Risikomanagement ist ein kontinuierlicher Prozess, der Risiken im Hinblick auf das Ziel identifiziert und bewertet. Es gibt verschiedene Bereiche, in denen das Risikomanagement angewendet werden kann. Das finanzielle Risikomanagement konzentriert sich auf das Management finanzieller Risiken, das Projektrisikomanagement auf das Risikomanagement bei der Realisierung großer Projekte.
1. Technische Risiken: Die zuvor genannten „technischen“ Risiken bestehen zwar heute noch, sie sind jedoch vielschichtiger geworden, weil die Abläufe und Leistungsprozesse komplexer geworden sind und schneller bewältigt werden müssen. An vielen Stellen in den Prozessen gibt es ein Interface oder Medienbrüche (zum Beispiel: von Telefon zu Papier zu elektronischer Eingabe), wo leicht Fehler auftreten können. Die heute als operative Risiken bezeichneten Störungen und Gefährdungen bilden jedoch nur einen Teil der heute zu beachtenden Risiken.
2. Marktrisiken: Unternehmen müssen heute „näher an den Märkten“ operieren und sind den dortigen Preisschwankungen deshalb naturgemäß stärker ausgesetzt. Marktrisiken zeigen sich im Rohstoffbereich, bei den Währungsparitäten, bei der Bewertung von Beteiligungen und Wertpapieren und bei Verpflichtungen. Quasi verwandt sind Gegenparteirisiken. Sie entstehen, weil Vertragsparteien ausfallen oder Aufträge stornieren können.
3. Systemische Risiken: Sodann ist die Unternehmung durch die heute geforderten schlanken und dezentralen Strukturen vermehrt Risiken ausgesetzt, die im „System“ liegen, daß viele Institutionen miteinander verkettet. Hier liegen die Risiken im wirtschaftlichen und im fiskalischen Umfeld, in den Gesetzen (Produkthaftung), in möglichen Technologiesprüngen, und in der Abhängigkeit von anderen Institutionen die wiederum auch direkt oder indirekt durch Risiken belastet werden könnten, so daß die Unternehmung wie in einer Kette von Dominosteinen umgerissen werden könnte.
4. Strategische Risiken: Durch die zunehmende Dynamik im Wirtschaftsleben, die Globalisierung und die Verschärfung des Wettbewerbs haben sodann „strategische“ Risiken einen höheren Stellenwert als früher. Hier wirkt hinein, daß Unternehmen heute schneller reagieren können sollten, und daß sie mögliche Flexibilität genau mit den Kostenvorteilen starrer Prozesse abwägen. Bei allem muß im Rahmen einer Betrachtung strategischer Risiken das Gegenspiel von Konkurrenten beachtet werden.
Zweitens hat die Portfoliotheorie gelehrt, wie Finanzmärkte funktionieren: Für die Übernahme gewisser Risiken, sogenannter systematischer Risiken, kann eine Prämie als Renditevorteil erwartet werden. Deshalb gibt es einen Trade-Off zwischen Rendite und Sicherheit.
Für das Abwälzen systematischer Risiken ist andererseits eine Prämie zu erarbeiten. Deshalb müssen die Kalkulationsgrundlagen für Produkte und für Projekte überarbeitet werden. Ein kalkulatorischer, risikogerechter Zuschlag bezeichnet mit Kapitalkosten ist vorzusehen.
Da ein Teil der Risiken, die unsystematischen Risiken, diversifiziert werden können, ist eine Portfoliosicht angebracht. Unternehmen müssen als Portfolio betrachtet werden, dessen Komponenten die einzelnen Geschäftseinheiten oder Projekte und Vorhaben sind. Jedes dieser Teile ist wiederum den verschiedenen Risikoarten ausgesetzt: Operative Risiken, Finanzielle Risiken, Systemrisiken und so fort. Aufgrund der planerischen Zusammenführung als Portfolio wird das Risikomanagement Aufgabe der obersten Entscheidungsebene. Es wirkt daher untrennbar in die Gesamtsteuerung und Gesamtplanung der Unternehmung hinein.
Rentabilität kann ohne Beachtung des Risikos nicht mehr gesteuert und beurteilt werden, laufend muß im Trade-Off zwischen Rendite und Sicherheit abgewogen werden.
Diese Aufgabe kann nicht für die einzelnen Unternehmensteile separat erfolgen eine Portfoliosicht ist notwendig. Wird nun die Entfaltung der Finanzmärkte für Derivate bedacht, die sich für eine teilweise Absicherung anbieten, dann wird offenkundig: Risikomanagement erfordert eine umfassende Sicht und ist Aufgabe der obersten Unternehmensleitung geworden. Es kann nicht mehr wie früher an eine Person delegiert werden, die zusammen mit einem Versicherungsagenten und einer Spürnase für Unfälle eine Betriebsbesichtigung vornimmt.
So wie die finanzielle Sicht und die Idee der Wertsteigerung heute die Führung durchdrungen hat, so erfordert auch das Risikomanagement eine genaue Organisation über alle Stufen hinweg.
Zweifellos spricht die eben anhand der finanziellen Risiken begründete zusammenführende, integrierende Portfoliosicht dafür, das Risikomanagement organisatorisch als Top-Down-Prozeß zu gestalten. Risikomanagement als reine Chefsache, oft gefordert, ist jedoch nicht umsetzbar. Viele Daten und Informationen werden in den Bereichen und auf tieferen Hierarchiestufen gesammelt.
Hier muß neben der formalen Organisation eine Risikokultur entfaltet werden, die alle Menschen in der Unternehmung risikobewußt macht. Die peripher gesammelten Informationen müssen dann in einem Bottom-Up-Prozeß an eine zentrale Instanz gegeben werden.
Es ist also durch die formale Organisation und durch kulturelle Aspekte eine Balance zwischen den zentralen und den dezentralen Elementen des Risikomanagements anzustreben. Bei allem darf das Risikomanagement nicht losgelöst von den sonstigen Führungssystemen gleichsam als neue Berichts- und Entscheidungsstruktur ein Eigenleben entfalten.
Ein Risk-Controlling wird möglichst nahtlos in das Gesamt-Controlling eingebettet. Risikomanagement ist integraler Teil des Führungssystems und der Organisation und ist mit dieser verzahnt.
Die Bedeutung von Risikomanagement wird durch den Gesetzgeber betont. Alle Kapitalgesellschaften (mit Ausnahme der kleinen Kapitalgesellschaft) müssen im Lagebericht auch auf „die Risiken der zukünftigen Entwicklung“ eingehen (§ 289 Abs. 1 HGB); ähnliches gilt für den Konzernlagebericht (§ 315 Abs. 1 HGB). Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich vom 30. April 1998 (KonTraG) betrifft börsennotierte Aktiengesellschaften und Unternehmen vergleichbarer Komplexität.
Der Vorstand soll Maßnahmen ergreifen, insbesondere ein Überwachungssystem einzurichten, um den Fortbestand der Unternehmung gefährdende Entwicklungen frühzeitig zu erkennen. Überwachung ist hierbei als ein fortlaufender Prozeß mit begleitender Dokumentation und Berichterstattung zu verstehen. Der Begriff System verlangt das methodische, geordnete, geplante Vorgehen bei der Überwachung.
Der Fortbestand soll im Hinblick auf Konkurstatbestände beurteilt werden, wobei von einer möglichen Kumulation und Verkettung von Einzelrisiken auszugehen ist. Gefährdende Entwicklungen ergeben sich vor allem aus dem Geschäftsrisiko, aus Fehlern, falschen Einschätzungen, unrichtiger Rechnungslegung sowie aus Verstößen gegen gesetzliche Vorschriften. Die frühzeitige Erkennung soll so rechtzeitig erfolgen, daß noch reagiert werden kann.