Kurzerklärung: Grundlagen des Risikocontrollings

Das Einfachste zum Risikocontrolling zuerst: Es ist ein Unterbereich des Risikomanagements. Das dürften Sie kennen, denn als Entscheider arbeiten Sie täglich mit den vielen kleinen und großen Bedrohungen auf unternehmerischer Ebene. Was das konkret bedeutet, zeigen wir Ihnen gleich.

Vorher muss Ihnen klar sein: Risikocontrolling ist keine Kür für den Mittelstand. Vielmehr fordert das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Paragraf 91 Absatz zwei Aktiengesetz ein gebührendes Risikomanagement für Kapitalgesellschaften.

Bei der Umsetzung wird immer ein fester Plan abgearbeitet, der aus Identifikation, Analyse, Bewertung und Steuerung besteht. Diesen Prozess sollten Sie kennen und immer im Auge behalten, seine knifflige Ausführung aber besser Experten überlassen. Das heißt, Sie holen sich das Know-how dafür entweder in die Firma oder lagern die Aufgaben aus.

Erster Schritt: Identifikation der Risiken

Die Arbeit Ihres Controllers beginnt mit der Identifikation der Risiken. Welche das sein können? Erst einmal Ausnahmefälle wie Feuer, Hochwasser oder Blitzschlag. Mit anderen Worten, alle Schadensgefahren – Experten nennen das auch reines Risiko.

Zweitens entstehen Risiken aus unternehmerischem Handeln. Ganz platt: Sie machen ein Verlustgeschäft. Oder unerwartet Gewinn. Das klingt paradox, aber Sie müssen tatsächlich einen Glücksfall als Risikofaktor einstufen. Denn gibt es einen Nutzeffekt, mit dem Sie nicht rechnen, ist keine adäquate Reaktion möglich und der Gewinn verpufft vielleicht ungenutzt.

Das ist Ihnen noch nicht konkret genug? Eine Differenzierung von Gefahrenquellen im Risikocontrolling könnte wie folgt aussehen:

  • Geschäftsrisiken entstehen durch eine falsche Strategie oder durch Veränderungen im Wettbewerb, etwa der Eintritt eines neuen Konkurrenten.
  • Ein Marktrisiko wäre beispielsweise ein rapider Preisverfall.
  • Ein Kreditrisiko heißt, Kunden kommen ihren Zahlungsverpflichtungen nicht länger nach oder ein bereits eingeplantes Darlehen fällt aus.
  • Prozessrisiken beziehen sich auf Abläufe und Prozesse Ihres Unternehmens – eine wichtige Maschine fällt aus oder eine Fachkraft wird krank.
  • Rechtsrisiken bezeichnen alle Gefahren, die mit dem Gesetz zu tun haben.

Mit der Identifikation finden Sie also heraus, welche Risiken es überhaupt gibt. Im folgenden Analyseschritt wird gemessen.

Zweiter Schritt: Quantitative oder qualitative Analyse

Spätestens ab diesem Punkt sollten Sie Ihre Experten aktivieren, denn die zwei möglichen Herangehensweisen an das Thema erfordern Expertise auf hohem Level.

Nehmen Sie beispielsweise die quantitative Analyse: Hier werden Ergebnisse aus dem vorhergehenden Schritt "Identifikation" mit einer Wahrscheinlichkeit und gewissen Risikomaßen gleichgesetzt. Anders ausgedrückt, die Realität wird in Zahlen überführt. Das funktioniert mit vielen Methoden, etwa der sogenannten Monte-Carlo-Simulation – die Universität Leipzig liefert dazu eine Beschreibung.

Zweite Variante: die qualitative Analyse. Sie ist weniger aufwendig, kostet damit wenig Geld und führt auch noch schneller zum Ziel. Allerdings ist diese Methode im Vergleich nicht so genau. Wie funktioniert sie? Zuerst werden alle Risiken nach Priorität sortiert  und zwar anhand der Antworten auf folgende Fragen. Wie hoch ist die Wahrscheinlichkeit eines Eintretens? Wie groß sind die Auswirkungen? Das kann in der Form eines Graphen geschehen, wie wir ihn im nächsten Schritt vorstellen.

Zuvor sei an dieser Stelle daran erinnert: Risikocontrolling ist ein hartes Brot, an dem man sich ohne Vorkenntnisse schnell die Zähne ausbeißt. Denn die Tätigkeit ist komplex und lenkt darüberhinaus wichtige Ressourcen vom Kerngeschäft ab. Deshalb sind Controlling-Laien gut beraten, die Aufgabe in erfahrene Hände zu legen. Wer dafür eine externe Lösung anstrebt, sollte die Vor- und Nachteile des Outsourcings kennen, die wir in einem Ratgeber zusammengefasst haben. Weitere Informationen finden Sie auf dem Portal "CIO".

Dritter Schritt: Bewertung der Risiken

Zurück zum Thema: Die Risiken sind erkannt und in Zahlen übersetzt. Erst in der Bewertung erfolgt eine interpretierbare Anordnung der gesammelten Daten: Zur Beurteilung wird ein Risikograph oder eine -Matrix erstellt.

Wie solch ein Schaubild aussieht, zeigt beispielsweise das Portal der Verwaltungs-Berufsgenossenschaft (VBG).

Experten müssen anhand der Grafik die Frage beantworten können, ob ein Risikofall wahrscheinlich ist. Und was der Super-GAU kosten würde. Zugegeben, die Begriffe Analyse und Bewertung liegen im Risikocontrolling eng beieinander – sie sind aber keinesfalls deckungsgleich.

Vierter Schritt: Steuerung von Maßnahmen

Erst nach der Analyse und Bewertung formulieren Profis Handlungsmaßnahmen. Dabei wird beurteilt, welche Risiken hingenommen werden und gegen welche aktiv vorgegangen wird.

Im Prinzip ist es eine Kosten-Nutzen-Rechnung. Experten kalkulieren, bei welchen Gefahren sich Gegenmaßnahmen lohnen oder ob Reaktionen unter Umständen zu teuer sind. Das Ziel des Risikocontrollings ist daher verblüffend einfach: Ihr Unternehmen muss kurz- und langfristig sicher wirtschaften können.

Weiterführende Links: