die Möglichkeiten des Risikomanagements, indem sie beispielsweise komplexe Instrumente wie Futures und andere Derivate zur Kurssicherung einsetzen. Diese Instrumente gehen auf die grundlegenden Risiken der Nahrungsmittelbeschaffung in der Landwirtschaft zurück, wo sich Landwirte gegen erntebedingte Einkommensschwankungen absichern wollten. Auch Energieerzeuger, die seit einigen Jahren mit den Unwägbarkeiten deregulierter Märkte und damit schwankenden Energiepreisen zu kämpfen haben, zählen zur Riskmanagement-Klientel.

Jedoch sind nicht nur schwankende Preise Ursachen für Risiken. Beispiel Anlagenbau. Die Branche sieht sich diversen operativen Risiken gegenüber. Da entspricht das Baumaterial nicht den erwarteten technischen Spezifikationen, durch die Insolvenz eines wichtigen Lieferanten stehen Bauteile nicht wie erwartet zur Verfügung und müssen bei anderen Unternehmen deutlich teurer eingekauft werden, oder eine unerwartete Grippeepidemie unter den Arbeitern führt zu teueren Zeitverzögerungen. Just-in-time-Produktion bei Automobilunternehmen, womöglich sogar gepaart mit einer sehr geringen Anzahl an Zulieferern, lässt unerwartete Lieferunterbrechungen, verursacht beispielsweise durch Streiks, zu einem ernsthaften Problem werden. Auch hier ermöglicht der professionelle Einsatz von Riskmanagement-Instrumenten einen adäquaten Umgang mit dem Risiko.

Risiken sind kein Schicksal

Die Logik des Ignoranten ist simpel: Was ich nicht weiß, macht mich nicht heiß. Deshalb gehen viele Menschen nicht zum Zahnarzt oder zur Krebsvorsorge. So ähnlich geschieht das mitunter auch in Unternehmen, und dieses Verhalten zieht sich quer durch alle Branchen und Bereiche: Was nicht leicht gemessen werden kann, wissen Unternehmen nicht. Deswegen kümmern sie sich nicht darum. Die Frage ist nur: Wie viel lässt sich messen?

Nun, viel mehr, als die meisten gemeinhin glauben. Zwar befasst sich das Gros der Unternehmen mit Marktrisiken wie Zinsen, Wechsel- und Aktienkursen. Was darüber hinausgeht, bleibt jedoch oft genug im Dunkeln. Nicht messbar, heißt es oft in diesem Zusammenhang. Oder auch: Risiken gehörten nun einmal zum normalen Geschäftsbetrieb.

Die Erklärung ist so fatalistisch wie gefährlich, impliziert sie doch, dass Passivität hinsichtlich Risiken gerechtfertigt sei. Mag sein, dass das Risiko eines Terroranschlags für ein Unternehmen nicht notwendigerweise zu quantifizieren ist. Und trotzdem wurde in New York im September vergangenen Jahres klar, dass einige Unternehmen dank ihrer risiko-resistenteren Geschäftsarchitektur besser mit katastrophalen Risiken umgehen konnten als andere.

Richtig ist aber auch: Bevor ein Unternehmen Risiken aufwendig analysiert und gegebenenfalls teuer versichert, muss es sich im Klaren darüber sein, welche potenziellen Gefahren überhaupt relevant sind oder künftig sein könnten. Dazu müssen Risiken über die verschiedenen Risikokategorien hinweg identifiziert, hinsichtlich ihrer Bedeutung für den Erfolg des Unternehmens bewertet und möglichst quantifiziert werden.

Normal und nicht beeinflussbar? Wenn Umsatzschwankungen in Industrien mit extrem hohem Fixkostenanteil – wie beispielsweise in der Chemie-Industrie – die Existenz eines Unternehmens bedrohen. Oder wenn etwa in der Automobilindustrie bei kürzerem Lebenszyklus und steigender Anzahl der Produktreihen schon die Verzögerung des Verkaufsstarts eines Modells oder eine Rückrufaktion erhebliche finanzielle Folgen haben kann, lohnt es sich durchaus, diese „normalen Geschäftsrisiken“ zu quantifizieren und der Risikotragfähigkeit des Unternehmens gegenüberzustellen.

Gefahr erkannt – Gefahr gebannt?

Die schlechte Nachricht: Nicht alle identifizierbaren Risiken lassen sich gleich gut quantifizieren. Risiken aus Aktienkurs-, Zins- oder Devisenkursschwankungen sind mittlerweile messbar, Methodik und entsprechende Software sind weit entwickelt und leicht verfügbar. Bei operativen oder gar strategischen Risiken ist es dagegen schwierig, sie eindeutig zu quantifizieren.

Die gute Nachricht: Nur weil die Messung nicht ganz leicht ist, muss man diese Risiken noch lange nicht als gegeben und unbeeinflussbar hinnehmen. Viele der identifizierten Risiken lassen sich zumindest grob quantifizieren und in aller Regel auch aktiv steuern. Risiko-Identifikation ist jedoch keine einmalige Angelegenheit, sondern ein dauerhafter Prozess.

Das Ziel ist zunächst ein umfassender Überblick über alle Risikokategorien. Dazu werden systematisch alle denkbaren Gefahren erforscht und anschließend Kategorien zugeordnet, die inhaltlich möglichst überschneidungsfrei sind und in Summe die für das Unternehmen relevanten Risiken vollständig erfassen. Schritt für Schritt werden alle relevanten Risikokategorien und Einzelrisiken durchdrungen. „Dies ist harte, inhaltlich und analytisch höchst anspruchsvolle Arbeit, die erhebliches Spezialwissen und Erfahrung erfordert“, sagt Alexander Weiss von McKinsey, der zurzeit für ein großes deutsches Industrieunternehmen eine umfangreiche Risikoanalyse durchführt.

Mit jedem neuen Produkt, mit neuen Kunden, Technologien, Systemen und Prozessen können Risiken auftreten, die bisher nicht berücksichtigt werden mussten. Mit ihrem Auftauchen ändert sich die Risikosituation des Unternehmens. Deshalb sollten sie regelmäßig frühzeitig identifiziert werden. Nur ein umfassender Risikobericht sichert die nötige Transparenz – und erlaubt darauf aufbauend die Wahl der richtigen Risikonahmestrategien sowie die Bewertung der adäquaten Kapitalausstattung.

Die Messung – wichtige Kennzahlen

Im Idealfall lässt sich das Risiko in Euro angeben. Damit ist es leicht interpretierbar, und die vielen Einzelrisiken, denen sich große und komplexe Unternehmen täglich gegenübersehen, lassen sich zu einem Gesamtunternehmensrisiko zusammenfassen.

Messgrößen im Riskmanagement sind beispielsweise der Value-, Cashflow- oder Earnings-at-Risk. Mit diesen Kennzahlen wird für unterschiedliche Risiken eine vergleichbare Basis geschaffen. Wird der tägliche Value-at-Risk (VaR) einer Aktie im Wert von 600 Euro unter bestimmten statistischen Annahmen bei einem Konfidenzniveau von 99 Prozent zum Beispiel mit 50 Euro quantifiziert, so bedeutet dies, dass an 99 von 100 Tagen der Verlust, den der Eigentümer der Aktie aus Kursrückgängen erleidet, höchstens 50 Euro beträgt. Anders formuliert: Nur an einem von 100 Tagen ist der Verlust, den der Eigentümer der Aktie durch Kursschwankungen erleidet, größer als 50 Euro. Unbeantwortet bleibt bei diesem Verfahren jedoch, wie hoch der Verlust im Extremfall an diesem einen Tag sein kann. Um unangenehme Überraschungen auszuschließen, empfehlen sich deshalb zusätzliche Extremwert-Betrachtungen auf der Basis von Worst-Case-Szenarien, genannt Stresstests.

Jedem das Seine

Die erste Stufe des Risikomanagements dient dazu, die Risikosituation eines Unternehmens transparent zu machen. Darauf basierend, kann das Unternehmen aus dem gesamten Spektrum der Handlungsmöglichkeiten die besten, günstigsten und Erfolg versprechendsten Optionen auswählen. Das Unternehmen kann bestimmte Risiken vollständig vermeiden. So ist etwa der Rückzug von Unternehmen aus politischen Krisengebieten eine Maßnahme zur Vermeidung zahlreicher Risiken – von sinkenden Umsätzen und Einnahmen bis hin zur Vermeidung von gewaltsamen Übergriffen auf Mitarbeiter. Andere Risiken lassen sich nicht vollständig vermeiden, aber spürbar reduzieren. So dient der Aufbau operativer Exzellenz im Fertigungsprozess, beispielsweise nach dem 6-Sigma-Prinzip, der Reduktion von Produktionsfehlern und damit dem Risiko von Rückruf-Aktionen oder Gewährleistungsansprüchen. Bestimmte Risiken sollten Unternehmen jedoch noch ausbauen, andere ganz neu eingehen. So bedeutet die Ausdehnung der Geschäftsaktivitäten eines Unternehmens in andere Regionen und Länder zwar ein höheres Risiko, verspricht jedoch in vielen Fällen auch einen höheren Gewinn. Das Gleiche gilt für die Aufnahme vollständig neuer Produkte ins Sortiment. Und auch bei diesen Entscheidungen über Risikovermeidung, Risikoreduzierung und Risikoausdehnung leistet das Risikomanagement Hilfestellung.

Manchmal empfiehlt sich die traditionellste Form des Risikomanagements, die Versicherung. Risikoüberwälzung auf eine Versicherung bietet sich immer dann an, wenn ein Unternehmen mit zu vielen Risiken einer Art oder einigen wenigen großen Risiken zu kämpfen hat. Doch auch Versicherungen stoßen an ihre Grenzen. Die Anschläge vom 11. September haben gezeigt, dass Terror-Risiken heute Ausmaße annehmen können, die die Tragfähigkeit einzelner Versicherungen überschreiten.

Der Umgang mit Risiken, die gar nicht quantifizierbar sind, verlangt neue Perspektiven und ein erweitertes Verständnis von Risikomanagement. So können nicht oder falsch gemanagte Imagerisiken in einer Welt der globalisierten Marken im Handumdrehen Unternehmenswerte vernichten. Wie also sollte sich ein Unternehmen oder eine Marke aufstellen, um bestmöglich auf Risiken vorbereitet zu sein? Im Ernstfall bedeutet Risikomanagement an dieser Stelle auch kompetentes Medienmanagement, Issue Management, Krisenmanagement.

Höhere Mathematik, gesunder Menschenverstand und der Blick über den Tellerrand

Risk Management hat Geschichte: In den frühen achtziger Jahren stand eine eher qualitative Risikoerfassung im Vordergrund; die quantitativen Methoden etablierten sich in der Praxis erst in den Neunzigern. Je komplexer die Risiken und je vielschichtiger die Analysen wurden, desto aufwendiger wurden auch die mathematischen Modelle. Heute ist Risikomanagement Hightech-Mathematik: Inzwischen können Unternehmen auf einen Pool hoch entwickelter mathematischer Werkzeuge zur Risikomessung zugreifen. Doch so ausgefeilt die statistischen Modelle auch sein mögen – Rückschlüsse von der Vergangenheit auf die Zukunft bleiben problematisch. Für eine korrekte Interpretation der errechneten Zahlen sind vor allem ein ausgeprägtes Verständnis der Grundannahmen und inhaltlichen Zusammenhänge notwendig. Auch qualitative Methoden wie die strukturierte Expertenbefragung haben ihren festen Platz unter den Risiko-Tools. Und manchmal hilft für die Einschätzung der Gefahr nur schiere Praxis: Dann sucht sich der Risikomanager beispielsweise einen bezahlten Hacker, um die Verwundbarkeit der eigenen IT-Systeme zu testen.