"Ich bin morgens aufgestanden und auf einmal war ich insolvent." Solche Sätze sind für professionelle Unternehmenssanierer wie Michael Bartl von RMCE Risk Control nichts Ungewöhnliches. Auch wenn die Gründe für ein Scheitern vielfältig sind, unter den Experten herrscht Einigkeit, dass mit mehr Voraussicht viele Unternehmenspleiten vermeidbar gewesen wären. Hilfe bietet eine Fülle von Anbietern, die mit Beratung und Software den Aufbau eines Risiko-Management-Systems unterstützen. Doch während die Zahl der Insolvenzen in Deutschland in den vergangenen Jahren kontinuierlich gestiegen ist, bleibt die Nachfrage nach Risiko-Management-Lösungen bescheiden. Nur zögerlich setzt sich anscheinend das Bewusstsein durch, dass Bedrohungen für den Betrieb längst nicht nur in den Finanzabteilungen zu finden sind.
Zu den klassischen Risiken, mit denen Unternehmen konfrontiert werden, zählen Absatzschwierigkeiten oder Forderungsausfälle, Stopp der Maschinen oder hoher Krankheitsstand der Mitarbeiter. Je nach Branchenzugehörigkeit, Größe oder Grad der Internationalisierung varriieren die Risikostrukturen der Unternehmen stark (siehe Grafik: "Für jede Branche ..."). Gleichzeitig wächst der Einfluss externer Faktoren auf die Unternehmen. Naturkatastrophen und Terroranschläge nehmen zu; Gleiches gilt für die Volatilität der Aktienkurse.
Erst auf Druck wird reagiert
Die Manager reagieren meist zu spät und oft nur auf Druck von außen. Doch der steigt, denn Banken, Versicherungen, Wirtschaftsprüfer und der Gesetzgeber lassen den bisweilen unverantwortlichen Umgang mit Risiken längst nicht mehr so locker durchgehen wie noch vor einigen Jahren. Dabei ist Risikovorsorge durchaus im Sinne der Unternehmen. "Man befindet sich einfach in der besseren Verhandlungsposition, wenn eine entsprechende Analyse vorliegt", bestätigt Risiko-Management-Spezialist Bartl. Denn gemäß den Richtlinien nach Basel II vergeben Geldinstitute an Unternehmen mit einem Risiko-Management-System preiswertere Kredite, und mit Versicherern lassen sich günstigere Prämien aushandeln.
"Risiko definiert sich als das Ergebnis aus einer Bedrohung, ihrer Eintrittswahrscheinlichkeit sowie der Auswirkung auf das Unternehmen", erklärt Jörg Asma, Berater bei KPMG im Bereich Information Risk Management. Bei dieser Wahrscheinlichkeitsrechnung ist auch der CIO gefordert. Als Herr der IT-Abteilung hat er per se für die Sicherheit der DV-Systeme zu sorgen, aber zunehmend wird er auch in die Verantwortung für das ganze Unternehmen eingebunden. Denn in dem Maße, in dem sich die IT immer mehr zum Rückgrat des Unternehmens entwickelt, steigen auch die Anforderungen an den IT-Manager in puncto ganzheitlichem Risiko-Management. Asma: "Aus meiner Sicht ist es zwangsläufig, dass sich der CIO oder die IT-Abteilung darum kümmern, schließlich betreuen sie das Vorprodukt jeglicher Informationen."
Mit der Realität hat das allerdings noch wenig zu tun. Risiken werden bislang vor allem aus der Perspektive der Finanzverantwortlichen und damit nur in Teilen betrachtet. Der Blick richtet sich auf Fragen wie Liquiditätsausstattung, Zins- oder Währungsrisiken. "In rund 80 Prozent der Fälle ist die Verantwortung für das Risiko-Management-System noch im Finanzbereich verankert", schätzt Frank Stolle, Key Account Manager Corporates bei der IFB AG in Köln. Nur langsam und auch erst seit kurzem, so seine Beobachtung, interessieren sich auch CIOs für das Thema.
Abgesehen von einigen Generalisten wie IBM oder SAP sind die meisten Anbieter von Risiko-Management-Software Nischen-Player im Markt für BusinessAnwendungen. Die mehr oder weniger standardisierten Lösungen werden von Spezialisten jeglicher Couleur abgedeckt. Ihre Wurzeln haben die meisten Systeme im Finanzdienstleistungs-Sektor. Dort gehört RisikoManagement zum täglichen Geschäft, etwa in Form einer Bewertung der Zins- oder Währungsrisiken im Beteiligungsgeschäft oder bei der Kreditvergabe. Zunehmend nutzen die Softwarehersteller ihr Know-how aber auch für andere Unternehmen, sowohl branchenübergreifend als auch speziell an den Bedürfnissen einzelner Industrien ausgerichtet. Klug Software aus dem oberbayrischen Marktl beispielsweise bietet Lösungen für die chemische Industrie an, das Produkt der Datev richtet sich in erster Linie an Steuerkanzleien.
Anbieter wie die MIS AG oder Corporate Planning (CP) bedienen das gesamte Segment der ManagementInformationssysteme, wogegen andere Firmen wie Northwest auf Produkte rund um das Risiko-Management fokussiert sind. Hinzu kommen Dienstleister wie Price Waterhouse Coopers oder Creditreform, die mit IT-Lösungen-Software ihr Serviceportfolio abrunden. Um die Brücke zwischen Finanz- und IT-Wissen zu schlagen, finden sich auch häufig Produkte, die von mehreren Unternehmen gemeinsam entwickelt wurden. Der Stuttgarter IT-Dienstleister Excelsis etwa baute seine Lösung auf Basis der Controlling-Software Valuemation von USU, und die MIS AG entwickelte gemeinsam mit RMCE Riskon die Mittelstandslösung Risiko-Kompass.
Aufwand und Preis variieren stark
Entsprechend der bunten Anbieterschar fallen auch die Leistungen der einzelnen Produkte äußerst unterschiedlich aus. Das Spektrum reicht vom simplen Werkzeug zur Erfassung von Risiken bis hin zu komplexen Systemen, mit denen Unternehmen ihre Bonität selber prüfen oder per Simulation Prognosen für den Geschäftsverlauf erstellen können. Entsprechend variieren auch Preis und Aufwand. Für die Lizenz eines einfachen Tools, wie es beispielsweise Noweco mit Proact anbietet, zahlt der Anwender 180 Euro. 1150 Euro inklusive Beratung kostet die Einzelplatzversion des umfangreicheren Mittelstandsprodukts Risiko-Kompass plus Rating von RMCE. Für Beratung und Implementierung erhöht sich der Betrag auf 2900 bis 9900 Euro. Für größere Unternehmen beziehungsweise jene mit einer breiteren Risikostruktur beginnt die Investition in ein RMCE-Produkt bei rund 10 000 Euro. Nach oben sind dabei keine Grenzen gesetzt. "Im Durchschnitt sollte ein Konzern mit einer reinen Implementierungszeit von sechs bis acht Wochen rechnen", sagt Michael Bartl, doch auch hier ist die Skala nach oben offen. Der Aufwand kann sich gut und gerne auf mehr als ein Jahr und eine Investition im Millionen-Euro-Bereich ausdehnen.
Grundsätzlich gibt es zwei Aufgabenfelder, die mit dem Risiko-Management zu bestellen sind: die Erfassung der Risiken auf der einen, das Reporting und die Analyse auf der anderen Seite. Für Ersteres, das so genannte strategische Risiko-Management, kann die entsprechende Software ein Gerüst für die Erfassung zur Verfügung stellen, die Inhalte müssen die Verantwortlichen im Unternehmen formulieren. "Dabei sollte das gesamte Management bis auf die Ebene der Abteilungsleiter mit einbezogen werden", rät IFB-Manager Stolle. Der zweite Bestandteil, das operative Risiko-Management, besteht darin, die unterschiedlichen Informationen zu sammeln und mit Hilfe von Analyse-Tools strukturiert aufzubereiten sowie zu bewerten. Darüber hinaus bieten einige Lösungen auch die Möglichkeit, anhand von Simulationsverfahren Prognosen oder ein eigenes Rating zu erstellen. Dazu zählen unter anderen die Lösungen von RMCE oder der Riskmanager von CP aus Hamburg.
Eine allgemeingültige Empfehlung für das richtige Produkt lässt sich nicht formulieren. "Das ginge in die falsche Richtung", sagt Wolfgang Rempe,Rating-Spezialist beim TÜV Rheinland. "Wichtig ist, dass sich der CIO mit den Anwendern zusammensetzt und eine Anforderungsanalyse erstellt." Technische Raffinessen oder der Umfang der Werkzeuge sollten keinesfalls die wichtigsten Kriterien sein. Gerade wenn ein Unternehmen beginnt, ein Risiko-Management-System aufzubauen, ist es nach Ansicht Rempes gar nicht nötig, die Anforderungen an die Software zu hoch zu schrauben.
"Eine schlichte Tabelle, die Risiken auflistet, und die Überlegung, wie man damit umzugehen hat, helfen vielen Unternehmen schon ein großes Stück weiter", sagt Rempe. "Sie sind damit bereits in der Lage, die Prozesse zu verstehen, die mit dem Risiko-Management verbunden sind." Erst nachdem das Unternehmen eine Weile mit einfachen Instrumenten gearbeitet habe, zeichne sich deutlicher ab, was man in Zukunft haben will. Rempe: "Erst dann sollte man ein umfangreicheres System aufbauen."
Genauso entscheidend, wie die richtige Technik zu finden, ist allerdings der korrekte und kontinuierliche Umgang damit. Ein System, das nicht gepflegt wird, keine konsistenten Daten enthält oder nur zum Einsatz kommt, wenn der Wirtschaftsprüfer vor der Tür steht, kann die Erwartungen nicht erfüllen. Gleiches gilt für die Organisation und die Zuweisung der Verantwortlichkeiten, die klar formuliert sein müssen. "Einmal klasse sein und danach wieder das Niveau zu senken, ist nicht angemessen", betont Rempe. "So funktioniert Risiko-Management nicht."
Weitere Meldungen: