In diesem Blog geht es um das Thema Risiko-Controlling. In jedem Unternehmen sollten mögliche Risiken beobachtet werden. Größere Unternehmen betreiben dazu ein Risikomanagement. Dort geht es zuerst darum, mögliche Risiken zu erkennen. Hat man eins gefunden, muss es bewertet werden und dann anschließend idealerweise bewältigt werden. Das ist der Risikomanagementprozess. Soweit der erste grobe Überblick.
Es gibt ja allerhand verschiedene Risiken.
Da gibt es die Geschäftsrisiken, wenn falsche unternehmerischen Entscheidungen getroffen wurden. Nokia ist dabei immer ein gutes Beispiel. Als Apple im Jahr 2007 das iPhone vorstellte, machte sich der Nokia-Vorstand über das Smartphone lustig, da es ja nicht einmal Tasten hatte. So wurde ein wichtiger technologischer Trend bei dem ehemaligen Handy-Marktführer verschlafen.
Dann gibt es Marktrisiken wie ein plötzlicher Preisverfall bei den wichtigsten Produkten. Stellen Sie sich vor, Sie wären Schieferölproduzent und plötzlich lässt eine weltweite Seuche den Ölpreis derart fallen, so dass Sie Ihr Öl nur noch mit Verlusten verkaufen können. Das Risiko kann zur Produktionsschließung führen.
Daneben gibt es das Produktions- beziehungsweise Prozessrisiko. Die neue Produktionslinie für die neue Modellreihe wurde fehlerhaft geplant. Der Produktionsstart muss verschoben werden, da die Produktionslinie ständig steht. Auch ein übles Risiko.
Schließlich gibt es noch die rechtlichen Risiken und die Kreditrisiken. Rechtliche Rahmenbedingungen können zuungunsten des Unternehmens verändert werden oder die Hausbank will plötzlich den Kredit nicht mehr verlängern.
Das Risiko-Controlling ist ein Werkzeug beim Risikomanagement. Es muss ständig die Situation auf mögliche Risiken beobachten. Wird ein Risiko identifiziert, muss es bewertet werden, was oftmals kein einfaches Unterfangen ist. Dabei wird die Eintrittswahrscheinlichkeit und der mögliche Schaden beziffert. Risiken mit niedriger Eintrittswahrscheinlichkeit und niedriger möglicher Schadenssumme werden nicht weiter beobachtet. Oft wird dabei das Modell der drei Verteidigungslinien praktiziert. Das »Three Lines of Defense Modell«.
Doch zu allererst muss ein Risiko erstmal identifiziert werden. Das kann mittels einfacher Checklisten passieren. Das sind letztlich Fragebögen, die bestimmte Mitarbeiter immer wieder mal auszufüllen haben. Oder es wird die Delphi-Methode angewendet. Das ist eine Art von Experten-Befragung. Dabei sollen möglichst viele Experten hin und wieder befragt werden. Stößt man auf etwas, werden die Interviews vertieft. Hat man Risiken identifiziert, kann man sie mit den drei Verteidigungslinien angehen.
Die erste Verteidigungslinie obliegt den Fachbereichen und dem operativen Management. Die zweite Linie soll der ersten Linie helfen, das Risikomanagement bestmöglichst durchzuführen und ist zusätzlich für das Reporting an das oberste Management verantwortlich. Die dritte Linie wird von der internen Revision wahrgenommen. Sie hat sozusagen das letzte Wort beim Handling der Risiken.
Das Risikomanagement und das Risiko-Controlling wird in jedem Unternehmen ein wenig anders gehandhabt. Manchmal kümmert sich die Geschäftsleitung selbst darum, ein anderes mal wird es zu den Controllern delegiert. Hier kommt es zusätzlich natürlich auch auf die Art der Risiken an. Als Werkzeuge können Risikomatrizen mit den beiden Dimensionen Eintrittswahrscheinlichkeit und möglicher Schadenshöhe genutzt werden. Oder Risikodashboards, die schnell einen guten Überblick über bestehende Risiken bieten sollen. Oder es wird sogar eine Monte-Carlo-Simulation durchgeführt.