Synergiepotenziale von Risikomanagement und Controlling

Der folgende Beitrag wurde auf kroatisch veröffentlicht unter Wolfrum, M. (2019): Sinergija upravljanja rizicima i kontrolinga, Kontroling, financije i menadžment, 2019, 10, S. 25-27. Er ist in enger Anlehnung an Wolfrum, M. (2018): Risikomanagement und Controlling: Status quo und Weiterentwicklungspotenziale im Überblick, in: Risk Management Association, Internationaler Controller Verein (Hrsg.): Vernetzung von Risikomanagement und Controlling: Grundlagen – Praktische Aspekte – Synergiepotenziale, Erich Schmidt Verlag, Berlin 2018, S. 15-20.

Controlling und Risikomanagement sowie ihre Integration im Rahmen einer Modernen Wertorientierung[1] sind wichtige Teildisziplinen der Unternehmensführung. Eines der zentralen Anliegen des Controllings ist die Vorbereitung unternehmerischer Entscheidungen. Da grundsätzlich alle Entscheidungen unter Unsicherheit getroffen werden müssen, spielt auch die Kenntnis der damit verbundenen Risiken eine wichtige Rolle. Die Kernaufgabe des Risikomanagements besteht darin, Risiken zu identifizieren und zu überwachen, Risikoinformationen zu syste­ma­tisieren, zu integrieren und Aussagen zum Gesamtrisiko zu treffen. Dabei ist klar, dass nicht Einzelrisiken, sondern der aggregierte Gesamtrisikoumfang für die Beurteilung der (freien) Risikotragfähigkeit und den Grad der Bestandsbedrohung eines Unternehmens maßgeblich ist. Dies sind damit wesentliche Begrifflichkeiten für das Risikomanagement im Unternehmen, die zu konkretisieren sind. Damit beschäftigen sich sowohl Controlling als auch Risikomanagement mit der Zukunft des Unternehmens. Während das Controlling die Zielwerte (deterministische Planung) liefert, zeigt Risikomanagement Abweichungspotenziale (stochastische Planung) und deren Steuerungsmöglichkeiten auf.

Das Risikomanagement wird in Unternehmen aber oftmals ohne Verbindung zu anderen Managementsystemen wie dem Controlling aufgebaut. In einem mehr oder weniger isolierten Prozess werden Informationen zu primär operativen Risiken verwaltet. Dabei sind aber gerade Risikomanagement und Controlling aufeinander angewiesen. Zumindest dann, wenn man Risikomanagement nicht nur als leidige Pflichtübung im Sinne einer Risikobuchhaltung sieht. Das sinnvolle Grundverständnis ist vielmehr ein entscheidungsorientierter Ansatz des Risikomanagements, es sollen Risikoinformationen in Entscheidungen einfließen. Der adäquate Umgang mit Risiken ist eine der Kernaufgaben der Unternehmensführung.

Aber auch im Controlling werden bei einer Entscheidungsvorbereitung die mit der Entscheidung verbundenen Risiken sehr häufig nicht adäquat analysiert und entscheidungsorientiert aufbereitet. Dabei sind es gerade die Risiken, die unternehmerische Entscheidungen schwierig und den Unternehmenserfolg unsicher machen.[2]

Ein wesentlicher Grund für den ungenügenden Umgang mit Risiken im Unternehmen, speziell bei unternehmerischen Entscheidungen, sieht Gleißner in der vor allem psychologisch bedingten „Risikoblindheit“. Er führt hierzu aus: „Die Menschen neigen zunächst dazu, Risiken einfach zu verdrängen und sich nur mit einem, möglichen dem „gewünschten“ Zukunftsszenario zu befassen. Drängt man nun Menschen sich mit Risiken zu befassen, die zu anderen Zukunftsszenarien führen könnten, werden diese Riesen nur stark verzerrt wahrgenommen. Relativ unbedeutende, aber leicht vorstellbare und plastische Risiken werden überschätzt; eher abstrakte oder schleichende Risiken systematisch unterschätzt. Und wenn man dieses Problem der Risikowahrnehmung beseitigt und den Menschen korrekte Informationen über die Höhe eines bestehenden Risikos vorlegt, werden diese Risikoinformationen bei einer Entscheidung nicht adäquat berücksichtigt. Die Intuition der Menschen versagt im Umgang mit Risiko in neuen und komplexen Entscheidungssituation.“

Als ebenso problematisch sieht er darin, „dass auch in der Controlling-Literatur die eigentlich zentral wichtigen Themen Risikoanalyse, Risikoaggregation (Risikosimulation) und risikogerechte Bewertung kaum behandelt werden. Controller lernen weitgehend ein „Controlling unter Sicherheit“ – die es aber in der Praxis nicht gibt. Man erstellt bei Planung und Budgetierung „pseudosichere“ Planwerte, die – vielleicht – als Zielwerte der Unternehmenssteuerung taugen, aber nicht als Entscheidungsgrundlage. Dafür benötigt man nämlich Erwartungswerte, die „im Mittel“ eintreten; was auch „wahrscheinlichste Werte“ nicht gewährleisten. Oft wird noch nicht einmal erkannt, dass die Planwerte (z.B. bei einer Investitionsrechnung) vollkommen ungeeignet sind. Die nötigen Erwartungswerte kann man aber ohne eine Risikoanalyse, die Transparenz schafft über Chancen und Gefahren, gar nicht ableiten. Und auch eine Entscheidung über die Finanzierungsstruktur ist ohne Kenntnis über den aggregierten Risikoumfang und damit den Umfang möglicher Verluste wenig sinnvoll […].“

Unternehmerische Entscheidungen basieren auf strategischen Zielen und deren Umsetzung in eine Planung. Und bei jeder Planung muss mit der Möglichkeit von Planabweichungen, also Risiken, gerechnet werden. Eine fundierte Entscheidung setzt voraus, dass erwartete Erträge und die damit verbundenen Risiken gegeneinander abgewogen werden. Bei jeder unternehmerischen Entscheidung sind somit zwei Faktoren zu berücksichtigen:

  • Welcher Ertrag beziehungsweise welche Rendite ist zu erwarten?
  • Welches Risiko ist mit dieser Entscheidung verbunden?

Ein quantitatives, auf Entscheidungen ausgerichtetes Risikomanagement, die Risikoaggregation als Schlüsseltechnologie und damit auch eine enge Verknüpfung zwischen Risikomanagement und Controlling sind also mehr oder weniger die Kernaspekte, um gesetzlichen Anforderungen in der Unternehmensführung gerecht zu werden und ökonomischen Mehrwert zu generieren.[3] Durch die Risikoaggregation entsteht in einer Weiterentwicklung des traditionell einwertigen Controllings eine Bandbreitenplanung, die eine Transparenz über den Umfang möglicher Planabweichungen und damit die Planungssicherheit bietet.

Dies bietet auch die Möglichkeit, zu analysieren, ob das Unternehmen überhaupt die Kapazität hat, das Risiko einzugehen.[4] Risikotragfähigkeitskonzepte sind ein zentrales Element der Unternehmenssteuerung. Jedes Unternehmen ist einer Bestandsbedrohung ausgesetzt, da für jedes Unternehmen Risikoszenarien denkbar sind, die die Risikotragfähigkeit überstrapazieren. Es sind nämlich in aller Regel nicht einzelne Risiken, die zu einer Bestandsgefährdung führen, sondern irgendeine Kombination bestehender Risiken (was die Risikoaggregation zu der Kernaufgabe des Risikomanagements macht). Neben einer möglichen Überschuldung ist bei der Frage nach einer bestandsgefährdenden Entwicklung vor allem auch eine potenzielle Illiquidität zu betrachten. Hierzu ist es notwendig zu analysieren, ob Kreditlinien im notwendigen Ausmaß zur Verfügung stehen. Damit gilt es zu analysieren, ob das Rating unter Risikogesichtspunkten ein kritisches Niveau unterschreiten kann oder es zu Brüchen von vereinbarten Covenants kommen kann.[5]

Synergien bzw. Verknüpfungen zwischen Risikomanagement und Controlling ergeben sich aber nicht nur bei der Vorbereitung wichtiger unternehmerischer Entscheidungen. Auch die Risikoanalyse an sich kann durch das Controlling sehr gut unterstützt werden. Zum einen können wesentliche Risiken begleitend zum Planungsprozess identifiziert und am besten auch schon – im Sinne einer sinnvollen Abschätzung – quantifiziert werden. Bei der Erstellung einer Planung werden Annahmen getroffen bspw. über die Entwicklung der Umsätze, Preissteigerungen, Tariflohnsteigerungen oder Zins- und Währungsentwicklungen. Bei allen solchen wesentlichen Planungsprämissen kann man nun die Frage stellen, ob deren künftige Entwicklung mehr oder weniger gesichert ist. In der Regel wird dies nicht der Fall sein, sondern sie werden mit Unsicherheit behaftet sein. Damit hat man aber eben Risiken identifiziert, die ja mögliche Planabweichungen charakterisieren. Werden nun bei der Planung nicht nur die Annahmen als unsicher charakterisiert, sondern auch schon mögliche Bandbreiten dafür eingeschätzt, so stellen diese eine vielfach schon ausreichend adäquate Risikoquantifizierung dar.

Auch durch das Controlling durchgeführte Analysen von Plan-Ist-Abweichung stellen wichtige Erkenntnisse für das Risikomanagement bereit. Es sollten sich alle erkannten Abweichungen bzw. deren Ursachen im Risikoinventar des Unternehmens widerspiegeln. Risiken sind die Ursachen für Planabweichungen, also müssten sich alle (wesentlichen) aufgetretenen Abweichungen durch bekannte Risiken erklären lassen. Ist dies nicht der Fall, wurde offensichtlich ein bisher nicht bekanntes Risiko identifiziert. Und auch die Höhe der eingetretenen Abweichungen ist eine nützliche Information. Entweder kann sie zur quantitativen Einschätzung eines nun neu identifizierten Risikos herangezogen werden. Oder, wenn das Risiko schon bekannt war, kann sie zur Validierung der bestehenden Quantifizierung dienen.

Daneben gibt es aber durchaus weitere Aspekte eines Zusammenwirkens zwischen Controlling und Risikomanagement. Bspw. ist bei Risiken mit einer Eintrittswahrscheinlichkeit von über 50% zu fragen, ob diese nicht eigentlich in der Planung berücksichtigt werden müssten. Dies kann beispielsweise auch in Form anspruchsvolleren Planwerten oder von Rückstellungen geschehen. Die quantitativen Risikoanalysen können dabei nicht nur den Hinweis für eine Planänderung ergeben, sondern auch über die mögliche Höhe der Planänderung. Es sei an dieser Stelle darauf hingewiesen, dass ein Risiko, das in der Planung bspw. über eine Rückstellung berücksichtigt wurde, normalerweise immer noch im Risikomanagement betrachtet werden muss. Es bestehen in der Regel nämlich durchaus noch Unsicherheiten. Entweder die Unsicherheit, ob der eingeplante Betrag ausreicht, das Risiko zu decken, oder das Risiko vielleicht gar nicht eintritt (Was im Allgemeinen dazu führt, dass sich daraus eine mögliche Chance ergibt).

Schließlich kann das Zusammenspiel von Controlling und Risikomanagement auch helfen, geeignete Entlohnungs- und Anreizsysteme im Unternehmen zu schaffen, die darauf abzielen von Planungsverantwortlichen „gute“, d.h. realistische, nicht verzerrte Planwerte zu erhalten und von den Risikoverantwortlichen „gute“ im Sinne von realistischen, nicht verzerrten Risikoquantifizierungen.

Literatur:

Gleißner, W. (2018): Controlling und Risikomanagement im gemeinsamen Kampf gegen die Risikoblindheit, in: Risk Management Association, Internationaler Controller Verein (Hrsg.): Vernetzung von Risikomanagement und Controlling: Grundlagen – Praktische Aspekte – Synergiepotenziale, Erich Schmidt Verlag, Berlin 2018, S. 21-33.

Gleißner, W. / Wolfrum, M. (2018): Risikotragfähigkeit unter Rating- und Covenants-Gesichtspunkten, in: Risk Management Association, Internationaler Controller Verein (Hrsg.): Vernetzung von Risikomanagement und Controlling: Grundlagen – Praktische Aspekte – Synergiepotenziale, Erich Schmidt Verlag, Berlin 2018, S. 101-115.

Gleißner, W. / Wolfrum, M. (2019): Risikoaggregation und Monte-Carlo-Simulation – Schlüsseltechnologie für Risikomanagement und Controlling, Springer, Wiesbaden 2019.

Schmidt, W. et.al. (2015): Moderne Wertorientierung, Leitfaden des Internationalen Controller Vereins (ICV), Haufe

Wolfrum, M. (2018): Risikomanagement und Controlling: Status quo und Weiterentwicklungspotenziale im Überblick, in: Risk Management Association, Internationaler Controller Verein (Hrsg.): Vernetzung von Risikomanagement und Controlling: Grundlagen – Praktische Aspekte – Synergiepotenziale, Erich Schmidt Verlag, Berlin 2018, S. 15-20.


[1] Vgl. Schmidt et.al. (2015).

[2] Vgl. Gleißner (2018).

[3] Vgl. Gleißner, Wolfrum (2019)

[4] Vgl. Gleißer, Wolfrum (2018).

[5] Viele Unternehmen hoher Bonität haben einen so hohen Abstand zu dem „kritischen Punkt“ der Bestandsgefährdung, dass diese für die Unternehmenssteuerung ergänzend einen zweiten Schwellenwert betrachten, bezüglich dessen die Risikotoleranz gemessen wird.

Teile diesen Beitrag