Aufgabe des Risiko-Managements ist es, die Chancen und Risiken systematisch zu identifizieren und sie hinsichtlich der Eintrittswahrscheinlichkeit sowie deren Streuung und der quantitativen Auswirkungen auf den Unternehmenswert zu bewerten. Risiko wird daher als Streuung um einen Erwartungswert definiert. Nach dieser Definition werden sowohl positive Abweichungen (Chancen) als auch negative Abweichungen (Gefahren) berücksichtigt. Es steht wohl außer Zweifel, dass sich die Risiken für Unternehmen aller Branchen in jüngster Vergangenheit dramatisch erhöht haben. Wesentliche Einflussfaktoren, die zu dieser signifikanten Verschärfung der Risiko-Situation beigetragen haben, sind u.a. Entwicklungen wie die zunehmende Deregulierung der Märkte, der verstärkte Einsatz moderner Informations- und Kommunikationstechnologien, der Wandel von Verkäufer- zu Käufermärkten, die zunehmenden Individualisierungstendenzen auf der Nachfrageseite, neue regulatorische Bestimmungen (etwa durch die „Neue Baseler Eigenkapitalvereinbarung“ für Banken bzw. Solvency II, das Pendant für die Assekuranz), die wachsende Mündigkeit der Verbraucher, der steigende Preis-, Qualitäts- und Wettbewerbsdruck auf globalisierten Märkten, der Wunsch nach flexiblen und deutlich verkürzten Lieferfristen, die zunehmende Transparenz und Vergleichbarkeit der Leistungsangebote und Preise, die Reduzierung der Produktlebenszyklen, die steigenden Serviceansprüche der Kunden oder die Nachfrage nach vergleichsweise komplexen Systemlösungen. Insgesamt dürfte deutlich geworden sein, dass es immer schwieriger wird, mit Hilfe von „unternehmerischer Intuition“, „Bauchgefühl“ und reaktiven Steuerungs-Systemen die Komplexität der Prozesse und Risiken zu erfassen und zu analysieren.
Risiko-Management — nur eine Alibifunktion? Mit dem Inkrafttreten des „Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG) im Jahr 1998 wurden größere Unternehmen in Deutschland erstmals von gesetzlicher Seite dazu verpflichtet, ein Risiko-Management- und Frühwarnsystem zu implementieren. Inzwischen dürften wohl auch alle hiervon betroffenen Unternehmen dieser Verpflichtung nachgekommen sein. Die Tatsache, dass die Initiative zur Einführung eines umfassenden Risiko-Management-Systems in vielen Fällen auf Grund gesetzlichregulatorischer Vorgaben geschah bzw. geschehen musste, ist per se zunächst einmal positiv zu beurteilen. Obwohl die Notwendigkeit eines solchen Systems zur Sicherung und Steigerung des Unternehmenswertes wohl unbestritten sein dürfte, bestand bis Mitte der neunziger Jahre in Deutschland erheblicher Nachholbedarf beim Thema „Risiko-Management“. Dementsprechend hat das KonTraG einen nicht zu unterschätzenden Beitrag geleistet, um bestehende Lücken zu schließen und das Risiko-Management gesetzlich zu verankern. Deutschland war zum damaligen Zeitpunkt weltweit das einzige Land, das „Corporate Governance“ für große börsennotierte Gesellschaften gesetzlich eingefordert hat. In den meisten Ländern (USA: COSO Report 1992; Frankreich: Vienot Report 1998; Großbritannien: Cadbury Report 1992; Niederlande: Peters Code 1997 etc.) basieren die unternehmerischen Verhaltenspflichten auf rechtlich unverbindlichen Grundsätzen ordnungsgemäßer Unternehmensführung. Diese „Codes of Best Practice“ sind insbesondere im angelsächsischen Rechtssystem üblich. Im Gegensatz hierzu stellt das deutsche KonTraG zwingendes Recht dar, das auch gerichtlich durchgesetzt werden kann. Wer sich allerdings näher mit der konkreten praktischen Umsetzung der Bestimmungen des KonTraG in die Unternehmenspraxis befasst, wird sehr schnell feststellen, dass der Anspruch der gesetzlichen Vorgaben einerseits und der tatsächliche Stand des Risiko- Managements in den Unternehmen andererseits in vielen Fällen immer noch eklatant auseinander klaffen. Vor diesem Hintergrund wird das KonTraG auch nicht selten als „Papiertiger“ bezeichnet. Diese ebenso unerfreuliche wie gefährliche Tatsache resultiert in allererster Linie daraus, dass die Einführung eines effektiven und effizienten Chancen- und Risiko-Management-Systems von einigen Unternehmen nach wie vor eher als gesetzlich aufoktroyierte (und damit per definitionem lästige) Pflichtübung verstanden und nicht als sinnvolle und unverzichtbare Komponente der strategischen und operativen Unternehmensführung angesehen wird. In Anbetracht dieser weit verbreiteten Einstellung kann es dann auch nicht überraschen, dass dem Risiko-Management-System mitunter lediglich eine Art „Feigenblatt-Funktion“ zukommt: Zwar wurde in den letzten Jahren viel in den Aufbau von IT-Systemen und die Ausbildung bzw. Einstellung entsprechend qualifizierter Mitarbeiter investiert. Oftmals geschah dies jedoch weniger aus Eigeninteresse, um endlich die vielfältigen Chancen zu nutzen, die aus der Umsetzung eines ganzheitlichen und pro-aktiven Risiko- Managements resultieren. Überspitzt formuliert, wird in manchem deutschen Unternehmen das Risiko-Management nur deshalb betrieben, um den formalen gesetzlichen Anforderungen gerecht zu werden und am Jahresende das begehrte „Fläkchen“ des Abschlussprüfers zu erhalten.
Abgesehen von der einen oder anderen unvermeidlichen Schwierigkeit lässt sich insgesamt feststellen, dass den meisten Unternehmen die Einführung eines Risiko-Management-Systems, das die maßgeblichen gesetzlichen Vorschriften und die Anforderungen der Wirtschaftsprüfer erfüllt, keine unüberwindbaren Probleme bereitet hat. Während vor dem Inkrafttreten des KonTraG im Jahr 1998 nur zwischen 6 und 10 Prozent der Unternehmen ein Früherkennungs- bzw. Risiko-Management-System hatten, lag im Jahr 2000 die Implementierungsquote bei etwa 86 Prozent. Die zitierten Studien kamen jedoch auch zu dem Ergebnis, dass nicht selten eine große Kluft zwischen Eigen- und Fremdeinschätzung vorliegt. Getreu dem Motto „Vater werden ist nicht schwer, Vater sein dagegen sehr“ stellt die rein formale Einführung allerdings eine zwar notwendige, aber lange noch nicht hinreichende Voraussetzung dar, um die vielfältigen Vorteile eines ganzheitlichen und pro-aktiven Risiko-Managements auch tatsächlich realisieren zu können. Eine wesentliche Herausforderung (wenn nicht sogar „die“ Herausforderung schlechthin), um das KonTraG vor einem traurigen Schicksal als „potemkinsches Dorf“ zu bewahren, besteht vielmehr darin, das vorhandene System auch zum Leben zu erwecken. Risiko-Management muss zu einem integralen Bestandteil des täglichen Denkens und Handelns eines jeden Mitarbeiters gemacht werden — mit anderen Worten: Risiko- Management ist irreversibel in der Unternehmenskultur zu verankern. Dies stellt beileibe keine einfache Aufgabe dar. Vielmehr ist die Etablierung einer (wie auch immer definierten) „guten“ Risiko- Kultur und einer offenen Risikokommunikation ein kontinuierlicher Prozess, der in aller Regel mehrere Jahre in Anspruch nimmt. Umso wichtiger erscheint es, diese Aufgabe so schnell wie nur irgendwie möglich in Angriff zu nehmen.