Unternehmen Risiko

Unternehmen heißt riskieren. Erfolgreich unternehmen heißt kalkuliert riskieren. Aber was und wie viel?
Und vor allem: zu welchem Preis? In unserer dynamischen, globalisierten Welt wächst die Unsicherheit. Stark regulierte, abgegrenzte Märkte reduzieren Chancen und Wachstumspotenziale, gleichzeitig schafft die Verflechtung und Deregulierung der Märkte neue, bislang unbekannte Risiken. Neue Technologien beschleunigen das Geschäft, zwingen zu raschen Entscheidungen und oft zum radikalen Umbau von Organisationsstrukturen und Verhaltensmustern. Vor allem aber erzwingen sie, was bislang als Domäne von Banken und Versicherern galt: professionelles Riskmanagement.
Was das bedeutet? Umdenken. Risiken mögen zum Geschäftsalltag gehören, schwer identifizierbar und noch schwerer kalkulierbar sein. Schicksalhafte Ereignisse sind sie nicht: „Immer mehr Risiken lassen sich messen, steuern und optimieren“, sagt Andreas Merbecks, Leiter der Deutschen Risk Management Practice und Principal bei McKinsey & Company.

Text: Andreas Merbecks / Uwe Stegemann

Der Weg ist das Ziel

Erfolgreiche Unternehmen managen ihre Risiken. Richtig konzipiert und umgesetzt, ermöglicht ein professionelles Riskmanagement sowohl die Analyse als auch die Kontrolle der Risiken, die ein Unternehmen eingeht. Der Weg dorthin hat vier Stufen:

1 Messen, wiegen, zählen: Alle potenziellen Risiken müssen zunächst identifiziert und nach ihren Auswirkungen auf den Erfolg des Unternehmens und ihrer Eintrittswahrscheinlichkeit so weit wie möglich quantifiziert werden. Je umfassender und systematischer das geschieht, desto zuverlässiger können Risiken und ihre Einflussfaktoren analysiert und verglichen werden. Sorgfalt lohnt sich: Die Analyse ist wesentlicher Ausgangspunkt jeder weiteren Entscheidung. 2 Abwägen und Alternativen prüfen: Im zweiten Schritt gilt es, darüber zu entscheiden, wie die Risiken angegangen werden sollen: Können sie vermieden werden? Wo ist eine Versicherung die bessere Lösung? Sollten bestimmte Risiken, die das Unternehmen gut beherrscht, sogar verstärkt eingegangen werden? Wie lässt sich das Verhältnis von Risiko und Ertrag optimieren? Mit überlegten Risikonahmestrategien wird Risikomanagement zu Chancenmanagement: Gefahren für das Unternehmen können gemindert, Risikokosten reduziert und Ertragspotenziale verstärkt genutzt werden. 3 Kapital managen: Im Vordergrund steht die optimale Abstimmung von Kapitalausstattung und Risikostruktur. Hier zeigt sich, dass Risiko- und Kapitalentscheidungen in Unternehmen – entgegen der weit verbreiteten Praxis – in enger Verbindung zu treffen sind: Wie viel Risiko kann ein Unternehmen tragen? Wo liegt die Obergrenze? Es gilt, das verfügbare Kapital zu den Risiken in Bezug zu setzen. Auf dieser Grundlage können Geschäftsstrategie, Kapitalausstattung und Risikonahmestrategie sinnvoll aufeinander abgestimmt werden. 4 Strukturen schaffen: Zielorientiertes Risikomanagement muss in den Prozessen und Strukturen des Unternehmens verankert werden. Einige Unternehmen entscheiden sich für eine zentrale Riskmanagement-Einheit, andere sehen größere Vorteile in dezentralen Aktivitäten. In jedem Fall muss die Zuständigkeit für die Analyse und Messung von Risiken sowie für die Vorbereitung von Entscheidungen über Risikonahmestrategien und über die Kapitalausstattung so auf die Bedürfnisse des Unternehmens abgestimmt werden, dass Risiken angemessen sowohl in die strategischen als auch in die alltäglichen operativen Entscheidungen eingehen.

Keine Chance ohne Gefahr

Häufig wird angenommen, professionelles Risikomanagement sei die Domäne von Banken und Versicherungen. Heute aber nutzen praktisch alle Industrien Risikomanagement-Überlegungen in mehr oder weniger ausgefeilten Formen. So nutzen die klassischen Rohstoffindustrien, die sich schwankenden Preisen etwa für Öl, Gold oder Metalle gegenübersehen, die Möglichkeiten des Risikomanagements, indem sie beispielsweise komplexe Instrumente wie Futures und andere Derivate zur Kurssicherung einsetzen. Diese Instrumente gehen auf die grundlegenden Risiken der Nahrungsmittelbeschaffung in der Landwirtschaft zurück, wo sich Landwirte gegen erntebedingte Einkommensschwankungen absichern wollten. Auch Energieerzeuger, die seit einigen Jahren mit den Unwägbarkeiten deregulierter Märkte und damit schwankenden Energiepreisen zu kämpfen haben, zählen zur Riskmanagement-Klientel.

Jedoch sind nicht nur schwankende Preise Ursachen für Risiken. Beispiel Anlagenbau. Die Branche sieht sich diversen operativen Risiken gegenüber. Da entspricht das Baumaterial nicht den erwarteten technischen Spezifikationen, durch die Insolvenz eines wichtigen Lieferanten stehen Bauteile nicht wie erwartet zur Verfügung und müssen bei anderen Unternehmen deutlich teurer eingekauft werden, oder eine unerwartete Grippeepidemie unter den Arbeitern führt zu teueren Zeitverzögerungen. Just-in-time-Produktion bei Automobilunternehmen, womöglich sogar gepaart mit einer sehr geringen Anzahl an Zulieferern, lässt unerwartete Lieferunterbrechungen, verursacht beispielsweise durch Streiks, zu einem ernsthaften Problem werden. Auch hier ermöglicht der professionelle Einsatz von Riskmanagement-Instrumenten einen adäquaten Umgang mit dem Risiko.

Risiken sind kein Schicksal

Die Logik des Ignoranten ist simpel: Was ich nicht weiß, macht mich nicht heiß. Deshalb gehen viele Menschen nicht zum Zahnarzt oder zur Krebsvorsorge. So ähnlich geschieht das mitunter auch in Unternehmen, und dieses Verhalten zieht sich quer durch alle Branchen und Bereiche: Was nicht leicht gemessen werden kann, wissen Unternehmen nicht. Deswegen kümmern sie sich nicht darum. Die Frage ist nur: Wie viel lässt sich messen?

Nun, viel mehr, als die meisten gemeinhin glauben. Zwar befasst sich das Gros der Unternehmen mit Marktrisiken wie Zinsen, Wechsel- und Aktienkursen. Was darüber hinausgeht, bleibt jedoch oft genug im Dunkeln. Nicht messbar, heißt es oft in diesem Zusammenhang. Oder auch: Risiken gehörten nun einmal zum normalen Geschäftsbetrieb.

Die Erklärung ist so fatalistisch wie gefährlich, impliziert sie doch, dass Passivität hinsichtlich Risiken gerechtfertigt sei. Mag sein, dass das Risiko eines Terroranschlags für ein Unternehmen nicht notwendigerweise zu quantifizieren ist. Und trotzdem wurde in New York im September vergangenen Jahres klar, dass einige Unternehmen dank ihrer risiko-resistenteren Geschäftsarchitektur besser mit katastrophalen Risiken umgehen konnten als andere.

Richtig ist aber auch: Bevor ein Unternehmen Risiken aufwendig analysiert und gegebenenfalls teuer versichert, muss es sich im Klaren darüber sein, welche potenziellen Gefahren überhaupt relevant sind oder künftig sein könnten. Dazu müssen Risiken über die verschiedenen Risikokategorien hinweg identifiziert, hinsichtlich ihrer Bedeutung für den Erfolg des Unternehmens bewertet und möglichst quantifiziert werden.

Normal und nicht beeinflussbar? Wenn Umsatzschwankungen in Industrien mit extrem hohem Fixkostenanteil – wie beispielsweise in der Chemie-Industrie – die Existenz eines Unternehmens bedrohen. Oder wenn etwa in der Automobilindustrie bei kürzerem Lebenszyklus und steigender Anzahl der Produktreihen schon die Verzögerung des Verkaufsstarts eines Modells oder eine Rückrufaktion erhebliche finanzielle Folgen haben kann, lohnt es sich durchaus, diese „normalen Geschäftsrisiken“ zu quantifizieren und der Risikotragfähigkeit des Unternehmens gegenüberzustellen.

Gefahr erkannt – Gefahr gebannt?

Die schlechte Nachricht: Nicht alle identifizierbaren Risiken lassen sich gleich gut quantifizieren. Risiken aus Aktienkurs-, Zins- oder Devisenkursschwankungen sind mittlerweile messbar, Methodik und entsprechende Software sind weit entwickelt und leicht verfügbar. Bei operativen oder gar strategischen Risiken ist es dagegen schwierig, sie eindeutig zu quantifizieren.

Die gute Nachricht: Nur weil die Messung nicht ganz leicht ist, muss man diese Risiken noch lange nicht als gegeben und unbeeinflussbar hinnehmen. Viele der identifizierten Risiken lassen sich zumindest grob quantifizieren und in aller Regel auch aktiv steuern. Risiko-Identifikation ist jedoch keine einmalige Angelegenheit, sondern ein dauerhafter Prozess.

Das Ziel ist zunächst ein umfassender Überblick über alle Risikokategorien. Dazu werden systematisch alle denkbaren Gefahren erforscht und anschließend Kategorien zugeordnet, die inhaltlich möglichst überschneidungsfrei sind und in Summe die für das Unternehmen relevanten Risiken vollständig erfassen. Schritt für Schritt werden alle relevanten Risikokategorien und Einzelrisiken durchdrungen. „Dies ist harte, inhaltlich und analytisch höchst anspruchsvolle Arbeit, die erhebliches Spezialwissen und Erfahrung erfordert“, sagt Alexander Weiss von McKinsey, der zurzeit für ein großes deutsches Industrieunternehmen eine umfangreiche Risikoanalyse durchführt.

Mit jedem neuen Produkt, mit neuen Kunden, Technologien, Systemen und Prozessen können Risiken auftreten, die bisher nicht berücksichtigt werden mussten. Mit ihrem Auftauchen ändert sich die Risikosituation des Unternehmens. Deshalb sollten sie regelmäßig frühzeitig identifiziert werden. Nur ein umfassender Risikobericht sichert die nötige Transparenz – und erlaubt darauf aufbauend die Wahl der richtigen Risikonahmestrategien sowie die Bewertung der adäquaten Kapitalausstattung.

Die Messung – wichtige Kennzahlen

Im Idealfall lässt sich das Risiko in Euro angeben. Damit ist es leicht interpretierbar, und die vielen Einzelrisiken, denen sich große und komplexe Unternehmen täglich gegenübersehen, lassen sich zu einem Gesamtunternehmensrisiko zusammenfassen.

Messgrößen im Riskmanagement sind beispielsweise der Value-, Cashflow- oder Earnings-at-Risk. Mit diesen Kennzahlen wird für unterschiedliche Risiken eine vergleichbare Basis geschaffen. Wird der tägliche Value-at-Risk (VaR) einer Aktie im Wert von 600 Euro unter bestimmten statistischen Annahmen bei einem Konfidenzniveau von 99 Prozent zum Beispiel mit 50 Euro quantifiziert, so bedeutet dies, dass an 99 von 100 Tagen der Verlust, den der Eigentümer der Aktie aus Kursrückgängen erleidet, höchstens 50 Euro beträgt. Anders formuliert: Nur an einem von 100 Tagen ist der Verlust, den der Eigentümer der Aktie durch Kursschwankungen erleidet, größer als 50 Euro. Unbeantwortet bleibt bei diesem Verfahren jedoch, wie hoch der Verlust im Extremfall an diesem einen Tag sein kann. Um unangenehme Überraschungen auszuschließen, empfehlen sich deshalb zusätzliche Extremwert-Betrachtungen auf der Basis von Worst-Case-Szenarien, genannt Stresstests.

Jedem das Seine

Die erste Stufe des Risikomanagements dient dazu, die Risikosituation eines Unternehmens transparent zu machen. Darauf basierend, kann das Unternehmen aus dem gesamten Spektrum der Handlungsmöglichkeiten die besten, günstigsten und Erfolg versprechendsten Optionen auswählen. Das Unternehmen kann bestimmte Risiken vollständig vermeiden. So ist etwa der Rückzug von Unternehmen aus politischen Krisengebieten eine Maßnahme zur Vermeidung zahlreicher Risiken – von sinkenden Umsätzen und Einnahmen bis hin zur Vermeidung von gewaltsamen Übergriffen auf Mitarbeiter. Andere Risiken lassen sich nicht vollständig vermeiden, aber spürbar reduzieren. So dient der Aufbau operativer Exzellenz im Fertigungsprozess, beispielsweise nach dem 6-Sigma-Prinzip, der Reduktion von Produktionsfehlern und damit dem Risiko von Rückruf-Aktionen oder Gewährleistungsansprüchen. Bestimmte Risiken sollten Unternehmen jedoch noch ausbauen, andere ganz neu eingehen. So bedeutet die Ausdehnung der Geschäftsaktivitäten eines Unternehmens in andere Regionen und Länder zwar ein höheres Risiko, verspricht jedoch in vielen Fällen auch einen höheren Gewinn. Das Gleiche gilt für die Aufnahme vollständig neuer Produkte ins Sortiment. Und auch bei diesen Entscheidungen über Risikovermeidung, Risikoreduzierung und Risikoausdehnung leistet das Risikomanagement Hilfestellung.

Manchmal empfiehlt sich die traditionellste Form des Risikomanagements, die Versicherung. Risikoüberwälzung auf eine Versicherung bietet sich immer dann an, wenn ein Unternehmen mit zu vielen Risiken einer Art oder einigen wenigen großen Risiken zu kämpfen hat. Doch auch Versicherungen stoßen an ihre Grenzen. Die Anschläge vom 11. September haben gezeigt, dass Terror-Risiken heute Ausmaße annehmen können, die die Tragfähigkeit einzelner Versicherungen überschreiten.

Der Umgang mit Risiken, die gar nicht quantifizierbar sind, verlangt neue Perspektiven und ein erweitertes Verständnis von Risikomanagement. So können nicht oder falsch gemanagte Imagerisiken in einer Welt der globalisierten Marken im Handumdrehen Unternehmenswerte vernichten. Wie also sollte sich ein Unternehmen oder eine Marke aufstellen, um bestmöglich auf Risiken vorbereitet zu sein? Im Ernstfall bedeutet Risikomanagement an dieser Stelle auch kompetentes Medienmanagement, Issue Management, Krisenmanagement.

Höhere Mathematik, gesunder Menschenverstand und der Blick über den Tellerrand

Risk Management hat Geschichte: In den frühen achtziger Jahren stand eine eher qualitative Risikoerfassung im Vordergrund; die quantitativen Methoden etablierten sich in der Praxis erst in den Neunzigern. Je komplexer die Risiken und je vielschichtiger die Analysen wurden, desto aufwendiger wurden auch die mathematischen Modelle. Heute ist Risikomanagement Hightech-Mathematik: Inzwischen können Unternehmen auf einen Pool hoch entwickelter mathematischer Werkzeuge zur Risikomessung zugreifen. Doch so ausgefeilt die statistischen Modelle auch sein mögen – Rückschlüsse von der Vergangenheit auf die Zukunft bleiben problematisch. Für eine korrekte Interpretation der errechneten Zahlen sind vor allem ein ausgeprägtes Verständnis der Grundannahmen und inhaltlichen Zusammenhänge notwendig. Auch qualitative Methoden wie die strukturierte Expertenbefragung haben ihren festen Platz unter den Risiko-Tools. Und manchmal hilft für die Einschätzung der Gefahr nur schiere Praxis: Dann sucht sich der Risikomanager beispielsweise einen bezahlten Hacker, um die Verwundbarkeit der eigenen IT-Systeme zu testen.

Dieser Text stammt aus unserer Redaktion Corporate Publishing.