150 61 2MB
German Pages 316 Year 2006
Stefanie Fiege Risikomanagement- und Überwachungssystem nach KonTraG
GABLER EDITION WISSENSCHAFT
Stefanie Fiege
Risikomanagement- und Überwachungssystem nach KonTraG Prozess, Instrumente, Träger
Mit einem Geleitwort von Prof. Dr. Ulrich Krystek
Deutscher Universitäts-Verlag
Bibliografische Information Der Deutschen Bibliothek Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar.
Dissertation Techn. Universität Berlin, 2005
1. Auflage Mai 2006 Alle Rechte vorbehalten © Deutscher Universitäts-Verlag | GWV Fachverlage GmbH, Wiesbaden 2006 Lektorat: Brigitte Siegel / Stefanie Brich Der Deutsche Universitäts-Verlag ist ein Unternehmen von Springer Science+Business Media. www.duv.de Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften. Umschlaggestaltung: Regine Zimmer, Dipl.-Designerin, Frankfurt/Main Druck und Buchbinder: Rosch-Buch, Scheßlitz Gedruckt auf säurefreiem und chlorfrei gebleichtem Papier Printed in Germany ISBN-10 3-8350-0420-4 ISBN-13 978-3-8350-0420-7
Geleitwort
V
Geleitwort Spektakuläre Unternehmenszusammenbrüche haben weltweit zu einer zunehmenden Kritik an der Unternehmensüberwachung geführt. Unter dem Stichwort „Corporate Governance“ lassen sich in Deutschland sowie auch auf internationaler Ebene Bestrebungen beobachten, die sich als Ziel gesetzt haben, eine verantwortungsvolle und effiziente Unternehmensführung sicherzustellen. In Deutschland wurde ein erster Meilenstein 1998 mit dem Gesetz zur Kontrolle und Transparenz (KonTraG) im Unternehmensbereich gelegt. Durch das KonTraG ist das unternehmerische Risikomanagement verstärkt in das Blickfeld von Theorie und Praxis gerückt, da börsennotierte Unternehmen seither verpflichtet sind, ein Überwachungssystem zu implementieren, das bestandsgefährdende Entwicklungen frühzeitig erkennen lässt (§ 91 Abs. 2 AktG). Durch eine bewusst unscharf gewählte Formulierung des Gesetzgebers ergibt sich für Unternehmen eine erhebliche Lücke zwischen gesetzlichen Erfordernissen und unternehmerischer Ausgestaltungsfreiheit. Auch die Ergänzungen und Weiterentwicklungen des KonTraG durch das Transparenz- und Publizitätsgesetz (TransPuG) sowie durch den Deutschen Corporate Governance Kodex und den international bedeutsamen Sarbanes-Oxley-Act werfen weitere Fragen im Umgang mit dem Risikomanagement- und Überwachungssystem in Unternehmen auf.
Vor diesem Hintergrund stellt sich S. Fiege in der vorliegenden Arbeit die zentrale Aufgabe, ein Risikomanagement- und Überwachungssystem zu entwickeln, das sowohl den gesetzlichen Anforderungen entspricht, als auch den unternehmerischen Anforderungen im Hinblick auf eine positive Weiterentwicklung und den Fortbestand in der Zukunft gerecht wird. In sehr übersichtlicher Form werden dabei zunächst die gesetzlichen Anforderungen auf nationaler und internationaler Ebene dargestellt, die den Rahmen für ein unternehmerisches Risikomanagement vorgeben. Den klar herausgearbeiteten Prozessphasen des Risikomanagements werden – darauf aufbauend – für die einzelnen Phasen jeweils relevante und moderne Instrumente zur Aufgabenbewältigung zugeordnet und es werden die wesentlichen Träger dieser Aufgaben vorgestellt. Den Unternehmen soll durch eine Vorstellung eines breiten Spektrums von betriebswirtschaftlichen Instrumenten die Möglichkeit für einen effizienten Umgang mit Risiken aufgezeigt werden. Die Beurteilung der betrachteten Instrumente erfolgt auch unter Berücksichtigung von Kosten- und Nutzenaspekten, um Empfehlungen für einzelne Instrumente aussprechen zu können.
VI
Geleitwort
Ein weiterer, bislang in der Literatur wenig beachteter, Aspekt ist die Verbindung des Risikomanagements mit der Wertorientierung. Hier werden im Rahmen der Arbeit Ansätze diskutiert, mit denen ein funktionsfähiges Risikomanagement zur Unternehmenswertsteigerung beitragen kann. Ein sehr informativer Überblick über Systeme des Risikomanagements, der neben organisatorischen Ausgestaltungsmöglichkeiten auch ausgewählte Risikomanagementsysteme aus der Literatur und Praxis enthält, rundet die Ausführungen der Verfasserin ab. In der kaum übersehbaren Literaturfülle zum Risikomanagement profiliert sich die vorgelegte Arbeit nicht nur durch die Klarheit und gute Strukturierung ihrer Aussagen, sondern auch durch die Integration des Risikomanagements in andere, ebenfalls grundlegende Bezugssysteme des Unternehmens, wie z.B. die Wertorientierung. Hier findet der Leser aus Theorie und Praxis viele innovative und anwendungsbezogene Anregungen. Eine stringente Prozessorientierung sowie eine sehr klare Zuordnung von Aufgaben, für ihre Lösung einsetzbare Instrumente und deren Zuordnung auf spezifische Aufgabenträger tragen auf neuartige Weise zur Verdeutlichung und Operationalisierung dieser äußerst komplexen Materie auf hohem Niveau bei. Der Verfasserin ist es damit gelungen, einen wichtigen Beitrag zur Weiterentwicklung der längst noch nicht endgültig abgehandelten Problematik im Spannungsfeld zwischen gesetzlichen Anforderungen und unternehmensspezifischen Gegebenheiten zu leisten.
Prof. Dr. Ulrich Krystek
Geleitwort
VII
Vorwort Die vorliegende Arbeit wurde im November 2005 als Dissertation von der Fakultät für Wirtschaft und Management an der Technischen Universität Berlin angenommen.
An dieser Stelle bedanke ich mich bei all denjenigen, die mich auf dem Weg meiner Promotion unterstützt haben. Ohne diese Unterstützung wäre ein erfolgreicher Abschluss nicht möglich gewesen.
Mein besonderer Dank gilt Herrn Prof. Dr. Ulrich Krystek für die vertrauensvolle und verlässliche Zusammenarbeit. Er hat mich jederzeit bei allen fachlichen Problemstellungen intensiv beraten und das Erstgutachten für die vorliegende Arbeit erstellt.
Für die Übernahme des Zweitgutachtens danke ich Herrn Prof. Dr. Eckard Zwicker, für den Vorsitz und die Leitung des Promotionsverfahrens bedanke ich mich bei Herrn Prof. Dr. Eberhard Kuhlmann.
Bedanken möchte ich mich auch bei meinen Kollegen, Dr. Thekla Slosarek, Dipl.-Kfm. Marko Reimer und Dipl.-Kfm. Holger Wassermann für die anregenden Diskussionen und den stets ermutigenden Beistand. Meinem Freundeskreis danke ich für den regelmäßigen Ansporn und die bohrenden Nachfragen, die zum Gelingen der Arbeit beigetragen haben.
Mein tiefster Dank gebührt jedoch meiner Familie, die mich in allen Lebenslagen stets unterstützt hat. Meinem Mann Hendric danke ich besonders für die unendliche Geduld in den schwierigen Phasen der Dissertation und für all die anregenden Diskussionen, die einen unerlässlichen Baustein für die Fertigstellung der Arbeit gebildet haben. Ihm und meinem Sohn Jacob widme ich dieses Buch.
Stefanie Fiege
Inhaltsverzeichnis
IX
Inhaltsverzeichnis Inhaltsverzeichnis..................................................................................................................... IX Abkürzungsverzeichnis ......................................................................................................... XIII Abbildungsverzeichnis .......................................................................................................... XIX Tabellenverzeichnis............................................................................................................ XXIII 1
Einleitung.......................................................................................................................... 1 1.1
Problemstellung ............................................................................................................ 1
1.2
Aufbau der Arbeit ......................................................................................................... 3
2
Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen................................................................................................................. 5 2.1
Corporate Governance .................................................................................................. 5
2.2
Zielsetzungen des Gesetzgebers ................................................................................... 8
2.3
Generelle Neuerungen ................................................................................................ 10
2.4
Auswirkungen des KonTraG auf die Organe der Aktiengesellschaft......................... 12
2.4.1 Vorstand................................................................................................................ 12 2.4.2 Aufsichtsrat ........................................................................................................... 15 2.4.3 Hauptversammlung ............................................................................................... 17 2.5
Auswirkungen des KonTraG auf den Lagebericht ..................................................... 19
2.6
Auswirkungen des KonTraG auf Abschlussprüfung und Berichterstattung .............. 21
2.7
Ausstrahlungswirkung auf andere Rechtsformen ....................................................... 27
2.8
Überblick über die Modifizierungen im Hinblick auf den Bereich Risikomanagement- und Überwachungssystem ......................................................... 29
2.9
Weiterentwicklungen des KonTraG ........................................................................... 31
2.9.1 Deutscher Corporate Governance Kodex ............................................................. 31 2.9.2 Sarbanes-Oxley Act .............................................................................................. 34 3
Grundlagen des Risikomanagements.............................................................................. 37 3.1
Risiko .......................................................................................................................... 37
3.1.1 Risikobegriff in der wirtschaftswissenschaftlichen Literatur ............................... 37 3.1.1.1
Begrifflicher Ursprung ............................................................................. 37
3.1.1.2
Ursachenbezogene Ansätze ...................................................................... 38
3.1.1.3
Wirkungsbezogene Ansätze ..................................................................... 42
3.1.1.4
Abgrenzung von Risiko und Chance ........................................................ 43
3.1.2 Risikodefinition im Sinne des KonTraG............................................................... 44
X
Inhaltsverzeichnis
3.1.3 Abgrenzung verschiedener Risikobegriffe ........................................................... 48 3.2
Risikomanagement...................................................................................................... 51
3.2.1 Risikomanagement im engeren Sinne................................................................... 51 3.2.2 Risikomanagement im weiteren Sinne.................................................................. 52 3.2.3 Begriffliche Abgrenzung des Risikomanagements nach KonTraG...................... 53 3.3
Integration des Risikomanagements in die Unternehmensführung ............................ 60
3.3.1 Einbindung in die Unternehmensführung............................................................. 60 3.3.2 Wertorientierung und Risikomanagement ............................................................ 65 3.3.3 Träger des Risikomanagements ............................................................................ 74
4
3.3.3.1
Grundlagen ............................................................................................... 74
3.3.3.2
Controlling................................................................................................ 76
3.3.3.3
Interne Revision........................................................................................ 82
3.3.3.4
Abschlussprüfung ..................................................................................... 87
Prozess des Risikomanagements .................................................................................... 93 4.1
Grundlagen des Risikomanagementprozesses ............................................................ 95
4.2
Risikopolitik als Rahmenbedingung........................................................................... 97
4.3
Phase der Risikoidentifikation .................................................................................. 101
4.3.1 Inhalt
.............................................................................................................. 101
4.3.2 Risikoarten .......................................................................................................... 103 4.3.3 Modulare Instrumente zur Risikoidentifikation.................................................. 109 4.3.3.1
Überblick ................................................................................................ 109
4.3.3.2
Analysen ................................................................................................. 113 4.3.3.2.1 Abgrenzung ......................................................................... 113 4.3.3.2.2 Umweltanalyse .................................................................... 113 4.3.3.2.3 Unternehmensanalyse.......................................................... 115 4.3.3.2.4 Mischformen ....................................................................... 120
4.3.3.3
Früherkennung........................................................................................ 123 4.3.3.3.1 Grundlagen .......................................................................... 123 4.3.3.3.2 Operative Früherkennung.................................................... 126 4.3.3.3.2.1 Kennzahlen- und hochrechnungsorientierte Früherkennung ........................................................ 126 4.3.3.3.2.2 Indikatororientierte Früherkennung ........................ 130 4.3.3.3.3 Strategische Früherkennung................................................ 134
4.3.3.4
Prognosen ............................................................................................... 138
Inhaltsverzeichnis
XI
4.3.3.4.1 Grundlagen .......................................................................... 138 4.3.3.4.2 Quantitative Prognosen ....................................................... 141 4.3.3.4.3 Qualitative Prognosen ......................................................... 143 4.3.3.4.3.1 Eigenschaften.......................................................... 143 4.3.3.4.3.2 Delphi-Prognose ..................................................... 144 4.3.3.4.3.3 Szenariotechnik....................................................... 145 4.3.4 Zusammenfassende Beurteilung ......................................................................... 152 4.4
Phase der Risikobewertung....................................................................................... 159
4.4.1 Gegenstand der Risikobewertung ....................................................................... 159 4.4.2 Modulare Instrumente zur Risikobewertung ...................................................... 165 4.4.2.1
Quantitative Ansätze............................................................................... 165
4.4.2.2
Qualitative Ansätze................................................................................. 175
4.4.3 Zusammenfassende Beurteilung ......................................................................... 183 4.5
Phase der Risikosteuerung ........................................................................................ 185
4.5.1 Gegenstand.......................................................................................................... 185 4.5.2 Möglichkeiten der Risikosteuerung .................................................................... 187 4.5.2.1
Ursachenbezogene Maßnahmen ............................................................. 187
4.5.2.2
Wirkungsbezogene Maßnahmen ............................................................ 188
4.5.2.3
Krisenmanagement ................................................................................. 192
4.5.2.4
Einsatzmöglichkeiten der Balanced Scorecard....................................... 197
4.5.3 Zusammenfassende Beurteilung ......................................................................... 200 4.6
Phase der Risikokontrolle und -überwachung .......................................................... 204
4.6.1 Aufgaben der Risikokontrolle und -überwachung.............................................. 204 4.6.2 Kontrollformen ................................................................................................... 211 4.6.3 Prozessabhängige Kontrollinstrumente .............................................................. 213 4.6.3.1
Risikodokumentation.............................................................................. 213
4.6.3.2
Berichtssystem........................................................................................ 214
4.6.4 Prozessunabhängige Überwachung .................................................................... 219 4.6.5 Abgrenzung der Kontroll- und Überwachungsaufgaben .................................... 221 4.6.6 Zusammenfassende Beurteilung ......................................................................... 225 4.7 5
Phasenübergreifende Beurteilung ............................................................................. 227 System des Risikomanagements................................................................................... 233
5.1
Organisatorische Ausgestaltung des Risikomanagements........................................ 233
5.1.1 Problemstellung .................................................................................................. 233
XII
Inhaltsverzeichnis
5.1.2 Delegation ........................................................................................................... 234 5.1.3 Bereichsbildung .................................................................................................. 236 5.1.3.1
5.2
Etablierung.............................................................................................. 236
5.1.3.2
Platzierung .............................................................................................. 237
5.1.3.3
Differenzierung....................................................................................... 238
5.1.3.4
Kooperation ............................................................................................ 239
Modell eines Risikomanagementsystems ................................................................. 248
5.2.1 Anforderungen an ein Risikomanagementsystem .............................................. 248 5.2.2 Risikomanagementsysteme nach KonTraG in der Literatur............................... 251 5.2.3 Konklusion.......................................................................................................... 264 6
Schluss .......................................................................................................................... 269
Quellenverzeichnis ................................................................................................................. 271 Literaturverzeichnis................................................................................................................ 273
Abkürzungsverzeichnis
XIII
Abkürzungsverzeichnis E
Beta-Faktor
Abb.
Abbildung
Abs.
Absatz
AG
Aktiengesellschaft
AktG
Aktiengesetzbuch
aktual.
aktualisiert(e)
Aufl.
Auflage
BB
Betriebs-Berater
BCR-Card
Balanced Chance-and-Risk-Card
BDI
Bundesverband der Deutschen Industrie e.V.
BFuP
Betriebswirtschaftliche Forschung und Praxis
BörsG
Börsengesetz
BörsZulV
Verordnung über die Zulassung von Wertpapieren zum amtlichen Markt einer Wertpapierbörse
BP
Backpropagation
BSC
Balanced Scorecard
bspw.
beispielsweise
bzw.
beziehungsweise
C&L
Coopers&Lybrand
ca.
circa
CAPM
Capital Asset Pricing Model
CDU
Christlich Demokratische Union
CEO
Chief Executive Officer
CFO
Chief Financial Officer
d.h.
das heisst
DAX
Deutscher Aktienindex
DB
Der Betrieb
DBW
Die Betriebswirtschaft
DCF
Discounted Cash Flow
DCGK
Deutscher Corporate Governance Kodex
DIN
Deutsches Institut für Normung e.V.
Dr.
Doktor
XIV
Abkürzungsverzeichnis
DRS
Deutscher Rechnungslegungs Standard
DRSC
Deutsches Rechnungslegungs Standards Committee
DStR
Deutsches Steuerrecht
DSWR
Datenverarbeitung-Steuer-Wirtschaft-Recht
DV
Datenverarbeitung
E (rm)
erwartete Rendite des Marktes bzw. Marktportfolios
e.V.
eingetragener Verein
EBIT
Earnings before interests and taxes
EDV
elektronische Datenverarbeitung
EGAktG
Einführungsgesetz zum Aktiengesetzbuch
EGHGB
Einführungsgesetz zum Handelsgesetzbuch
EK
Eigenkapital
EKanteil
Eigenkapitalanteil
EKkostensatz
Eigenkapitalkostensatz
erw.
erweitert
etc.
et cetera
EU
Europäische Union
EVA
Economic Value Added
evtl.
eventuell
f.
folgende
FASB
Financial Accounting Standards Board
FCF
Free Cash Flow
FDP
Freie Demokratische Partei
FEI
Financial Executives International
FGG
Gesetz über die Anlage der freiwilligen Gerichtsbarkeit
FK mw
Marktwert des Fremdkapitals
FK
Fremdkapital
FKanteil
Fremdkapitalanteil
FKkostensatz
Fremdkapitalkostensatz
ff.
fortfolgende
GASC
German Accounting Standards Committee
gem.
gemäß
GenG
Genossenschaftsgesetz
gest.
gestaltet
Abkürzungsverzeichnis
XV
ggf.
gegebenenfalls
GmbH
Gesellschaft mit beschränkter Haftung
GmbHG
GmbH-Gesetz
HGB
Handelsgesetzbuch
hrsg.
herausgegeben
Hs
Halbsatz
i.d.R.
in der Regel
i.e.S.
im engeren Sinne
i.S.
im Sinne
i.S.d.
im Sinne des
i.V.m.
in Verbindung mit
i.w.S.
im weiteren Sinne
IAS
International Accounting Standards
IDW
Institut der Wirtschaftsprüfer
IIR
Institute for International Research
IKS
Internes Kontrollsystem
insb.
insbesondere, insbesonders
InsO
Insolvenzordnung
io
Industrielle Organisation
IRB
Internal Ratings-Based Approach
ISO
International Organization for Standardization
IÜS
Internes Überwachungssystem
Jg.
Jahrgang
KAGG
Gesetz über die Kapitalanlagegesellschaften
KapAEG
Kapitalaufnahmeerleichterungsgesetz
KG
Kommanditgesellschaft
KGaA
Kommanditgesellschaft auf Aktien
KNN
Künstliche Neuronale Netze
KonTraG
Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
krp
Kostenrechnungspraxis
LGD
Loss given default
M
Maturity
Mio.
Millionen
MitbestG
Mitbestimmungsgesetz
XVI
Abkürzungsverzeichnis
MVA
Market Value Added
No.
Number
Nr.
Nummer
o.O.
ohne Ortsangabe
o.S.
ohne Seitenangabe
p.
page
PCAOB
Public Company Accounting Oversight Board
PD
Probability of default
PS
Prüfungsstandard
PublG
Publizitätsgesetz
rA
erwartete Rendite einer risikobehafteten Kapitalanlage A
RAROC
Risk adjusted return on capital
RaV
Risk-adjusted-value
RM
Risikomanagement
RMS
Risikomanagementsystem
RoE
Return on Equity
RoI
Return on Investment
RORAA
Return on risk adjusted assets
RORAC
Return on risk adjusted capital
Rz.
Randzeichen
S.
Satz, Seite
SEC
Securities Exchange Commission
SHV
Shareholder-Value
SOA
Sarbanes-Oxley Act
sog.
so genannte
Sp.
Spalte
SPD
Sozialdemokratische Partei Deutschlands
StB
Der Steuerberater
SVIR
Schweizerischer Verband für Interne Revision
SWOT
Strength-Weaknesses-Opportunities-Threats
SzU
Schriften zur Unternehmensführung
t
Zeit
TEC-DAX
Technologietitel im Deutschen Aktienindex
TM
TradeMark
Abkürzungsverzeichnis
XVII
TransPuG
Transparenz-und Publizitätsgesetz
TV
Termination Value
u.a.
und andere
u.U.
unter Umständen
überarb.
überarbeitet
u.
und
USA
United States of America
US-GAAP
US- Generally Accepted Accounting Principles
usw.
und so weiter
v.
von
VaR
Value-at-Risk
VFE-Lage
Vermögens-, Finanz- und Ertragslage
vgl.
vergleiche
WACC
Weighted average cost of capital
WiST
Wirtschaftswissenschaftliches Studium
WISU
Das Wirtschaftsstudium
WP
Wirtschaftsprüfer
WpHG
Wertpapierhandelsgesetz
WPO
Wirtschaftsprüferordnung
z.B.
zum Beispiel
ZfB
Zeitschrift für Betriebswirtschaft
zfbf
Schmalenbachs Zeitschrift für betriebswirtschaftliche Forschung
zfo
Zeitschrift für Organisation
Abbildungsverzeichnis
XIX
Abbildungsverzeichnis Abbildung 1: Aufbau der Arbeit ................................................................................................ 3 Abbildung 2: Kontrollsystem im deutschen Aktienrecht........................................................... 9 Abbildung 3: Grundschema eines integrierten Planungssystems ............................................ 13 Abbildung 4: Überblick über den Geltungsbereich der modifizierten Vorschriften................ 29 Abbildung 5: Gesetzesänderungen im Hinblick auf das Risikomanagement- und Überwachungssystem ...................................................................................... 30 Abbildung 6: Gegenüberstellung von symmetrischem und asymmetrischem Risiko.............. 46 Abbildung 7: Überschneidungsbereiche von generellem Risikomanagement und Risikomanagement nach KonTraG.................................................................. 60 Abbildung 8: Stoßrichtungen und Wirkungen einer risikoorientierten Unternehmensführung ..................................................................................... 64 Abbildung 9: Risikoanalyse aus Sicht der Kapitalmärkte........................................................ 66 Abbildung 10: Zusammenhang zwischen Risikomanagementsystem und ShareholderValue................................................................................................................ 73 Abbildung 11: Controllingsystem nach Horváth ..................................................................... 79 Abbildung 12: Abgrenzung von Aufgaben des Risikomanagements und des Risikocontrollings............................................................................................ 81 Abbildung 13: Anforderungen an eine moderne Interne Revision .......................................... 86 Abbildung 14: Risikomanagementprozess............................................................................... 96 Abbildung 15: Mögliche Risikokultur-Typen.......................................................................... 99 Abbildung 16: Risikokategorisierung .................................................................................... 105 Abbildung 17: Mögliche Perspektiven der Risikoidentifikation............................................ 107 Abbildung 18: Mögliche Instrumente zur Risikoerkennung.................................................. 110 Abbildung 19: Zusammenhang zwischen Analyse, Früherkennungsinformationen, Prognosen und den Teilkomplexen eines integrierten Planungssystems ...... 111 Abbildung 20: Branchenstrukturmodell nach PORTER........................................................ 114 Abbildung 21: Grundstruktur einer Wertkette ....................................................................... 116 Abbildung 22: SWOT-Analyse.............................................................................................. 118 Abbildung 23: Zusammenhang zwischen Frühwarnung, Früherkennung und Frühaufklärung .............................................................................................. 125 Abbildung 24: Prinzipieller Aufbau eines indikatororientierten Früherkennungssystems .... 131 Abbildung 25: Prinzipdarstellung des Ablaufs der strategischen Früherkennung................. 136
XX
Abbildungsverzeichnis
Abbildung 26: Gütekriterien für Prognosen........................................................................... 140 Abbildung 27: Denkmodell zur Darstellung von Szenarien .................................................. 147 Abbildung 28: Ablaufschema der Szenariotechnik................................................................ 148 Abbildung 29: Beispielhafte Darstellung von Wertgrenzen .................................................. 162 Abbildung 30: Faustformel zur Berechnung der Wesentlichkeitsgrenze nach WEBER ....... 163 Abbildung 31: Mögliche Methoden zur quantitativen Risikobewertung............................... 167 Abbildung 32: Beispielhafte Darstellung von Risikoklassen................................................. 178 Abbildung 33: Risikoportfolio ............................................................................................... 180 Abbildung 34: Chancen-Risiko-Matrix mit Handlungsempfehlungen .................................. 181 Abbildung 35: Maßnahmen zur Risikosteuerung................................................................... 186 Abbildung 36: Verbindung von Risiko- und Krisenmanagement.......................................... 195 Abbildung 37: Überblick zur Risikosteuerung....................................................................... 201 Abbildung 38: Beispielhafte Wirkungen risikosteuernder Maßnahmen................................ 204 Abbildung 39: Überwachungsbegriffe ................................................................................... 205 Abbildung 40: Abgrenzung von Internem Überwachungssystem und Internem Kontrollsystem............................................................................................... 207 Abbildung 41: Beispielhafte Darstellung eines Risikoerfassungsbogens .............................. 217 Abbildung 42: Möglicher Aufbau einer Risikodatenbank ..................................................... 219 Abbildung 43: Unterschiede und Gemeinsamkeiten von interner Revision und Controlling 222 Abbildung 44: Einbindung des Risikocontrollings in den Risikomanagementprozess ......... 225 Abbildung 45: Kontroll- und Überwachungsaufgaben im Risikomanagementkreislauf ....... 226 Abbildung 46: Risikomanagement im Entscheidungsprozess ............................................... 228 Abbildung 47: Typen von Zentralbereichen .......................................................................... 239 Abbildung 48: Modell des Kernbereichs ............................................................................... 240 Abbildung 49: Modell des Richtlinienbereichs...................................................................... 241 Abbildung 50: Matrixmodell.................................................................................................. 242 Abbildung 51: Stabsmodell.................................................................................................... 244 Abbildung 52: Risikomanagementsystem und Überwachungssystem nach LÜCK .............. 252 Abbildung 53: Komponenten des Risikomanagementsystems .............................................. 255 Abbildung 54: Zusammenhang zwischen Risikomanagementsystem, Früherkennungssystem und internem Überwachungssystem........................ 257 Abbildung 55: Maßnahmen zum Aufbau eines Risikofrüherkennungssystems nach IDW.. 259 Abbildung 56: Das System des Risikomanagements nach Franz .......................................... 262 Abbildung 57: Elemente eines Risikomanagementsystems nach ELFGEN/SIELER ........... 263
Abbildungsverzeichnis
XXI
Abbildung 58: Risikomanagement- und Überwachungssystem unter Berücksichtigung der beteiligten Unternehmensinstanzen......................................................... 265
Tabellenverzeichnis
XXIII
Tabellenverzeichnis Tabelle 1: Unterscheidung der Begriffe Unsicherheit und Ungewissheit................................ 41 Tabelle 2: Überblick über verschiedene Ausprägungen des Risikobegriffs ............................ 49 Tabelle 3: Überblick über die Einsatzmöglichkeiten der Instrumente zur Risikoidentifikation ............................................................................................... 153 Tabelle 4: Verantwortlichkeitsmatrix..................................................................................... 247
1 Einleitung
1
1
Einleitung
1.1 Problemstellung Das Prinzip vom Wandel als einzige Konstante ist aktueller denn je: schon immer sehen sich Unternehmen einer ungewissen Zukunft gegenüber, der versucht wird mit unterschiedlichsten Methoden zu begegnen. Neben Wahrsagerei und unternehmerischem "Bauchgefühl" trägt vor allem ein systematisches Risikomanagement dazu bei, bewusst mit der unsicheren Zukunft und den darin enthaltenen Risiken umzugehen. Die betriebswirtschaftliche Notwendigkeit eines unternehmensweiten Risikomanagements resultiert aus vielfachen Änderungen des Wettbewerbsumfelds von Unternehmen. Durch zunehmende Globalisierung der Märkte und des Wettbewerbs ergeben sich neue Chancen und Risiken, die es zu steuern gilt. Ein vielzitiertes Merkmal der veränderten Umfeldbedingungen ist auch die zunehmende Wettbewerbsintensität gepaart mit kürzeren Produktlebenszyklen und immer flacheren Hierarchien in den Unternehmen. Hinzu kommen Entwicklungen wie die Reduktion der Wertschöpfungstiefe ganzer Funktionen oder die Zusammenarbeit in Netzwerken, die einen Überblick über den gesamten Prozess der Wertschöpfung und seine Einflussfaktoren erschweren, wenn nicht gar unmöglich machen. Mit steigender Unsicherheit im Hinblick auf die das Unternehmen betreffenden Entwicklungen ist demzufolge zu rechnen. Mit zunehmender Unübersichtlichkeit der externen Bedingungen steigen jedoch die Anforderungen an interne Systeme, wie z.B. die Qualität des Führungssystems, aber auch ein effizientes Risikomanagementsystem, das dazu beitragen soll, den Erfolg unternehmerischer Aktionen sicherzustellen. Gelingt es einem Unternehmen, das eigene Risiko als zusätzliche Steuerungsgröße zu begreifen, es zu operationalisieren und aktiv zu gestalten, lassen sich zugleich Chancen im Sinne von Wettbewerbsvorteilen realisieren. Jeder Entscheidung im Unternehmen sind Risiken immanent, die nicht einfach hingenommen werden, sondern auf ein bestimmtes Maß reduziert werden sollten. Nicht rechtzeitig erkannte und bewältigte Gefahren können die erfolgreiche Weiterentwicklung des Unternehmens behindern und es sogar in Krisen geraten lassen. Der Umgang mit Risiken und ihre Bewältigung ist jedoch ein Problem der Unternehmensführung, das nicht durch Minimierung oder gar Elimination aller Risiken gelöst wird.1 Nur wer bereit ist Risiken einzugehen, kann gleichzeitig Chancen wahrnehmen, die sich ebenso wie das Ri1
Vgl. Naegeli, P. (Grundlagen, 1978), S. 12.
2
1 Einleitung
siko aus einer unsicheren Zukunft ergeben. Ziel des Risikomanagements ist folglich nicht der Ausschluss sämtlicher Risiken, sondern eine Bewusstmachung der Risiken, die der unternehmerischen Entscheidungsfindung zugrunde gelegt werden. Richtig angewandt bedeutet Risikomanagement deshalb auch immer Chancenmanagement und geht über eine schlichte Bestandssicherung weit hinaus. Der Vorteil eines institutionalisierten Umgangs mit Risiken ist eindeutig die aktive Auseinandersetzung mit der Zukunft, die es ermöglicht, in Alternativen zu denken und zwischen verschiedenen Alternativen zu wählen. Nur die Betrachtung der Zukunft ermöglicht die Wahrnehmung von Chancen und den Umgang mit Risiken, die Zukunft bildet quasi das „Spielfeld“ für Unternehmen, auf dem sich entscheidet, wer nachhaltig gewinnt und am Markt überlebt.2
In diesem Zusammenhang erstaunt es wenig, dass in zunehmendem Maße auch in Deutschland Forderungen nach einer Corporate Governance gestellt werden, die eine verantwortungsvolle und effiziente Unternehmensführung sicherstellen soll. Kapitalanlegern und Interessenten am Unternehmen soll ein verbesserter und zugleich verlässlicher Einblick in Unternehmen verschafft werden, wobei zusätzliche Kontrollmechanismen die Informationsqualität verbessern sollen. Der Gesetzgeber hat mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) bereits 1998 einen wesentlichen Schritt hin zu einer verbesserten Corporate Governance eingeleitet. Das KonTraG als umfassendes Reformpaket enthält zahlreiche Änderungen, die neue Anforderungen an die Unternehmen stellen, wie z.B. auch die Forderung nach Einrichtung eines Risikomanagement- und Überwachungssystems gemäß § 91 Abs. 2 AktG. Es soll bewirken, dass bestandsgefährdende Entwicklungen im Unternehmen frühzeitig erkannt werden. Anlegern soll dadurch eine zusätzliche Sicherheit über den Fortbestand des Unternehmens gegeben werden. Konkrete Ausgestaltungshinweise für das geforderte System fehlen, denn der Gesetzgeber will den Unternehmen die Chance lassen, unternehmensspezifisch und in Abhängigkeit der Umfeldsituation Instrumente und Systeme zu implementieren, die die Wahrnehmung der gesetzlich geforderten Aufgabe ermöglichen.
Diese Arbeit beschäftigt sich ausführlich mit den gesetzlichen Änderungen, die das KonTraG von Unternehmen fordert. Im Mittelpunkt steht das einzuführende Risikomanagement- und Überwachungssystem, für das aufgrund betriebswirtschaftlicher Erkenntnisse Instrumente und
2
Vgl. Bernstein, P.L. (Riskmanagement, 1997), S. 26.
1 Einleitung
3
Methoden vorgestellt werden, die einen Umgang mit Risiken im Unternehmen ermöglichen und gleichzeitig den gesetzlichen Anforderungen gerecht werden.
1.2 Aufbau der Arbeit Der Aufbau der Arbeit lässt sich anhand von Abbildung 1 nachvollziehen. Gesetzliche Grundlagen KonTraG Kap. 2
Risikobegriff Abschnitt 3.1
Grundlagen des Risikomanagements Abschnitt 3.2
Risikopolitik Abschnitt 4.2
Prozess des Risikomanagements Kap. 4
Risikoidentifikation
Risikobewertung
Risikosteuerung
Risikokontrolle
Abschnitt 4.3
Abschnitt 4.4
Abschnitt 4.5
Abschnitt 4.6
Prozessüberwachung Abschnitt 4.6
Risikomanagement und Unternehmensführung Träger des Risikomanagements
Abschnitt 3.3
Organisatorische Ausgestaltung Abschnitt 5.1 Modell eines Risikomanagementsystems Abschnitt 5.2
Abbildung 1: Aufbau der Arbeit Ausgangspunkt bildet die Darstellung der gesetzlichen Grundlagen in Kapitel 2, wobei das KonTraG - als eine Konsequenz im Rahmen der Bemühungen um eine verbesserte Corporate Governance in Deutschland - im Mittelpunkt steht. Abgeleitet aus der Forderungen des Gesetzgebers nach einem Risikomanagement- und Überwachungssystem werden in Kapitel 3 zunächst der Risikobegriff und die Grundlagen des Risikomanagements vorgestellt. Im Rahmen von Abschnitt 3.2 erfolgt eine Einordnung der gesetzlichen Anforderungen in das bestehende Verständnis von Risikomanagement. Abschnitt 3.3 verbindet die erarbeiteten Aspekte des Risikomanagements mit den Grundlagen der Unternehmensführung, wobei hier verstärkt auf die Verbindung zwischen Risikomanagement und Wertorientierung eingegangen wird und die - aus Sicht des Gesetzgebers und Unternehmens - relevanten Träger des Risikomanage-
4
1 Einleitung
ments vorgestellt werden. Sowohl die Aspekte der Wertorientierung als auch die beteiligten Instanzen im Unternehmen werden in den Kapiteln 4 und 5 wiederholt aufgegriffen und in die Überlegungen eingebunden. Im Mittelpunkt der Arbeit steht der Prozess des Risikomanagements, der in Kapitel 4 ausführlich behandelt wird. In einzelne Prozessphasen zerlegt (Abschnitte 4.3 bis 4.6), werden für die Prozesschritte der Identifikation, Bewertung, Steuerung und Kontrolle Instrumente vorgestellt, die eine Aufgabenbewältigung ermöglichen. Bei der Würdigung der Instrumente wird neben der erforderlichen Aufgabenerfüllung aus gesetzgeberischer und betriebswirtschaftlicher Sichtweise auch auf Kostenaspekte eingegangen, um einen Ansatz für eine KostenNutzen-Beurteilung einzelner Instrumente zu liefern. Kapitel 5 widmet sich dem Risikomanagementsystem. Zunächst werden in Abschnitt 5.1 mögliche organisatorische Ausgestaltungsformen vorgestellt, wobei eine Brücke zu den bereits unter Abschnitt 3.3 vorgestellten Trägern des Risikomanagements geschlagen wird. Abschnitt 5.2 fasst die Ergebnisse der vorangegangenen Kapitel zusammen, indem Anforderungen an ein Risikomanagementsystem aus Sicht des Gesetzgebers und der Betriebswirtschaftslehre noch einmal dargestellt werden, bevor ein Vorschlag für ein Risikomanagementsystem entwickelt wird, das als Grundlage für eine externe Zertifizierung dienen könnte.
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
2
5
Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
2.1 Corporate Governance Corporate Governance ist ein international gebräuchlicher Begriff, der auch in Deutschland zunehmend an Bedeutung gewinnt. Unter ihm kann ein breites Spektrum von Einzelthemen zum Gesellschafts- und Kapitalmarktrecht subsumiert werden, mit dem Ziel, die Unternehmensverfassung und -kontrolle zu verbessern.1 Eine direkte Übersetzung ins Deutsche kann den Begriffsinhalt nur schwer wiedergeben, weshalb hierzulande üblicherweise der englische Ausdruck in der Diskussion beibehalten wird.2 Näherungsweise kann dieser Begriff jedoch etwa mit dem der Unternehmensverfassung gleichgesetzt werden, wenn man unter Corporate Governance den "rechtlichen und faktischen Ordnungsrahmen für das Zusammenwirken von Leitungsorganen, Überwachungsgremien und Interessengruppen (namentlich den Anteilseignern) im Unternehmen"3 versteht.4 Ziel der Corporate Governance ist die Sicherstellung einer verantwortungsbewussten und effizienten Unternehmensführung gekoppelt mit einer Einflussnahme und Kontrolle durch unternehmensexterne Anspruchsgruppen. Die Transparenz über Betriebs- und Finanzinformationen steht neben den Rechten der Anteilseigner und den Aufgaben der unabhängigen Überwachungsorgane im Mittelpunkt, wodurch das Vertrauen von Investoren gestärkt werden soll.5 Bislang handelt es sich bei dem Begriff Corporate Governance nicht um einen normierten Rechtsterminus. Es existieren weltweit ca. 60 Standards und Positionspapiere, denen sich Unternehmen aus einer freiwilligen Selbstverpflichtung heraus unterwerfen können.6 Die Selbstregulierung soll die Unternehmen dazu veranlassen, sich ohne Zwang den jeweiligen Standards zu unterwerfen, um so für die Anleger als attraktives Unternehmen am Markt zu erscheinen. Eine Überregulierung durch den Gesetzgeber soll damit vermieden werden.7 In einzelnen Ländern, vor allem in Deutschland, Großbritannien und USA, sind erste Schritte getroffen worden, gesetzliche Regelungen zur Corporate Governance zu verankern.
1 2 3 4 5 6 7
Vgl. BDI & PwC (Corporate, 2002), S. 6. Vgl. v. Werder, A. (GCCG, 2000), S. 2. v. Werder, A. (GCCG, 2000), S. 2. Vgl. Holzer, P./Makowski, A. (Corporate, 1997), S. 688. Vgl. Behr, G. et al. (Accounting, 2002), S. 9. Vgl. BDI & PwC (Corporate, 2000), S. 10; v. Werder, A./Minuth, T.(Kodizes, 2000), S. 2f. Vgl. Pellens, B./Hillebrandt, F./Ulmer, B. (Corporate Governance, 2001), S. 1244.
6
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
Richtungsweisend für den deutschen Kapitalmarkt ist die Regierungskommission Deutscher Corporate Governance Kodex, die erstmalig im Februar 2002 einen deutschen Corporate Governance Kodex vorgelegt hat.8 Der Kodex basiert auf dem Prinzip der Selbstregulierung, da es sich bei dem Kodex um einen nicht gesetzlich verankerten Verhaltenskodex handelt. Das Prinzip der Selbstregulierung entstammt dem angelsächsischen Rechtskreis, was auf eine weitestgehend freie Ausgestaltungsmöglichkeiten der angelsächsischen Kapitalgesellschaften zurückzuführen ist.9 Im deutschen Recht ist das System der Unternehmensleitung und -kontrolle bei Aktiengesellschaften im Aktiengesetz weitgehend vorgegeben. Insofern erscheint eine Ergänzung von unvollständigen gesetzlichen Regelungen wie im angelsächsischen System nicht notwendig. Dennoch haben verschiedene Corporate Governance-Kodizes und -Kommissionen auch hierzulande immer stärkere Aufmerksamkeit erfahren und sich letztlich in dem Deutschen Corporate Governance Kodex manifestiert. Diese Tendenz lässt sich vermutlich zurückführen auf die zunehmende Bedeutung angelsächsischer Investoren, die ihre Anlageentscheidung gewöhnlich unter Berücksichtigung von Verhaltenskodizes treffen.10 Der Kodex erfüllt im Wesentlichen zwei Aufgaben: Zum einen soll er für internationale Anleger einen Überblick und eine Verdeutlichung der deutschen Corporate Governance gewährleisten (Kommunikationsfunktion), er hat somit einen Informationscharakter. Zum anderen soll er in Ergänzung zu bestehenden gesetzlichen Regelungen Empfehlungen für börsennotierte Aktiengesellschaften zur verantwortungsvollen Unternehmensführung geben (Ordnungsfunktion).11 Obwohl der Kodex sich in erster Linie an börsennotierte Gesellschaften richtet, wird auch nicht börsennotierten Gesellschaften die Beachtung des Kodex empfohlen.12 Für börsennotierte Aktiengesellschaften ist ein Befolgen des Deutschen Corporate Governance Kodex (DCGK) von großer Bedeutung: Analysten von kapitalgebenden Aktienfondsgesellschaften orientieren sich bei der Wahl von Unternehmen, die sich als gute Anlagemöglichkeit eignen, zunehmend an Corporate Governance-Kriterien. So hat bspw. eine Umfrage von McKinsey & Company, London, unter den maßgeblichen institutionellen Anlegern in USA, Asien und Europa 1999 ergeben, dass eine funktionsfähige Unternehmensführung und –überwachung für 75% der Befragten ebenso wichtig ist wie die finanziellen Erwartungen der 8 9 10 11
Vgl. ausführlich 2.9; v. Werder, A. (Grundlagen, 2002), S. 801f. Vgl. Berg, S./Stöcker, M. (Kodex, 2002), S. 2. Vgl. Berg, S./Stöcker, M. (Kodex, 2002), S. 3f. Vgl. v. Werder, A. (Grundlagen, 2002), S. 801f.; Preußner, J./Zimmermann, D. (Risikomanagement, 2002), S. 660; Bundesministerium der Justiz (Corporate Governance Kodex , 2002), Präambel.
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
7
Gesellschaft. Darüber hinaus sind die befragten institutionellen Anleger bereit, in Deutschland für eine Aktie bis zu 20% mehr zu bezahlen, wenn eine funktionsfähige Corporate Governance gewährleistet ist.13 In Deutschland existieren bereits Corporate Governance-Rankings der DAX-Konzerne, die ihr Augenmerk neben den klassischen Finanzkennzahlen auf die Qualität des Managements und dessen Kontrolle richten.14
Ein typisches Abgrenzungsmerkmal der Aktiengesellschaft in Deutschland von anderen Gesellschaftsformen ist die strikte Trennung der Geschäftsführung (Vorstand) von den Überwachungsorganen (Aufsichtsrat und Wirtschaftsprüfer). Das Zusammenspiel dieser Organe kann zu Konfliktsituationen führen, da die Interessen von Geschäftsführung und Eigentümern repräsentiert durch den Aufsichtsrat - unterschiedlich gelagert sein können (Principal-AgentKonflikt).15 Die Corporate Governance Bemühungen setzen an diesem Konflikt an, indem sie versuchen, Informationsasymmetrien zu reduzieren und geeignete Kontroll- und Anreizsysteme für die beteiligten Organe zu schaffen.16 Von einer guten Corporate Governance kann dann gesprochen werden, wenn eine optimale Ausübung der gesetzlich vorgeschriebenen Funktionen von Aufsichtsrat und Vorstand erfolgt, die auf eine hohe Wertschöpfung des anvertrauten Kapitals ausgerichtet ist.17 Durch die mittlerweile entwickelten Standards besteht jedoch die Gefahr, dass Corporate GovernanceChecklisten durch Unternehmen abgearbeitet werden, in dem Glauben, bereits dadurch eine erfolgreiche Bewertung durch den Kapitalmarkt zu erlangen. Umgekehrt können Checklisten dazu führen, dass Analysten bei ihrer Bewertung schematisch abprüfen, welche Maßnahmen bei Unternehmen vorhanden sind. Es ist jedoch fraglich, ob man komplexe und individuelle Managementleistungen mit einem starren Regelwerk bewerten kann.18 Ein Bestandteil der Corporate Governance ist die Aufgabe der Unternehmensleitung, den Fortbestand des Unternehmens langfristig zu sichern, wofür i.d.R. Risikomanagementsysteme zur Verfügung stehen sollten, die die Unternehmensleitung bei der Aufgabenerfüllung unter-
12 13 14
15 16 17 18
Vgl. Bundesministerium der Justiz (Corporate Governance Kodex , 2002), Präambel. Vgl. Coombes, P./Watson, M. (Corporate, 2000), S. 75 f. Vgl. BDI & PwC (Corporate, 2002), S. 12: Diese Rankings sind jedoch als nicht unstrittig einzustufen, da die Bewertungskriterien oft einseitig und nicht durchschaubar wirken. Ein Standard zur Bewertung der Corporate Governance Performance existiert bislang nicht. Vgl. für einen Überblick der Problemsituationen bei Principal-Agent-Beziehungen: Spremann, K. (Information, 1990), S. 565ff.; Mikus, B. (Principal, 1998), S. 453ff. Vgl. Pellens, B./Hillebrandt, F./Ulmer, B. (Corporate Governance, 2001), S. 1243. Vgl. BDI & PwC (Corporate, 2002), S. 19. Vgl. BDI & PwC (Corporate, 2000), S. 19.
8
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
stützen. Der Aspekt des Risikomanagements wurde durch den Gesetzgeber lange Zeit vernachlässigt, gewinnt jedoch in der aktuellen Diskussion zunehmend an Bedeutung. Ein erster wesentlicher Schritt, die deutsche Corporate Governance auch im Hinblick auf das Risikomanagement zu verbessern und international anzugleichen, war die Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) 1998, das im weiteren ausführlich dargestellt wird. Weitere Verbesserungen wurden auch durch das Transparenz- und Publizitätsgesetz (TransPuG) erzielt, welches im Juli 2002 in Kraft getreten ist. Auf einzelne Bestandteile des TransPuG wird im weiteren Verlauf hingewiesen, zielt das Gesetz doch auch maßgeblich auf die "Umsetzung von Empfehlungen der Regierungskommission "Corporate Governance"19 (vgl. hierzu ausführlicher 2.9.1) ab. Einzelne Regelungen des TransPuG führen die durch das KonTraG eingeführten Neuerungen fort und werden deshalb in direktem Zusammenhang erläutert.
2.2 Zielsetzungen des Gesetzgebers Das KonTraG beruht auf einem Referentenentwurf, der von einer Arbeitsgruppe aus Mitgliedern der Koalitionsfraktionen (CDU, FDP, SPD) und der Bundesregierung erarbeitet wurde. Nach Berücksichtigung verschiedener Kritikpunkte wurde das Gesetz in modifizierter Form am 05.03.1998 vom Bundestag verabschiedet und ist zum 01.05.1998 in Kraft getreten. Vor dem Hintergrund verschiedener Schwachstellen im System der Unternehmensüberwachung sowie spektakulärer Unternehmenskrisen und –zusammenbrüche Anfang der 90‘er Jahre (z.B. Balsam AG, Metallgesellschaft AG, Klöckner-Humboldt-Deutz AG, Dr. Jürgen Schneider AG, etc.) versucht das KonTraG als sog. Artikelgesetz20 das bisherige Überwachungs- und Kontrollsystem zu verbessern. Der Gesetzgeber verfolgt dabei mit der Einführung des KonTraG sehr unterschiedliche Zielsetzungen:21 -
Verbesserungen im Rahmen der Arbeit des Aufsichtsrats,
-
Erhöhung der Transparenz,
-
Stärkung der Kontrolle durch die Hauptversammlung,
-
Abbau von Stimmrechtsdifferenzierungen,
19 20
Deutscher Bundestag (Gesetzesbegründung, 2002), S. 1. Die Änderungen des KonTraG betreffen in erster Linie das Aktiengesetz (AktG) und das Handelsgesetzbuch (HGB). Betroffen sind weiterhin das Publizitätsgesetz (PublG), das Genossenschaftsgesetz (GenG), das Wertpapierhandelsgesetz (WpHG), die Börsenzulassungs-Verordnung (BörsZulV), die Wirtschaftsprüferordnung (WPO), das Gesetz über die Anlage der freiwilligen Gerichtsbarkeit (FGG), das Gesetz über die Kapitalanlagegesellschaften (KAGG), das GmbH-Gesetz (GmbHG) und die Einführungsgesetze zum AktG und HGB (EGAktg, EGHGB).
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
-
Zulassung moderner Finanzierungs- und Vergütungsinstrumente,
-
Verbesserung der Qualität der Abschlussprüfung,
-
Verbesserung der Zusammenarbeit von Abschlussprüfer und Aufsichtsrat,
-
Kritische Prüfung des Beteiligungsbesitzes von Kreditinstituten.
9
Im Hinblick auf die deutsche Corporate Governance werden durch das KonTraG zweifellos wesentliche Verbesserungen erzielt: In dem deutschen Modell der Corporate Governance ist die Unternehmensüberwachung als arbeitsteiliger Prozess organisiert, an dem verschiedene interne und externe Überwachungsträger beteiligt sind.22 An diesem vielschichtigen Kontrollsystem setzt der Gesetzgeber dabei mit seinen Änderungen an. Abbildung 2 stellt das Kontrollsystem nach deutschem Aktienrecht schematisch dar. KAPITALMÄRKTE HAUPTVERSAMMLUNG
AUFSICHTSRAT unterstützt durch Abschlussprüfer
VORSTAND unterstützt durch Controlling und interne Revision
KAPITALMÄRKTE = Durchführung von Überwachungs- und Kontrollaufgaben
Abbildung 2: Kontrollsystem im deutschen Aktienrecht Der Gesetzgeber gestaltet Pflichten und Aufgaben für die verschiedenen Überwachungsträger neu, um so die Zielsetzungen des KonTraG zu erreichen. Das bisherige System wird dabei nicht grundlegend verändert, da es sich insgesamt bewährt hat. Es wird vielmehr nur punktuell verbessert, um unter anderem die Ausrichtung deutscher Publikumsgesellschaften auf die 21 22
Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 1. Vgl. Dörner, D. (KonTraG, 2000), S. 101.
10
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
Bedürfnisse und Erwartungen internationaler Finanzmärkte zu unterstützen. Der Gesetzgeber betont außerdem, dass bei der Neufassung der verschiedenen Regelungen der Grundsatz vorherrscht, auf der Selbstorganisation der Unternehmen aufzubauen und nicht weitere gesetzliche Verbote oder Regularien einzuführen.23 Diese Grundeinstellung führte dazu, dass von verschiedenen Seiten Stimmen laut werden, die das Gesetz als zu schwach empfinden und eindeutigere und schärfere Regelungen fordern.24 Im Folgenden werden, gegliedert nach den verschiedenen Kontrollschichten (Vorstand, Aufsichtsrat, Hauptversammlung), die Gesetzesänderungen dargestellt, die zur Erfüllung der gesetzten Ziele beitragen sollen. Ein besonderer Fokus liegt dabei auf den Änderungen, die sich mit der Einrichtung und Prüfung eines Risikomanagement- und Überwachungssystems beschäftigen, es werden jedoch zusätzlich vorab auch andere generelle Änderungen kurz vorgestellt, um einen vollständigen Überblick zu erhalten.
2.3 Generelle Neuerungen Die Neuregelungen im Rahmen des KonTraG gelten grundsätzlich für alle börsennotierten Aktiengesellschaften. Als börsennotiert gelten gemäß Änderung durch das KonTraG in § 3 Abs. 2 AktG „Gesellschaften, deren Aktien zu einem Markt zugelassen sind, der von staatlich anerkannten Stellen geregelt und überwacht wird, regelmäßig stattfindet und für das Publikum mittelbar oder unmittelbar zugänglich ist“25. Dadurch ist neben einer Notierung an deutschen Börsen auch die Notierung an vergleichbaren ausländischen Börsen erfasst.26 Als börsennotiert gelten somit sämtliche Gesellschaften, die zum amtlichen Handel, geregelten Markt oder TEC-DAX zugelassen sind. Nicht abgedeckt ist damit der Freiverkehr gemäß § 78 BörsG.27
Durch §§ 342, 342a HGB schafft das Bundesministerium der Justiz die Möglichkeit für die Bildung eines privaten Rechnungslegungsgremiums, das von gesetzlicher Seite anerkannt wird. Aufgabe dieses Gremiums ist es, Empfehlungen zur Anwendung der Grundsätze über die Konzernrechnungslegung auszusprechen und das Bundesministerium der Justiz in inter23 24
25 26 27
Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 11. Vgl. Thümmel, R.C. (Aufsichtsräte, 1999), S. 888 zum Thema der Aufsichtsratshaftung; Möllers, T. (Gesellschaftsrecht, 1999), S. 439 zur Bemängelung der geringen Sanktionsmöglichkeiten; BDI & PwC (Corporate, 2000), S. 30: Forderung nach KonTraG II: Erweiterung der Gesetzesänderungen vor allem im Hinblick auf Anpassung der Konzernrechnungslegung, Quartalsberichterstattung, Kontrolle der Abschlussprüfung und Offenlegung des Prüfungshonorars sowie effizientere Unternehmensüberwachung. Wortlaut Gesetzestext § 3 Abs. 2 AktG. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 12. Vgl. Hüffer, U. (Aktiengesetz, 1999), S. 16.
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
11
nationalen Standardisierungsgremien und bei Gesetzgebungsvorhaben und Rechnungslegungsvorschlägen zu beraten. Unmittelbar nach Verabschiedung des KonTraG wurde daraufhin das Deutsche Rechnungslegungs Standards Committee (DRSC) als eingetragener, selbstlos tätiger Verein gegründet, das international unter dem Namen German Accounting Standards Committee (GASC) auftritt. Die Arbeitsgruppen des DRSC setzen sich dabei aus Vertretern aller relevanten an der Rechnungserstellung interessierten Gruppen zusammen, also sowohl Abschlussprüfern, -erstellern, -adressaten sowie Vertretern aus der Wissenschaft. Das Komitee wurde durch das Bundesministerium der Justiz offiziell anerkannt und beschäftigt sich mit den deutschen Standards der Rechnungslegung in Hinblick auf Fest- und Auslegung und bestimmt, welche internationalen Rechnungslegungsvorschriften (IAS und US-GAAP) in Deutschland anwendbar sind. Dadurch soll auch die deutsche Position im Rahmen der internationalen Rechnungslegungsaktivitäten verstärkt werden.28
Ein weiterer Angleich an internationale Vorschriften erfolgte im Hinblick auf den Erwerb eigener Aktien. Grundsätzlich ist nach den in § 71 AktG aufgezählten Fällen der Erwerb eigener Aktien erlaubt, hinzugefügt wurde durch KonTraG § 71 Nr. 8. Danach gilt: Wenn die Hauptversammlung die Gesellschaft zum Erwerb eigener Aktien ermächtigt, der zeitlich auf 18 Monate befristet ist und auf 10% des Grundkapitals beschränkt ist, darf dieser Eigenerwerb zur Belebung des Börsenhandels, zur Steigerung der Akzeptanz der Aktie als Anlageform und zur Steigerung der Attraktivität des deutschen Finanzplatzes beitragen, er darf jedoch nicht der kontinuierlichen Kurspflege und dem Handel mit eigenen Aktien dienen. 29 Der Erwerb eigener Aktien bedarf der Publizität.30 Daraus resultierend ermöglicht § 192 Abs. 2 Nr. 3 AktG eine bedingte Kapitalerhöhung zur Einräumung von Aktienoptionen. Eigene Aktien können dann zur Bedienung von Aktienoptionen für Vorstandsmitglieder und Führungskräfte des Unternehmens verwendet werden, um das Management zu einer Strategie zu motivieren, die sich an der langfristigen Unternehmenswertsteigerung orientiert (Stock Options).31
28 29 30 31
Vgl. Wiedmann, H. (Bilanzrecht, 1999), S. 631, S. 900 f.; ausführlich zu den Aufgaben des DRSC Schildbach, T. (Rechnungslegungsgremium, 1999), S. 645ff. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 13. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 14. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 23.
12
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
2.4 Auswirkungen des KonTraG auf die Organe der Aktiengesellschaft
2.4.1
Vorstand
Der Vorstand fungiert als oberstes Verantwortungsorgan innerhalb einer Aktiengesellschaft und damit als oberste interne Führung.32 Gemäß § 90 Abs. 1 Nr. 1 AktG hat der Vorstand dem Aufsichtsrat nun auch über "die beabsichtigte Geschäftspolitik und andere grundsätzliche Fragen der Unternehmensplanung (insbesondere die Finanz-, Investitions- und Personalplanung)" zu berichten. Der Aufsichtsrat, der den Vorstand im Hinblick auf dessen Geschäftsführung überwachen soll, bekommt durch diese gesetzliche Klarstellung eindeutig die Aufgabe, nicht nur retrospektiv zu kontrollieren, sondern auch ex-ante-orientierte Kontrollen durchzuführen. In der (langfristigen) Planung werden grundlegende Entscheidungen getroffen und Rahmenbedingungen festgelegt, innerhalb derer sich das Unternehmen in der Zukunft bewegen muss. Sie bildet somit die notwendige Zielorientierung für die Leitung der Gesellschaft.33 Als "Unternehmensplanung" bezeichnet der Gesetzgeber dabei sowohl die kurzfristige, mittelfristige als auch langfristige Unternehmensplanung. Eine Beschränkung lediglich auf die Finanz-, Investitions- und Personalplanung, die im Gesetzestext (§ 90 Abs. 1 Nr. 1 AktG) beispielhaft erwähnt werden, ist vom Gesetzgeber nicht gewollt. Erweiternd können je nach Bedarf auch Ergebnis-, Entwicklungs- oder Produktionspläne etc. Gegenstand der Unternehmensplanung sein.34 Aus dieser Erklärung des Gesetzgebers lässt sich die Forderung nach einem operativ und strategisch ausgerichteten integrierten Planungs- und Kontrollsystem ableiten, auf das sich die erweiterte Informationspflicht des Vorstands bezieht und auf das sich die zukunftsorientierte Kontrolle des Aufsichtsrats erstrecken soll.35 Grafisch lässt sich ein integriertes Planungssystem anhand folgender Abbildung 3 veranschaulichen:
32 33 34 35
Vgl. Hahn, D./Hungenberg, H. (PuK, 2001), S. 29. Vgl. Scharpf, P. (Sorgfaltspflichten, 1997), S. 740. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 15. Vgl. Krystek, U. (Gesetze, 1999), S. 147; Hahn, D. /Krystek, U. (KonTraG, 2000), S. 80.
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
13
Unternehmenspolitische Ziele/ Generelle Zielplanung Wert-, Sach- und Sozialzielplanung
Strategische Planung Geschäftsfeldplanung Organisations- und Führungssystemplanung Rechtsform-/Rechtsstrukturplanung Projektplanung
Gesamtunternehmensbezogene Ergebnisund Finanzplanung
Operative Planung Programmplanung Funktionsbereichsplanungen Abbildung 3: Grundschema eines integrierten Planungssystems36 Durch das im Juli 2002 in Kraft getretene TransPuG wird § 90 Abs. 1 Satz 1 Nr. 1 AktG durch eine weitere Änderung erweitert. Der Vorstand muss bei seinem Bericht über die beabsichtigte Geschäftspolitik und die Unternehmensplanung „auf Abweichungen der tatsächlichen Entwicklung von früher berichteten Zielen unter der Angabe von Gründen“37 eingehen. Eine Berichterstattung über die Umsetzung der Unternehmensplanung in der Vergangenheit (sog. follow-up) war bisher nicht vorgesehen. Die Neuregelung hebt hervor, dass die Berichtspflicht des Vorstands gegenüber dem Aufsichtsrat sowohl zukunfts- als auch vergangenheitsbezogen zu verstehen ist, da eine ordnungsgemäße Überwachung durch den Aufsichtsrat nur unter Kenntnis über die Zielerreichung sichergestellt ist. Die Berichtspflicht des follow-up bezieht sich auf konkrete und bedeutsame Zielfestlegungen gegenüber dem Aufsichtsrat, in noch nicht verstrichenen Planungszeiträumen, wobei die Soll-Ist-Abweichungen zu begründen sind.38 Für Mutterunternehmen im Sinne des § 290 Abs. 1, 2 HGB gilt die Berichtspflicht analog für Tochter- und Gemeinschaftsunternehmen.39
36 37 38 39
Vgl. in enger Anlehnung an Hahn, D. /Hungenberg, H. (PuK, 2001), S. 103. Wortlaut des § 90 Abs. 1 Nr. 1 AktG Vgl. Deutscher Bundestag (Gesetzesbegründung, 2002), S. 13f. Vgl. BDI & PwC (Corporate, 2002), S. 30: Wichtig erscheint im Zusammenhang mit dieser Neuregelung das Erfordernis einer regelmäßigen und sachgerechten Aufarbeitung der Informationen, die der Vorstand an den Aufsichtsrat übermittelt. Der Aufsichtsrat, der mit dem operativen Geschäft des Unternehmens nicht
14
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
Ein weiterer Teilaspekt der allgemeinen Leitungsaufgabe des Vorstands wird durch § 91 Abs. 2 AktG konkretisiert. Demnach hat der Vorstand40 "geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden"41. Diese Änderung verdeutlicht die Sorgfaltspflichten des Vorstands gemäß § 76 AktG und macht den Vorstand nach § 93 Abs. 2 AktG bei Beweislastumkehr schadenersatzpflichtig, wenn er seinen gesetzlichen Pflichten nicht nachkommt.42 Sie hat insofern nur klarstellenden Charakter, als davon auszugehen ist, dass der Vorstand auch vor Einführung der Neuregelung zur Überwachung der zukünftigen Entwicklung verpflichtet war43 und die Risiken seines unternehmerischen Handelns stets zu erkennen hatte.44 § 91 Abs. 2 AktG ist auch auf Mutterunternehmen von Konzernen im Sinne des § 290 HGB anzuwenden, sofern durch die Tochtergesellschaft eine bestandsgefährdende Entwicklung für die Muttergesellschaft ausgehen kann.45 Die Gesetzesbegründung macht deutlich, dass durch § 91 Abs. 2 AktG der Vorstand die Verpflichtung hat, "für ein angemessenes Risikomanagement und eine angemessene interne Revision zu sorgen"46. Weiterhin wird in der Gesetzesbegründung verdeutlicht, dass es sich bei den unternehmensinternen Kontrollen um Aufgaben der internen Revision und des Controllings handelt.47 Eine inhaltliche Abgrenzung der Begriffe findet sich jedoch weder im Gesetzestext noch in der Gesetzesbegründung. In Abschnitt 3.2.3 erfolgt eine begriffliche Abgrenzung des Risikomanagement- und Überwachungssystems nach § 91 Abs. 2 AktG. In den folgenden Ausführungen wird deshalb zunächst von einem einzurichtenden Risikomanagementund Überwachungssystem gesprochen.
40
41 42
43
44 45 46 47
aktiv verbunden ist, muss durch die übermittelten Informationen in die Lage versetzt werden, eine eigene Beurteilung zu treffen und nicht in einem "Zahlenfriedhof" zu versinken. Für die Einrichtung eines Überwachungssystems gemäß § 91 Abs. 2 AktG ist der Gesamtvorstand verantwortlich, eine fehlende Ressortverantwortlichkeit befreit einzelne Vorstandsmitglieder nicht von der Gesamtverantwortlichkeit. Vgl. hierzu ausführlich Preußner, J./Zimmermann, D. (Risikomanagement, 2002), S. 657. Wortlaut des § 91 (2) AktG Vgl. Henselmann, K. (KonTraG, 2001), S. 33, der daraufhin weist, dass die Geltendmachung eines Haftungsanspruchs durch den Aufsichtsrat gemäß § 112 AktG nur selten genutzt werden wird, da Pflichtverletzungen von Vorstand und Aufsichtsrat häufig gemeinsam auftreten. Eine empirische Studie des Instituts der Niedersächsischen Wirtschaft e.V. in Zusammenarbeit mit PwC Deutsche Revision aus dem Jahr 2000 belegt jedoch, dass bei einer bundesweiten Umfrage von 85 Aktiengesellschaften aus den Bereichen Industrie, Handel, Dienstleistungen, Energiewirtschaft, Telekommunikation und Medien nur bei 6% der Unternehmen bereits vor 1998 ein gesetzeskonformes Risikomanagementund Überwachungssystem existierte. Vgl. hierzu ausführlich PwC (Entwicklungstrends, 2000), S. 12f. Vgl. Picot, G. (Überblick, 2001), S. 6. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 15. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 15. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 11.
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
15
Die „konkrete Ausformung der Pflicht ist [dabei] von der Größe, Branche, Struktur, dem Kapitalmarktzugang usw. abhängig“48. Zu den "den Fortbestand gefährdenden Entwicklungen" zählen aus Sicht des Gesetzgebers insbesondere risikobehaftete Geschäfte, Unrichtigkeiten der Rechnungslegung und Verstöße gegen gesetzliche Vorschriften, die sich auf die Vermögens-, Finanz- und Ertragslage wesentlich auswirken.49 Aber auch eine "schleichende Bestandsgefährdung"50 muss durch das Überwachungssystem aufgedeckt werden können, der Wirkungskreis sollte somit auch auf potenzielle Entwicklungen ausgeweitet werden.51 Wie ein Risikomanagement- und Überwachungssystem ausgestaltet werden und welche Bestandteile ein solches System aufweisen sollte, wird im Gesetzestext und selbst in der Gesetzesbegründung nicht konkretisiert. Das System soll lediglich so eingerichtet sein, dass „die Entwicklungen frühzeitig, also zu einem Zeitpunkt erkannt werden, in dem noch geeignete Maßnahmen zur Sicherung des Fortbestandes des Gesellschaft ergriffen werden können“52. Diese Entwicklungen können grundsätzlich in allen Unternehmensbereichen auftreten, so dass ein solches Risikomanagement- und Überwachungssystem das gesamte Unternehmen umfassen muss. Dafür müssen alle betrieblichen Funktionsbereiche auf allen Hierarchieebenen im Hinblick auf bestandsgefährdende Risiken hin untersucht werden. 2.4.2
Aufsichtsrat
Durch die eingangs erwähnten Unternehmenszusammenbrüche sind auch die Aufsichtsräte in die Kritik geraten.53 Das KonTraG versucht, einige Problematiken zu entschärfen und die Corporate Governance zu verbessern, indem sich Änderungen u.a. für die Zusammensetzung des Aufsichtsrats, zur Sitzungsfrequenz, zur besseren Unterrichtung des Aufsichtsrats und zu seiner Haftung ergeben.
Nach § 100 Abs. 2 AktG wird die Anzahl der Aufsichtsratsmandate auf 10 zuzüglich 5 Konzernmandate beschränkt, wobei die Vorsitzmandate doppelt angerechnet werden. Der Gesetzgeber betont an dieser Stelle, dass das Aufsichtsratsmandat nicht als Ehrenamt, sondern als
48 49 50 51
52 53
Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 15, dies bedarf keiner ausdrücklichen Erwähnung im Gesetz. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 15. Als schleichende Bestandsgefährdung kann eine potenzielles Risiko eingestuft werden, das sich unter bestimmten Voraussetzungen zu einer Bestandsgefährdung entwickeln kann. Vgl. Arbeitskreis "Externe und Interne Überwachung der Unternehmung" (KonTraG, 2000), S. 2; Hüffer, U. (Aktiengesetz, 1999), S. 424: Entwicklungen sind nicht Risikozustände, sondern schon die unternehmensspezifisch nachteilige Entwicklung. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 15. Vgl. Holzer, P./Makowski, A. (Corporate, 1997), S. 688f.; Scheffler, E. (Aufsichtsräte, 2000), S. 433.
16
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
verantwortungsvolle und hohen Einsatz fordernde Aufgabe ausgeübt werden soll und verleiht damit seiner Hoffnung auf eine Professionalisierung dieses Amtes Nachdruck.54 Das wird durch § 110 Abs. 3 AktG verstärkt, der die gesetzlich vorgeschriebene Sitzungsfrequenz des Aufsichtsrats erhöht. So muss der Aufsichtsrat zwei Sitzungen im Kalenderhalbjahr abhalten. Bei nicht börsennotierten Gesellschaften kann der Aufsichtsrat beschließen, nur eine Sitzung im Kalenderhalbjahr abzuhalten.55
Mit Änderung des § 111 Abs. 2 S. 3 AktG erteilt nunmehr der Aufsichtsrat, und nicht - wie bisher - der Vorstand, dem Abschlussprüfer den Prüfungsauftrag gem. § 290 HGB. Durch diese Neuregelung soll die Hilfsfunktion des Prüfers für den Aufsichtsrat im Rahmen seiner Kontrolltätigkeit sowie die Unabhängigkeit des Prüfers vom Management hervorgehoben werden.56 Die Überwachungspflicht des Aufsichtsrats erstreckt sich dabei gem. § 111 AktG auf die Rechtmäßigkeit, Ordnungsmäßigkeit, Wirtschaftlichkeit und Zweckmäßigkeit der Geschäftsführung.57 Sie bezieht sich dabei auch auf die Einrichtung und Funktionsfähigkeit eines Systems zur frühzeitigen Erkennung von bestandsgefährdenden Entwicklungen gem. § 91 Abs. 2 AktG.58 Der Aufsichtsrat, der dabei durch den Abschlussprüfer unterstützt wird, vereinbart mit ihm die Vergütung und kann eigene Prüfungsschwerpunkte mit dem Prüfer festlegen.59 An der Durchführung der Prüfung wird sich jedoch durch diese Neuerung wenig ändern, denn nur der Vorstand kennt das Tagesgeschäft (im Gegensatz zum Aufsichtsrat) so gut, dass er dem Prüfer gezielt Zugang zu Daten und Vorgängen im Unternehmen verschaffen kann.60 Dieses Dreier-Verhältnis zwischen Vorstand, Aufsichtsrat und Abschlussprüfer kann dann problematisch werden, wenn zwischen Vorstand und Aufsichtsrat Spannungen aufkommen. Der Abschlussprüfer steht dann vor dem Dilemma, "dass er aus praktischen Erwägungen an einer guten Zusammenarbeit mit dem Vorstand interessiert sein muss, gleichzeitig aber eine Hilfsfunktion für den Aufsichtsrat hat"61. Der Abschlussprüfer rückt damit in das Spannungsfeld zwischen Vorstand und Aufsichtsrat, wodurch seine kommunikativen Fähigkeiten stärker als bisher gefordert werden.62
54 55 56 57 58 59 60 61 62
Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 16. Vgl. § 110 (3) AktG, Änderung durch KonTraG und TransPuG. Vgl. Forster, K.-H. (KonTraG, 1998), S. 42; Arbeitskreis „Externe und Interne Überwachung“ (KonTraG, 2000), S. 4, Rz. 52. Vgl. Henze, H. (Entscheidungen, 2001), S. 59. Vgl. Kindler, P./Pahlke, A.-K. (Aufsichtsrat, 2001), S. 69. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 16. Vgl. Bernhardt, W. (Neues, 1997), S. 807. KPMG (Reformen, 1998), S. 20. Vgl. Oechsle, E./Wirth, M. (Gegenstand, 1999), S. 542.
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
17
Die Anforderungen an eine moderne Unternehmensüberwachung steigen ständig und der Aufsichtsrat benötigt im Grunde den Sachverstand eines Controllers, um das Management zu beobachten, Risikostrukturen zu erkennen und die eingerichteten Kontrollsysteme zu prüfen. Nur durch eine intensivierte Zusammenarbeit mit dem Abschlussprüfer kann der Aufsichtsrat seinem Überwachungsauftrag in vollem Umfang gerecht werden.63
Eine weitere Änderung für die Aufsichtsräte ergibt sich durch § 124 Abs. 3 S. 3: "Der Vorschlag zur Wahl von Aufsichtsratsmitgliedern oder Prüfern hat deren Namen, ausgeübten Beruf und Wohnort anzugeben." Bei der Angabe des Berufs geht es allerdings nicht um den ursprünglich erlernten Beruf, sondern um den ausgeübten Beruf und das Unternehmen, in dem der Beruf ausgeübt wird, um einerseits Interessenkonflikte zu vermeiden, und sich so andererseits ein Bild von der Belastungssituation des Kandidaten verschaffen zu können.64 § 125 Abs.1 S. 3 verlangt außerdem, Angaben zu Mitgliedschaften in anderen Aufsichtsräten und vergleichbaren Gremien im In- und Ausland bei einem Vorschlag zur Wahl von Aufsichtsratsmitgliedern beizufügen. Ein Verstoß gegen diese Vorschrift ist jedoch sanktionslos.65
Im Hinblick auf den Pflichtenrahmen des Aufsichtsrats konkretisiert § 171 Abs. 2 AktG die Angaben, über die der Aufsichtsrat gegenüber der Hauptversammlung berichten muss. Neben Auskünften über Art und Umfang der Prüfung der Geschäftsführung muss der Aufsichtsrat bei börsennotierten Gesellschaften auch angeben, welche Ausschüsse gebildet wurden und wie häufig getagt wurde. Das Recht der Aktionäre, darüber hinaus weitere Auskünfte zu verlangen, bleibt davon unberührt.66 2.4.3
Hauptversammlung
Das KonTraG tangiert auch Rechte der Hauptversammlung. Durch die Streichung des § 12 Abs. 2 S. 2 AktG werden Mehrstimmrechte abgeschafft. Damit soll dem Prinzip „one shareone vote“ verstärkt Rechnung getragen werden. Ebenso werden nach § 134 Abs.1 S. 2 die Höchststimmrechte für börsennotierte Gesellschaften abgeschafft, da auch hier die Verteilung von Stimmrechten und Eigentum nicht korreliert.
63 64 65 66 67
67
Diese Neuregelungen bewirken einen
Vgl. Mattheus, D. (Wirtschaftsprüfer, 1999), S. 692. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 17. Vgl. KPMG (Reformen, 1998), S. 17. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 22. Vgl. Lingemann, S./Wasmann, D. (KonTraG, 1998), S. 854.
18
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
Angleich an die international übliche Praxis und sollen dazu beitragen, verstärkt internationale Anleger zu gewinnen.
Die Stellung der Aktionärsvereinigung wird durch § 125 Abs. 1 S. 2 AktG aufgewertet, denn der Vorstand hat in der Mitteilung für die Aktionäre über die Einberufung der Hauptversammlung auf die Möglichkeit einer Bevollmächtigung von Aktionären, auch durch eine Aktionärsvereinigung, hinzuweisen. Durch diesen Hinweis soll die Popularität von Aktionärsvereinigungen steigen, da sie jetzt auch an die Stimmen einzelner Aktionäre gelangen können.68
Die Pflichten und Einschränkungen der Kreditinstitute bei der Ausübung von Stimmrechten werden durch § 128 Abs. 2 AktG neu geregelt. Banken müssen demnach ihre Depotkunden ausführlich informieren und ihnen Vorschläge für die Ausübung des Stimmrechts zu den einzelnen Tagesordnungspunkten unterbreiten.69 Bei den Vorschlägen hat sich das Kreditinstitut dabei "vom Interesse des Aktionärs leiten zu lassen und organisatorische Vorkehrungen dafür zu treffen, dass Eigeninteressen aus anderen Geschäftsbereichen nicht einfließen; es hat ein Mitglied der Geschäftsleitung zu benennen, das die Einhaltung dieser Pflichten sowie die ordnungsgemäße Ausübung des Stimmrechts und deren Dokumentation zu überwachen hat."70 Für das hypothetische Interesse eines Aktionärs soll das Interesse eines Durchschnittsaktionärs zugrundegelegt werden, der an der langfristigen Wertsteigerung der Anlage orientiert ist.71
§ 135 Abs. 1 S. 3 AktG regelt weiterhin, dass in der Hauptversammlung eines Unternehmens an der das Kreditinstitut "mit mehr als fünf vom Hundert des Grundkapitals unmittelbar oder über eine Mehrheitsbeteiligung mittelbar beteiligt ist, es das Stimmrecht nur ausüben oder ausüben lassen darf, soweit der Aktionär eine ausdrückliche Weisung zu den einzelnen Gegenständen der Tagesordnung erteilt hat; dies gilt nicht, wenn es eigene Stimmrechte weder ausübt noch ausüben lässt"72. Die Neuregelung versucht, den Interessenkonflikt der Banken, resultierend aus Depotstimmrecht und Beteiligungsbesitz zu entschärfen. Es soll den Kreditinstituten dadurch nicht mehr möglich sein, eigene Interessen durch Depotstimmrechte zu
68 69 70 71 72
Vgl. Meyding, T./Mörsdorf, R. (KonTraG, 1999), S. 19. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 18. Wortlaut des Gesetztestextes § 128 (2), S.2. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 18. Wortlaut des § 135 Abs. 1 S. 3 AktG.
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
19
verstärken.73 Gleichzeitig erfolgt hiermit auch ein Angleich an die international üblichen Gepflogenheiten, die den in Deutschland vorliegenden Interessenkonflikt durch eine Begrenzung der Bankenrechte bereits im Vorfeld eliminiert haben. Eine Erhöhung der Transparenz in Bezug auf die Bankbeteiligungen erfolgt auch durch § 340a Abs. 4 HGB. Kreditinstitute sind verpflichtet, Angaben zu Beteiligungen und Mandaten in Aufsichtsratsgremien zu machen, die durch gesetzliche Vertreter oder andere Mitarbeiter wahrgenommen werden.74
Die Geltendmachung von Ersatzansprüchen gegen Mitglieder des Vorstands oder des Aufsichtsrats wird durch die Neufassung § 147 Abs. 3 AktG für die Aktionäre erleichtert. So wird im Falle des Verdachts auf Unredlichkeiten oder grobe Pflichtverletzungen eine Klage schon dann ermöglicht, wenn die Kläger 5% des Grundkapitals oder den anteiligen Betrag von 500.000 Euro erreichen. Der Aufsichtsrat haftet bisher bereits gemäß § 116 i.V.m. § 93 AktG. Die bestehende Form der Haftung wird aus gesetzgeberischer Sicht zwar als scharf bezeichnet, zudem zusätzlich eine Beweislastumkehr gilt, allerdings hat sich gezeigt, dass Schadensersatzansprüche gegen Aufsichtsratsmitglieder bisher nur selten geltend gemacht werden. Der Gesetzgeber sieht in dem bisherigen mangelnden Haftungsrisiko einen Grund für mangelnde Kontrolleffizienz.75 Bemängelt wird jedoch, dass auch diese Klageerleichterung nicht weit genug greift. In großen Publikumsgesellschaften ist ein Quorum von 5% schwer zu erreichen, zumal diese Minderheit stets das Kostenrisiko zu tragen hat. Auch Banken mit Depotstimmrechten oder Großaktionäre, die häufig im Aufsichtsrat vertreten sind, werden den Bestrebungen einer Minderheit kritisch gegenüberstehen. Zu einer wirklichen Verschärfung der Aufsichtsratshaftung kommt es durch diese Änderung nach Meinung einzelner Kritiker deshalb nicht.76
2.5 Auswirkungen des KonTraG auf den Lagebericht Der Lagebericht soll ein den tatsächlichen Verhältnissen des Unternehmens entsprechendes Bild vermitteln und dadurch allen an dem Unternehmen interessierten Gruppen die Möglichkeit der Information geben. Durch Änderung des § 289 Abs. 1 HGB erfährt der Lagebericht eine quantitative und qualitative Erweiterung. In Zukunft ist auch auf die Risiken der künfti73 74 75 76
Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 20. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 30. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 21. Vgl. Thümmel, R.C. (Aufsichtsräte, 1999), S. 887; Lenz, H. (Meinungsspiegel, 1999), S. 445.
20
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
gen Entwicklung (Risikobericht)77 einzugehen. Hierdurch wird deutlich gemacht, dass eine ausdrückliche Darstellung der Risiken in einem separaten Bericht erforderlich ist.78 Nur so kann der Adressat eine eigene Einschätzung der dargestellten Risiken nach Eintrittswahrscheinlichkeit und Auswirkung treffen und sich ein zutreffendes Bild über die Entwicklung des Unternehmens machen.79 Gleiches gilt nach § 315 Abs. 1 HGB auch für den Konzernlagebericht.80 Der Risikobericht hat damit eindeutig Prognosecharakter. Während der Prognosebericht als Bestandteil des Lageberichts die erwartete und damit wahrscheinliche zukünftige Entwicklung darstellt, muss der Risikobericht die möglichen negativen Abweichungen von dieser Einschätzung und somit die Gefahren hervorheben.81 Allerdings fordert die Änderung des § 289 HGB sicherlich nicht eine Darstellung jeglicher Risiken des Unternehmens, da dies „weder praktisch durchführbar noch im Interesse der Klarheit der Lageberichterstattung“82 ist. Es ist vielmehr eine Hervorhebung spezifischer Risiken des Unternehmens erforderlich, die sich quantifizieren oder (zumindest) in ihrem Ausmaß verbal beschreiben lassen und die von Interesse für die Berichtsadressaten sind. Eine Beschränkung der Darstellung auf rechnungswesennahe Risiken reicht jedoch nicht aus.83 Die Wahrscheinlichkeit des Risikoeintritts spielt bei der Darstellung eine weitere Rolle: Über vergleichsweise unwahrscheinliche Risiken wie die Zerstörung des Hauptstandortes durch eine Naturkatastrophe zu berichten, trägt nicht zu einer verbesserten Information der Berichtsadressaten bei.84 Die darzustellenden Risiken umfassen alle die negative Entwicklung des Unternehmens betreffende Risiken85 und beschränken sich nicht nur auf bestandsgefährdende Risiken (vgl. hierzu ausführlich 3.1.3).86 Grundsätzlich ist über Risiken nach der Berücksichtigung gewählter Risikobewältigungsmaßnahmen zu berichten. Bei wirksamer Kompensation, z.B. durch eine Versicherung beschränkt sich die Berichterstattung auf das Restrisiko. Ist die Kompensation nicht gewährleistet, sollten das Risiko vor der Bewältigungsmaßnahme und die getroffenen Maßnahmen dargestellt wer77 78 79 80 81 82 83 84 85
86
Vgl. Wiedmann, H. (Bilanzrecht, 1999), S. 367. Vgl. DRS 5 Nr. 30. Dabei wird i.d.R. ein Prognosezeitraum von einem bis zu zwei Jahren unterstellt. Vgl hierzu Lange, K. W. (Lagebericht, 2001), S. 143; DRS 5 Nr. 2. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 26. Vgl. Baetge, J./Schulze, D. (Objektivierung, 1998), S. 942. Dörner, D./Bischof, S. (Berichterstattung, 1999), S. 447. Vgl. KPMG (Reformen, 1998), S. 16. Vgl. Dörner, D./Bischof, S. (Berichterstattung, 1999), S. 447. z.B. Risiken aus künftigen Marktentwicklungen, aus Anwendung neuer Technologien, aus Änderung von Produktionsverfahren, aus Entwicklung oder Auslaufen von Patenten etc. Vgl. Morck, W. (HGB, 1999), S. 703; eine Auflistung findet sich bei Arbeitskreis „Externe und Interne Überwachung“ (KonTraG, 2000), Rn. 21. Vgl. Morck, W. (HGB, 1999), S. 703 f.; Wiedmann, H. (Bilanzrecht, 1999), S. 583.
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
21
den.87 Eine Darstellung, wie sich einzelne Risiken in Interdependenz zu anderen Risiken verhalten, ist dabei wünschenswert.88 Gegen die Darstellung der Risikosituation im Lagebericht wird der Einwand einer "selffulfilling-prophecy" als Gefahr für risikobehaftete Unternehmen erhoben. So werden Banken oder auch Konkurrenzunternehmen auf die dargestellten Risiken aufmerksam gemacht und in die Lage versetzt, ihr Handeln danach auszurichten. Banken könnten so zu einer Kreditverlängerung eventuell nicht mehr bereit sein, was die Lage des Unternehmens erheblich verschlimmern kann. Hier entsteht ein Zielkonflikt, dem die Unternehmen durch allgemeine und vorsichtige Formulierungen im Lagebericht begegnen könnten. Dies würde aber wiederum der Intention des Gesetzgebers widersprechen, der das Informationsbedürfnis der Adressaten höher bewertet.89 Eine andere Möglichkeit der Auflösung des zuvor dargestellten Konfliktes bestünde in der Anregung, den § 289 Abs. 1 HGB um den Begriff der Chance zu erweitern. Risiko und Chance sind jeweils ungesicherte Tatsachen und den Anleger interessiert vor allem eine ausgewogene Berichterstattung im Hinblick auf die Gewinnprognose, die sich aus den erwarteten negativen und positiven Verläufen in der Zukunft ergibt.90 Unzulässig ist allerdings eine Darstellung, bei der vorhandene Chancen und Risiken saldiert werden und nur das verbleibende Restrisiko dargestellt wird.91 Weiterhin besteht die Möglichkeit, neben der Risikodarstellung auch über die eingeleiteten und geplanten Gegenmaßnahmen zu berichten und so deutlich zu machen, dass das Management in der Lage ist, eine Krise abzuwenden. Die Gefahr einer negativen self-fulfilling-prophecy kann durch diese Angaben verringert werden.92
2.6 Auswirkungen des KonTraG auf Abschlussprüfung und Berichterstattung Der Abschlussprüfer, der den Jahresabschluss und den Lagebericht zu prüfen hat, erfährt durch das KonTraG eine wesentliche Aufgabenerweiterung, denn mit der Neufassung des § 317 HGB wird der gesetzliche Prüfungsumfang neu umschrieben. Im Mittelpunkt steht eine 87 88 89
90
91
Vgl. DRS 5 Nr. 21, 22; Dörner, D./Bischof, S. (Berichterstattung, 1999), S. 448. Vgl. DRS 5 Nr. 25. Vgl. Gelhausen, H.F. (Reform, 1997), S. 7f.; Baetge, J./Schulze, D. (Objektivierung, 1998), S. 943; Schindler, J./Rabenhorst, D. (KonTraG, 1998), S. 1891; Wiedmann, H. (Bilanzrecht, 1999), S. 367; Dörner, D. (KonTraG, 2000), S. 105. Vgl. Baetge, J./Schulze, D. (Objektivierung, 1998), S. 940; Möllers, T. (Gesellschaftsrecht, 1999), S. 437; Dörner, D./Bischof, S. (Berichterstattung, 1999), S. 446; Freidank, C.-C. (Prüfungswesen, 2000), S. 253; Pollanz, M. (Prüfung, 2001), S. 1320; Wall, F. (Unterschiede, 2002), S. 26f. Vgl. Arbeitskreis „Externe und Interne Überwachung“ (KonTraG, 2000), S. 7, Rz. 113; Lange, K. W. (Lagebericht, 2001), S. 132; DRS 5 Nr. 26.
22
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
stärker problem- und risikoorientierte Prüfung, die es dem Aufsichtsrat erleichtern soll, den Vorstand zu beurteilen.93 So hat der Abschlussprüfer gemäß § 317 Abs. 2 HGB zu prüfen, ob der Lagebericht mit dem Jahresabschluss in Einklang steht, er insgesamt eine zutreffende Vorstellung von der Lage des Unternehmens vermittelt und ob die Risiken der zukünftigen Entwicklung zutreffend dargestellt sind.94 Die Prüfung des Lageberichts soll damit zugleich stärker an die Erwartungen der Öffentlichkeit95 angepasst werden, und es wird versucht, auf diese Weise die sogenannte Erwartungslücke96 zu verkleinern.97 Die Prüfung des Lageberichts kann sich daher nicht mehr nur auf ein vorher festgelegtes Prüfungsschema beschränken. Vielmehr kann eine Beurteilung nur auf Basis der aus den Prüfungen systematisch gewonnenen Erkenntnisse entwickelt werden.98 Der Prüfer kann allerdings stets nur die Richtigkeit und Vollständigkeit der Darstellung prüfen. So macht der Gesetzgeber deshalb auch deutlich, dass es nur Aufgabe des Abschlussprüfers sein kann, sich zu vergewissern, dass alle verfügbaren Informationen verwendet wurden, die grundlegenden Annahmen realistisch und in sich widerspruchsfrei sind und Prognoseverfahren richtig gehandhabt wurden. Es handelt sich folglich um eine Plausibilitätsprüfung.99 Aufgabe des Abschlussprüfers kann es nicht sein, seine eigene Risikoeinschätzung an die Stelle der Einschätzung des Vorstands zu setzen, obwohl er dazu bei ordnungsgemäßer Durchführung der Prüfung grundsätzlich in der Lage wäre. Die Aufgabe des Abschlussprüfers liegt vielmehr in der Kommentierung der Aussagen des Vorstands.100 Auch nicht in den Aufgabenbereich des Abschlussprüfers fällt die Aufdeckung
92 93 94 95
96
97
98 99
100
Vgl. Lange, K. W. (Lagebericht, 2001), S. 140. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 26. Vgl. Schindler, J./Rabenhorst, D. (KonTraG, 1998), S. 1890; Oechsle, E./Wirth, M. (Gegenstand, 1999), S. 561; ausführlich IDW PS 350. Vgl. Oechsle, E./Wirth, M. (Gegenstand, 1999), S. 560: Im Mittelpunkt der Neuregelung steht die verbesserte Information der Öffentlichkeit. Für den Aufsichtsrat, in dessen Auftrag der Abschlussprüfer tätig wird, existieren andere, aussagekräftigere Informatiosnmittel wie bspw. die Berichtserstattung nach § 90 Abs.1 AktG. Vgl. Dörner, D. (KonTraG, 2000), S. 103: "Unter Erwartungslücke versteht man die Diskrepanz zwischen dem gesetzlichen Auftrag des Abschlußprüfers und dem, was die externen Jahresabschlussadressaten (stakeholders) sich von dem Institut der Abschlußprüfung erwarten."; siehe auch Böcking, H.-J./Orth, C. (Beitrag, 1998), S. 352. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 27; Problematisch ist an dieser Stelle anzumerken, dass der Gesetzgeber nicht definiert, was unter den Begriff "Risiko" fällt. Daraus resultieren unterschiedliche Erwartungshaltungen der Adressaten, die dazu beitragen können, die Erwartungslücke zu vergrößern; siehe auch Dörner, D. (KonTraG, 2000), S. 103. Vgl. Meyding, T./Mörsdorf, R. (KonTraG, 1999), S. 7; Mattheus, D. (Wirtschaftsprüfer, 1999), S. 695. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 27; Schindler, J./Rabenhorst, D. (KonTraG, 1998), S. 1891; Morck, W. (HGB, 1999), S. 764; ausführlich zur Prüfungsdurchführung siehe Oechsle, E./Wirth, M. (Gegenstand, 1999), S. 569ff. Vgl. Böcking, H.-J./Orth, C. (Beitrag, 1998), S. 359f.; Mattheus, D. (Wirtschaftsprüfer, 1999), S. 700.
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
23
von "Unwirtschaftlichkeiten, strafrechtlichen Tatbeständen und außerhalb der Rechnungslegung begangenen Ordnungswidrigkeiten"101. Die Neuformulierung des § 317 Abs. 2 HGB birgt allerdings die Gefahr in sich, eine neue, vielleicht sogar vergrößerte Erwartungslücke entstehen zu lassen. Der Wirtschaftsprüfer kann sich nicht als eine Art Führung der Führung verstehen und alle Planungsschritte im Detail nachvollziehen. Es ist jedoch fraglich, ob eine reine Plausibilitätsprüfung den Erwartungen der Adressaten gerecht wird.102
Gemäß § 317 Abs. 4 HGB hat der Prüfer weiterhin zu beurteilen, ob das nach § 91 Abs. 2 AktG eingerichtete Risikomanagement- und Überwachungssystem bei einer Aktiengesellschaft, die Aktien mit amtlicher Notierung ausgegeben hat, funktionsfähig ist. Es ist zu prüfen, ob Risikomanagement- und Überwachungssystem vorhanden sind, ob beide geeignet und effizient sind, und ob sie ihre Aufgaben grundsätzlich erfüllen können.103 Die Prüfungspflicht geht über die Prüfung des primär auf das Rechnungswesen ausgerichteten Internen Kontrollsystems hinaus und betrifft jeden Bereich des unternehmerischen Prozesses.104 Allerdings kann auch in diesem Fall der Abschlussprüfer lediglich untersuchen, ob die erforderlichen Maßnahmen getroffen wurden und wirksam ausgeführt wurden und ob das Risikomanagement- und Überwachungssystem während des gesamten zu prüfenden Zeitraumes bestanden hat.105 Nicht Gegenstand der Prüfung sind die Reaktionen des Vorstands auf gemeldete Risiken, also die Risikosteuerung, und etwaige unternehmerische Strategien und Ziele.106 Die Beurteilung im Hinblick auf die eingeleiteten und durchgeführten Handlungen zur Risikosteuerung obliegt jedoch dem Aufsichtsrat im Rahmen seiner Vorstandskontrolle nach § 111 AktG.107 Das Ergebnis der Prüfung hängt stets von der eigenen Risikobewertung und Prognosebeurteilung des Prüfers ab, denn es existiert keine Soll-Vorgabe für ein Risikomanagement- und
101 102
103 104 105 106 107
Freidank, C.-C. (Prüfungswesen, 2000), S. 262. Vgl. Gelhausen, H.F. (Reform, 1997), S. 24; Dörner, D. (Unternehmensberatung, 1998), S. 304; Böcking, H.-J./Orth, C. (Beitrag, 1998), S. 353; Schruff, W. (Meinungsspiegel, 1999), S. 449; Krystek, U. (Meinungsspiegel, 2000), S. 285. Vgl. Morck, W. (HGB, 1999), S. 765; ausführlich 3.3.3.4. Vgl. Brebeck, F./Herrmann, D. (KonTraG-Entwurf, 1997), S. 390; Wiedmann, H. (Bilanzrecht, 1999), S. 584 f. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 27. Vgl. Emmerich, G. (Risikomanagement, 1999), S. 1078; Dörner, D./Doleczik, G. (Risikomanagement, 2000), S. 204; Arbeitskreis „Externe und Interne Überwachung“ (KonTraG, 2000), S. 8, Rz. 135. Vgl. Schichold, B. (Überwachung, 2001), S. 399.
24
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
Überwachungssystem, die als Maßstab fungieren könnte.108 Das Prüfungsergebnis kann somit auch nie objektiv richtig sein, sondern unterliegt immer dem Ermessen des Abschlussprüfers.109 Vielfach geäußertes Unverständnis, dass sich diese Änderung nur auf Unternehmen bezieht, deren Wertpapiere im amtlichen Handel zugelassen sind und nicht auf börsennotierte Unternehmen im Sinne des § 3 Abs. 2 AktG, hat dazu geführt, dass durch das TransPuG eine Erweiterung vorgenommen wurde. Die Prüfungspflicht wurde auf alle börsennotierten Gesellschaften ausgedehnt, da der Gesetzgeber diesen Mangel erkannt hat.110 Bei Gesellschaften, für die § 317 Abs. 4 HGB nicht zwingend anzuwenden ist, kann die Prüfung des Risikomanagement- und Überwachungssystems Gegenstand einer vertraglichen Erweiterung des Prüfungsauftrages sein.111 Die zuvor skizzierten Änderungen erhöhen die Anforderungen an die Abschlussprüfer, denn sie müssen sich verstärkt mit Planungs- und Prognosetechniken, Risikomanagement- und Überwachungssystemen, betriebswirtschaftlichen Markt- und Konkurrenzanalysen und Branchenanalysen auseinandersetzen.112 Ob und inwieweit der Wirtschaftsprüfer aufgrund seiner Kenntnisse und dem Zugang zu Informationen innerhalb eines Unternehmens dazu wirklich in der Lage ist, wird in Abschnitt 3.3.3.4 diskutiert.
Um eine Unabhängigkeit der Abschlussprüfer im Hinblick auf das Prüfungsergebnis zu gewährleisten, regelt § 319 Abs. 3 Nr. 6 HGB, dass ein Prüfer dann nicht Abschlussprüfer sein darf, wenn er in den letzten 10 Jahren den Bestätigungsvermerk in mehr als 6 Fällen gezeichnet hat. Die Neuregelung bedingt somit einen Prüferwechsel, nicht aber einen Wechsel der Prüfungsgesellschaft.113 Bedenken an dieser Regelung werden dahingehend geäußert, dass die grundsätzlich befürwortete interne Rotation der Abschlussprüfer an der tatsächlich geleisteten Unterschrift festgemacht wird. Durch eine Unterschrift wird jedoch nichts darüber ausgesagt, ob und wie oft der Unterzeichner tatsächlich die Prüfung geleitet hat. Bei Großprüfungen können mehrere Prüfungsleiter tätig sein, von denen nur ein einzelner seine Unterschrift leis-
108 109 110 111 112 113
Vgl. Brebeck, F./Herrmann, D. (KonTraG-Entwurf, 1997), S. 390; Emmerich, G. (Risikomanagement, 1999), S. 1076. Vgl. Mattheus, D. (Wirtschaftsprüfer, 1999), S. 704. Vgl. Wortlaut des § 317 Abs. 4 HGB. Vgl. IDW PS 340 (2); Scharpf, P. (Sorgfaltspflichten, 1997), S. 738. Vgl. Dörner, D. (KonTraG, 2000), S. 102. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 27.
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
25
ten muss. Eine zwingende Vorschrift, dass der Unterzeichner an der Prüfung direkt beteiligt sein muss, gibt es jedoch nicht.114
§ 319 Abs. 2 Nr. 8 regelt weiterhin, dass ein Prüfer dann von der Prüfung ausgeschlossen wird, wenn er von der zu prüfenden Kapitalgesellschaft in den letzten 5 Jahren jeweils 30% (vorher 50%) seiner Gesamteinnahmen bezogen hat. Damit will der Gesetzgeber das Vertrauen in die Unabhängigkeit des Prüfers stärken.115
Die Ergebnisse seiner Prüfung fasst der Abschlussprüfer in einem Prüfungsbericht zusammen. Gemäß § 321 Abs. 1 S. 1 hat diese Darstellung in „gebotener Klarheit“ zu erfolgen, also so, dass sie auch von nicht sachverständigen Aufsichtsratsmitgliedern verstanden wird.116 Es wird jedoch in der Literatur Kritik an dieser Vorschrift dahingehend geäußert, dass ein gewisses Grundverständnis für Fragen der Rechnungslegung bei Aufsichtsratsmitgliedern zur Wahrnehmung ihrer Aufgabe vorausgesetzt werden sollte.117 Weiterhin erfolgt in § 321 Abs. 1 S. 2 eine Normierung der problemorientierten Sicht des Prüfungsberichts. Der Prüfer hat in einem Eingangsteil zur Lage und künftigen Entwicklung des Unternehmens Stellung zu nehmen. Der Prüfer soll damit die Beurteilung des Vorstands überprüfen. Er soll nicht seine Prognose an die Stelle derjenigen des Vorstands setzen, aber er soll die Prognose des Vorstands kritisch bewerten.118
§321 Abs. 4 HGB fordert weiterhin, dass bei einer Prüfung nach § 317 Abs. 4 HGB das Ergebnis in einem besonderen Teil des Prüfungsberichts darzustellen ist. Es ist darauf einzugehen, ob Maßnahmen erforderlich sind, um das Risikomanagement- und Überwachungssystem zu verbessern. 119 Aufgabe des Abschlussprüfers kann es nicht sein, konkrete Vorschläge zu machen und geeignete Maßnahmen zu nennen, die zur Verbesserung beitragen können, da er sonst eine Managementaufgabe wahrnehmen würde.120 Er kann jedoch Anregungen zu Ver-
114
115
116 117 118 119 120
Vgl. Gelhausen, H.F. (Reform, 1997), S. 12: So entspricht es z.B. der gängigen Praxis, dass die linke Unterschrift von einem Mitglied der Geschäftsleitung, das lediglich für das Mandat zuständig ist, geleistet wird; ebenso kritisch: Forster, K.-H. (KonTraG, 1998), S. 49; Böcking, H.-J./Orth, C. (Beitrag, 1998), S. 357f.; Picot, G. (Überblick, 2001), S. 32. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 27; Quick, R. (Abschlussprüfung, 2002), S. 624: der Begriff der Gesamteinnahmen bezieht sich dabei auf die Prüfung und Beratung einer zu prüfenden Kapitalgesellschaft. Zur Vereinbarkeit von Prüfungs- und Beratungsleistungen siehe 3.3.3.4. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 28. Vgl. Wiedmann, H. (Bilanzrecht, 1999), S. 623. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 28. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 29. Vgl. Vgl. Eggemann, G./Konradt, T. (Risikomanagement, 2000), S. 508.
26
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
besserungen z.B. in einem Management-Letter kommunizieren.121 Dadurch bekommt der Aufsichtsrat Zugang zu wesentlichen Informationen und Erkenntnissen über mögliche Fehlerquellen oder Schwachstellen im Unternehmen, auf die er sein Augenmerk besonders zu richten hat.122 Das sogenannte Formeltestat wird durch Neufassung des § 322 HGB123 abgeschafft. Der Bestätigungsvermerk wird umgewandelt in einen "Bestätigungsbericht", denn es gibt bis auf einen Kernsatz keine Vorformulierungen mehr. Allerdings hat das IDW in der Richtlinie PS 400 Vorschläge für Standardformulierungen zur Erteilung eines Bestätigungsvermerks herausgegeben, die auch vermeiden sollen, dass die Qualität des Bestätigungsvermerks von der Formulierkunst des Abschlussprüfers abhängig ist.124 Insgesamt sollen die Neuregelungen zum Bestätigungsvermerk in § 322 HGB bewirken, dass auch nicht fachkundige Leser das Prüfungsergebnis verstehen und sich der begrenzten Aussage des Bestätigungsvermerks bewusst sind. Durch die gesetzlichen Änderungen kann der Abschlussprüfer nun versuchen, die Erwartungslücke durch eine vorbildliche Formulierung zu schließen.125
Des Weiteren wird durch § 323 Abs. 2 HGB auch die Haftung des Abschlussprüfers verschärft. Die Haftungsbeschränkung je Prüfung für fahrlässiges Handeln des Prüfers beträgt bei einer Aktiengesellschaft mit amtlich notierten Aktien 4 Mio. Euro, ansonsten 1 Mio. Euro.
Durch § 170 Abs. 3 S. 2 AktG wird die Aushändigung der Vorlagen und Prüfungsberichte an jedes Aufsichtsratsmitglied oder, soweit der Aufsichtsrat dies beschlossen hat, an die Mitglieder eines Aufsichtsrats-Ausschusses gesetzlich vorgeschrieben. Diese Änderung rechtfertigt der Gesetzgeber durch den Einwand, dass ohne Kenntnis der Prüfungsberichte eine sinnvolle Erfüllung der Kontrollaufgaben kaum möglich ist.126 Diese Vorschrift intensiviert an einer weiteren Stelle die Zusammenarbeit der externen Kontrollorgane und verbessert die Überwachung. Es empfiehlt sich, auch dem Vorstand einen Entwurf des Prüfungsberichts vorzulegen, 121 122 123
124 125
Vgl. Dörner, D. (KonTraG, 2000), S. 104. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 29. § 322 Abs. 3 HGB: "Im Bestätigungsvermerk ist auch darauf einzugehen, ob der Lagebericht und der Konzernlagebericht insgesamt nach der Beurteilung des Abschlußprüfers eine zutreffende Vorstellung von der Lage des Unternehmens oder des Konzerns vermittelt. Dabei ist auch darauf einzugehen, ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind." Vgl. Wiedmann, H. (Bilanzrecht, 1999), S. 631, S. 637; IDW PS 400, Anhang; Bsp. auch bei BDO (KonTraG, 1998), S. 40f. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 29; Böcking, H.-J./Orth, C. (Beitrag, 1998), S. 355f.
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
27
um die Richtigkeit der Informationen zu verifizieren. Dieses Verhalten darf jedoch nicht dazu führen, dass kritische Formulierungen aus dem Prüfungsbericht gestrichen werden. Dadurch würde der Prüfungsbericht, der für den Aufsichtsrat ein wesentliches Informationsinstrument darstellt, verfälscht werden.127
§ 171 Abs. 1 S. 2 AktG verpflichtet den Abschlussprüfer, an der Bilanzsitzung teilzunehmen und über die wesentlichen Ergebnisse seiner Prüfung zu berichten. Neben einer intensivierten Zusammenarbeit kann der Aufsichtsrat sich so ein Bild machen von dem Abschlussprüfer, dem er den Prüfungsauftrag erteilt.128 Dagegen wird zu Recht angeführt, dass diese Begründung letztendlich übertrieben ist, da die Qualität einer Abschlussprüfung nicht in erster Linie von dem präsentierenden Prüfungsleiter abhängig ist, sondern von dem gesamten Prüfungsteam.129
Allen Neuregelungen im Bereich der Abschlussprüfung ist gemein, dass sie versuchen, die Transparenz und den Informationsgehalt für unternehmensexterne Interessenten zu erhöhen. Außerdem soll die Überwachungstätigkeit des Aufsichtsrats durch eine engere und problemorientiertere Zusammenarbeit von Aufsichtsrat und Abschlussprüfer verbessert werden.
2.7 Ausstrahlungswirkung auf andere Rechtsformen Die Änderungen des KonTraG betreffen in erster Linie börsennotierte Gesellschaften. Der Gesetzgeber betont jedoch bereits in seiner Begründung, dass davon auszugehen ist, dass für andere Gesellschaftsformen, insbesondere die GmbH, je nach Größe, Komplexität ihrer Struktur usw. im Hinblick auf das Risikomanagement- und Überwachungssystem (insb. § 91 Abs. 2 AktG) die gleichen Regelungen gelten werden. Das KonTraG hat somit auch Ausstrahlungswirkungen auf den Pflichtenrahmen des Geschäftsführers einer GmbH.130 Auch die den Aufsichtsrat betreffenden Vorschriften gelten für die GmbH, sofern ein Aufsichtsrat gemäß Mitbestimmungsgesetz oder Betriebsverfassungsgesetz 1952 zu bilden ist und
126 127 128 129 130
Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 22. Vgl. KPMG (Reformen, 1998), S. 21. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 22. Vgl. Gelhausen, H.F. (Reform, 1997), S. 21. Vgl. Deutscher Bundestag (Gesetzesbegründung, 1998), S. 15; vgl. zum Begriff der Ausstrahlungswirkung im juristischen Sinne ausführlich Drygala, T./Drygala, A. (Frühwarnsystem, 2000), S. 300. Eine Ausstrahlungswirkung ist vor allem dann anzunehmen und die Norm entsprechend anzuwenden, wenn die Rechtsform die Interessenlage nicht verändert und der Umfang der Rechtspflicht somit gleich bleiben sollte.
28
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
für die GmbH & Co KG soweit ein Aufsichtsrat für die Komplementär-GmbH zu bilden ist.131 Bevor vorschnell die Änderungen des KonTraG auf andere Rechtsformen übertragen werden, muss jedoch berücksichtigt werden, welche Intention der Gesetzgeber mit diesem Gesetz verfolgt. So kommt eine analoge Anwendung vieler Regelungen nur dann in Betracht, wenn die Organisationsstruktur der Gesellschaft große Parallelen zu denen in der Rechtsform einer Aktiengesellschaft aufweist. Es muss eine Trennung zwischen Leitungs- und Überwachungsorgan vorliegen, damit die gesetzlichen Vorschriften sinnvoll angewandt werden können.132 Ohne Zweifel ist es auch für Gesellschaften anderer Rechtsform und Größe sinnvoll, ein Risikomanagement- und Überwachungssystem zu implementieren und dies von einem Wirtschaftsprüfer
kritisch
prüfen
zu
lassen.
Bei
eigentümerkontrollierten
und
nicht-
börsennotierten Gesellschaften besteht aus gesetzlicher Sicht allerdings insoweit kein Regulierungsbedarf, als es hier allein im Interesse der Beteiligten liegen sollte, sich um eine Installation von Überwachungs- und Risikomanagementsystemen zu bemühen.133 Eine generelle Anwendung des § 91 Abs. 2 AktG auf die GmbH schließt sicht aus, da der Gesetzgeber sonst ohne weiteres eine Änderung des GmbHG vornehmen hätte können.134 Eine besondere Problematik im Hinblick auf die Übertragbarkeit der gesetzlichen Änderungen auf andere Rechtsformen resultiert auch aus der uneinheitlichen Verwendung des Kriteriums der Börsennotierung. So gilt § 91 Abs. 2 AktG für alle Aktiengesellschaften, § 289 i.V.m. 315 HGB trennt nicht nach börsennotierten und nicht börsennotierten Aktiengesellschaften, sondern macht den Geltungsbereich abhängig von einer Größenklassifizierung nach § 267 HGB. Die Prüfung gemäß § 317 Abs. 2 und 4 HGB erfasst wiederum nur börsennotierte Aktiengesellschaften. Die daraus resultierende Problematik im Hinblick auf die Erwartungslücke wurde bereits in Kapitel 2.6 angesprochen. Abbildung 4 fasst die Auswirkung auf die unterschiedlichen Formen der Aktiengesellschaft und andere Gesellschaftsformen nochmals zusammen:
131 132
133 134
Vgl. Scharpf, P. (Sorgfaltspflichten, 1997), S. 737; Altmeppen, H. (Auswirkungen, 1999), S. 300ff. Vgl. Hommelhoff, P./Mattheus, D. (Meinungsspiegel, 1999), S. 439; Hommelhoff, P./Mattheus, D. (Risikomanagement, 2000), S. 221: Ausser Aktiengesellschaften fallen dann auch GmbH, die börsengängige Anleihen ausgeben oder Geld in anderer Form am Kapitalmarkt aufnehmen sowie die nach MitbestG verpflichtet sind, einen Aufsichtsrat zu bilden unter den Geltungsbereich des KonTraG, sowie GmbH, die als Konzernmutter fungieren. Vgl. Lenz, H. (Meinungsspiegel, 1999), S. 441; Hommelhoff, P./Mattheus, D. (Grundlagen, 2000), S. 26f.; Drygala, T./Drygala, A. (Frühwarnsystem, 2000), S. 300. Vgl. Drygala, T./Drygala, A. (Frühwarnsystem, 2000), S. 300 ff. : Große GmbH im Sinne des § 267 HGB sollten anhand ihrer Größe, Struktur und Branche eigenständig entscheiden, ob ein Risikomanagementsystem erforderlich ist. Kleine und mittlere GmbH im Sinne des § 267 HGB fallen nicht unter die Regelung des § 91 Abs. 2 AktG.
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
Aktiengesellschaften
Geltungsbereich der
Amtlicher Geregelter
29
GmbH Sonstige, nach
Tec-
Freiverkehr u.
HGB prüfungspflichtige Gesell-
Handel
Markt
DAX
sonstige
§ 3 II AktG
+
+
+
-
-
-
§ 91 II AktG
+
+
+
+
(+)
(+)
§ 317 IV HGB
+
+
+
-
-
-
§ 321 IV HGB
+
+
+
-
-
-
§ 289 I HGB
+
+
+
+
+
+
§ 315 I HGB
+
+
+
+
+
+
§ 317 II HGB
+
+
+
+
+
+
§ 321 I, II
+
+
+
+
+
+
+
+
+
+
+
+
Vorschriften
schaften
HGB § 322 i.V.m. § 317 II HGB Wobei: + : Regelung ist anzuwenden; -: Regelung ist nicht anzuwenden; (+): Ausstrahlungswirkung unter bestimmten Voraussetzungen
Abbildung 4: Überblick über den Geltungsbereich der modifizierten Vorschriften135
2.8 Überblick über die Modifizierungen im Hinblick auf den Bereich Risikomanagement- und Überwachungssystem Die nachfolgende Abbildung 5 skizziert über die einzelnen Kontrollorgane hinweg in einem Überblick, welche Änderungen sich im Hinblick auf das Risikomanagement- und Überwachungssystem einer Aktiengesellschaft ergeben. Ein solches - noch näher zu charakterisierendes - Risikomanagement- und Überwachungssystem bildet im weiteren Verlauf den Schwerpunkt der Arbeit.
135
Vgl. in Anlehnung an Böcking, H.-J./Orth, C. (Risikomanagement, 2000), S. 248.
30
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
Vorstand
Betroffen: börsennotierte AG
Betroffen: Alle AG
richtet ein und betreibt
Risikomanagement- und Überwachungssystem gemäß § 91 II AktG
Prüfung durch den Abschlussprüfer gemäß § 317 IV HGB
Abschlussprüfer
kontrolliert
Darstellung der Risiken im Lagebericht gemäß § 289 HGB Betroffen: Alle AG
Aufsichtsrat
Prüfung durch den Abschlussprüfer gemäß § 317 II HGB
Beauftragt und nimmt Ergebnisse zur Kenntnis
Abbildung 5: Gesetzesänderungen im Hinblick auf das Risikomanagement- und Überwachungssystem Der Gesetzgeber rückt durch das KonTraG ein Risikomanagement- und Überwachungssystem stärker in den Aufgabenbereich der Unternehmensführung. Der Vorstand ist zu seiner Einrichtung verpflichtet, und wird dabei von dem Aufsichtsrat überwacht, der seinerseits durch den Abschlussprüfer unterstützt wird. Die Neuregelungen sollen Anleger und Lageberichtsadressaten besser informieren und auf eventuelle Risiken hinweisen und damit nicht zuletzt weitere Unternehmenszusammenbrüche verhindern. Da der Gesetzgeber aufgrund der Heterogenität interner und externer Strukturen der Unternehmen keine konkreten Hinweise zur Ausgestaltung dieses Risikomanagement- und Überwachungssystems gegeben hat, stellt sich die Frage, wie Unternehmen diese Aufgabe bewältigen können, um zum einen die rechtlichen Vorschriften zu erfüllen, zum anderen aber auch einen möglichst hohen Nutzen aus den vorgeschriebenen Neuregelungen erzielen zu können.
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
31
2.9 Weiterentwicklungen des KonTraG
2.9.1
Deutscher Corporate Governance Kodex
Nach Inkrafttreten des KonTraG wurden, bedingt auch durch neuerliche Unternehmenszusammenbrüche wie bspw. Holzmann, Stimmen laut, die eine Ausweitung der Gesetzesänderungen und eine Verschärfung forderten. Der Gesetzgeber reagierte darauf mit der Einsetzung einer Regierungskommission "Corporate Governance - Unternehmensführung - Unternehmenskontrolle - Modernisierung des Aktienrechts", die unter Leitung von T. BAUMS (Baums-Kommission) Empfehlungen zu weitreichenden Gesetzesänderungen erarbeitet hat. Resultierend aus den Ergebnissen wurde am 06. September 2001 die Regierungskommission "Deutscher Corporate Governance Kodex" unter Leitung von G. CROMME einberufen ("Cromme-Kommission"), die einen Kodex erarbeiten sollte, der Lösungen für die der deutschen Corporate Governance entgegengebrachten Kritikpunkte beinhaltet.136 Im Februar 2002 wurde erstmalig der Deutsche Corporate Governance Kodex (DCGK) für börsennotierte Aktiengesellschaften veröffentlicht, der "das deutsche Corporate Governance System transparent und nachvollziehbar"137 machen will. Der Kodex soll das Vertrauen internationaler und nationaler Anleger sowie der Kunden und Mitarbeiter, aber auch der Öffentlichkeit im Hinblick auf die Leitung und Überwachung deutscher Aktiengesellschaften stärken.138 Der Kodex unterscheidet in seinen Formulierungen drei Kategorien von Bestimmungen: Zum einen existieren Bestimmungen, die lediglich geltendes Recht wiedergeben ("Muss"Vorschrift), zum anderen Empfehlungen ("Soll"-Formulierung), darüber hinaus Anregungen ("Sollte" oder "Kann"-Formulierung).139 Die "Muss"-Vorschriften als geltendes Recht werden im Kodex aus Gründen der Übersichtlichkeit und Kommunikation - vor allem für ausländische Investoren, die mit dem deutschen Rechtssystem weniger vertraut sind - wiedergegeben.140 Unabhängig von dem DCGK gelten sie verpflichtend für alle Unternehmen, die den
136 137 138 139
140
Vgl. BDI & PwC (Corporate, 2002), S. 45f. Bundesministerium der Justiz (Corporate Governance Kodex , 2002), Präambel. Vgl. Bundesministerium der Justiz (Corporate Governance Kodex , 2002), Präambel. Vgl. Bundesministerium der Justiz (Corporate Governance Kodex , 2002), Präambel; v. Werder, A. (Kommentar, 2003), Rz. 95f; für einen Überblick aller Regelungen und die Art der Regelung (Pflicht, Empfehlung oder Anregung) siehe IDW PS 345, Anhang 1. Ein Beispiel für eine "Muss"-Vorschrift findet sich im DCGK unter Punkt 4.1.4: Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen. Vgl. Bundesministerium der Justiz (Corporate Governance Kodex , 2002), 4.1.4.
32
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
jeweiligen Gesetzen unterliegen. Die Soll-Empfehlungen141 bilden den Bereich der gesetzesergänzenden Empfehlungen, für die das Prinzip der grundsätzlich freiwilligen Einhaltung gilt.142 Obwohl die Übernahme dieser Empfehlungen des DCGK freiwillig ist, werden die Vorstände und Aufsichtsräte einer börsennotierten Gesellschaft jedoch gemäß § 161 AktG verpflichtet zu erklären, dass „den [...] Empfehlungen der „Regierungskommission Deutscher Corporate Governance Kodex“ entsprochen wurde und wird oder welche Empfehlungen nicht angewendet wurden oder werden“143. Diese sogenannte „Comply or Explain“ Erklärung ist dabei den Aktionären dauerhaft zugänglich zu machen.144 § 161 AktG wurde Mitte 2002 durch den Gesetzgeber im Rahmen des TransPuG145 in das Aktiengesetz eingefügt. Die Entsprechenserklärung, die von Vorstand und Aufsichtsrat gemeinsam abgegeben werden muss, ist vergangenheits- und zukunftsorientiert.146 Die Erklärung nach § 161 AktG bezieht sich ausschließlich auf die Befolgung oder Nichtbefolgung der Empfehlungen, Abweichungen von Anregungen sind dagegen nicht zwingend offen zu legen.147 Die Anregungen („Sollte“- bzw. „Kann“-Formulierung148) umfassen Regelungen, die „ebenfalls Ausdruck guter Unternehmensführung sind, sich bislang allerdings noch nicht auf breiter Front in der Praxis durchgesetzt haben“149. Mit den Anregungen wird der Versuch gewagt, Unternehmen proaktiv in die weitere Entwicklung der Corporate Governance mit einzubeziehen, ohne schon jetzt die erforderlichen Regelungen und Bindungen zu schaffen.150 Die Erklärung des § 161 AktG war erstmals im Jahr 2002 abzugeben. Es ist davon auszugehen, dass durch § 161 AktG ein nicht unerhebliches Druckpotenzial für die Unternehmenslei-
141
142 143 144 145 146
147 148
149 150
Ein Beispiel einer "Soll"-Formulierung findet sich im DCGK unter Punkt 3.10: Vorstand und Aufsichtsrat sollen jährlich im Geschäftsbericht über die Corporate Governance des Unternehmens berichten. Hierzu gehört auch die Erläuterung eventueller Abweichungen von den Empfehlungen dieses Kodex. Dabei kann auch zu den Kodexanregungen Stellung genommen werden. Vgl. Bundesministerium der Justiz (Corporate Governance Kodex , 2002), 3.10. Vgl. v. Werder, A. (Grundlagen, 2002), S. 802. Wortlaut des § 161 AktG. Vgl. v. Werder, A. (Kommentar, 2003), Rz. 97. Auch das TransPuG ist auf Empfehlungen der Baums-Kommission zurückzuführen. Vgl. Deutscher Bundestag (Gesetzesbegründung, 2002), S. 22. Nichtbörsennotierte Gesellschaften und GmbH sind von der Abgabe einer Entsprechenserklärung ausgenommen. Ratsam ist jedoch, auch in diesen Gesellschaftsformen die Empfehlungen und Anregungen freiwillig zu befolgen. Vgl. Deutscher Bundestag (Gesetzesbegründung, 2002), S. 21, Ringleb, H.-M. (Kommentar, 2003), Rz. 36 ff. Ein Beispiel für eine "Sollte"-Anregung findet sich im DCGK unter Punkt 2.3.4: Die Gesellschaft sollte den Aktionären die Verfolgung der Hauptversammlung über moderne Kommunikationsmedien (z.B. Internet) ermöglichen. Vgl. Bundesministerium der Justiz (Corporate Governance Kodex , 2002), 2.3.4. v. Werder, A. (Grundlagen, 2002), S. 802. Vgl. v. Werder, A. (Grundlagen, 2002), S. 803.
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
33
tung entsteht, denn ein Nichtbefolgen der Empfehlungen zwingt die Vorstände und Aufsichtsräte zu Rechtfertigungen gegenüber Aktionären, Investoren und Kunden.151 Es ist jedoch an dieser Stelle nochmals hervorzuheben, dass dem Kodex, der nicht von dem parlamentarischen Gesetzgeber erlassen wurde, kein gesetzlicher Normcharakter zukommt. Der DCGK ist nicht vergleichbar mit dem privaten Rechnungslegungsgremium nach § 342 HGB (DRSC): wird den Empfehlungen des DRSC gefolgt, so lässt sich vermuten, dass in Übereinstimmung mit den Grundsätzen ordnungsmäßiger Buchführung gehandelt wurde.152 "Wer die Empfehlungen des Kodex berücksichtigt, dem steht hingegen keine gesetzliche Vermutung zur Seite, im Rahmen der §§ 93, 116 AktG ordnungsgemäß gehandelt zu haben."153 § 161 AktG ist neutral formuliert und lässt weder eine Wertung im positiven oder negativen Sinne zu: der Wortlaut weist daraufhin, dass der Kodex Verhaltensempfehlungen gibt, von denen jedoch ohne weiteres abgewichen werden kann. Somit kann durch die Beachtung oder Nichtbeachtung des Kodex kein Rückschluss darauf gezogen werden, ob die Gesellschaftsorgane ihren Sorgfaltspflichten nachkommen, wenn sie den Kodex anerkennen oder ihren Pflichten nicht entsprechen, wenn sie vom Kodex abweichen.154 Der DCGK gliedert sich in sieben Abschnitte: Neben einer Präambel (Abschnitt 1), werden die Bestimmungen für Aktionäre und die Hauptversammlung (Abschnitt 2), die Bestimmungen für das Zusammenwirken von Vorstand und Aufsichtsrat (Abschnitt 3), die speziellen Aufgaben und Zuständigkeiten des Vorstands (Abschnitt 4) und des Aufsichtsrats (Abschnitt 5) sowie die Regelungen zu Transparenz (Abschnitt 6) und Rechnungslegung und Abschlussprüfung (Abschnitt 7) unterschieden.155 An dieser Stelle sind vor allem die Empfehlungen und Anregungen von Interesse, die in direktem Zusammenhang mit den vorgestellten Änderungen des KonTraG, speziell des Risikomanagement- und Überwachungssystems, stehen. Der Kodex hebt die Aufgabe des Vorstands für ein angemessenes Risikomanagement und Risikocontrolling156 zu sorgen in Ziffer 4.1.4 deutlich hervor und unterstreicht damit die bereits existierenden Regelungen in § 91 Abs. 2 AktG.157 Es handelt sich hierbei nicht um eine empfehlende Vorschrift, vielmehr wird die bestehende Gesetzeslage verdeutlicht und hervorgehoben ("Muss"-Vorschrift). Hervorhebenswert erscheint darüber hinaus die Empfehlung im
151 152 153 154 155 156 157
Vgl. Preußner, J./Zimmermann, D. (Risikomanagement, 2002), S. 660. Vgl. Ringleb, H.-M. (Kommentar, 2003), Rz. 46ff. Ringleb, H.-M. (Kommentar, 2003), Rz. 49. Vgl. Ringleb, H.-M. (Kommentar, 2003), Rz. 50ff. Vgl. v. Werder, A. (Grundlagen, 2002), S. 803. Vgl. zur begrifflichen Einordnung des Risikocontrolling 3.3.3.2. Vgl. Bundesministerium der Justiz (Corporate Governance Kodex , 2002), Ziffer 4.1.4.
34
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
Hinblick auf die Pflichten des Aufsichtsrats, wonach der Kodex in Ziffer 5.2 rät, dass der Aufsichtsrat regelmäßig mit dem Vorstand über das Risikomanagement beraten sollte. In Ziffer 5.3.2 wird darüber hinaus eine Einrichtung eines Prüfungsausschusses durch den Aufsichtsrat vorgeschlagen, der sich eingängig u.a. mit der Prüfung des Risikomanagements befassen sollte. Der Kodex schärft damit in den Unternehmen zusätzlich das Bewusstsein für die Bedeutung und Notwendigkeit eines Risikomanagements.158 2.9.2
Sarbanes-Oxley Act
Als Reaktion auf verschiedene Bilanzskandale (z.B. ENRON, MCI Worldcom) wurde auch in den USA am 30. Juli 2002 ein Artikelgesetz erlassen, das bestehende Corporate Governance Regelungen reformiert. Dieser sogenannte Sarbanes-Oxley Act (SOA), benannt nach den Hauptinitiatoren, umfasst zahlreiche Aspekte der Corporate Governance, die weitreichende Veränderungen für Unternehmen, Wirtschaftsprüfer und Aufsichtsorgane nach sich ziehen.159 Ziel des SOA ist es, das Vertrauen der Anleger in den Kapitalmarkt nachhaltig zu stärken. Bemerkenswert ist, dass der SOA nicht nur auf US-amerikanische Publikumsgesellschaften angewendet wird, sondern auf alle Unternehmen, deren Wertpapiere bei der Securities Exchange Commission (SEC) registriert sind. Darüber hinaus fallen unter den Geltungsbereich des SOA auch Prüfer bzw. Prüfungsgesellschaften, die Prüfungsleistungen für diese SECregistrierten Unternehmen erbringen.160 Deutsche Unternehmen, die an einer USamerikanischen Börse notiert sind, sind deshalb ebenso betroffen, wie deutsche Prüfungsgesellschaften, die Leistungen für Unternehmen oder Tochtergesellschaften von Unternehmen, die an einer US-amerikanischen Börse notiert sind, erbringen. Von ausländischen Emittenten und Prüfungsgesellschaften werden die extraterritorialen Wirkungen des SOA sehr kritisch betrachtet. Die EU-Kommission und nationale Wirtschaftsprüferkammern bzw. –institutionen (z.B. IDW) engagieren sich, um für ausländische Emittenten und Prüfungsgesellschaften Erleichterungen in der Anwendung der Vorschriften des SOA zu erwirken.161 Ein endgültiges Ergebnis ist jedoch bei vielen Bestimmungen noch nicht absehbar. Die Änderungen, die sich auch für deutsche Unternehmen ergeben, sollen im Folgenden kurz vorgestellt werden. Aufgrund des großen Umfanges des SOA liegt der Schwerpunkt der hier vorgestellten Regelungen bei denjenigen, die Parallelen zu den Änderungen des KonTraG
158 159 160 161
Vgl. Preußner, J./Zimmermann, D. (Risikomanagement, 2002), S. 658, 660. Vgl. Bertschinger, P./Schaad, M. (Sarbanes-Oxley Act, 2002), S. 883. Vgl. Emmerich, G. /Schaum, W. (Auswirkungen, 2003), S. 677. Vgl. Lanfermann, G./Maul, S. (SEC-Ausführungsregelungen, 2003), S. 349f.
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
35
aufweisen und im Zusammenhang mit dem Risikomanagement- und Überwachungssystem stehen. Der SOA ermächtigt die SEC, Regeln und Vorschriften zur Durchführung des Gesetzes zu erlassen. Bisher existieren noch nicht zu allem Bestimmungen Durchführungsverordnungen, weshalb einige Bestimmungen in ihrer Auswirkung noch nicht abschließend beurteilt werden können. Als einer der zentralen Punkte des SOA wird section 301 SOA angesehen, der die Aufgaben des Audit Committee umschreibt. Aufgabe des Audit Committees (unternehmensinterner Kontroll- und Prüfungsausschuss) ist die Überwachung der ordnungsmäßigen Finanzberichterstattung.162 Darüber hinaus soll das Audit Committee über die Bestellung, Vergütung und Beibehaltung des Abschlussprüfers entscheiden und die Arbeit des Abschlussprüfers überwachen. „Es obliegt also dem Audit Committee über das erforderlich erachtete Maß der Unabhängigkeit des Abschlussprüfers zu entscheiden.“163 Eine der am stärksten diskutierten Änderungen betrifft die eidesstattliche Beglaubigung der Geschäftsabschlüsse durch den CEO und CFO.164 Diese müssen Richtigkeit und Vollständigkeit des Jahres- und Quartalsberichte in wesentlicher Hinsicht sowie ihre Verantwortung für das interne Kontrollsystem bestätigen. Wissentlich falsche Bestätigungen werden strafrechtlich verfolgt. Ausländische Emittenten sind von dieser Regelung nicht befreit worden.165 Das interne Kontrollsystem erscheint vor allem in Bezug auf das Risikomanagement von besonderem Interesse. Durch das interne Kontrollsystem sollen dem Management wesentliche Informationen im Hinblick auf das Unternehmen und seine konsolidierten Tochtergesellschaften zugehen. Aufgegriffen wird das interne Kontrollsystem erneut in section 404 SOA: Das Management muss einen jährlichen Bericht vorlegen, der die Verantwortlichkeit für die Implementierung und Funktionsfähigkeit einer „adequate internal control structure and procedures for financial reporting“166 beinhaltet. Der Abschlussprüfer muss einen Prüfbericht verfassen, der die Wirksamkeit des internen Kontrollsystems (IKS) beurteilt. Der Bericht muss eine Aussage darüber enthalten, inwieweit der Bericht des Managements zutreffend ist, das Management ein IKS und ein Finanzberichtswesen geschaffen und implementiert hat uns es in aus-
162
163 164 165 166
Vgl. Lanfermann, G./Maul, S. (SEC-Ausführungsregelungen, 2003), S. 350: Bei dualistischen Unternehmensverfassungen, wie in Deutschland, sind die Vorschriften bzgl. des Audit Committees auf den Aufsichtsrat als überwachendes Organ anzuwenden. Lanfermann, G./Maul, S. (SEC-Ausführungsregelungen, 2003), S. 351. Vgl. FEI (Sarbanes-Oxley-Act, 2002), Section 302; Bühler, P./Schweizer, M. (Sarbanes-Oxley Act, 2002), S. 998. Vgl. Lanfermann, G./Maul, S. (SEC-Ausführungsregelungen, 2003), S. 352. Vgl. FEI (Sarbanes-Oxley-Act, 2002), Section 404.
36
2 Gesetzliche Änderungen als Ausgangspunkt für das Risikomanagement in Unternehmen
reichendem Maße pflegt und wie wirksam diese Systeme funktionieren.167 Hier zeigen sich Parallelen zu dem durch KonTraG eingeführten § 317 Abs. 4 HGB i.V.m. § 91 Abs. 2 AktG und der Verpflichtung zur Einrichtung und Prüfung eines Überwachungssystems.168 Zu den Unterschieden des IKS nach SOA und den nach KonTraG geforderten Systemen vgl. 4.6. Der SOA rückt, wie auch das KonTraG, die Unabhängigkeit der Wirtschaftsprüfer stärker in den Mittelpunkt: so wird u.a. ein Verbot erlassen, nicht prüfungsbezogenen Beratungsleistungen durchzuführen (ausgenommen Steuerberatung).169 Aber auch Regelungen zur Rotation des Abschlussprüfers sind vorgesehen.170 Durch den SOA wird eine neues Aufsichtsgremium für die Wirtschaftsprüfer geschaffen, das Public Company Accounting Oversight Board (PCAOB)171, das direkt der SEC unterstellt ist, und über weitreichende Aufgaben verfügt.172 Darunter fällt u.a. eine jährliche Inspektion der Prüffirmen, aber auch die Autorisierung von neuen Rechnungslegungsstandards nach Ausarbeitung durch das Financial Accounting Standards Board (FASB).173
Wenngleich zahlreiche Unterschiede bestehen, so ist eine Analogie zu den bereits geltenden Regelungen des KonTraG in Deutschland nicht zu übersehen. Inwieweit die Bestimmungen des SOA weitreichende Änderungen auf deutsche Unternehmen haben werden, wird im Rahmen der vorliegenden Arbeit nicht vertiefend diskutiert. An einzelnen Stellen wird jedoch auf die Kompatibilität der SOA-Bestimmungen zu den geforderten deutschen Bestimmungen hingewiesen und gegebenenfalls eine Abgrenzung vorgenommen.
Im folgenden Kapitel werden die Grundlagen des Risikomanagements dargestellt, wobei zunächst eine Einordnung und Abgrenzung des Risikobegriffs erfolgt, bevor auf das Risikomanagement- und Überwachungssystem eingegangen wird.
167 168 169 170 171 172 173
Vgl. Bertschinger, P./Schaad, M. (Sarbanes-Oxley Act, 2002), S. 886. Vgl. Lanfermann, G. /Maul, S. (Auswirkungen, 2002), S. 1726. Vgl. FEI (Sarbanes-Oxley-Act, 2002), Section 201; Bertschinger, P./Schaad, M. (Sarbanes-Oxley Act, 2002), S. 883 f.; Emmerich, G. /Schaum, W. (Auswirkungen, 2003), S. 686ff. Vgl. FEI (Sarbanes-Oxley-Act, 2002), Section 203, Lanfermann, G./Maul, S. (SECAusführungsregelungen, 2003), S. 354f. Bei dem PCAOB handelt es sich um eine gemeinnützige privatrechtliche Organisation. Vgl. Emmerich, G. /Schaum, W. (Auswirkungen, 2003), S. 679. Vgl. FEI (Sarbanes-Oxley-Act, 2002), Section 101- 108; Bertschinger, P./Schaad, M. (Sarbanes-Oxley Act, 2002), S. 884.
3 Grundlagen des Risikomanagements
3
37
Grundlagen des Risikomanagements
3.1 Risiko
3.1.1
Risikobegriff in der wirtschaftswissenschaftlichen Literatur
3.1.1.1 Begrifflicher Ursprung Aus dem KonTraG lässt sich zwar die Verpflichtung zur Installation eines Risikomanagement- und Überwachungssystems ableiten, aus dem Gesetzestext und aus der Gesetzesbegründung geht jedoch nicht eindeutig hervor, was unter dem Begriff "Risiko" zu verstehen ist. Einen allgemein gültigen und einheitlich definierten Risikobegriff, der analog angewendet werden könnte, gibt es auch in der wirtschaftswissenschaftlichen1 Literatur nicht. Die Interpretationsmöglichkeiten des KonTraG und die möglichen, daraus resultierenden Missverständnisse machen jedoch sowohl eine Definition, als auch die Abgrenzung zu Begriffen wie Unsicherheit, Ungewissheit und Chance, die im allgemeinen Sprachgebrauch häufig synonym zu dem Begriff Risiko verwendet werden, erforderlich. Der sprachliche Ursprung des Begriffes „Risiko“ ist umstritten. Es gibt zum einen Stimmen, die ihn aus dem arabischen ableiten, andererseits tauchen wortverwandte Begriffe auch in alten italienischen und spanischen Texten auf.2 Abgeleitet aus dem frühitalienischen „risicare“, das im deutschen mit „wagen“ übersetzt wird, kann Risiko begrifflich eher als eine aktive Wahlentscheidung als etwas schicksalhaft Vorbestimmtes eingeordnet werden.3 Es werden im Folgenden schwerpunktmäßig verschiedene begriffliche Sichtweisen dargestellt, aus denen eine allgemeingültige Definition des Risikobegriffs im Sinne des KonTraG abgeleitet wird. Ein Anspruch auf Darstellung aller in Theorie und Praxis existierender Risikodefinitionen besteht jedoch nicht. Betrachtet man die verschiedenen Risikodefinitionen in ihrer historischen Entstehungsgeschichte, so kristallisieren sich vor allem zwei große Gruppen heraus, die sogenannten ursachenbezogenen und wirkungsbezogenen Ansätze.4
1 2 3 4
Auf die Definition des Risikobegriffs in anderen wissenschaftlichen Disziplinen wird hier verzichtet. Vgl. Luhmann, N. (Risiko, 1991), S. 17f.; Krämer, G. (Risiko, 2002), S. 309. Vgl. Bernstein, P. L. (Riskmanagement, 1997), S. 18. Vgl. Braun, H. (Risikomanagement, 1984), S. 22; andere Klassifizierungen finden sich z.B. bei Imboden, C. (Risikohandhabungsverfahren, 1983), S. 40ff.
38
3 Grundlagen des Risikomanagements
3.1.1.2 Ursachenbezogene Ansätze Allen ursachenbezogenen Risikodefinitionen ist gemein, dass sie Risiko im Zusammenhang mit betrieblichen Entscheidungssituationen betrachten. Die Vertreter der ursachenorientierten Darstellung stellen bei der Definition des Risikobegriffs vor allem die Ursache des Risikos, resultierend aus der unsicheren Zukunftssituation, in den Mittelpunkt. KNIGHT5, einer der frühen Vertreter dieser Gruppe, definiert Risiko als quantifizierbare, zugleich messbare Unsicherheit. Er umschreibt Risiko als Verlustgefahr, die objektiv messbar ist. Vom Risiko grenzt er die Ungewissheit ab, wobei diese einen subjektiv unsicheren Ausgang eines Ereignisses umfasst, der sowohl negativ als auch positiv sein kann.6 Bei dieser Definition wird versucht, die Informationsstruktur zum Zeitpunkt der Wahlhandlung zu charakterisieren und hieraus unterschiedliche Zustände abzuleiten. Allerdings wurde schon früh Kritik - vor allem von deutschsprachiger Seite - an dieser Darstellungsweise geübt. So ist anzuzweifeln, ob im deutschen Sprachraum Risiko und Ungewissheit durch das Kriterium der rechnerischen Erfassbarkeit abgegrenzt werden können, und ob Risiko nicht über die reine mathematische Betrachtung hinausgeht.7 Risiko und Ungewissheit sind nicht als artgleich auf einer Hierarchiestufe einzuordnen, vielmehr gilt Ungewissheit als Voraussetzung für das Entstehen von Risiko, „Risiko ist durch unvollkommene Information hervorgerufen“8. Anders ausgedrückt bedeutet dies, dass bei vollkommener Transparenz über die Zukunft ein Risiko gar nicht existieren könnte, da sämtliches unternehmerisches Handeln bereits vorbestimmt ist.9 Zum anderen unterstellt KNIGHT bei seiner Risikodefinition, dass eine Ableitung von objektiven Wahrscheinlichkeiten immer möglich ist10, und dass entweder objektive oder subjektive Wahrscheinlichkeiten vorliegen, nie jedoch Mischformen, die bei bestimmten Datenklassen objektive Urteile zulassen, bei anderen jedoch nur subjektive Schätzungen erlauben.11 Objektive Wahrscheinlichkeiten ergeben sich dann, wenn die zugrundeliegende Wahrscheinlichkeitsverteilung intersubjektiv nachvollzogen werden kann. Sie lassen sich in logische und empirische Wahrscheinlichkeiten untergliedern.12 Logische Wahrscheinlichkeiten werden auch als mathematische Wahrscheinlichkeiten bezeichnet und lassen sich a priori anhand von
5 6 7 8 9 10 11 12
Vgl. Knight, F.H. (Risk, 1921), S. 20. Vgl. Knight, F.H. (Risk, 1921), S. 232. Vgl. Haas, C. (Unsicherheit, 1965), S. 16. Wittmann, W. (Information, 1959), S. 55; vgl. ähnlich Haas, C. (Unsicherheit, 1965), S. 16. Vgl. Wossidlo, P. (Reservierung, 1970), S. 32. Vgl. Haas, C. (Unsicherheit, 1965), S. 17 f. Vgl. Kupsch, P. (Risiko, 1973), S. 27. Vgl. Bitz, M. (Entscheidungstheorie, 1981), S. 15.
3 Grundlagen des Risikomanagements
39
Gesetzesmäßigkeiten und Symmetrien berechnen. Empirische Wahrscheinlichkeiten hingegen gründen auf statistischem Zahlenmaterial, das sich seinerseits wieder auf empirische Daten zurückführen lässt. Für eine Entscheidungssituation im Unternehmen sind diese Wahrscheinlichkeiten jedoch nur begrenzt anwendbar, da viele Entscheidungen einen einmaligen Charakter besitzen und somit kein vergangenheitsorientiertes empirisches Datenmaterial oder mathematische Gesetzesmäßigkeiten existieren.13 Subjektive Wahrscheinlichkeiten hingegen liegen dann vor, wenn die Einschätzung einer Ungewissheitssituation von einzelnen Entscheidenden auf Basis subjektiver Erfahrungen und Überlegung gebildet wird.14 Eine subjektive Wahrscheinlichkeit ist dadurch von Dritten nicht nachvollziehbar. Im Hinblick auf ihre zahlenmäßige Abbildung lassen sich qualitative und quantitative Wahrscheinlichkeiten unterscheiden. Von qualitativen oder ordinalen Wahrscheinlichkeiten spricht man, wenn persönliche, also subjektive Wahrscheinlichkeiten, auf einer Ordinalskala in eine Rangfolge gebracht werden.15 Quantitative Wahrscheinlichkeiten hingegen bilden die Anwendungsvoraussetzung für die Wahrscheinlichkeitsrechnung und gehen von einer vollständigen Planbarkeit der Zukunft aus. Eine nachträgliche Änderung der geplanten Zukunftssituation durch unvorhersehbar eintretende Ereignisse ist nicht vorgesehen. 16 Somit besteht "vollständige Gewissheit über die Ungewissheit"17. Der Anteil der im Unternehmen vorhandenen, objektiven Wahrscheinlichkeiten über Sachverhalte ist naturgemäß gering,18 was unter Anwendung der Terminologie von KNIGHT dazu führen würde, dass die Verwendung des Risikobegriffs im wirtschaftlichen Sprachgebrauch erheblich an Bedeutung verlieren würde; worauf seine derzeitige fast schon inflationär häufige Verwendung allerdings kaum schließen lässt. So kann als Beispiel die strategische Entscheidung angeführt werden, für die aufgrund ihrer Unregelmäßigkeit und der laufenden Umweltveränderungen keine objektiven Wahrscheinlichkeiten ermittel- und berechenbar sind. Folgt man der Ansicht von KNIGHT, so würden strategische Entscheidungen grundsätzlich nicht unter Risiko getroffen, da nur subjektive Wahrscheinlichkeiten gebildet werden können.19
13 14 15 16 17 18 19
Vgl. Philipp, F. (Risiko, 1984), Sp. 3456; Perridon, L./Steiner, M. (Finanzwirtschaft, 1997), S. 99; Wall, F. (Risikomanagement, 2001), S. 210. Vgl. Haas, C. (Unsicherheit, 1965), S. 34; Perridon, L./Steiner, M. (Finanzwirtschaft, 1997), S. 99. Vgl. Schneider, D. (Risk Management, 2001), S. 187. Vgl. Schneider, D. (Risk Management, 2001), S. 189. Schneider, D. (Risk Management, 2001), S. 189. Vgl. Wossidlo, P. (Reservierung, 1970), S. 35 f.; Schneider, D. (Investition, 1992), S. 432ff. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 50.
40
3 Grundlagen des Risikomanagements
Ausgehend von dieser Kritik ging man dazu über, anstelle der Trennung von objektiven und subjektiven Wahrscheinlichkeiten generell lediglich die Existenz von Wahrscheinlichkeiten als Kriterium für das Vorhandensein einer Risikosituation zu werten.20 Der Ursprung des Risikos liegt damit weiterhin in der unsicheren Zukunft. Subjektabhängig, also in Abhängigkeit des Entscheiders, lassen sich verschiedene Wahrscheinlichkeiten bilden, die jedoch auch geschätzt werden können. Selbst wenn objektive Wahrscheinlichkeiten bekannt sind, muss ein Entscheider erst prüfen, ob diese Wahrscheinlichkeitsverteilungen für seine individuelle Entscheidung passend sind und ob sie so übernommen werden können. Eine Entscheidung wird somit immer auf Basis subjektiver Einschätzungen gefällt.21 Eine andere Terminologie wurde von ALBACH22 in Anlehnung an die Erwartungslehre entwickelt. Er schließt sich der Unterscheidung von KNIGHT an und umschreibt Risiko als Situation, in der dem Entscheider die Wahrscheinlichkeiten, die für das Auftreten bestimmter zukünftiger Ereignisse gelten, bekannt sind. Allerdings unterscheidet ALBACH weiterhin zwischen Ungewissheit als Situation, bei der dem Entscheider subjektive Eintrittswahrscheinlichkeiten vorliegen und Unsicherheit, wo es keinerlei Wahrscheinlichkeiten bezüglich des Eintretens zukünftiger Ereignisse gibt.23 Die nachfolgende Tabelle 1 verdeutlicht diese Unterscheidungen:
20 21 22 23
Vgl. Karten, W. (Risk Management, 1978), S. 311; Perridon, L./Steiner, M. (Finanzwirtschaft, 1997), S. 100. Vgl. Karten, W. (Unsicherheit, 1972), S. 160. Vgl. Albach, H. (Unsicherheit, 1984), Sp. 4037. Vgl. Albach, H. (Unsicherheit, 1984), Sp. 4037.
3 Grundlagen des Risikomanagements
41
Unsicherheitskategorie
Charakteristika
Beispiele
1. Ordnung (Risiko)
Es liegen objektive Eintritts-
Wechselkursschwankungen,
wahrscheinlichkeiten für alle
Krankenstand der Mitarbeiter
zukünftigen Umwelt-zustände vor (versicherbare Risiken, auf dem Finanzmarkt handelbar). 2. Ordnung (Ungewissheit)
Es liegen subjektive Wahr-
Erwartete Umsatzerlöse und
scheinlichkeiten für alle zu-
Anlaufverluste bei Markter-
künftigen Umweltzustände vor
weiterung
(Subjektive Ermittlung durch Intuition/Heuristik). 3. Ordnung (Unsicherheit)
Es liegen keine Eintrittswahr-
Fusion verschiedener Unter-
scheinlichkeiten für zukünftige
nehmen mit dem Ziel einer
Umweltzustände vor, die Um-
verbesserten Marktposition
weltzustände sind aber der Art nach bekannt. 4. Ordnung (Unsicherheit)
Es liegen keine Eintrittswahr-
Aus- und Nebenwirkungen
scheinlichkeiten für zukünftige
neuer Produkte im Bereich
Umweltzu-stände vor, die Um-
Bio- und Gentechnologie
weltzu-stände sind nicht einmal alle der Art nach bekannt. Tabelle 1: Unterscheidung der Begriffe Unsicherheit und Ungewissheit24 Noch weiter wird der Risikobegriff bei D. SCHNEIDER gefasst, der Risiko nicht mit einer Verlustgefahr assoziiert, sondern Risiko als „mangelnde Beherrschung dessen, was eintreten wird“25 umschreibt. Hier erfolgt eine generelle Gleichsetzung des Risikos mit den verschiedenen Unsicherheitskategorien. Allerdings untergliedert D. SCHNEIDER den Unsicherheitsbegriff in eine allgemeine Ungewissheit und sogenannte Informationsrisiken.26 Die Ungewissheit beschreibt dabei den Versuch, alle denkbaren künftigen Zustände, die eine Handlungsmöglichkeit beeinflussen können, in einem Planungsmodell aufzulisten. Die Informati-
24 25 26
modifiziert nach Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 13, in Anlehnung an Albach. Schneider, D. (Investition, 1992), S. 35. Vgl. Schneider, D. (Risk Management, 2001), S. 181.
42
3 Grundlagen des Risikomanagements
onsrisiken wirken dann als sogenannte „Ex-Post-Überraschungen“, als Gefahr also, später eintretende Ist-Zustände in dem Planungsmodell übersehen zu haben.27 So ist nach D. SCHNEIDER die Situation der Planung unter Ungewissheit dann gegeben, wenn „bei vorgegebenem beschränkten Wissen alle denkbaren Zukunftslagen aufgelistet worden sind, so dass als sicher gilt: Eine dieser Zukunftslagen wird eintreten, man weiß im Entscheidungszeitpunkt für eine Handlungsmöglichkeit nur nicht, welche“28. LUHMANN widerspricht dieser Ansicht, dahingehend, dass Zukunft generell nicht vorhersehbar ist. Es resultiert ein Risiko aus einer Entscheidung, weil die Entscheidung Zeit bindet, „obwohl man Zukunft nicht hinreichend nennen kann, nicht einmal die Zukunft, die man durch eigene Entscheidungen erzeugt“29. An dieser Stelle lässt sich festhalten, dass Unsicherheit nicht als die alleinige Quelle des Risikos gilt. So gilt menschliches Versagen, das sich z.B. in Nichtbeachten von Informationen oder in zu geringer Erfahrung widerspiegeln kann, als weitere Risikoursache.30 Außerdem von Bedeutung ist die Zielabhängigkeit des Risikos.31 So können zwar verschiedene Wahrscheinlichkeiten für den Eintritt eines Ereignisses vorliegen, wie beispielsweise über die Entwicklung des Marktpreises für ein Neuprodukt, jedoch erst in dem Moment, in dem ein bestimmtes Ziel, resultierend aus einer Entscheidung, mit der Marktpreisentwicklung verbunden ist, „trägt man das Risiko“.32 Bei Hervorhebung der Zielabhängigkeit des Risikos spiegelt sich auch die enge Verbindung zwischen Risiko und Entscheidung wider.33 Erst wenn eine Entscheidung getroffen wird, mit der ein bestimmtes Ziel verfolgt wird, kann daraus folgend ein Risiko entstehen. Deshalb werden die ursachenorientierten Ansätze auch häufig als entscheidungsorientierte Ansätze bezeichnet.34 3.1.1.3 Wirkungsbezogene Ansätze Einen anderen Schwerpunkt bei der Risikobetrachtung setzen die wirkungsbezogenen Ansätze, die das Risiko ausgehend von den Wirkungen, die durch Eintritt eines Risikos resultieren können, betrachten. Der Tatbestand der Entscheidung rückt in den Hintergrund, wobei die Merkmale der Zielabhängigkeit und der Ungewissheit als Voraussetzung bestehen bleiben.
27 28 29 30 31 32 33 34
Vgl. Schneider, D. (Risk Management, 2001), S. 181. Schneider, D. (Risk Management, 2001), S. 182. Luhmann, N. (Risiko, 1991), S.21. Vgl. Bussmann, K. (Risiko, 1955), S. 20; Wittmann, W. (Information, 1959), S. 36; Philipp, F. (Risiko, 1984), Sp. 3455; Schneider, D. (Risk Management, 2001), S. 184. Vgl. ausführlich Krämer, G. (Risiko, 2002), S. 309f. Wossidlo, P. (Reservierung, 1970), S. 30; Vgl. Haller, M. (Eckpunkte, 1986), S. 18. Vgl. Wittmann, W. (Information, 1959), S. 189 Fußnote 358. Vgl. Kupsch, P. (Risiko, 1973), S. 29.
3 Grundlagen des Risikomanagements
43
Alle wirkungsbezogenen Ansätze bauen dabei auf einer zielbezogenen Begriffbestimmung auf, wobei die drohende Verlustgefahr als Wirkung des Risikos im Vordergrund steht.35 In der wirtschaftswissenschaftlichen Literatur finden sich unterschiedliche Definitionen des dabei unterstellten Verlustbegriffs. So definiert LEITNER Risiko bspw. als "unmittelbare und mittelbare Vermögensbestandsverluste und Vermögensaufwendungen"36, BUSSMANN spricht von "Risiko als Verlustgefahr"37, OPERPARLEITER sieht Risiko als die "Möglichkeit des Eintritts eines Gefahrenereignisses"38 und WITTMANN beurteilt Risiko als das "Misslingen von Plänen"39. Die unterschiedlichen Risikoauffassungen der wirkungsbezogenen Ansätze erklären sich aus unterschiedlichen Forschungsschwerpunkten und den jeweils zugrundegelegten Annahmen. So trägt zum Beispiel das notwendigerweise individuelle Zielsystem eines Unternehmens zu unterschiedlichen Beschreibungen darüber bei, was als Verlust bezeichnet wird. Trotz ihrer Unterschiede lassen sich jedoch alle Ansätze integrieren, wenn man Risiko als Möglichkeit der Zielverfehlung interpretiert.40 Diese Interpretation wirft jedoch zugleich die Frage auf, ob Risiko lediglich die Möglichkeit der negativen Zielverfehlung umfasst oder ob auch eine positive Zielverfehlung als Bestandteil des Risikobegriffs gilt. Eine Abgrenzung muss deshalb im Hinblick auf den Begriff der Chance getroffen werden. 3.1.1.4 Abgrenzung von Risiko und Chance Risiko und Chance gelten gemeinhin als polare Erscheinungen, als zwei Seiten ein- und derselben Medaille.41 Es erstaunt deshalb wenig, dass auch im Hinblick auf den Chancenbegriff in der Literatur wenig Einigkeit herrscht.42 Anknüpfend an die wirkungsorientierte Definition liegt eine Chance nur dann vor, wenn die Zielsetzung erfüllt wird.43 An dieser sehr engen Sichtweise, bei der dem Chancenbegriff nur die reine Zielerfüllung zugerechnet wird, macht sich die Kritik von KUPSCH44 fest. Er plädiert dafür, den Begriff der Chance umfassend für eine Zielerreichung und positive Verfehlung anzuwenden, da schließlich bei dem Risikobeg-
35 36 37 38 39 40 41 42 43 44
Vgl. Kupsch, P. (Risiko, 1973), S. 29. Leitner, F. (Unternehmungsrisiken, 1915), S. 7. Bussmann, K. (Risiko, 1955), S. 19. Operparleiter, K. (Funktionen, 1955), S. 99. Wittmann, W. (Information, 1959), S. 36. Vgl. Braun, H. (Risikomanagement, 1984), S. 23, hier findet sich eine ausführliche Darstellung und ein zusammenfassender Vergleich der wirkungsbezogenen Ansätze. Vgl. Bussmann, K. (Risiko, 1955), S. 13; Wossidlo, P. (Reservierung, 1970), S. 41. Vgl. Wittmann, W. (Information, 1959), S. 37. Vgl. Wossidlo, P. (Reservierung, 1970), S. 43f. Vgl. Kupsch, P. (Risiko, 1973), S. 32, Fußnote 40.
44
3 Grundlagen des Risikomanagements
riff auch nicht in Risiko und einen Begriff für unerwartet höhere Verlustgefahren unterschieden wird. Diese Sichtweise lässt sich mit der heute vorherrschenden Meinung und dem allgemeinen Sprachgebrauch gut vereinen, wonach es sich bei einer Chance um das Erreichen bzw. die positive Verfehlung einer Zielsetzung handelt.45 Der Begriff Chance umfasst die Möglichkeit, geplant oder günstiger abzuschneiden, als es aufgrund der Planungsüberlegungen zu erwarten ist. Kritik am Chancenbegriff im allgemeinen wird dahingehend geäußert, dass die Chance keine wirklich andere als das Risiko geartete Größe ist, denn Risiko und Chance werden stets gemeinsam betrachtet, als verschiedene Ausprägungen einer Variablen. Eine darauf aufbauende terminologische Differenzierung erscheint deshalb einzelnen Vertretern in der Literatur überflüssig.46 Dieser Sichtweise soll im weiteren jedoch nicht gefolgt werden, da eine Abgrenzung zwischen Risiko im Sinne negativer Zielverfehlung und Chance, im Sinne einer Zielerreichung bzw. Zielübererfüllung auch für die Anforderungen des KonTraG an die Unternehmen eine wichtige Rolle spielen. 3.1.2
Risikodefinition im Sinne des KonTraG
Als Grundlage dieser Arbeit wird eine Risikodefinition in den Mittelpunkt gestellt, die der Zielsetzung des Gesetzgebers im Rahmen des KonTraG gerecht wird, und auf der die weitere Konzeption eines Risikomanagement- und Überwachungssystems aufgebaut werden kann. Betrachtet man zuerst die ursachenbezogenen Ansätze, so lässt sich festhalten, dass für ein Risiko im Sinne des KonTraG grundsätzlich (objektive oder subjektive) Wahrscheinlichkeiten vorliegen müssen. Existieren keinerlei Vorstellungen über den möglichen Eintritt eines Risikos, kann das Risiko keiner Bewertung unterzogen werden und damit auch nicht im Rahmen eines Risikomanagementprozesses (vgl. 4.1) gehandhabt werden. Der Klassifizierung von ALBACH und damit einer Unterscheidung in die Begriffe Risiko, Unsicherheit und Ungewissheit wird hier nicht gefolgt, da es aus Sicht des Gesetzgebers keinen Unterschied macht, ob bei der Beurteilung subjektive oder objektive Wahrscheinlichkeiten vorliegen.47 Ausschlaggebend für den Gesetzgeber ist der Umstand, dass sich Risiken bedrohlich auf die Vermögens-, Finanz- und Ertragslage des Unternehmens auswirken können, wenn sie nicht rechtzeitig erkannt und verhindert werden. Das wiederum wirft die Frage auf, ob nicht auch
45 46 47
Vgl. Braun, H. (Risikomanagement, 1984), S. 27; Scharpf, P. (Sorgfaltspflichten, 1997), S. 739. Vgl. Karten, W. (Unsicherheit, 1972), S. 164. Vgl. Wall, F. (Risikomanagement, 2001), S. 211.
3 Grundlagen des Risikomanagements
45
Unsicherheiten der 3. Ordnung (nach ALBACH, vgl. Tabelle 1), also bekannte Umweltzustände ohne Eintrittswahrscheinlichkeiten, als ernstzunehmende Bedrohung und somit als Risiken im Sinne des KonTraG zu interpretieren sind. Hier liegt jedoch das Problem darin begründet, dass keine Eintrittswahrscheinlichkeiten gebildet werden können, die Grundlage einer Bewertung des Risikos darstellen. Ob und in welcher Form diesem Problem Abhilfe geschaffen werden kann, soll an anderer Stelle vertieft werden (vgl. Abschnitt 4.5.2.3). Ebenso können sich natürlich auch Risiken als bestandsgefährdend erweisen, bei denen die "zukünftigen Umweltzustände" nicht einmal der Art nach bekannt sind (Unsicherheiten 4. Ordnung). Hier erweist sich die strategische Früherkennung (vgl. ausführlich 4.3.3.3.3) als sinnvolles Instrument, das genau diese Situationen beherrschbarer machen soll. Damit kann festgehalten werden, dass sich Risiken aus einer Unsicherheitssituation heraus entwickeln und im Hinblick auf das KonTraG mit einer Eintrittswahrscheinlichkeit beziffert werden müssen. Ein weiteres Kriterium der ursachenbezogenen Ansätze ist die Entscheidungsabhängigkeit. Fraglich ist, ob ein Risiko im Sinne des KonTraG immer zwangsläufig mit einer Entscheidung verbunden sein muss. Es ist grundsätzlich vorstellbar, dass Risiken im Unternehmen auftreten, die nicht als direkte Folge einer Entscheidung interpretiert werden können.48 So ist einerseits der Fall eines Diebstahls oder einer Naturkatastrophe denkbar, also einer Einwirkung von außen, die durch eine Entscheidung im Unternehmen nicht direkt zu verhindern ist. Man kann zwar versuchen, diese Ereignisse durch vorbeugende Maßnahmen zu verhindern oder die Folgen einzudämmen, jedoch ist man dem tatsächlichen Risikoeintritt ohne direktes Zutun und/oder direkte Entscheidung ausgesetzt.49 Auch solche Risiken sollten Berücksichtigung in einem Risikomanagementsystem gemäß KonTraG finden.50 Andererseits sind auch Fälle denkbar, bei denen gerade durch das Unterlassen einer Entscheidung Risiken für ein Unternehmen entstehen. Reagiert ein Unternehmen nicht frühzeitig genug auf bspw. veränderte Marktanforderungen, kann die Situation schnell zu einem bestandsgefährdenden Risiko erwachsen. Auch die Aufforderung des KonTraG, ein Früherkennungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkannt werden, widerspricht einer reinen Entscheidungsorientierung. Diese gefährdenden Entwicklungen sind als Risiken zu interpretieren und demzufolge nicht nur aus 48 49
Vgl. Braun, H. (Risikomanagement, 1984), S. 25. Vgl. hierzu kritisch Luhmann, N. (Risiko, 1991), S. 37: Auch das Nichtentscheiden lässt sich in unserer heutigen Welt als Entscheidung verstehen, so dass es kein risikofreies Verhalten geben kann.
46
3 Grundlagen des Risikomanagements
Entscheidungen resultierend, sondern gelten als grundsätzlich im Unternehmen vorhanden, nur vielfach noch nicht erkannt und deshalb auch noch nicht zwangsweise bewusst einer Entscheidungssituation entsprungen. Die Risikodefinition im Sinne des KonTraG ist somit auch eng mit dem Risiko-/ChancenVerständnis verwoben. Es gibt in jedem Unternehmen sogenannte symmetrische und asymmetrische Risiken. Ein symmetrisches Risiko ist immer auf eine Entscheidung zurückzuführen und beinhaltet neben dem Risiko auch eine Chance. Bei einer asymmetrischen Risikosituation steht dem Unternehmen entweder ein Risiko oder eine Chance gegenüber. Das asymmetrische Risiko resultiert i.d.R. nicht aus unternehmerischen Entscheidungen und kann von der Unternehmensleitung nur indirekt durch Versicherungen oder Kontrollen abgedeckt werden.51 Die nachfolgende Abbildung 6 verdeutlicht diese Unterscheidung:
Symmetrisches Risiko Chance und Risiko (z.B. geplante Diversifikation)
Mit Entscheidung (durch unternehmerisches Handeln)
Spekulatives Risiko
Asymmetrisches Risiko Chance (z.B. Ertragssteuersenkung)
Risiko (z.B. Diebstahl, Naturkatastrophe)
Ohne Entscheidung
Reines Risiko
Abbildung 6: Gegenüberstellung von symmetrischem und asymmetrischem Risiko Andere Autoren unterscheiden nicht in symmetrische und asymmetrische Risiken, sondern trennen ein reines Risiko von einem spekulativen Risiko.52 Das reine Risiko umfasst dabei nur Schadensgefahren, vor allem resultierend aus dem Eintritt von seltenen, unregelmäßigen Gefahren, wie z.B. dem Eintritt einer Naturkatastrophe. Demgegenüber fallen unter den Begriff 50 51 52
Vgl. Meyding, T./Mörsdorf, R. (KonTraG, 1999), S. 6. Vgl. Weber, J./Weißenberger, B./Liekweg, A. (Risikomanagement, 1999), S. 1711. Vgl. Kless, T. (Unternehmensrisiken, 1998), S. 93; Haller, M. (Risiko-Management, 1978), S. 483; Farny, D. (Grundfragen, 1979), S. 20f.; anders hierzu Luhmann, N. (Risiko, 1991), S. 30f.: Nur wenn ein Schaden
3 Grundlagen des Risikomanagements
47
des spekulativen Risikos neben Verlustgefahren auch Gewinnchancen. Das reine Risiko wird dabei i.d.R. mit einem versicherbaren Risiko gleichgesetzt.53 Diese Unterteilung erfährt jedoch heftige Kritik, die in der mangelnden Abgrenzbarkeit und Abhängigkeit untereinander begründet sind.54 Der Fokus des Gesetzgebers liegt in jedem Fall auf allen Risiken, die sich als bestandsgefährdend erweisen können. Eine Entscheidungssituation muss dafür nicht zwingend vorliegen und ist somit nicht notwendiger Bestandteil einer Risikodefinition gemäß KonTraG. An dieser Stelle ist die Verbindung zur Zielbezogenheit zu berücksichtigen. Bei Risiken, die außerhalb einer Entscheidungssituation auftreten, gibt es keine direkte Zielsetzung. Geht man allerdings bei asymmetrischen Risiken von einer globalen Zielsetzung oder Erwartung55 des Managements über die positive Weiterentwicklung des Unternehmens aus, so kann der Forderung nach Zielbezogenheit im Sinne des KonTraG zugestimmt werden. Betrachtet man die wirkungsbezogene Ansicht, so spiegelt sich im Risiko eine negative Zielverfehlung wider. Dieser Ansicht folgt das KonTraG eindeutig, denn es wird durch das Gesetz nur die reine Verlustperspektive berücksichtigt.56 Der Chancenbegriff ist explizit nicht mit einbezogen.57 Allerdings kann die Vernachlässigung von Chancen und eine bewusste, einseitige Konzentration auf negative Abweichungsmöglichkeiten bei wichtigen Entscheidungen ein Risiko für sich darstellen. Ein solches Verhalten führt häufig zu einem bewussten Ausweichen vor Risiken (sog. Vermeidungsstrategie) und schließt damit auch die Chancennutzung aus.58 Ein großes Risikopotenzial liegt für ein Unternehmen auch in der Nichtbeachtung von Chancen begründet: Werden künftige Chancen nicht erkannt oder wahrgenommen, kann diese Situation sich schnell zu einem existenzbedrohenden Risiko ausweiten.59 Eine vollständige Ausblendung des Chancenaspekts ist auch aus einem weiteren Grund nicht zu befürworten: Geht man davon aus, dass die überwiegende Mehrheit der Risiken aus unternehmerischen Entscheidungen resultiert, so lässt sich konstatieren, dass diesen Risiken stets auch eine Chance gegenübersteht. So charakterisiert auch KRYSTEK die Chance als "Mög-
53 54 55 56 57 58
infolge einer Entscheidung entsteht, liegt ein Risiko vor. Kann der Schaden hingegen der Umwelt zugerechnet werden, spricht Luhmann von Gefahr. Vgl. Farny, D. (Grundfragen, 1979), S. 21. Vgl. ausführlich Braun, H. (Risikomanagement, 1984), S. 29f.; Haller, M. (Eckpunkte, 1986), S. 21. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 55: Risiken können auch aus unbewusst gesetzten Randbedingungen hervorgehen. Vgl. DRS 5 Nr. 9.; IDW PS 340 (3); Weber, J./Weißenberger, B./Liekweg, A. (Risikomanagement, 1999), S. 1711; zu den juristischen Aspekten Möllers, T. (Gesellschaftsrecht, 1999), S. 435. Vgl. Eggemann, G./Konradt, T. (Risikomanagement, 2000), S. 504; Bitz, H. (Risikomanagement, 2000), S. 15. Vgl. Weber, J./Weißenberger, B./Liekweg, A. (Risikomanagement, 1999), S. 1711.
48
3 Grundlagen des Risikomanagements
lichkeit des Gewinns bei allerdings vorhandenem, zum Teil sehr großen Risiko"60. Es handelt sich bei diesen Entscheidungen also stets um ein Chancen-/Risikoverhältnis, das die Richtung der Entscheidung maßgeblich beeinflusst.61 Nur wenn die Chance eine größere Eintrittswahrscheinlichkeit als das Risiko besitzt, wird man sich zu einer Entscheidung für eine bestimmte Maßnahme entschließen. Eine Bewertung und ein Management von Risiken kann also niemals losgelöst von den vorhandenen Chancen erfolgen. WALL konstatiert sogar, dass "die einseitige Fokussierung auf negative Abweichungen [...] die Subjektivität identifizierter Risiken [erhöht]"62, denn eine negative Abweichung kann nur dann sinnvoll interpretiert werden, wenn der erwartete Wert und damit die einhergehende Planung und Chance bekannt ist. Aus Sicht des Gesetzgebers ist es gut nachvollziehbar, dass die Chancen im Hinblick auf das KonTraG nicht explizit erwähnt werden. Dies liegt auch gar nicht in seinem Interesse, denn er ist nur an der Schadensminimierung interessiert.63 Für ein Unternehmen erscheint es jedoch unsinnig, sich einseitig auf die Risiken zu fokussieren und den Chancen keinerlei Beachtung zu schenken. Das Ziel des unternehmerischen Handelns ist primär auf die Nutzung von Chancen ausgerichtet, um deren willen Risiken eingegangen werden, weshalb eine Vernachlässigung des Chancenaspekts nicht geboten scheint.64
Abschließend lässt sich festhalten, dass Risiko im Sinne des KonTraG ursachenbezogen aus der Unsicherheit zukünftiger Ereignisse resultiert - wobei dies regelmäßig mit einem unvollständigen Informationsstand einhergeht - und sich wirkungsbezogen in der Möglichkeit einer negativen Abweichung von einer festgelegten Zielgröße niederschlägt.65 3.1.3
Abgrenzung verschiedener Risikobegriffe
Es erscheint an dieser Stelle sinnvoll, einen Überblick über die unterschiedliche Ausprägung der verwendeten Risikobegriffe zu geben. Im Zusammenhang mit dem KonTraG ist häufig von bestandsgefährdenden Risiken die Rede, ebenso werden wesentliche Risiken erwähnt.
59 60 61 62 63
64 65
Vgl. Krystek, U./Müller, M. (Frühaufklärungssysteme, 1999), S. 182 f. ; Horváth, P./Gleich, R. (Risikomanagement, 2000), S. 123. Krystek, U. (Führung, 1989), S. 31. Vgl. Bitz, H. (Risikomanagement, 2000), S. 19. Wall, F. (Unterschiede, 2002), S. 28. Vgl. Lange, K. W. (Lagebericht, 2001), S. 136: Diese verlustorientierte Sichtweise entspricht der in der deutschen Rechnungslegung vorherrschenden Gläubigerschutzfunktion, die aus dem Vorsichtsprinzip resultiert. Vgl. Steinle, C./Thiem, H./Bosch, T. (Chancenmanagement, 1997), S. 360. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 55; Schulte, M. (Risikopolitik, 1997), S. 12.
3 Grundlagen des Risikomanagements
49
Darüber hinaus existieren weitere Abgrenzungen, die in nachfolgender Tabelle verdeutlicht werden: Risikobegriff
Inhalt
Synonym zu verwenden
Bestandsgefährdendes
Beeinträchtigen das Unternehmen in
Existenzielles Risiko
Risiko
seiner Existenz und seinem Fortbestand.
Wesentliches Risiko
Spürbarer Einfluss auf die Vermögens-, Finanz- und Ertragslage.
Relevantes Risiko
Risiko, das sich unter bestimmten
Schwerpunktrisiko
Voraussetzungen zu einem wesentlichen oder bestandsgefährdenden Risiko entwickeln kann. Unwesentliches Risiko
In Einzelwirkung keinen bedeutenden Detailrisiko Einfluss auf die Vermögens-, Finanzund Ertragslage.
Tabelle 2: Überblick über verschiedene Ausprägungen des Risikobegriffs Als bestandsgefährdende Risiken können alle Risiken eingestuft werden, die bei Wirksamwerden zu einer drohenden Überschuldung oder Illiquidität führen.66 Besonders interessant erscheint die Abgrenzung zwischen wesentlichen und relevanten Risiken. Zur Verdeutlichung des Relevanzbegriffes kann die Definition von COENENBERG herangezogen werden, wonach "die Relevanz einer Information [...] vor allem durch ihre Eigenart (nature) und ihre Wesentlichkeit (materiality) bestimmt [wird]"67. Ein Risiko kann demzufolge dann als relevant bezeichnet werden, wenn es entweder aufgrund des Informationsgehalts (z.B. Verlagerung der Fertigung nach Asien) oder aufgrund der Wesentlichkeit (z.B. erwartete Schadenshöhe) für das Unternehmen wichtig erscheint. Im Lagebericht sollten demzufolge neben wesentlichen und bestandsgefährdenden Risiken auch die aus Sicht des Unternehmens relevanten Risiken dargestellt werden. DÖRNER/BISCHOF68 hingegen sehen als wesentliches Risiko alle für die Berichtsadressaten entscheidungsrelevanten Risiken und zählen dazu die bestandsgefährdenden Risiken und Risiken mit einem wesentlichen Einfluss auf die Vermögens-, Finanz- und Ertragslage. Sie betonen jedoch auch, dass der Begriff der Wesentlichkeit durchaus Ermessensspielraum bietet: 66 67
Vgl. Förschle, G./Peter, M. (Überwachungssysteme, 1999), Rn. 72. Coenenberg, A. (Jahresabschluss, 2000), S. 79.
50
3 Grundlagen des Risikomanagements
„Die Beurteilung, ob wesentliche Risiken vorliegen, impliziert das Vorhandensein eines Vergleichs- bzw. Soll-Maßstabes. Mit anderen Worten, die Beurteilung, ob ein Risiko mit wesentlichem Einfluss auf den Geschäftsverlauf bzw. die Vermögens-, Finanz- und Ertragslage vorliegt, hängt davon ab, welche Vorstellung über den Geschäftsverlauf bzw. die Lage des Unternehmens dieser Einschätzung zugrunde gelegt wird.“69 Einen ähnlichen Standpunkt vertritt BRÜHWILER70, der wesentliches und bestandsgefährdendes Risiko gleichsetzt. Der ARBEITSKREIS "EXTERNE UND INTERNE ÜBERWACHUNG DER UNTERNEHMUNG" definiert als wesentliches Risiko solche Risiken, "die einen wesentlichen negativen Einfluss auf die Vermögens-, Finanz- und Ertragslage des Unternehmens haben können. Der zeitliche Horizont ist bei den wesentlichen Risiken weiter zu fassen als bei den bestandsgefährdenden Risiken."71 Ein zunächst als wesentlich eingestuftes Risiko kann sich zu einem bestandsgefährdenden Risiko entwickeln.72 Im weiteren Verlauf der Arbeit werden - abweichend zu einzelnen Sichtweisen in der Literatur - die Begriffsabgrenzungen in Anlehnung an Tabelle 2 zugrunde gelegt.
Eng verwoben mit der Diskussion um die unterschiedlichen Ausprägungen des Risikobegriffs ist der Begriff der Krise. Als Unternehmenskrise kann ein "ungewollter und ungeplanter Prozess von begrenzter Dauer und Beeinflussbarkeit sowie mit ambivalentem Ausgang"73 verstanden werden. Kennzeichnend für eine Krise ist dabei vor allem die Gefährdung überlebensrelevanter Ziele, die eine Existenzgefährdung für das Unternehmen bedeuten.74 Eine Krise bedeutet die Möglichkeit, das generelle Unternehmensziel der langfristigen Erhaltung und erfolgreichen Weiterentwicklung nicht zu erreichen. Ein Risiko liegt dann vor, wenn bestimmte Ziele wie Gewinn oder Wachstum möglicherweise nicht erreicht werden. Eine Krise kann somit übergreifend als die Realisation eines Risikos mit bestandsgefährdendem Charakter bezeichnet werden.75 Das macht deutlich, dass Risiken und Krisen eng miteinander verknüpft sind. Auf die Verbindung von Risiken und Krisen und den Umgang wird unter Abschnitt 4.5.2.3 detailliert eingegangen.
68 69 70 71 72 73 74 75
Dörner, D./Bischof, S. (Berichterstattung, 1999), S. 447. Dörner, D./Bischof, S. (Berichterstattung, 1999), S. 450. Vgl. Brühwiler, B. (Risk, 2001), S. 66. Arbeitskreis „Externe und Interne Überwachung“ (KonTraG, 2000), S. 2, Rz. 19. Vgl. Henselmann, K. (KonTraG, 2001), S. 37. Krystek, U. (Unternehmungskrisen, 1987), S. 6. Vgl. Krystek, U. (Unternehmungskrisen, 1987), S. 6 f. Vgl. Krystek, U. (Gesetze, 1999), S. 146; Martin, T. A./Bär, T. (Grundzüge, 2002), S. 28.
3 Grundlagen des Risikomanagements
51
Nachdem der Risikobegriff ausführlich erläutert und abgegrenzt wurde, werden im folgenden Abschnitt die wesentlichen Grundzüge des Risikomanagements dargestellt.
3.2 Risikomanagement
3.2.1
Risikomanagement im engeren Sinne
Der Begriff des Risikomanagements stammt ursprünglich aus dem amerikanischen Sprachraum und ist unter "Risk-Management" als Management der versicherbaren Risiken in den 50´er Jahren bekannt geworden. Mit dem Bestreben, Versicherungen möglichst kostengünstig abzuschließen oder Versicherungen ganz einzusparen, haben sich in vielen Unternehmen Abteilungen oder sogenannte Risk-Manager auf diesen Bereich spezialisiert.76 Diese ursprüngliche Form des Risikomanagements wird auch als spezielles Risikomanagement oder Insurance-Management bezeichnet, da es sich nur auf den Teilbereich der versicherbaren Risiken beschränkt.77 Auch im deutschsprachigen Raum wird heutzutage noch vielfach der Ausdruck des Risk-Managements mit in erster Linie versicherungsspezifischen Inhalten verwendet. Betrachtet werden im Rahmen des Risk-Managements nur reine Risiken, also Risiken, denen keine Gewinnchance gegenüber steht. In Analogie zur Darstellung in Abbildung 6 sind die betrachteten Risiken also nicht direkt Ergebnis einer unternehmerischen Entscheidung. Betrachtet man den Aufgabenbereich eines Risk-Managers, so wird deutlich, dass dieser sich mit der Absicherung zufällig ausgelöster Risiken, wie z.B. Brand oder Überschwemmungen, aber auch Diebstahl oder Produkthaftpflicht beschäftigt. Es gibt jedoch vielfältige Risiken, die aus den zu treffenden Managemententscheidungen resultieren, und die vielfach als nicht versicherbar gelten, wie z.B. der Eintritt eines neuen Wettbewerbers. Abgeleitet aus den Abwägungen, die ein Risiko-Manager bei der Risikobewältigung für nicht-entscheidungsabhängige (reine) Risiken trifft, kann auch ein strukturiertes Vorgehen für entscheidungsabhängige (spekulative) Risiken entwickelt werden. Dabei wird der Risikogedanke nicht isoliert an einer Stelle betrachtet, sondern in einem weiteren Sinne auf die gesamte Führung übertragen.78 Wird heutzutage auch vereinzelt unter Risikomanagement noch vorrangig der Bereich der versicherbaren Risiken verstanden, geht der Trend eindeutig dahin, ein Risikomanagement im weiteren Sinne in einem Unternehmen zu verankern.
76 77 78
Vgl. Haller, M. (Risiko-Management, 1978), S. 483; Haller, M. (Risiko-Management, 1986), S. 10. Vgl. Braun, H. (Risikomanagement, 1984), S. 27; Hahn, D. (Risiko-Management, 1987), S. 138. Vgl. Haller, M. (Risiko-Management, 1986), S. 11.
52
3 Grundlagen des Risikomanagements
3.2.2
Risikomanagement im weiteren Sinne
Unter Risikomanagement im weiteren Sinne oder auch unter generellem Risikomanagement wird der Umgang mit allen Risiken verstanden, die aus dem Führungsprozess und den Durchführungsprozessen in einem Unternehmen entstehen können.79 Das generelle Risikomanagement ist folglich eine untrennbar mit dem Führungsprozess verbundene Funktion, die in Abhängigkeit von verschiedenen Faktoren unterschiedlich stark ausgeprägt sein kann.80 Während die Unternehmensführung die Optimierung der generellen Unternehmensziele verfolgt, will das generelle Risikomanagement eine Abweichung von diesen Zielen verhindern.81 Das Ziel des generellen Risikomanagements entspricht somit dem generellen Managementziel, also der Sicherung, Erhaltung und erfolgreichen Weiterentwicklung des Unternehmens, wobei der Sicherungsaspekt dabei besonders betont wird.82 Resultierend aus der bereits in Abschnitt 3.1.1.2 geschilderten unsicheren Zukunftssituation, der sich die Unternehmen gegenüber sehen, gelten die gesetzten Erwartungen im Hinblick auf die Zielerfüllung und erfolgreiche Weiterentwicklung des Unternehmens als ungewiss. Die Unternehmen verhalten sich jedoch in dieser Situation i.d.R. nicht passiv, sondern versuchen die Unsicherheit auf ein bestimmtes Maß zu begrenzen und die Risikolage eines Unternehmens aktiv zu gestalten.83 Die Einbeziehung von Chancen wird dadurch als unverzichtbar betrachtet; dem generellen Risikomanagement liegt folglich zwingend der spekulative Risikobegriff zugrunde.84 Es ist an dieser Stelle hervorzuheben, dass Risikomanagement nicht nur auf die Risikobeseitigung abzielt, sondern auch dem zweckgemäßen Eingehen von Risiken bzw. der Chancenausnutzung dienen soll.85 Ein Risikomanagement im Sinne eines Risk-Managements (Risikomanagement im engeren Sinne) auf Basis des reinen Risikobegriffs ist jedoch als eine Teilmenge enthalten. Es handelt sich bei dem generellen Risikomanagementansatz um ein integriertes Konzept, wobei dem Risikomanagement die Aufgabe zukommt, sämtliche betriebliche Aktivitäten auf ihr Risikopotenzial hin zu untersuchen und die gewonnenen Erkenntnisse in die Führung mit einzubinden. Ein generelles Risikomanagement soll sowohl bei strategischen als auch bei 79 80 81 82
83 84
Vgl. Hahn, D. (Risiko-Management, 1987), S. 138. Vgl. Hahn, D. (Risiko-Management, 1987), S. 138; ähnlich: Brühwiler, B. (Risk, 2001), S. 108ff. Vgl. Mikus, B. (Risikomanagement, 1996), S. 108. Vgl. Haller, M. (Risiko-Management, 1978), S. 484; Braun, H. (Risikomanagement, 1984), S. 44; Naegeli, P. (Grundlagen, 1978), S. 27; Hahn, D. (Risiko-Management, 1987), S. 139; Glaum, M. (Risikomanagement, 2000), S. 20: eine Studie der PwC Deutsche Revision in Zusammenarbeit mit der Justus-LiebigUniversität Gießen, bei der Ende 1998 74 (Rücklaufquote 48%) große deutsche Aktiengesellschaften mit Ausnahme von Versicherungen und Banken einbezogen wurden, ergab, dass 80% aller Unternehmen die Sicherung des Unternehmungsfortbestandes als das wichtigste Ziel des Risikomanagements erachten. Vgl. Farny, D. (Grundfragen, 1979), S. 12, 18. Vgl. Farny, D. (Grundfragen, 1979), S. 21.
3 Grundlagen des Risikomanagements
53
operativen Entscheidungen Anwendung finden, um sowohl lang- als auch mittel- bis kurzfristige Konzepte zur Risikoabsicherung zu entwickeln.86 Ergebnis eines erfolgreichen Risikomanagements ist die nachhaltige Existenzsicherung des Unternehmens durch die Bewältigung bzw. die Reduzierung des Risikos und gleichzeitige Chancenausnutzung.87 Das Risikomanagementsystem besitzt damit eine Querschnittsfunktion, die sich durch alle Bereiche und Ebenen eines Unternehmens zieht. Ausgangspunkt bildet dabei die Bewusstmachung des Risikos bei allen Entscheidungen und Handlungen.88 Ein Risikobewusstsein89 soll bewirken, dass bei allen Führungsaktivitäten Risiken vorausschauend identifiziert und beurteilt werden. Dafür müssen der Unternehmensführung Systeme und Instrumente zur Entscheidungsunterstützung und Informationsversorgung zur Verfügung gestellt werden.90 In Literatur und Praxis werden unter dem Begriff des Risikomanagements sowohl institutionelle Einheiten, also Träger des Risikomanagements (vgl. 3.3.3), die Risikomanagementaufgaben wahrnehmen, wie auch der Prozess des Risikomanagements (vgl. 4.1), als eine Abfolge verschiedener Tätigkeiten zur Risikohandhabung, verstanden. Im Folgenden wird untersucht, ob und inwieweit sich die Forderungen des KonTraG nach der Einrichtung eines Risikomanagement- und Überwachungssystems einem generellen oder speziellen Risikomanagementverständnis zuordnen lassen. 3.2.3
Begriffliche Abgrenzung des Risikomanagements nach KonTraG
Der im Rahmen des KonTraG neuformulierte § 91 Abs. 2 AktG fordert, dass "der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten [hat], damit den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkannt werden"91. Dabei bezieht sich der Gesetzgeber nicht direkt auf ein spezielles und/oder generelles Risikomanagement. Fraglich ist daher, welches Verständnis den gesetzlichen Anforderungen zugrunde liegt und wie die Umsetzung für ein Unternehmen zu interpretieren ist. Bestandteile und Aufgaben eines Risikomanagement- und Überwachungssystems, das sich - wie in 2.4.1 geschildert - aus einem angemessenen Risikomanagement und einer angemessenen internen
85 86 87 88 89 90 91
Vgl. Braun, H. (Risikomanagement, 1984), S. 44; Haller, M. (Risiko-Management, 1986), S. 8. Vgl. Mikus, B. (Risikomanagement, 1996), S. 110; Amhof, R./Schweizer, M. (Risikomanagement, 2000), S. 714. Vgl. Braun, H. (Risikomanagement, 1984), S. 45. Vgl. Hahn, D. (Risiko-Management, 1987), S. 139. Vgl. ausführlich zur Definition des Risikobewusstseins 4.2. Vgl. Mikus, B. (Risikomanagement, 1996), S. 109. Vgl. Wortlaut des § 91 Abs. 2 AktG.
54
3 Grundlagen des Risikomanagements
Revision zusammensetzen soll, werden im KonTraG durch den Gesetzgeber nicht formuliert. Die Ursache dafür liegt hauptsächlich in der Natur der Leitungsaufgabe eines Vorstands begründet, die der Gesetzgeber nicht stärker konkretisieren bzw. einschränken will. Die Leitungsaufgaben eines Vorstands ergeben sich aus der jeweiligen Situation sowie dem spezifischen Umfeld und können sehr unterschiedlich ausgeprägt sein. Auch die zunehmende Umwelt- und Umfelddynamik beeinflusst und verändert Aufgabenbereiche und Reaktionsmöglichkeiten eines Vorstands. Eine umfassend detaillierte Verhaltensvorschrift, die starr und unbeweglich in einem Gesetz verankert ist und keine Spielräume offen lässt, erscheint deshalb nicht sinnvoll.92 In der Literatur finden sich unterschiedliche und recht kontroverse Interpretationsansätze im Hinblick auf die Intention des Gesetzgebers bei der Neuformulierung des § 91 Abs. 2 AktG. Ein Überblick findet sich bei KINDLER/PAHLKE93, die die folgenden drei unterschiedlichen Hauptauffassungen herausarbeiten: x
Einrichtung eines umfassenden Risikomanagementsystems: Ein erheblicher Teil der relevanten betriebswirtschaftlichen Literatur sowie der Prüfungspraxis sehen in der Gesetzesänderung eine Forderung nach Einrichtung eines umfassenden Risikomanagementsystems, bestehend aus einer Risikoidentifikation, Risikobewertung, kommu-nikation, -steuerung und einer umfassenden Risikokontrolle durch ein Überwachungssystem.94 Dieses weitgefasste Risikomanagementsystem soll alle Geschäftsvorfälle auf ihr Risiko hin untersuchen und die sich ergebende Risikoexposition zum Ausgangspunkt unternehmerischer Entscheidungen machen.95
x
Reine Früherkennung bestandsgefährdender Entwicklungen: Demgegenüber steht die Auffassung, die überwiegend von juristischer Sicht vertreten wird, dass aus § 91 Abs. 2 AktG kein umfassendes Risikomanagementsystem abzuleiten ist, sondern es sich lediglich um die Forderung nach einer Früherkennung bestandsgefährdender Entwicklungen handelt. Diese Früherkennung kann durch unterschiedliche Maßnahmen und Organisationen sichergestellt werden, und die Funktionsfähigkeit muss im Nachhinein durch eine unternehmensinterne Kontrolle, genauer durch
92 93 94
95
Vgl. Hommelhoff, P./Mattheus, D. (Grundlagen, 2000), S. 11, 14. Vgl. Kindler, P./Pahlke, A.-K. (Aufsichtsrat, 2001), S. 62 f. Vgl. Brebeck, F./Herrmann, D. (KonTraG-Entwurf, 1997), S. 383; Schindler, J./Rabenhorst, D. (KonTraG, 1998), S. 1891f.; Kromschröder, B./Lück, W. (Grundsätze, 1998), S. 1573; Kuhl, K./Nickel, J.-P. (Risikomanagement, 1999), S. 134; Pollanz, M. (Einrichtung, 1999), S. 397f.; Eggemann, G./Konradt, T. (Risikomanagement, 2000), S. 503. Vgl. Drygala, T./Drygala, A. (Frühwarnsystem, 2000), S. 298.
3 Grundlagen des Risikomanagements
55
die interne Revision, überprüft werden.96 Diese Auffassung stützt sich vor allem auf die Unterscheidung zwischen Risiken und bestandsgefährdenden Entwicklungen und auf die Gesetzesentstehungsgeschichte.97 x
Vermittelnde Auffassung/Mischformen: Eine vermittelnde Ansicht stimmt der juristischen Meinung insofern zu, als dass ein umfassendes Risikomanagement nicht direkt gefordert wird, weil der Gesetzgeber sich in seinem Wortlaut eindeutig auf bestandsgefährdende Entwicklungen beschränkt. Allerdings kann eine sinnvolle Einschätzung der Existenzbedrohung nur dann erfolgen, wenn unternehmensweit und einheitlich Risiken erfasst, auf ihre Auswirkungen hin bewertet und im Unternehmen kommuniziert werden. Ein Überwachungssystem überprüft das eingerichtete System laufend im Hinblick auf seine Funktionsfähigkeit. 98 Diese Auffassung geht demnach durchaus in Richtung eines umfassenden Risikomanagements, wie die Vertreter der ersten Auffassung es fordern. Im Unterschied zur ersten Gruppe machen die Vertreter der vermittelnden Auffassung jedoch deutlich, dass es sich bei der Forderung nach Ansätzen für ein funktionsfähiges Risikomanagement keineswegs um Rechtspflichten handelt, sondern sie lassen sich hierbei eher von betriebswirtschaftlichen Notwendigkeiten leiten.99
Interpretiert man die im Wortlaut angeführten „den Fortbestand der Gesellschaft gefährdenden Entwicklungen“ als Risiken, so lässt sich aus § 91 Abs. 2 AktG zum einen die Forderung nach einem Früherkennungssystem erkennen, das einen in die Zukunft gerichteten Charakter besitzt, und einem Überwachungssystem, das begrifflich eher vergangenheitsorientiert erscheint.100 Aus juristischer Sicht wird gegen diesen Standpunkt der Einwand angeführt, dass sich der Begriff der „Entwicklung“ keinesfalls mit dem des „Risikos“ gleichsetzen lässt. Vielmehr handelt es sich bei "den Fortbestand gefährdenden Entwicklungen" um die Veränderung eines bestehenden Zustandes, der sich dauerhaft negativ auf die Gesamtsituation des Unternehmens auswirkt. Von Risiko hingegen spricht man als Gefahr eines Verlustes, was
96
97 98 99 100
Vgl. Hüffer, U. (Aktiengesetz, 1999), S. 425, Rn. 8; Emmerich, G. (Risikomanagement, 1999), S. 1079; Bitz, H. (Risikomanagement, 2000), S. 17; Kindler, P./Pahlke, A.-K. (Aufsichtsrat, 2001), S. 63; Schäfer, J. G. (Überwachungssystem, 2001), S. 52; Henselmann, K. (KonTraG, 2001), S. 31. Vgl. dazu ausführlich Drygala, T./Drygala, A. (Frühwarnsystem, 2000), S. 299. Vgl. Drygala, T./Drygala, A. (Frühwarnsystem, 2000), S. 299; IDW PS 340 (4), (5); Marten, K.-U./Quick, R. /Ruhnke, K. (Wirtschaftsprüfung, 2001), S. 389. Vgl. Drygala, T./Drygala, A. (Frühwarnsystem, 2000), S. 299; Lachnit, L./Müller, S. (KonTraG, 2001), S. 367. Vgl. Franz, K.-P. (Corporate, 2000), S. 55; Hommelhoff, P./Mattheus, D. (Grundlagen, 2000), S. 8, 15; anders Zimmer, D./Sonneborn, M. (Anforderungen, 2001), S. 51.
56
3 Grundlagen des Risikomanagements
keine bereits begonnene Entwicklung impliziert.101 Diese Unterscheidung ist jedoch aus betriebswirtschaftlicher Sicht insofern unerheblich, als es sich hierbei um eine rein zeitliche Differenzierung handelt. Selbst wenn der Meinung gefolgt wird, dass ein Risiko noch keine Zustandsveränderung bedeutet, kann sich diese Veränderung mit einer gewissen Wahrscheinlichkeit nach einem bestimmten Zeitablauf ergeben. Diese Entwicklungsmöglichkeit kann aus betriebswirtschaftlicher Sicht nicht vernachlässigt werden, denn § 91 Abs. 2 AktG fordert ja gerade eine frühzeitige Erkennung, was bedeutet, dass im Zeitpunkt des Eintretens und Wirksamwerdens die Frühzeitigkeit schon überschritten ist. Eine Auseinandersetzung nur mit bereits eingetretenen Veränderungen würde damit zu kurz greifen. Der Begriff der "bestandsgefährdenden Entwicklung" kann demzufolge mit dem Risikobegriff gleichgesetzt werden und im Rahmen dieser Arbeit synonyme Verwendung finden. Weiterhin ist fraglich, ob sich Systeme, die Entwicklungen frühzeitig, also mit einem gewissen zeitlichen Vorlauf, der ein Eingreifen und Verhindern noch ermöglicht, erkennen sollen, inhaltlich wesentlich von Systemen zur Erkennung von Risiken unterscheiden. Dies ist nach den bisher bekannten Systemen zur Früherkennung (vgl. 4.3) nicht zu erwarten und macht die Unterscheidung zwischen "Risiko" und "bestandsgefährdender Entwicklung" deshalb aus einem weiteren Grund hinfällig. Folgt man der juristischen Ansicht, die sich zu großen Teilen auf die Entstehungsgeschichte des § 91 Abs. 2 AktG stützt102, so lässt sich aus den gesetzlichen Vorschriften keine Forderung nach einem allumfassenden Risikomanagementsystem ableiten.103 Vielmehr verdeutlicht der Gesetzgeber lediglich Pflichten des Vorstands, die auch schon vor Einführung des § 91 Abs. 2 AktG bestanden haben. Festzuhalten ist, dass der Vorstand seit jeher verpflichtet war, Systeme einzurichten, die unternehmerische Risiken erkennen und bewältigen können, zumindest dann, wenn durch eine Bestandsgefährdung des Unternehmens auch Interessen von Gläubigern betroffen waren.104 Diese Forderung lässt sich aus der allgemeinen Leitungsaufgabe des Vorstands ableiten und wird in § 90 Abs. 1 Satz 1 AktG konkretisiert. Dass sich der Vorstand ausführlich mit den Risiken im Unternehmen befassen muss, wird auch durch die §§ 289 Abs. 1 und 317 Abs. 2 HGB verdeutlicht, in welchen der Gesetzgeber ausdrücklich eine 101 102 103
104
Vgl. Zimmer, D./Sonneborn, M. (Anforderungen, 2001), S. 56; Kindler, P./Pahlke, A.-K. (Aufsichtsrat, 2001), S. 64. Vgl. Zimmer, D./Sonneborn, M. (Anforderungen, 2001), S. 38 ff. Diese Auffassung wird durch die Tatsache untermauert, dass § 91 Abs. 2 AktG im Gegensatz zu anderen Änderungen ohne Übergangsfristen sofort in Kraft getreten ist. Der Aufbau eines völlig neuartigen Systems kann deshalb nicht gefordert sein, sondern vielmehr lediglich eine Hervorhebung bereits bestehender Pflichten. Vgl. Kindler, P./Pahlke, A.-K. (Aufsichtsrat, 2001), S. 66. Vgl. Hommelhoff, P./Mattheus, D. (Grundlagen, 2000), S. 11; Kindler, P./Pahlke, A.-K. (Aufsichtsrat, 2001), S. 68.
3 Grundlagen des Risikomanagements
57
Darstellung der Risikolage fordert.105 Die juristische Meinung sieht deshalb in der Forderung des Gesetzgebers in § 91 Abs. 2 AktG lediglich ein System zur frühzeitigen Erkennung bestandsgefährdender Entwicklungen (Frühwarnsystem) und damit nur einen Teilaspekt eines umfassenden Risikomanagement- und Überwachungssystems.106 Allerdings ist fraglich, wie nur durch die Existenz und Einrichtung eines solchen Systems der Vorstand vor bestandsgefährdenden Entwicklungen gewarnt werden kann. Ohne ein Informationsnetzwerk, das relevante Informationen zeitnah zu den jeweiligen Empfängern weiterleitet, sind die Informationen zur Steuerung und Führung eines Unternehmens nicht oder nur unsystematisch zu verwenden. Es sind demzufolge Instanzen im Unternehmen notwendig, die die zu kommunizierenden Informationen erheben, weiterleiten und dokumentieren. Durch die Zusammenarbeit verschiedener Instanzen, vor allem - die in der Gesetzesbegründung erwähnten Aufgabenträger - Controlling und interne Revision, entsteht ein System im Unternehmen, das sich mit dem Management von Risiken beschäftigt. Um die im Unternehmen erfassten Informationen zu bewerten, muss eine Relevanzbeurteilung erfolgen, um zu verhindern, dass sämtliche Informationen weitergeleitet werden und dadurch die Fokussierung auf wesentliche Schwerpunkte verloren geht. Die Relevanzbeurteilung ihrerseits setzt jedoch eine Bewertung der erfassten Risiken voraus, wodurch die singuläre Forderung des Gesetzgebers nach einem System zur frühzeitigen Erkennung von Risiken in Frage gestellt wird. Einer Beschränkung auf eine reine Früherkennung ist aus betriebswirtschaftlicher Sicht nicht zuzustimmen, da hiermit die Intention des Gesetzgebers, bestandsgefährdende Risiken frühzeitig zu erkennen, nicht erfüllt werden kann. Dem Prozess der Erkennung und Bewertung muss sich wiederum ein Kontrollprozess anschließen, der die erkannten Risikopotenziale einerseits und die Kommunikationsstrukturen andererseits überwacht. Es ergibt sich somit für die betroffenen Unternehmen die Notwendigkeit, ein System zu implementieren, das neben der frühzeitigen Identifikation auch die Bewertung, Weiterleitung, Kommunikation und Kontrolle der Informationen sicherstellt. Ein System, das diese Aufgaben wahrnimmt, kann unter dem Begriff des Risikomanagementsystems im Unternehmen geführt werden. Dieser Auffassung, die sich in großen Teilen mit der vermittelnden Auffassung deckt, schließt sich auch das Landgericht Berlin an, das im Urteil 2 O 358/01 vom 3.7.2002 neben einem fehlenden Risikomanagementsystem auch eine unzureichende Überwachung bemängelt.107
105 106 107
Vgl. Kindler, P./Pahlke, A.-K. (Aufsichtsrat, 2001), S. 68. Vgl. Zimmer, D./Sonneborn, M. (Anforderungen, 2001), S. 50; Kindler, P./Pahlke, A.-K. (Aufsichtsrat, 2001), S. 67; IDW PS 340 (5). Vgl. Preußner, J./Zimmermann, D. (Risikomanagement, 2002), S. 659: Einen interessanten Hinweis geben PREUßNER/ZIMMERMANN, die argumentieren, dass ein Gericht eher den Feststellungen der Wirt-
58
3 Grundlagen des Risikomanagements
Der Deutsche Rechnungslegungs Standard Nr. 5 regelt die Risikoberichterstattung gemäß § 315 Abs. 1 Hs. 2 HGB und § 289 Abs. 1 Hs. 2 HGB. Auch aus diesem Standard ergibt sich, dass das DRSC von einem kreislauforientierten Risikomanagementprozess ausgeht und einer weiten Auffassung des Risikomanagements zustimmt.108 Das DRSC definiert ein Risikomanagementsystem als "ein nachvollziehbares, alle Unternehmensaktivitäten umfassendes System, das auf Basis einer definierten Risikostrategie ein systematisches und permanentes Vorgehen mit folgenden Elementen umfasst: Identifikation, Analyse, Bewertung, Steuerung, Dokumentation und Kommunikation von Risiken sowie die Überwachung dieser Aktivitäten"109. Diese Auffassung widerspricht somit auch der Meinung, dass der Gesetzgeber an keiner Stelle die Bewältigung der Risiken fordert.110 Diese Einschränkung erscheint verständlich und nachvollziehbar, da der Gesetzgeber keine Vorgaben über die Geschäftsführung eines Vorstands erlassen will. So kann von gesetzlicher Seite nur insoweit eine Einschränkung der Risikobereitschaft erwartet werden, als eine frühzeitige Erkennung von Risikosituationen gefordert wird, die mit einer Bestandsgefährdung verbunden ist. Wie der Vorstand mit diesen Informationen umgeht, ist nicht Sache des Gesetzgebers, sondern liegt im Ermessen des Vorstands. Handelt er fahrlässig oder vorsätzlich in Kenntnis der existenzbedrohenden Lage, so kann er strafrechtlich belangt werden. Der Gesetzgeber beabsichtigt durch die Neufassung des § 91 Abs. 2 AktG also nicht die grundsätzliche Vermeidung von Risiken, denn das Eingehen von Risiken gehört zum typischen Inhalt der Vorstandsaufgaben. Die Neuregelung soll vielmehr dazu anregen, auch die sich bietenden Chancen, z.B. durch globalisierte Kapitalmärkte, bewusst, aber kontrolliert wahrzunehmen.111 Die Festlegung auf ein erweitertes Risikomanagementsystem, das über die Früherkennung hinausgeht, bedingt die Notwendigkeit eines generellen Risikomanagements.112 Es lässt sich festhalten, dass es sich bei dem nach § 91 Abs. 2 AktG geforderten System nach Berücksichtigung juristischer und betriebswirtschaftlicher Überlegungen um ein generelles Risikomanagementsystem im weiteren Sinne handelt. Dieses Risikomanagementsystem bedarf einer Ergänzung um ein Überwachungssystem, das die Auf-
108
109 110 111
schaftsprüfer folgen wird, die gemäß § 317 Abs. 4 HGB das Risikomanagementsystem auf seine Funktionsfähigkeit hin zu überprüfen haben. Der Wirtschaftsprüfer wird sich bei seiner Beurteilung jedoch im Zweifel auf eine sehr weite betriebswirtschaftliche Auslegung des Risikomanagements stützen, um seine Haftung möglichst gering zu halten. Vgl. DRS 5 Nr. 9; weiterhin Ringleb, H.-M. (Kommentar, 2003), Rz. 456: Die Formulierung im DCGK macht deutlich, dass ein angemessenen Risikomanagement und ein Risikocontrolling im Unternehmen zu installieren ist. Diese Formulierung gibt jedoch nur die geltende Gesetzeslage wider, es wird folglich deutlich, dass auch hier durch die gewählte Formulierung von einem Risikomanagementsystem im weiteren Sinne ausgegangen wird. DRS 5 Nr. 9. Vgl. Zimmer, D./Sonneborn, M. (Anforderungen, 2001), S. 56. Vgl. Hommelhoff, P./Mattheus, D. (Grundlagen, 2000), S. 12.
3 Grundlagen des Risikomanagements
59
gabe hat, das Risikomanagementsystem zu überwachen und zu kontrollieren (vgl. ausführlich 4.6). Im Folgenden wird zuerst das Risikomanagementsystem dargestellt, um das System und Prüfungsobjekt, das dem Überwachungssystem zugrunde liegt, herauszuarbeiten. Eine Fokussierung lediglich auf den Bereich der reinen Risiken gewährleistet keine übergreifende (integrierte) risikoorientierte Unternehmensführung. Ein Risikomanagement i.S.d. KonTraG muss folglich auch den spekulativen Risikobegriff berücksichtigen und somit zugleich die Chancen mit einbeziehen, auch wenn der Gesetzgeber diesen Aspekt nicht explizit erwähnt. Obwohl das KonTraG - wie unter Abschnitt 3.1.2 bereits geschildert - nur auf die negative Ausprägung des Risikobegriffs abstellt, kann sich ein Risikomanagement nicht auf diesen Aspekt beschränken, wenn über die versicherbaren Risiken hinaus auch die unternehmerischen Entscheidungen einer Risikobetrachtung unterzogen werden sollen. Ein Vorstand trifft eine Entscheidung in der Regel, um eine Chance wahrzunehmen und geht dabei Risiken ein. Es ergibt sich folglich die Notwendigkeit ein generelles, die Unternehmensführung unterstützendes, integriertes Chancen- und Risikomanagement aufzubauen.113 Im Verlauf der Arbeit wird der Chancenaspekt dann explizit angesprochen, wenn er besonders hervorhebenswert erscheint. Der Chancenaspekt gilt jedoch auch bei einer begrifflichen Festlegung auf "Risikomanagement" als stets implizit mitberücksichtigt. Diese Interpretation des Risikomanagements nach KonTraG kann auch als Chance zu einer verbesserten Unternehmensführung gesehen werden. So sollte es Ziel eines Risikomanagements sein, die interne Transparenz und das Risikobewusstsein bei allen Mitarbeitern zu verbessern. Gleichzeitig unterstützt das Risikomanagement die dezentrale Eigenverantwortung der Bereiche und die Unternehmensleitung bei der Erreichung der Unternehmensziele.114 Das Risikomanagement nach KonTraG geht jedoch an einzelnen Stellen auch über ein generelles Risikomanagement im betriebswirtschaftlichen Sinne hinaus. Um den gesetzlichen Anforderungen gerecht zu werden, bedarf es einer externen Risikoberichterstattung im Lagebericht und eine Einbindung des Abschlussprüfers, die ein generelles Risikomanagement nicht vorsieht. Die Abgrenzung kann anhand folgender Abbildung 7 verdeutlicht werden:
112 113 114
Vgl. Wall, F. (Risikomanagement, 2001), S. 212. Vgl. Saitz, B. (Risikomanagement, 1999), S. 72; Weber, J. (Perspektiven, 2000), S. 1934; Ringleb, H.-M. (Kommentar, 2003), Rz. 466. Vgl. Claassen, U. (Risikomanagement, 1999), S. 3; Lischke, T. /Kirner, H. (Risikomanagementsystem, 2000), S. 44.
60
3 Crnmdlagen des Risikomanagements
Generelles Risikomanagement
-
g /
~
/
~
1
Risikomanagement nachKonTraG
Risikoanalyse \ RJsik°bericht- ~ erstattungim Ris_iko_,berwac_hung / kagebedcht
Abbildung 7: /Eberschneidungsbereiche yon generellem Risikomanagement und Risikomanagement nach KonTraG ns Die Diskussion um das Risikomanagement nach KonTraG ist orientiert an den verschiedenen beteiligten Institutionen inner- trod attgerhalb des Untemehmens, deren Interessenkonflikte es auszugleichen gilt. 116 Wie bereits tinter 2.4 angesprochen, tangiert das KonTraG als Bestandteil der Corporate Govemance-Bestrebtmgen verschiedene Akteure mit tmterschiedlichen Interessenlagen. Das generelle Risikomanagement wird demgegent~ber i.d.R, auf einer instmmentalen Ebene trod prozessorientiert betrachtet, die betroffenen Instanzen im Untemehmen stehen im Hintergnmd. Bei einer Diskussion der organisatorischen Einbindtmg geht es demzufolge in erster Linie um Fragen der (De-)Zentralisation (vgl. hierzu ausfithrlich Absclmitt 5.1). Angelelmt an die Interessenkonflikte im Rahmen des KonTraG wird im folgenden Abschnitt zunfichst auf die Integration des Risikomanagements in die Untemehmensftthrtmg trod auf die Tr~iger des Risikomanagements im Untemehmen eingegangen, bevor der Prozess des Risikomanagements in Kapitel 0 im Mittelpunkt steht.
3.3
3.3.1
I n t e g r a t i o n des R i s i k o m a n a g e m e n t s in die U n t e m e h m e n s f i i h m n g
Einbindungin die Unternehmensfiihrung
Wie bereits in Absclmitt 3.1.1.2 herausgearbeitet wurde, liegen jeder tmtemehmerischen Entscheidtmg Risiken zugnmde, die aus der tmsicheren Zuktmfl trod der damit verbtmdenen Pla-
115 leicht modiftziert nach Wall, F. (Unterschiede, 2002), S. 14. 116 Vgl. Wall, F. (Unterschiede, 2002), S. 18 £
3 Grundlagen des Risikomanagements
61
nungsunsicherheit resultieren.117 Das Risikomanagement ist aus diesem Grund in einem Gesamtkontext der Unternehmensführung anzusiedeln und darf nicht auf konkrete Problembereiche isoliert betrachtet werden.118 Als Unternehmensführung kann dabei ein Prozess der Willensbildung und -durchsetzung verstanden werden, der Planungs-, Steuerungs- und Kontrollaktivitäten umfasst.119 Oberstes Ziel und damit Aufgabe der Unternehmensführung ist die "Erhaltung und erfolgreiche Weiterentwicklung"120 des Unternehmens. Das Ziel, die Überlebensfähigkeit langfristig zu sichern, macht die enge Verbindung und auch Überschneidung mit dem Risikomanagement deutlich.121 Im Rechenwerk des Unternehmens drückt sich dieses Ziel in dem Streben nach einem maximalen Kapitalwert aus.122 Auf die Verbindung einer wertorientierten Ausrichtung des Unternehmens und des Risikomanagement wird in Abschnitt 3.3.2 eingegangen. Ein umfassendes Risikomanagement fordert die Berücksichtigung der Risiken im Planungsund Entscheidungsprozess und in der Informationsstruktur des Unternehmens.123 Wird dem Risikoaspekt innerhalb der Planung keine Rechnung getragen, vermittelt die Planung einen Grad der Sicherheit, der durch die Unsicherheit der Zukunft nicht gegeben ist. Das Lösen von unsicheren, risikobehafteten Zukunftsproblemen ist Gegenstand der Planung - Risiko ist somit jeglicher Planung inhärent.124 Die Mitarbeiter die für die Planung verantwortlich sind, kennen die jeweiligen zugrundegelegten Planungsprämissen, die Geschäftsabläufe und sind mit den jeweiligen Risiken vertraut.125 Änderungen der Planungsprämissen erfordern in der Regel eine Änderung im Umgang mit den Risiken und haben Einfluss auf die Genauigkeit der Planung.126 Eine Vernetzung und Koordination der einzelnen (bereichsbezogenen) Planungen erscheint aus Sicht des Risikomanagements - wie bereits in Abbildung 3 dargestellt - unerlässlich. Nur wenn die Interdependenzen zwischen den Teilbereichen berücksichtigt werden, kann die mitunter sehr komplexe Risikosituation vollständig erfasst werden, da grundsätzlich nicht auszuschließen ist, dass sich Risiken in mehreren Bereichen auswirken.127 117 118 119 120 121 122
123 124 125 126 127
Vgl. Mikus, B. (Integration, 1999), S. 85. Vgl. Haller, M. (Eckpunkte, 1986), S. 8; Gerke, W. (Pflichtenheft, 2003), S. 26: GERKE spricht in diesem Zusammenhang von einem holistischen Risikomanagement. Vgl. Hahn, D./Hungenberg, H. (PuK, 2001), S. 28. Hahn, D./Hungenberg, H. (PuK, 2001), S. 13. Vgl. Götze, U./Mikus, B. (Risikomanagement, 2001), S. 387f. Vgl. Hahn, D./Hungenberg, H. (PuK, 2001), S. 13: Der Kapitalwert ist dabei definiert als die Summe aller auf einen Betrachtungszeitpunkt diskontierten periodenbezogenen Zahlungsüberschüsse, die sich in dem Betrachtungszeitraum aus der Unternehmenstätigkeit ergeben. Vgl. Vogler, M./Gundert, M. (Einführung, 1998), S. 2379; Wall, F. (Risikomanagement, 2001), S. 215. Vgl. Braun, H. (Risikomanagement, 1984), S. 64. Vgl. Vogler, M./Gundert, M. (Einführung, 1998), S. 2382. Vgl. Schichold, B. (Überwachung, 2001), S. 406. Vgl. Braun, H. (Risikomanagement, 1984), S. 85
62
3 Grundlagen des Risikomanagements
Ein funktionsfähiges Risikomanagement bildet ein wertvolles Subsystem der Unternehmensführung, da es zur langfristigen Existenzsicherung und zu einem höheren Zielerreichungsgrad beiträgt.128 Unabhängig von gesetzlichen Anforderungen sollte es so gestaltet sein, dass wesentliche Risiken frühzeitig erkannt und gesteuert werden können, denn Risikomanagement dient nicht nur der Vermeidung von Risiken, sondern auch dem zweckgemäßen, bewussten Eingehen von Risiken, um Chancen zu nutzen.129 Die Ziele des Risikomanagements orientieren sich an den übergeordneten betrieblichen Primärzielen, was die Unterstützungsfunktion hervorhebt. Die Aufgabe des Risikomanagements im Rahmen der Unternehmensführung ist das möglichst frühzeitige Schaffen von Voraussetzungen für derzeitige und zukünftige Erfolgsmöglichkeiten.130 Die Unternehmensführung lässt sich grundsätzlich in einen strategischen und einen operativen Bereich unterscheiden. Strategische Unternehmensführung umfasst Planungs, Entscheidungs- und Kontrollprozesse im Rahmen der Strategieplanung und -umsetzung, wobei Strategien "dabei grundsätzliche Vorgehensweisen zur Gestaltung von Richtung, Ausmaß, Struktur und Trägern der Unternehmungsentwicklung"131 bilden. In den Aufgabenbereich der strategischen Unternehmensführung fällt die Festlegung der Unternehmensphilosophie, die Festlegung unternehmenspolitischer Ziele und die Gestaltung der Unternehmenskultur, die Geschäftsfeld-, Organisations-, Rechtsform- und Rechtsstrukturplanung, aber auch die Führungskräftesystemplanung sowie die zur Umsetzung erforderlichen Steuerungs- und Kontrollprozesse.132 In jedem Teilbereich sollte der Risikoaspekt Berücksichtigung finden, um ein langfristiges Überleben des Unternehmens zu sichern. Für eine Risikoorientierung der Geschäftsfeldplanung bieten sich z.B. dynamische Portfolios an, die Risiken und Chancen des Unternehmens und des Absatzmarkt darstellen können (vgl. 0). Im Rahmen der Organisationsplanung, die sich mit der zukünftigen Aufbau- und Ablauforganisation eines Unternehmens beschäftigt, können Risiken vor allem in einem zu späten Erkennen von Reorganisationserfordernissen oder einer verzögerten Umsetzung neuer Konzepte liegen.133 In der Führungskräfteplanung sollte ein besonderes Gewicht auf der Führungskräftenachwuchsplanung
128 129 130 131 132 133
Vgl. Mikus, B. (Integration, 1999), S. 86; Pollanz, M. (Einrichtung, 1999), S. 394; Spannagl, T./Häßler, A. (Implementierung, 1999), S. 1826. Vgl. Haller, M. (Eckpunkte, 1986), S. 8, Martin, T. A./Bär. T. (Grundzüge, 2002), S. 5f. Vgl. Steinle, C./Thiem, H./Bosch, T. (Chancenmanagement, 1997), S. 361; Burger, A./Buchhart, A. (Risiko, 2002), S. 595. Hahn, D. (Unternehmungsführung, 1999), S. 32. Vgl. Hahn, D. (Unternehmungsführung, 1999), S. 35. Vgl. Hahn, D. (Risiko-Management, 1987), S. 144.
3 Grundlagen des Risikomanagements
63
liegen, denn nur durch die rechtzeitige Sicherung des Führungsnachwuchses kann gewährleistet werden, dass Risiken im Unternehmen auch bewältigt werden können.134 Gleichzeitig kann auch die strategische Unternehmensführung selbst als "umfassender Beitrag zum Risikomanagement"135 interpretiert werden: Durch die starke Zukunftsorientierung und die Vorbereitung auf alternative Umweltkonstellationen schafft die strategische Unternehmensführung Handlungsspielräume und bildet ein wichtiges Element risikobewusster Unternehmensführung. Die operative Unternehmensführung setzt sich zusammen aus operativer Planung und gesamtunternehmensbezogener Ergebnis- und Finanzplanung (vgl. Abbildung 3), jeweils ergänzt um Steuerungs- und Kontrolltätigkeiten.136 Sie baut auf den Ergebnissen der strategischen Unternehmensführung auf und ist eher kurzfristig orientiert. Der Risikoaspekt ist auch im Rahmen der operativen Führung zu berücksichtigen. In vielen Unternehmensbereichen können Risiken auftreten, die gesteuert und überwacht werden müssen. Insbesondere im Finanzbereich zeigen sich die negativen Auswirkungen eintretender Risiken, die im schlimmsten Fall zur Unternehmensinsolvenz führen können. Die Wirkungen einer risikoorientierten Unternehmensführung lassen sich anhand Abbildung 8 verdeutlichen:
134 135 136
Vgl. Hahn, D. (Risiko-Management, 1987), S. 145 Götze, U./Mikus, B. (Risikomanagement, 2001), S. 388. Vgl. Hahn, D./Hungenberg, H. (PuK, 2001), S. 108.
64
3 Grundlagen des Risikomanagements
Risikobewusste Unternehmensführung
Kontrolle durch Abschlussprüfer
Kontrolle durch Gläubiger
Sicherung der Handlungsautonomie
Interne Kontrolle der operativen Risiken
Früherkennung operativer u. strategischer Risiken
Bewusstmachung des Risikos, dass Ziele nicht erreicht werden können
Definition und Kontrolle strategischer Prämissen
Schutz vor Verstößen gegen gesetzliche oder interne Vorgaben
Qualifizierte Entscheidungsfindung
Kontrolle durch den Aktienmarkt
Kontrolle durch den Aufsichtsrat
Stärkung der Eigenkapitalausstattung
Verbesserter Bestandsschutz
Abbildung 8: Stoßrichtungen und Wirkungen einer risikoorientierten Unternehmensführung137 Dabei wird deutlich, dass ein verbesserter Bestandsschutz auf zwei unterschiedlichen Stoßrichtungen aufbaut. Zum einen sollen mit Hilfe von internen Kontrollen ein Schutz vor Verstößen gegen Gesetze und interne Richtlinien gewährleistet werden, gleichzeitig wird die Zielerreichung überprüft. Der Abschlussprüfer als unternehmensexterne Institution überprüft diese Einschätzungen und schafft ein neutrales Urteil, auf das sich auch die Gläubiger stützen können. Zum anderen existiert eine Früherkennung sowohl operativer als auch strategischer Risiken, die die Entscheidungsfindung der Unternehmensführung qualitativ untermauern soll.138 Das Risikoniveau eines Unternehmens wird dabei von ganz unterschiedlichen Faktoren beeinflusst. So ist die Wahrnehmung der Zukunft durch Mitarbeiter und Führungskräfte und ihre Einstellung zu Risiken ausschlaggebend für die zu treffenden Entscheidungen. Ebenso spielen die Motivation der Mitarbeiter und die Durchsetzung von geplanten Veränderungen eine Rolle.139
137 138 139
In enger Anlehnung an Schäfer, J. G. (Überwachungssystem, 2001), S. 256. Vgl. Schäfer, J. G. (Überwachungssystem, 2001), S. 256 f. Vgl. Braun, H. (Risikomanagement, 1984), S. 75; Hinterhuber, H. (Risikomanagement, 1998), S. 11.
3 Grundlagen des Risikomanagements
3.3.2
65
Wertorientierung und Risikomanagement
Angesichts der veränderten Umweltbedingungen und der vielfältigen Anlagealternativen, denen sich Investoren gegenüber sehen, müssen Unternehmen das ihnen zur Verfügung gestellte Kapital optimal einsetzen, um ihren Fortbestand durch nachhaltige Wettbewerbserfolge zu sichern. Zielsetzung der Kapitalgeber ist es, eine ausreichende Verzinsung ihres eingesetzten Kapitals zu erzielen. Wert wird für die Anleger erst dann geschaffen, wenn ein Unternehmen mehr als die Kapitalkosten verdient. Die Kapitalkosten umfassen einerseits die tatsächlichen Finanzierungskosten, aber auch Opportunitätskosten im Sinne von entgangenen Gewinnen alternativer Anlagen.140 Die Anteile von börsennotierten Kapitalgesellschaften unterliegen dadurch der unmittelbaren Kontrolle des Kapitalmarktes und damit der Kapitalgeber (vgl. Abbildung 8), die sich jederzeit von ihren Anteilen trennen können und damit dem Unternehmen Kapital entziehen können.141 Es liegt deshalb im Interesse einer börsennotierten Kapitalgesellschaft, den Marktwert des investierten Kapitals und damit den Unternehmenswert der Eigentümer (Shareholder-Value) zur Zufriedenheit der Anteilseigner zu steigern.142 Die Kapitalmarktabhängigkeit der Unternehmen wird durch einen zunehmenden Rückzug der Banken aus dem Firmen-Kreditgeschäft noch gesteigert. Institutionelle Anleger, wie Investmentfonds, erwarten eine nachhaltige Steigerung des Unternehmenswertes und sind bei risikoreichen Kapitalanlagen nur gegen eine entsprechende Vergütung zu einem Investment bereit. Für die Unternehmen entstehen dadurch höhere Eigenkapitalrenditeforderungen.143 Ein systematisches Chancen- und Risikomanagement erscheint deshalb unumgänglich und als „zentraler Bestandteil jeder wertorientierten Unternehmenssteuerung“144, weil es durch höhere Transparenz im Hinblick auf die Unternehmensentwicklung Vertrauen schafft und vom Kapitalmarkt positiv honoriert wird. Ähnlich äußert sich auch PRITZER145, der in der Entwicklung des Risikomanagements einen verstärkten Einfluss auf Ratingfragen und Kapitalkosten sieht, da durch ein effizientes Risikomanagement die Risikokosten optimiert werden können. Darüber hinaus kann durch ein funktionsfähiges Risikomanagement die Entscheidungsqualität verbessert werden. Einen Überblick über den Zusammenhang der Shareholder-Value-Orientierung des Kapitalmarktes und den Risiken im Unternehmen gibt Abbildung 9:
140 141 142 143 144 145
Vgl. Horváth, P. (Controlling, 2001), S. 509f.; Hahn, D./Hungenberg, H. (PuK, 2001), S. 154. Vgl. Pape, U. (Unternehmensführung, 1999), S. 34ff. Vgl. Spremann, K./Pfeil, O. P./Weckbach, S. (Value-Management, 2001), S. 28. Vgl. Gerke, W. (Pflichtenheft, 2003), S. 26. Gerke, W. (Pflichtenheft, 2003), S. 26. Vgl. Pritzer, B. (Risikomanagement, 2000), S. 2.
66
3 Grundlagen des Risikomanagements
Kapitalmärkte Shareholder-Rendite Werttreiber
Kommunikationsstrategie
Risikotreiber
Kennzahlen
Finanziell - Umsätze - Brutto-Margen - Cash-Flow - Umsatzwachstum
- Umsatz - Betriebsergebnis - EVA - EBIT - RoE - RoI
- Cash-Flow/Aktie - Dividendenrendite - Schulden/Kapital - Schulden/Equity - Balanced Scorecard
Finanziell - Zinssatz - Wechselkurs -Rohstoffpreise - Steuern - Kostenstruktur
Industrie Benchmarks Nicht-Finanziell - Marktposition - Kundenzufriedenheit - Managementqualität - Unternehmensstruktur
Wertenetz - Mitarbeiterqualifikation - Markenwert - Marktdiversifikation
NichtFinanziell - Kundenabhängigkeit
- Kapitalrendite - Aktienrendite
Trends - Merger - Umweltschutz - Regionale Dominanz
- techn. Entwicklungen - Imageschaden- Arbeitskampf
Sensitivitäten - gesellschaftliches und politisches Umfeld - Gesetzgebung
Wertenetz - globale Expansion - soziale Entwicklungen
Abbildung 9: Risikoanalyse aus Sicht der Kapitalmärkte146 Laut gesetzgeberischer Intention soll das Risikomanagementsystem Risiken aufdecken, die sich negativ auf die Vermögens- Finanz- und Ertragslage (VFE-Lage) auswirken können. Es wird dabei jedoch keine Aussage getroffen, wie mit Risiken umzugehen ist, die sich negativ auf den Unternehmenswert auswirken. Da das KonTraG für börsennotierte Gesellschaften vorgeschrieben ist, ist von einer Wertorientierung der überwiegenden Mehrheit der betroffenen Unternehmen auszugehen. Interessant aus Sicht des Anlegers ist es daher, Risiken zu identifizieren und zu beobachten, die sich negativ auf den Unternehmenswert auswirken. Es stellt sich deshalb die Frage, inwieweit ein Risikomanagementsystem nicht auch explizit den Shareholder-Value schützen sollte und Risiken aufdecken sollte, die eine Verschlechterung des Shareholder-Values bewirken. Fraglich ist, ob und wie ein Risikomanagementsystem den Shareholder-Value erhöhen kann und ob dafür eine Einschätzung der Anleger über die Funktionsfähigkeit des Risikomanagements getroffen werden muss. Man könnte davon ausgehen, dass eine Bedrohung der VFE-Lage gleichermaßen eine Bedrohung für den Unternehmenswert darstellt und umgekehrt. Es lassen sich allerdings Beispie-
146
in Anlehnung an Fischer, M. (Betriebsunterbrechungsrisiken, 2000), S. 20.
3 Grundlagen des Risikomanagements
67
le147 anführen, die diese Annahme widerlegen. So ist etwa eine geplante Restrukturierung als positives Signal für den Unternehmenswert zu betrachten, was eine verbesserte Cash-FlowSituation erwarten lässt. Eine geplante Restrukturierung wird sich jedoch zumindest kurzfristig negativ auf die VFE-Lage auswirken. Umgekehrt ist es positiv für die derzeitige VFELage, die Forschungs- und Entwicklungskosten auf ein Minimum zu reduzieren, im Hinblick auf den Unternehmenswert zeigt diese Strategie jedoch langfristig negative Auswirkungen. Es ist fraglich, ob sich an dieser Unterscheidung eine Spaltung in kurzfristige und langfristige Betrachtungsweise festmachen lässt. Das KonTraG zielt mit seinen Anforderungen auf den kurzfristigen Horizont ab; die VFE-Lage ist dafür essenziell. Langfristig steht jedoch stets der Unternehmenswert im Vordergrund, der die zentrale Spitzenkennzahl der meisten börsennotierten Unternehmen bildet. Durch eine bewusst risikoorientierte Unternehmensführung sollte ein besseres Ergebnis erzielt werden, als ohne ein funktionsfähiges Risikomanagementsystem. Die Investitionsentscheidungen sollten auf einer verbesserten Informationsgrundlage getroffen werden, ebenso die Kapitalverteilung auf die Geschäftsfelder, was zu einer schrittweisen Verbesserung des Shareholder-Values führen sollte. Dem Risikomanagementsystem kommt im Rahmen der Risikosteuerung, auf die detailliert in 4.5.2 eingegangen wird, eine Allokationsfunktion im Hinblick auf das zur Verfügung stehende Eigenkapital zu.
Es existieren in der Literatur und Praxis zahlreiche Möglichkeiten der Unternehmensbewertung.148 Grundsätzlich lässt sich festhalten, dass der Unternehmenswert einerseits durch zukünftige Erträge erhöht, andererseits durch zukünftige Risiken vermindert wird. Für risikobehaftete Geschäfte müssen Risikoprämien (als Zuschlag auf risikolose Geschäfte) gebildet werden, die in Rechenmodellen berücksichtigt werden. Nicht auszuschließen ist allerdings, dass trotz Berücksichtigung einer Risikoprämie in einzelnen Bereichen höhere Risiken auftreten als nach dem zugrundegelegten Modell zu erwarten ist.149 Die Grundlage der kapitalmarktorientierten Unternehmensbewertung bilden die sog. freien Cash-Flows (FCF), die die Finanzmittel darstellen, die an Eigen- und Fremdkapitalgeber ausgeschüttet werden können.150 Diese FCF lassen sich für die Zukunft nicht mit Sicherheit pla-
147 148 149 150
Vgl. zu einem Beispiel für die Fehlsteuerung rein wertorientierter Steuerung Pollanz, M. (Risikomanagement, 1999), S. 1277. Vgl. Pape, U. (Unternehmensführung, 1999), S. 54ff.; Horváth, P. (Controlling, 2001), S. 511ff.; Hahn, D./Hungenberg, H. (PuK, 2001), S. 191ff. Vgl. Franz, K.-P. (Corporate, 2000), S. 52. Vgl. Copeland, T./Koller, T./Murrin, J. (Unternehmenswert, 1998), S, 160f.; Hahn, D./Hungenberg, H. (PuK, 2001), S. 152.
68
3 Grundlagen des Risikomanagements
nen, sondern sind vielfältigen Risiken unterworfen.151 Informationen über die künftige Entwicklung des Unternehmens und seines Umfeldes sind für die Unternehmensbewertung unabdingbar.152 Ein funktionsfähiges Risikomanagement macht das Erwirtschaften zukünftiger FCF glaubwürdiger, der Unternehmenswert ist dadurch höher einzustufen. Die Planungsqualität für die FCF verbessert sich durch ein vorhandenes Risikomanagement. Um die zukünftige Wettbewerbsfähigkeit eines Unternehmens zu sichern, muss eine Stagnation in der Unternehmensentwicklung verhindert werden. Positive zukünftige Erfolgsaussichten stärken den Shareholder-Value und wecken gleichzeitig das Interesse potenzieller Investoren. Ein zuverlässig betriebenes Risikomanagement kann einen wertvollen Beitrag leisten, wenn Risiken, die das Unternehmenswachstum behindern, frühzeitig identifiziert und gehandhabt werden, zugleich aber auch Chancen für die positive Unternehmensentwicklung aufgedeckt werden.
Ein weit verbreitetes Verfahren zur Berechnung des Shareholder-Values (SHV) im Rahmen der kapitalmarktorientierten Bewertungsverfahren ist der Ansatz von RAPPAPORT153, an dem exemplarisch die mögliche Berücksichtigung des Risikoaspekts in der Unternehmensbewertung geschildert wird. Für die Berechnung des SHV wird der Unternehmenswert um den Marktwert des Fremdkapitals (FKmw) verringert. Der Unternehmenswert errechnet sich über die Diskontierung der FCF (FCFt) mit den gewichteten Kapitalkosten - weighted average cost of capital (WACC). Da die FCF nur für einen bestimmten Zeitraum prognostiziert werden können, muss der geschätzte Liquidationserlös (termination value, TVn+1) addiert werden.
SHV
n
FCF
t 1
(1WACC t )
¦
t t
TV n 1 FK mw
In den Kapitalkostensatz fließen die Kosten für Eigen- und Fremdkapital (EKkostensatz und FKkostensatz) mit ein, die mit ihren Anteilen am Gesamtkapital gewichtet werden. Ausschlaggebend bei der Gewichtung sind die Marktwerte, die Buchwerte sind irrelevant.154 151 152
153 154
Vgl. zur Ermittlung und Berechnung der FCF: Pape, U. (Unternehmensführung, 1999), S. 97ff. Vgl. Arbeitskreis "Externe und Interne Überwachung der Unternehmung" (Prognoseprüfung, 2003), S. 105, Rz. 4; zu den Determinanten, die den Unternehmenswert beeinflussen, zählen nach Gleißner, W. (Risikopolitik, 2000), S. 1627 z.B. das Umsatzwachstum, die Steigerung der Umsatzrentabilität, eine effizientere Kapitalnutzung und die Reduzierung des Risikos; nach Henselmann, K. (KonTraG, 2001), S. 45 ist für die Risikoeinstufung von Unternehmen durch Kapitalgeber, Banken oder Venture-Capital-Geber die Managementqualität von großer Bedeutung, denn eine schlechte Managementqualität kann eine bestandsgefährdende Bedrohung für das Unternehmen darstellen. Vgl. Rappaport, A. (Shareholder, 1999), S. 52ff. Vgl. Brealey, R. A./Myers, S. C. (Finance, 2000), S. 484f.; Horváth, P. (Controlling, 2001), S. 511.
3 Grundlagen des Risikomanagements
Kapitalkostensatz
69
EKanteil * EKkostensatz FKanteil FKkostensatz
Der Eigenkapitalanteil bzw. Eigenkapitalbedarf (EKanteil) spiegelt das Risikodeckungspotenzial wider, da das Eigenkapital für den geplanten/tatsächlichen Risikoumfang aufkommen muss. Der Eigenkapitalbedarf eines einzelnen Geschäftsfeldes oder einer einzelnen Investition kann mit Hilfe des Value-at-Risk155 berechnen werden, daraus lassen sich dann die Kapitalkosten und der Wertbeitrag ableiten. Die Kapitalstruktur, also die Verteilung von Fremd- und Eigenkapital, hängt von dem im Unternehmen implementierten Risikomanagement ab, weil in der Phase der Risikosteuerung festgelegt wird, in welcher Höhe Kapital zur Deckung evtl. eintretender Risiken zur Verfügung stehen muss.156 Das Eigenkapital, das einem Unternehmen zur Verfügung steht, muss zur Abdeckung der Risiken ausreichen. Allerdings sollte aufgrund von Kapitalstrukturüberlegungen eine übermäßige Finanzierung der Unternehmenstätigkeit über Eigenkapital vermieden werden.157 Je größer die Transparenz über die erwarteten Risiken ist, desto genauer lässt sich der Eigenkapitalbedarf planen. Ein aussagekräftiges Risikomanagement kann demzufolge direkt den Unternehmenswert beeinflussen. Im Rahmen von Shareholder-Value-Berechnungen werden die Eigenkapitalkosten als Bestandteil der WACC, mit denen die FCF abgezinst werden, in vielen Fällen mit Hilfe des Capital Asset Pricing Models (CAPM) berechnet.158 Der Eigenkapitalkostensatz bzw. die Renditeforderung eines Investors wird im Rahmen des CAPM unter Berücksichtigung des Risikos ermittelt.159 Unter Risiko "wird hier die Streuung der Rendite einer Anlage - gemessen mittels der Standardabweichung - um die erwartete Rendite verstanden"160. Unter bestimmten Voraussetzungen161 lässt sich dieses Risiko in einen systematischen und einen unsystematischen Teil unterteilen. Systematisches Risiko umfasst dabei den Teil der Volatilität bzw. Schwankungsbreite des zukünftigen Wertzuwachses der Anlage, der nicht durch Investition in ein diversifiziertes Anlageportfolio vermieden wer-
155 156 157
158 159 160 161
Vgl. dazu ausfürhlich 4.4.2.1. Vgl. Gleißner, W. (Risikopolitik, 2000), S. 1629; vertiefend zur Phase der Risikosteuerung 4.5.2. Vgl. Perridon, L./Steiner, M. (Finanzwirtschaft, 1997), S. 423 ff. Umstritten ist die Aufteilung der Eigenund Fremdkapitalanteile am Gesamtkapital, grundsätzlich sollte jedoch eine einseitige Finanzierungsstruktur vermieden werden. Vgl. ausführlich Sharpe, W.F. (Capital, 1964), S. 425ff.; Brealey, R. A./Myers, S. C. (Finance, 2000), S. 197f.; Pape, U. (Unternehmensführung, 1999), S. 105f. Vgl. zu den Annahmen des CAPM Pollanz, M. (Risikomanagement, 1999), S. 1278. Hahn, D./Hungenberg, H. (PuK, 2001), S. 155. Vgl. Hahn, D./Hungenberg, H. (PuK, 2001), S. 155.
70
3 Grundlagen des Risikomanagements
den kann. Dazu zählt bspw. die Möglichkeit von Konjunkturschwankungen, die unabhängig von der Anlageentscheidung alle Alternativen treffen würde. Unsystematisches Risiko demgegenüber umfasst unternehmensspezifische Risiken, die bspw. durch das Produktprogramm oder Managemententscheidungen bedingt sein können. Diese Risiken lassen sich durch ein breitgefächertes Investitionsportfolio des Anlegers vermeiden, weshalb dieser Teil des Risikos auch als diversifizierbares Risiko bezeichnet wird.162 Risikomanagement soll dazu beitragen, das unsystematische Risiko zu verringern. Investoren, die kein diversifiziertes Portfolio aufbauen wollen oder können, werden ein geringeres unsystematisches Risiko honorieren und ein Risikomanagementsystem in ihrer Anlageentscheidung berücksichtigen.163 Die erwartete Rendite einer Kapitalanlage errechnet sich nach CAPM wie folgt164: rA
i [E ( r m ) i ] * ȕ A
mit rA = erwartete Rendite einer risikobehafteten Kapitalanlage A (gleichzusetzen mit dem EKkostensatz) i = risikofreier Zinssatz E (rm) = erwartete Rendite des Marktes bzw. Marktportfolios EA= Beta-Faktor der Kapitalanlage
Die Kapitalkosten des Investors setzen sich demnach zusammen aus einem risikolosen Zins, einer Prämie für die Übernahme des Risikos der Marktportfoliorendite und einer Prämie für die im Vergleich zur Marktrendite höherer Renditeschwankung des einzelnen Unternehmens, die durch den Risikofaktor E ausgedrückt wird. Der E-Faktor gibt an, um wie viel Prozent sich der Wert der Aktie erhöht (vermindert), wenn sich der allgemeine Marktindex (z.B. DAX) ausgehend vom derzeitigen Niveau um 1% erhöht (vermindert). Je höher das systematische Risiko eines Unternehmens und damit sein E-Faktor (E > 1) im Vergleich zu der Marktrendite ausfällt, desto höher fällt die erwartete Rendite der Kapitalanlage aus.165 Der E-Faktor kann über lineare Regression aus Kapitalmarktdaten gewonnen werden. Für die hier im Mittelpunkt 162 163 164
Vgl. Brealey, R. A./Myers, S. C. (Finance, 2000), S. 165ff.; Hahn, D./Hungenberg, H. (PuK, 2001), S. 155f.; Horváth, P. (Controlling, 2001), S. 511f. Vgl. Pollanz, M. (Risikomanagement, 1999), S. 1278. Vgl. Sharpe, W.F. (Capital, 1964), S. 438; Copeland, T./Koller, T./Murrin, J. (Unternehmenswert, 1998), S. 277ff.
3 Grundlagen des Risikomanagements
71
stehenden börsennotierten Unternehmen existieren jedoch E-Datenbanken von spezialisierten Finanzdienstleistungsunternehmen oder Investmentbanken. Die Werte können je nach Berechnungsmodell variieren.166 Es entsteht in diesem Modell eine enge Beziehung zwischen Risiko und Ertragsforderung, die jedoch an die Modellrestriktionen gebunden ist. So sind Unternehmensrisiken in unterschiedlichen Geschäftsfeldern denkbar, für die nicht ein einheitlicher Kapitalkostensatz gelten kann. Ein differenziertes Vorgehen wäre hier empfehlenswert.167 Es lässt sich jedoch prinzipiell feststellen, dass sich Risiken über den Diskontierungsfaktor der zukünftigen freien CashFlows (FCF) auf den Unternehmenswert auswirken und somit zwingend in der Unternehmensplanung und -steuerung Berücksichtigung finden müssen.168 Ein niedriger Diskontierungsfaktor deutet auf ein geringeres Risiko hin, umgekehrt weist ein höherer Diskontierungsfaktor auf ein höheres Risiko hin.
Ein effektives Risikomanagement kann jedoch auch zu einer Verbesserung eines externen Ratings führen und damit zu verringerten Fremdkapitalkosten, die sich wiederum positiv auf den Unternehmenswert auswirken können.169 Durch eine wirkungsvolle Transparenz und Kommunikation der Risikosituation eines Unternehmens kann den Banken als Fremdkapitalgebern eine funktionierende Steuerung des Unternehmens glaubhaft vermittelt werden. Für eine kreditgebende Bank ist ein funktionsfähiges Risikomanagement eine Sicherheit für die ausgeliehenen Kredite. Dieser Argumentation folgt auch das Basel-II-Abkommen, das vorrangig für kleine und mittelständische Unternehmen relevant ist. Im Rahmen des Basel-IIAbkommens wird festgelegt, dass Banken entweder durch ein externes oder internes Rating ihr Kreditrisiko messen müssen.170 Eine Möglichkeit des internen Ratings ist der sog. IRBAnsatz (Internal Ratings-Based Approach), mit dem die Banken die Bonität ihrer Kunden selbst einschätzen können, um so ihren Eigenkapitalbedarf optimal gestalten zu können. Bei der Beurteilung von Unternehmen sind dafür vor allem drei Komponenten entscheidend:171
165 166 167 168 169 170 171
Vgl. Horváth, P. (Controlling, 2001), S. 512; Spremann, K./Pfeil, O. P./Weckbach, S. (Value-Management, 2001), S. 136f. Vgl. Hahn, D./Hungenberg, H. (PuK, 2001), S. 158; ausführlich zu weiteren Berechnungsmöglichkeiten Fröhling, O. (Reward, 2000), S. 7. Vgl. Burger, A./Buchhart, A. (Risiko, 2002), S. 594. Vgl. Gleißner, W. (Risikopolitik, 2000), S. 1625. Vgl. Pollanz, M. (Risikomanagement, 1999), S. 1279; Gerke, W. (Pflichtenheft, 2003), S. 26. Vgl. ausführlich Gänßlen, S./Meissner, D. (Basel II, 2002), S. 276ff. , die auch einen Überblick über nationale und internationale externe Ratingagenturen geben. Vgl. Vera, A. (Basel II, 2002), S. 30f.
72
3 Grundlagen des Risikomanagements
x
PD (probability of default): Kreditausfallwahrscheinlichkeit. Der Kreditnehmer wird von der Bank einer bestimmten Risikoklasse zugeordnet.
x
LGD (loss given default): Verlust bei Ausfall.
x
M (maturity): Restlaufzeit.
Von den Unternehmen selbst kann die PD direkt beeinflusst werden. Wenn ein Unternehmen nachweislich über ein funktionsfähiges Risikomanagement verfügt, wirkt sich das positiv auf die Bonität aus. Die aus Sicht der Banken präzise Risikoeinschätzung dürfte sich in einer „Spreizung der Konditionen im Kreditgeschäft“172 niederschlagen. Kunden, die eine gute Bonität aufweisen können, werden bessere Kreditkonditionen erhalten, als Kunden mit schlechter Bonität.173 Um das bankinterne Rating zu optimieren, muss die Unternehmenssituation, insbesondere die Qualität des Managements und die Unternehmensstrategie, mit einer höhere Transparenz gegenüber der Bank dargestellt werden.174 Für größere, international agierende Unternehmen existieren Ratings, die durch Ratingagenturen vorgenommen werden. Diese Agenturen überprüfen die Bonität der Unternehmen anhand von bilanziellen und anderen Unternehmensinformationen, die auch zukünftige Entwicklungsperspektiven umfassen. Sie gelangen zu einer Kreditwürdigkeitseinschätzung, an der sich Banken orientieren können. Auch für Ratingagenturen sollte ein funktionsfähiges Risikomanagementsystem eine positiv zu honorierende Komponente bei der Erstellung eines Ratings bilden.
An dieser Stelle lässt sich zusammenfassend festhalten, dass Risikomanagement im Rahmen der Wertorientierung an verschiedenen Stellen Berücksichtigung findet: Zum einen verbessert das Risikomanagement die Planungsqualität im Hinblick auf die Schätzung der FCF als zentrale Größe der kapitalmarktorientierten Unternehmensbewertungsverfahren. Zum anderen gehen Risikoüberlegungen in den Diskontierungsfaktor mit ein, denn sie werden für die Berechnung der Eigenkapitalkosten zugrunde gelegt. Eine umfassende Risikosteuerung ermöglicht eine günstigere Fremdkapitalfinanzierung und erlaubt eine verbesserte Abschätzung des Kapitalbedarfs. Folgende Abbildung 10 verdeutlicht diesen Zusammenhang.
172 173 174
Vera, A. (Basel II, 2002), S. 31. Vgl. Kirchner, M. (Risikomanagement, 2002), S. 148.; Gänßlen, S./Meissner, D. (Basel II, 2002), S. 275. Vgl. Vera, A. (Basel II, 2002), S. 31f.
3 Grundlagen des Risikomanagements
Zielgröße Einflussgrößen
Auswirkungen
Basis
73
Unternehmenswert (Shareholder-Value) FCF
WACC EKKosten
Kapitalstruktur
FKKosten
- erhöhte Transparenz - verbesserte Planungsqualität - verbesserte Chancennutzung - gesteigertes Risikobewusstsein
Risikomanagementsystem
Abbildung 10: Zusammenhang zwischen Risikomanagementsystem und ShareholderValue Der Unternehmenswert, den ein Aktionär für realisierbar hält, wird durch den Aktienkurs widergespiegelt. Aus Sicht des Unternehmens ist deshalb eine Kommunikation wichtig, die die Unternehmensstrategie und die Unternehmensaussichten zuverlässig an die Kapitalmarktteilnehmer kommuniziert. Die Reaktion des Marktes auf die vom Unternehmen übermittelten Informationen bestimmt dadurch den Shareholder-Value mit. Eine Berücksichtigung und Darstellung der Chancensituation als Ergänzung zu den Risikoaspekten ist unerlässlich. Nur so kann über den Kapitalmarkt kommuniziert werden, dass risikoreiche Unternehmen mit großen Chancen nicht schlechter bewertet werden, als risikoärmere Unternehmen, denen aber gleichzeitig wenige Chancen offen stehen.175 Hier bietet sich für Unternehmen die Chance, offen und transparent mit dem Kapitalmarkt zu kommunizieren und das Vertrauen der Anleger zu stärken. Eine gleichzeitige Kommunikation über ein funktionsfähiges Risikomanagementsystem wird die Glaubhaftigkeit und das Vertrauen in die kommunizierte Strategie steigern, da sie als stärker abgesichert erscheint. Könnte man erreichen, ein ähnliches Vertrauen der Anleger in Chancen- und Risikomanagementsysteme zu gewinnen, wie dies bei Verbrauchern mit Qualitätsmanagementsystemen und -zertifizierungen erreicht wurde, dürften Unternehmen durch ein funktionsfähiges Chancen- und Risikomanagement zusätzlichen Wert schaffen. Als unzureichend wird von den Kapitalgebern häufig eine untransparente Berichterstattung wahrge-
74
3 Grundlagen des Risikomanagements
nommen. Um eine höhere Transparenz zu erzielen, sollten vor allem folgende Grundsätze für die Informationskommunikation berücksichtigt werden:176 x
Kommunikation von wesentlichen Informationen, die verständlich und nachvollziehbar dargestellt werden,
x
zukunftsgerichtete Informationen, die auch Umwelt- und Umfeldeinflüsse, die auf das Unternehmen wirken, miteinbeziehen,
x
Kommunikation von finanziellen und nicht-finanziellen Kennzahlen,
x
schnelle, regelmäßige und zuverlässige Berichterstattung.
Allerdings darf das Vertrauen der Aktionäre nicht geschädigt werden, wenn ein nachhaltig erfolgreicher Shareholder-Value erzielt werden soll. Dieses Problem zeigt aber das Dilemma der Kommunikation über Risikomanagementsysteme auf. Auch ein noch so zuverlässiges Risikomanagementsystem kann nicht verhindern, dass ein Unternehmen von Entwicklungen nachteilig überrascht wird. Diese Unsicherheit kann aufgrund des zukünftigen Spekulationsspielraums nie ausgeschlossen werden. Gerade der spekulative Charakter über zukünftige Chancen und Risiken rechtfertigt die Wertorientierung. Ein Risikomanagementsystem ist dennoch als sinnvolles Instrument einzustufen. Wird durch ein negatives, unerwartetes Ereignis das Vertrauen der Anleger beeinträchtigt und dem Risikomanagementsystem kein Vertrauen mehr entgegengebracht, sind die Kommunikationsbemühungen erfolglos und der Shareholder-Value daraus folgend geringer. Offenheit und Transparenz wird von den Anlegern höher eingeschätzt und honoriert als das Vorspielen falscher Tatsachen in einer Krisensituation. Unternehmen sollten auch negative Informationen offen kommunizieren und Lösungsstrategien ehrlich darstellen, denn nur so bleibt das Vertrauen der Anleger stabil. 3.3.3
Träger des Risikomanagements
3.3.3.1 Grundlagen Die Verantwortung für ein funktionsfähiges Risikomanagementsystem obliegt laut Gesetz alleinig dem Vorstand eines Unternehmens. Allerdings sind die Träger des Risikomanagements zu einem nicht unerheblichen Teil die operativen Bereiche (stellenweise in der Literatur auch als Risk Owner bezeichnet). Ist der Vorstand auch Initiator eines Risikomanagementsystems, so bilden die operativen Bereiche dennoch die Schnittstelle zur Umwelt und den
175 176
Vgl. Weber, J./Weißenberger, B./Liekweg, A.(Risk Tracking, 1999), S. 10f. Vgl. Scheffner, J./Strutz, A. (Lösungsansätze, 2003), S. 20.
3 Grundlagen des Risikomanagements
75
auftretenden Risiken.177 Es kann nicht Ziel eines Risikomanagements sein, den Vorstand über jedes Kleinstrisiko zu informieren, vielmehr soll das Risikomanagement die Bereiche in ihrer Eigenverantwortung bestärken.178 Wird über jedes Risiko im Unternehmen bis an die Unternehmensleitung hin berichtet, besteht die Gefahr, dass sich schnell eine "Angstkultur" entwickelt, die den betrieblichen Entscheidungsprozess mehr lähmt denn fördert. Die Unternehmensleitung muss Vorgaben für ein nicht zu überschreitendes Risiko geben, organisatorische Sicherungsmaßnahmen und Kontrollen sollen für die Einhaltung dieser Vorgaben dienen. Grundsätzlich eignen sich insbesondere zwei Instanzen im Unternehmen, um einen Teil der anfallenden Aufgaben des Risikomanagements zu übernehmen: die interne Revision und das Controlling. Auf die Möglichkeit der Bildung einer eigenen Instanz "Risikomanagement" wird in Abschnitt 5.1.3 eingegangen. Sowohl das Controlling als auch die interne Revision können die Unternehmensleitung bei der Durchführung und Kommunikation des Risikomanagements, aber auch bei der Überprüfung der tatsächlichen Risikolage unterstützen, wobei die Steuerung und die aus der Risikolage resultierenden Maßnahmenentscheidungen dann wieder dem Management bzw. den operativen Bereichen obliegen.179 Umstritten ist, ob die interne Revision als Vertreter des Aufsichtsrats im Unternehmen interpretiert werden kann.180 THEISEN weist ausdrücklich daraufhin, dass die interne Revision ein Überwachungsinstrument des Vorstands ist und sich in ihrer Aufgabenstellung und Berichtsstruktur an den Bedürfnissen der Unternehmensführung zu orientieren hat. Ebenso hebt SCHICHOLD181 hervor, dass Auftraggeber der internen Revision stets der Vorstand der Gesellschaft ist, der Aufsichtsrat hat gemäß § 111 Abs. 2 S. 3 AktG den Prüfungsauftrag an den Abschlussprüfer zu erteilen. Der Aufsichtsrat nimmt jedoch die Überwachung der Unternehmensführung war und kann sich anhand der internen Revision über die Arbeit der Unternehmensführung informieren.182 Inwieweit eine ungefilterte Berichterstattung an den Aufsichtsrat oder dessen Ausschüsse erfolgt, bleibt abzuwarten und wird vom Selbstverständnis der durch das KonTraG sensibilisierten Aufsichtsorgane abhängen.183 In Zukunft wird dennoch eine stärkere Zusammenarbeit der internen Revision mit den externen Aufsichtsorganen, insbesondere Aufsichtsrat und Wirtschaftsprüfer, des Unternehmens erwartet.184 177 178 179 180 181 182 183 184
Vgl. KPMG (Risikomanagement, 1998), S. 14f. Vgl. Claassen, U. (Risikomanagement, 1999), S. 3. Vgl. Hornung, K. (Risikocontrolling, 1999), S. 68. Vgl. PwC (Revision, 2000), S. 8; eine andere Meinung vertritt Theisen, M. R. (Risikomanagement, 2003), S. 1428. Vgl. Schichold, B. (Überwachung, 2001), S. 413. Vgl. Theisen, M. R. (Risikomanagement, 2003), S. 1428. Vgl. PwC (Revision, 2000), S. 8. Vgl. Lück, W. (Revision, 1999), S. 27.
76
3 Grundlagen des Risikomanagements
In den folgenden Abschnitten werden die Bereiche Controlling und interne Revision vorgestellt, die bei der Konzipierung, dem Betrieb und der Überwachung des Risikomanagements eine besondere Rolle spielen. Sicherlich werden auch deshalb vom Gesetzgeber genau diese beiden Bereiche hervorgehoben. In der Gesetzesbegründung stellt der Gesetzgeber heraus, dass „entscheidend [...] zunächst die Einrichtung einer unternehmensinternen Kontrolle durch den Vorstand (Interne Revision, Controlling)“
185
ist. Sowohl das Controlling als auch die
interne Revision entlasten das Management und unterstützen es durch die Bereitstellung von entscheidungsrelevanten Informationen, mit dem Ziel Wirkungszusammenhänge aufzuzeigen und die Transparenz zu erhöhen.186 Dem Controlling kommt aufgrund seiner Informationsversorgungsfunktion und seiner innerbetrieblichen Querschnittsfunktion eine wesentliche Rolle bei der Erstellung und dem Betreiben eines Risikomanagementsystems zu. Die interne Revision hat aufgrund ihrer Überwachungsaufgabe im Unternehmen einen nicht unerheblichen Anteil an der Sicherstellung der Funktionsfähigkeit eines Risikomanagementsystems. Allerdings ergeben sich auch gerade aus der expliziten Hervorhebung beider Instanzen (Funktionen) Abgrenzungsschwierigkeiten, die durch den Gesetzgeber nicht gelöst werden. Auf die Abgrenzung der Aufgabengebiete zwischen Controlling und interner Revision sowie die Rolle der jeweiligen Instanzen im Risikomanagementprozess wird ausführlich in 4.6.5 eingegangen. Die Abschlussprüfung als neutrale, externe Prüfungsinstanz wird im Anschluss an die interne Revision kurz dargestellt, da sie wesentliche Aufgaben im Rahmen eines Risikomanagements nach KonTraG wahrnehmen muss. 3.3.3.2 Controlling Eine einheitliche Auffassung über den Begriff des Controllings existiert weder in der Literatur noch in der Praxis. Gemeinsam ist jedoch allen Auffassungen, dass die Führungsunterstützung Aufgabe des Controllings ist.187 Es lassen sich verschiedene Ansätze unterscheiden, die historisch gewachsen sind und auf unterschiedlicher Schwerpunktsetzung beruhen. Zum einen steht die Informationsversorgung als Aufgabe des Controllings im Mittelpunkt. Eine andere Meinung vertieft diesen Ansatz dahingehend, dass Controlling dabei in erster Linie ergebnisorientiert tätig wird: Durch eine Bereitstellung und Koordination von Informationen soll eine ergebniszielorientierte Anpas-
185 186 187
Deutscher Bundestag (Gesetzesbegründung, 1998), S. 11. Vgl. Hofmann, R. (Revision, 1972), S. 28; Heigl, A. (Controlling, 1989), S. 173; Ruud, T. F./Beer, M. (Revision, 1999), S. 99; Theisen, M. R. (Risikomanagement, 2003), S. 1427. Vgl. Horváth, P. (Controlling, 2001), S. 83; Hahn, D./Hungenberg, H. (PuK, 2001), S. 272.
3 Grundlagen des Risikomanagements
77
sung des Unternehmens an Umweltveränderungen stattfinden.188 Die generelle Aufgabe des Controlling kann demnach definiert werden als "informationelle Sicherung bzw. Sicherstellung ergebnisorientierter Planung, Steuerung und auch Überwachung des gesamten Unternehmensgeschehens - vielfach verbunden mit einer Integrations- bzw. Systemgestaltungsfunktion, grundsätzlich verbunden mit einer Koordinationsfunktion"189. Die planorientierte Unterstützung der Unternehmensführung wird hier deutlich erkennbar.190 Einem anderen Schwerpunkt folgen die Vertreter der koordinationsorientierten Ansätze, die die Aufgabe des Controllings in der Koordination unterschiedlicher Teilsysteme des Unternehmens sehen.191 WEBER integriert diese verschiedenen Ansichten in dem sog. rationalitätsorientierten Controllingverständnis. Er sieht die Aufgabe des Controllers darin "Rationalitätsverluste der Führung zu vermindern, oder - mit anderen Worten - die Rationalität der Führung sicherzustellen"192, was die Service- bzw. Unterstützungsfunktion des Controllings besonders hervorhebt. Dabei kommt der Bereitstellung von führungsrelevanten Informationen (Informationsversorgungsfunktion) ebenso große Bedeutung zu, wie Planungs- und Kontrollaufgaben und der Koordination von Planung, Steuerung und Kontrolle als zentraler Engpass rationaler Unternehmensführung.193 Controlling soll damit Effizienz und Effektivität der Führung steigern.194 Die Zielsetzung des Controllings im Rahmen des rationalitätsorientierten Ansatzes als das Vermeiden von Fehlern im Führungssystem hebt den deutlichen Bezug zum Risikomanagement hervor.195 Einen zentralen Aspekt im Zusammenhang mit dem Risikomanagement nimmt die Koordinationsfunktion des Controllings ein. Koordination in diesem Sinne versucht, den Unterschied zwischen Informationsbedarf und vorhandenen Informationen (Informationsdefizit) zu verkleinern. Jede Planung bezieht sich auf eine ungewisse Zukunft und birgt naturgemäß Risiken in sich. Durch eine Verringerung des Informationsdefizits bzw. durch eine verbesserte Informationsversorgung wirkt die Koordination risikomindernd.196 So hebt HORVÁTH denn auch hervor, dass Risikomanagement "dieser Überlegung entsprechend häufig als Teilbereich
188 189 190 191 192 193 194 195 196
Vgl. Horváth, P. (Controlling, 2001), S. 115f.; Franz, K.-P./Kajüter, P. (Controlling, 2002), S. 125f. Hahn, D./Hungenberg, H. (PuK, 2001), S. 272. Vgl. Weber, J. (Controlling, 2002), S. 23. Vgl. Küpper, H.-U. (Controlling, 1997), S. 17. Weber, J. (Entwicklungstendenzen, 1999), S. 466. Vgl. Weber, J. (Controlling, 2002), S. 63; Scharpf, P. (Treasury, 1998), S. 2. Vgl. Weber, J. (Perspektiven, 2000), S. 1932; Weber, J. (Controlling, 2002), S. 66. Vgl. Götze, U./Glaser, K./Hinkel, D. (Risikocontrolling, 2001), S. 119f. Vgl. Horváth, P. (Controlling, 2001), S. 130.
78
3 Grundlagen des Risikomanagements
des Controllings angesehen"197 wird. In Anlehnung an HORVÁTH kann eine systembildende und systemkoppelnde Koordination unterschieden werden (vgl. Abbildung 11).198 Die systembildende Koordinationsfunktion des Risikomanagements beinhaltet den Aufbau eines auf die Bewältigung der betrieblichen Risiken ausgerichteten Planungssystems sowie eines risikoorientierten Informationsversorgungssystems.199 Ebenfalls in den Bereich der systembildenden Funktion fällt die Auswahl und Gestaltung von Instrumenten für das Risikomanagement. Des Weiteren obliegt es dem Controlling, Risikokontrollprozesse zu installieren und Institutionen zu bestimmen, die die jeweiligen Kontrollmaßnahmen ausführen.200 Die systemkoppelnde Koordination übernimmt die laufende Abstimmung aller Maßnahmen und Entscheidungen zum Umgang mit Risiken.201 Die Abstimmung muss dabei zum einen zwischen den einzelnen hierarchischen Ebenen erfolgen (z.B. Funktionsbereiche), aber auch zwischen den verschiedenen Planungsebenen (z.B. strategische und operative Ebene). Daneben sollte eine laufende Betreuung bei der Einführung und Anwendung der Risikomanagementinstrumente gewährleistet sein.202
197 198 199 200 201 202
Horváth, P. (Controlling, 2001), S. 130; ähnlich Hornung, K. (Risikocontrolling, 1999), S. 69. Vgl. Horváth, P. (Controlling, 2001), S. 126f. Vgl. Braun, H. (Risikomanagement, 1984), S. 61. Vgl. Götze, U./Glaser, K./Hinkel, D. (Risikocontrolling, 2001), S. 110, 113f. Vgl. Braun, H. (Risikomanagement, 1984), S. 61. Vgl. Götze, U./Glaser, K./Hinkel, D. (Risikocontrolling, 2001), S. 112.
3 Grundlagen des Risikomanagements
79
Unternehmung
Unternehmungsziele Unternehmungsinterne und -externe Einflußfaktoren
Informationen
Führungssystem Führungsziel: Spezifikation und Umsetzung der Unternehmungsziele
Controllingsziel: Sicherung und Erhaltung der Koordinations-, Reaktions- und Adaptionsfähigkeit der Führung Controllingsystem: Ergebnisorientierte Planungsund Kontrollsystem
Koordination systembildend systemkoppelnd
Informationsversorgungssystem
Informationen Ausführungssystem Güter Geld Abbildung 11: Controllingsystem nach Horváth203 Auch STEGER204 weist auf die deutliche Funktionsüberschneidung zwischen Risikomanagement und Controlling hin. Die Aufgabe des Risikomanagements als Bestandteil des (strategischen) Controllings liegt in der Identifizierung und Bewertung von Risiken und in der Bereitstellung der verschiedenen Strategien zu ihrer Bewältigung. Risikomanagement nimmt auf203
Vgl. Horváth, P. (Controlling, 2001), S. 151.
80
3 Grundlagen des Risikomanagements
grund seiner Konzeption eine wichtige "Komplementär- und Sensibilisierungsfunktion für die strategische Planung"205 wahr und stellt einen wesentlichen Bestandteil einer in die Zukunft gerichteten Rückkopplungsschleife dar. Neu auftauchende oder neu zu bewertende Risiken müssen in die strategische Planung einfließen und dort zum Beispiel zu entsprechenden Risikovermeidungsstrategien führen.206 Controlling eignet sich demnach fast schon als "natürlicher Träger"207 der Risikomanagementaufgaben, da es durch seine Verantwortung z.B. über Kostenrechnung und Berichtswesen bereits die Verantwortung für wesentliche Systeme im Unternehmen trägt.208 Die dort verfügbaren Daten werden auf allen Ebenen erhoben, und unterschiedlichen Ebenen in verschiedenen Aggregationsstufen zur Verfügung gestellt. Hier zeigt sich eine große Parallele zu den Risikodaten, die ebenfalls auf allen Unternehmensebenen anfallen können, gesammelt und weitergeleitet werden müssen. Es ist deshalb davon auszugehen, dass "die wesentlichen Kompetenzen für die Wahrnehmung derartiger Aufgaben im Controlling bereits vorhanden"209 sind. Die Aufgaben des Controllers im Zusammenhang mit dem Risikomanagement werden häufig in einem Aufgabenbereich zusammengefasst und als Risikocontrolling bezeichnet.210 Zentrale Aufgabe dieser Funktion sollte die Schaffung von Transparenz über die Risikopositionen im Unternehmen und Konzern sein.211 Risikocontrolling bildet einen Teilbereich des Risikomanagements und soll „die Unternehmensleitung bei der zielorientierten Steuerung durch die Darstellung der relevanten Risiken und ihrer möglichen Auswirkungen auf die Zielgrößen unterstützen“212. Dabei ist es aus Sicht des Controllings unerheblich, in welche Richtung sich ein angestrebtes Ziel verändern kann, also ob es sich um ein Risiko oder eine Chance für das Unternehmen handelt. Einen ähnlichen Ansatz verfolgt das Bundesaufsichtsamt für Kreditwesen, das Risikocontrolling als „ein System zur Messung und Überwachung des Risikopositionen und zur Analyse des mit ihnen verbundenen Verlustpotentials“213 sieht, Risikomanagement hingegen als System zu deren Steuerung auffasst.214 Risikomanagement ist als ein elementarer Aspekt der Ge-
204 205 206 207 208 209 210 211 212 213 214
Steger, U. (Umweltmanagement, 1993), S. 255ff. Steger, U. (Umweltmanagement, 1993), S. 260. Vgl. Steger, U. (Umweltmanagement, 1993), S. 260. Lischke, T. /Kirner, H. (Risikomanagementsystem, 2000), S. 45. Vgl. Vogler, M./Gundert, M. (Einführung, 1998), S. 2379. Lischke, T. /Kirner, H. (Risikomanagementsystem, 2000), S. 45. Vgl. Götze, U./Glaser, K./Hinkel, D. (Risikocontrolling, 2001), S. 102ff. Vgl. Theisen, M. R. (Revision, 1999), S. 53. Gebhardt, G. (Risikocontrolling, 2002), Sp. 1713. Bundesaufsichtsamt für Kreditwesen (Mindestanforderungen, 1995), S. 5. Vgl. Bundesaufsichtsamt für Kreditwesen (Mindestanforderungen, 1995), S. 5.
3 Grundlagen des Risikomanagements
81
samtleitungsaufgabe der Unternehmensführung zu verstehen.215 So fällt z.B. die (Weiter-) Entwicklung von Planungs- und Kontroll- und Informationsinstrumenten in den Aufgabenbereich des Risikocontrollings.216 Risikocontrolling unterstützt die methodische Umsetzung und begleitet dabei den gesamten Risikomanagement-Prozess.217 Einen Überblick über die begriffliche Abgrenzung gibt folgende Abbildung 12:
RISIKOMANAGEMENT
RISIKOCONTROLLING
Aufgaben der unternehmerischen Führung
Methodische Unterstützung des Risikomanagements
• Anstoßen des RisikomanagementProzesses • Schaffung eines Risikobewußtseins • Setzen risikopolitischer Grundsätze • Schaffung betriebswirtschaftlicher Strukturen • Schaffung einer technischen Infrastruktur • Entwicklung einer Methoden- und Fachkompetenz • Entwicklung eines effizienten Risikomanagementprozesses • Entwicklung eines Risikomanagementinstrumentariums • Steuerung in Kenntnis der aktuellen Risikolage
Abbildung 12: Abgrenzung von Aufgaben des Risikomanagements und des Risikocontrollings218 Risikocontrolling umfasst in seiner methodischen Unterstützung die Risikoidentifikation, die Analyse und Bewertung der Risiken und die sich anschließende Risikoüberwachung (vgl. 4.6.5).219 Für die Erhebung der Daten vor Ort wird in den meisten Fällen fachspezifisches Know-how notwendig sein, weshalb die operativen Bereiche integriert werden müssen. Wie bei der klassischen Controllingfunktion liegen die Aufgaben des Risikocontrollings in der 215 216 217 218
Vgl. Gebhardt, G. (Risikocontrolling, 2002), Sp. 1715. Vgl. Hornung, K. /Reichmann, T. /Diederichs, M. (Risikomanagement I, 1999), S. 322; Götze, U./Glaser, K./Hinkel, D. (Risikocontrolling, 2001), S. 109. Vgl. Thom, N./Cantin, F. (Auditing, 1992), S. 190 f.; Lischke, T. /Kirner, H. (Risikomanagementsystem, 2000), S. 45; Reichmann, T. (Balanced Scorecard, 2001), S. 288.Vgl. Weber, J. (Controlling, 2002), S. 57. in Anlehnung an Hornung, K. (Risikocontrolling, 1999), S. 70.
82
3 Grundlagen des Risikomanagements
Unterstützung von Planung, Kontrolle und Informationsversorgung im Hinblick auf das Risikomanagement.220 Nicht in den Aufgabenbereich des Risikocontrollings fällt jedoch die Risikosteuerung, die direkt von den durch Risiken betroffenen operativen Einheiten und der Geschäftsleitung durchgeführt wird. Die Risikosteuerung ist somit auch Gegenstand, aber nicht Bestandteil des Risikocontrollings.221 Hingegen ist die Aufgabe der Risikokontrolle durchaus sinnvoll von einem Risikocontrolling wahrzunehmen.222 Die Vorgabe von risikopolitischen Grundsätzen und das Schaffen eines Risikobewusstseins sind ebenso wie die Steuerung der Risiken originäre Führungsaufgaben.223 Eine andere Ansicht vertritt der DCGK, der Risikocontrolling als „Teil der Risikofrüherkennung des einzurichtenden Überwachungssystems“224 auffasst und Risikocontrolling damit in erster Linie auf die noch zu erläuternden Früherkennungsaufgaben eingrenzt. Folgt ein Unternehmen einem eher informationsorientierten Controllingkonzept, so liegen die Aufgaben des Risikocontrollings in der Bereitstellung, Weiterleitung und Speicherung von entscheidungsrelevanten Informationen, die einen optimalen Umgang mit den unternehmerischen Risiken und Chancen gewährleisten.225 Das Risikocontrolling begleitet den Prozess des Risikomanagements dabei mit wertvollen Informationen, die sich z.B. in Kennzahlensystemen und Managementinformationssystemen niederschlagen. Ein sachgerechtes Risikomanagement und eine angemessene Überwachung sind ohne eine zuverlässige Informationsversorgung durch das Controlling nicht möglich. Eine Informationsabgabe erfolgt im Rahmen des Berichtswesens (vgl. 4.6.3.2), das regelmäßige und unregelmäßige Risikoberichte vorsehen sollte.226 Ein ausgebautes Controlling ist zugleich unabdingbare Voraussetzung für ein Risikomanagementsystem.227 Wie herausgearbeitet wurde, bildet die Wahrnehmung von Kontrollaufgaben nur einen Teilaspekt des Aufgabenspektrums des Risikocontrollings. Dieser Teilaspekt der Kontrolle interessiert jedoch vor allem im Hinblick auf die interne Revision, die ebenfalls Überwachungsund Kontrollaufgaben im Unternehmen wahrnimmt.
219 220 221 222 223 224 225 226 227
Vgl. Gebhardt, G. (Risikocontrolling, 2002), Sp. 1716. Teilweise wird die Risikoüberwachung auch als Risikocontrolling im engeren Sinne interpretiert; Peter, A. (Reportingstrukturen, 2000), S. 14. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 13. Vgl. Gebhardt, G. (Risikocontrolling, 2002), Sp. 1721. Vgl. Peter, A. (Reportingstrukturen, 2000), S. 10; Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 58. Vgl. Gebhardt, G. (Risikocontrolling, 2002), Sp. 1716; Kirchner, M. (Risikomanagement, 2002), S. 25. Vgl. Ringleb, H.-M. (Kommentar, 2003), Rz. 459. Vgl. Götze, U./Glaser, K./Hinkel, D. (Risikocontrolling, 2001), S. 103. Vgl. Scharpf, P. (Sorgfaltspflichten, 1997), S. 738; Götze, U./Glaser, K./Hinkel, D. (Risikocontrolling, 2001), S. 105ff. Vgl. Hinterhuber, H. (Risikomanagement, 1998), S. 13.
3 Grundlagen des Risikomanagements
83
3.3.3.3 Interne Revision Die Aufgabe der internen Revision als Funktion liegt in der prozessunabhängigen Überwachung sämtlicher relevanten betrieblichen Aktivitäten und Systeme. Die Überwachung wird durch unternehmensinterne, neutrale und unbefangene Personen durchgeführt, die nicht in die betrieblichen Arbeitsabläufe einbezogen sind und für das Ergebnis der zu überwachenden Prozesse nicht verantwortlich sind.228 Die interne Revision als Institution kennzeichnet eine Instanz im Unternehmen, die mit der Durchführung von Prüfungs- und Überwachungsaufgaben betreut ist. 229 Von der internen Revision durch die Prüfungen gewonnene Erkenntnisse erfüllen dabei verschiedene Funktionen:230 x
Fehlerbeseitigungsfunktion (durch aufgedeckte Abweichungen besteht die Möglichkeit der Fehlerkorrektur),
x
Entscheidungsfunktion (Verbesserung der Planungs- und Entscheidungssituation durch Vermeidung zukünftiger, wiederholter Fehler),
x
Verhaltenssteuerungsfunktion (durch die Existenz von Überwachungsmaßnahmen werden die Mitarbeiter zu unternehmenskonformem Verhalten angeregt).
Vor allem die Verhaltenssteuerungsfunktion der Revision kann sich jedoch nur in Verbindung mit anderen Führungs- und Anreizsystemen entfalten. Grundsätzlich ist allerdings auch eine dysfunktionale Verhaltenswirkung der internen Revision denkbar, wenn z.B. die Führungsund Anreizsysteme auf einem vertrauensorientierten Ansatz basieren.231 Durch angedrohte Prüfungen kann dann ein unkonstruktives Misstrauensklima entstehen.232 Im Laufe der letzten Jahre hat sich das ursprüngliche Tätigkeitsfeld der internen Revision kontinuierlich erweitert. Stand früher typischerweise die Prüfung des Finanz- und Rechnungswesens (Financial Auditing) im Mittelpunkt, geht die Tendenz derzeit verstärkt zu einem Operational und Management Auditing.233 Das Operational Auditing umfasst die Prüfung aller operativen Bereiche, wie z.B. Forschung und Entwicklung, Produktion, Absatz und Logistik, mit dem Ziel, auch in diesen Bereichen die Effektivität und Effizienz sicher zu stellen. Das Management Auditing geht darüber noch hinaus und umfasst in seinen Prüfungen
228 229 230 231 232 233
Vgl. Bundesaufsichtsamt für Kreditwesen (Revision, 2000), S. 2. Vgl. IDW PS 321, 1. (1); Hoffmann, F. (Revision, 1992), Sp. 870. Vgl. Jung, M.K.P. (Revision, 2002), Sp. 798. Vgl. Schewe, G./Littkemann, J./Beckemeier, P.O. (Kontrollsysteme, 1999), S. 1485. Vgl. Krystek, U./Zumbrock, S. (Planung, 1993), S. 86f. Vgl. Lück, W. (Revision, 1999), S. 27.
84
3 Grundlagen des Risikomanagements
auch die Leistungen des Managements sowie Aufbau- und Ablauforganisation.234 In diesen Bereich fällt auch die Prüfung des Risikomanagementsystems.235 Die interne Revision soll die Qualität236 und Funktionsfähigkeit der Risikomanagementmaßnahmen sowie die „Adäquanz der eingesetzten Risikomanagement-Instrumente“237 überwachen. Darüber hinaus fällt es in den Aufgabenbereich der internen Revision, die Risiken zu betreuen, die durch organisatorische Sicherungsmaßnahmen und interne Kontrollen behoben werden können.238 Von einzelnen Vertretern in Literatur239 und Praxis wird darüber hinaus im Zusammenhang mit dem KonTraG vorgeschlagen, dass die interne Revision „je nach Kapazität und Fachkenntnis bei der Entwicklung und Implementierung eines wirksamen Risikomanagementsystems beratend mitwirken kann (Internal Consulting)“240. Auch der Schweizerische Verband für Interne Revision macht in seiner Definition deutlich, dass ihre "Aufgabe sowohl in der Feststellung der Sicherheit als auch in der Beratung"241 liegt. Tritt die interne Revision als Berater im Unternehmen auf, hat dies den Vorteil, dass die bei der Prüfung gewonnenen Erkenntnisse sinnvoll genutzt werden können und die Akzeptanz der internen Revision bei anderen Unternehmensbereichen erhöht wird.242 Allerdings ist im Falle der Wahrnehmung von Beratungsaufgaben mit einem Interessenkonflikt der internen Revision zu rechnen. Die Beratungsaufgaben stellen zum einen die Unbefangenheit der internen Revision in Frage, denn eine neutrale Beurteilung von Systemen, an deren Aufbau die interne Revision mitgewirkt hat, ist nur schwer vorstellbar. Zum anderen beanspruchen die Beratungsaufgaben auch die Ressourcen der internen Revision, was dazu führen kann, dass die Prüfungsaufgaben nicht mehr in vollem Umfang erfüllt werden können.243 Die interne Revision kann die Implementierung des Risikomanagementsystems überwachend begleiten, um so frühzeitig Schwachstellen aufzudecken. Ergeben sich aus dieser begleitenden
234
235 236 237 238 239 240 241 242 243
Vgl. Heigl, A. (Controlling, 1989), S. 8; Janke, G. (Revision, 1997), S. 320: Die interne Revision kann jedoch nicht die Beurteilung der unternehmerischen Entscheidung leisten. Sie kann lediglich überprüfen, ob bspw. die Basiswerte der Entscheidung korrekt sind, ob die unternehmensinternen Richtlinien eingehalten wurden und der Aufsichtsrat in Kenntnis gesetzt wurde. Vgl. Lück, W. (Elemente, 1998), S. 10; Jung, M.K.P. (Revision, 2002), Sp. 799. Vgl. Arbeitskreis "Externe und Interne Überwachung der Unternehmung" (Prognoseprüfung, 2003), S. 108, Rz. 32ff. Horváth, P./Gleich, R. (Risikomanagement, 2000), S. 120. Vgl. Horváth, P./Gleich, R. (Risikomanagement, 2000), S. 120, vor allem der EDV-Bereich sowie Arbeitsund Umweltsicherheitsvorschriften sind hier relevant. Vgl. Hofmann, R. (Revision, 1972), S. 29; Amling, T./Bischof, S. (KonTraG, 1999), S. 58; PwC (Revision, 2000), S. 9, 11. Lück, W. (Risiken, 1998), S. 1929. SVIR (Definition, 2003), o. S. Vgl. Schwager, E. (Entwicklungen, 2001), S. 2107. Vgl. Rückle, D./Gerhards, R. (Berufsbilder I, 1998). S. 223; Schäfer, J. G. (Überwachungssystem, 2001), S. 90 f.; Jung, M.K.P. (Revision, 2002), Sp. 800.
3 Grundlagen des Risikomanagements
85
Überwachung bereits Verbesserungsvorschläge, so lässt sich hier zugleich eine Beratungsfunktion ausmachen, die jedoch bereits an den Prüfungskriterien ansetzt. Dieser Beratungsfunktion kann grundsätzlich zugestimmt werden, da sie sich an einer nachträglichen Prozessverbesserung orientiert. Hierbei wird lediglich das vorhandene Wissen der internen Revision zu einer Weiterentwicklung genutzt.244 Die interne Revision berät den Vorstand dann über die Funktionsfähigkeit des Internen Überwachungssystems, ohne das System im Einzelnen vorzuschreiben.245 Wird die interne Revision jedoch gemeinsam mit der Geschäftsführung und dem Controlling bei der inhaltlichen Konzipierung, Aufbau und Zielsetzung des Risikomanagementsystems tätig, ist eine neutrale Überwachung ex-post nur noch eingeschränkt möglich. Es muss deshalb fallspezifisch entschieden werden, ob und in welchem Umfang die interne Revision beratend tätig werden soll. Um die gestellten Anforderungen erfüllen zu können, muss die interne Revision verschiedene Anforderungen erfüllen. Unabdingbar ist die Unabhängigkeit und Unbefangenheit dieser Instanz im Unternehmen.246 Die interne Revision könnte deshalb zweckmäßigerweise als Stabsabteilung konzipiert werden, die die Unternehmensleitung unterstützt und entlastet, dabei jedoch ausschließlich entscheidungsvorbereitend wirkt und über keinerlei Weisungsbefugnisse verfügt. Eine zweckdienliche Form der hierarchischen Einordnung wäre die Unterstellung der internen Revision unter den Gesamtvorstand oder ein einzelnes Vorstandsmitglied.247 Die Unbefangenheit bzw. Objektivität zielt vor allem auf die Einstellung der internen Revisoren ab. So muss gewährleistet sein, dass ein Revisor seine Prüfungstätigkeit frei von Rücksichtnahmen erfüllen kann. Muss ein Revisor bspw. einen Bereich überprüfen, für den er bereits als Manager verantwortlich war, kann die Unbefangenheit beeinträchtigt sein, gleiches gilt für die bereits angesprochene Beratungstätigkeit.248 Um die Prüfungsaufgaben in vollem Umfang wahrnehmen zu können, bedarf es ausreichend qualifizierter Mitarbeiter, die zudem durch regelmäßige Schulungsmaßnahmen weitergebildet werden sollten.249 Die Prüfungen sind weiterhin sehr gewissenhaft auszuführen. Das bedeutet, dass alle Prüfungen geplant und korrekt ausgeführt werden, wobei der Prüfungsvorgang und die Prüfungsergebnisse dokumen-
244 245 246 247 248 249
Vgl. Ruud, T.F./Beer, M. (Revision, 1999), S. 111; Arbeitskreis „Externe und Interne Überwachung“ (KonTraG, 2000), S. 4, Rz. 38. Vgl. Janke, G. (Revision, 1997), S. 320. Vgl. Hoffmann, F. (Revision, 1992), Sp. 871; Bundesaufsichtsamt für Kreditwesen (Revision, 2000), S. 4, Rn. 19ff. Vgl. hierzu ausführlich Hoffmann, F. (Revision, 1992), Sp. 873; Deppe, H. (Zusammenarbeit, 1987), S. 130; Amling, T./Bischof, S. (KonTraG, 1999), S. 47f. Vgl. Jung, M.K.P. (Revision, 2002), Sp. 801. Vgl. Hofmann, R. (Revision, 1972), S. 51f.
86
3 Grundlagen des Risikomanagements
tiert werden müssen. Hierdurch wird zugleich die Zusammenarbeit mit einem externen Prüfer erheblich erleichtert.250 Einen Überblick über die Anforderungen an eine moderne Revision gibt Abbildung 13:
Anforderungen an die Persönlichkeit des Internen Revisors - unabhängig, objektiv, neutral - kommunikativ - natürliche Autorität - kreativ, ideenreich - integer, verschwiegen
Anforderungen an die berufliche Kompetenz des internen Revisors
- flexibel, Eigeninitiative - selbständige Arbeitsweise - räumliche Mobilität - teamfähig, kooperationsbereit
- betriebswirtschaftliche, ggf. auch technische Ausbildung - Kenntnis der Berufsstandards
Anforderungen an die organisatorische Einbindung der Revisionsabteilung - Uneingeschränktes Recht - Unabhängigkeit und auf Informationen/AusFunktionstrennung von zu prüfenden Abteilungen, künfte - direkt der GeschäftsFunktionen, Abläufen führung unterstellt
- ständige Fort- und Weiterbildung - möglichst Berufsexamen - möglichst Berufserfahrung
Anforderungen an die Organisation der Revisionsabteilung
Interne Revision
Anforderungen an die Aufgaben der Internen Revisoren - Wirtschaftlichkeit, Zweck- Ordnungsmäßigkeit der geschäftlichen Aktivitäten mäßigkeit, Effizienz von Entscheidungen - Schutz vor Ver- Projektbegleitende mögensverlusten Beratung - Zuverlässigkeit des IKS
- angemessene Personalund Sachausstattung - Aufbewahrung und Archivierung - Zeit- und Budgetüberwachung
- Effizienzmessung - Schulungsmaßnahmen - IT- Unterstützung
Anforderungen an die Arbeitsweise der Internen Revision - Ausführliche Berichter- Dynamische Planung stattung mit Verbesser- Zusammenarbeit mit ungsvorschlägen Externen (WP, Konzern- Qualitätssicherung revision etc.) - Effiziente Prüfungsdurchführung
Abbildung 13: Anforderungen an eine moderne Interne Revision251 Wenn ein Unternehmen - z.B. aufgrund mangelnder Größe - über keine eigene Revisionsabteilung verfügt, kann ein funktions- bzw. systemspezifisches Outsourcing eine Lösung darstellen.252 Outsourcing wird hierbei verstanden als Auslagerung betrieblicher Funktionen, die durch einen nicht mit dem Unternehmen verbundenen externen Dienstleister erstellt werden.253 Wichtig ist dabei jedoch, dass eine neutrale, funktions- und prozessunabhängige Überwachung gewährleistet ist.254 An diesem Punkt sehen Wirtschaftsprüfungsgesellschaften und Unternehmensberatungen Beratungspotenzial und bieten deshalb verstärkt ein Outsourcing der internen Revision und deren Aufgabenübernahme an. Durch die inhaltliche Nähe zur externen Prüfung lassen sich zahlreiche Argumente für eine Fremdvergabe der internen Revi250 251 252 253
Vgl. Amling, T./Bischof, S. (KonTraG, 1999), S. 49f.; Jung, M.K.P. (Revision, 2002), Sp. 801. leicht modifiziert nach PwC (Revision, 2000), S. 8. Vgl. KPMG (Risikomanagement, 1998), S. 15. Vgl. Lück, W./Jung, A. (Outsourcing, 1994), S. 174.
3 Grundlagen des Risikomanagements
87
sion an eine Wirtschaftsprüfungsgesellschaft anführen.255 Die Gefahr einer fehlenden, zwar neutralen, jedoch dem Unternehmen verbundenen Instanz bleibt dabei vielfach unbeachtet.256 Als Argumente gegen ein Outsourcing werden fehlende Unternehmens- und Branchenkenntnisse der externen Anbieter angeführt, aber auch potenzielle Konflikte wie Akzeptanzprobleme im Unternehmen und erhöhte Personalrotation bei einem externen Anbieter. Gleichzeitig wird das Know-how der internen Revision als wichtiger Input für die Unternehmensleitung angesehen und deshalb ist eine direkte Unterstellung unter die Geschäftsleitung zu bevorzugen.257 Eine Ausnahme bildet das Bundesaufsichtsamt für Kreditwesen, das in seinen Mindestanforderungen an die Ausgestaltung der internen Revision der Kreditinstitute ausdrücklich festsetzt, dass eine Übertragung der internen Revision auf externe Personen nur dann in Betracht zu ziehen ist, wenn „die betreffenden Personen nicht gleichzeitig als Abschlussprüfer tätig sind“258. Ähnlich argumentiert das IDW, dass eine vollständige Übernahme der Aufgaben der internen Revision durch den Abschlussprüfer für unzulässig ansieht. Fallweise Leistungen aus dem Aufgabenbereich der internen Revision können jedoch von dem Abschlussprüfer erbracht werden.259 3.3.3.4 Abschlussprüfung Die Abschlussprüfer erfahren durch das KonTraG weitreichende Neuerungen, wie bereits unter Abschnitt 2.6 dargestellt wurde. Aufgabe des Abschlussprüfers ist es nach § 317 Abs. 4 HGB zu überprüfen, ob "der Vorstand die ihm nach § 91 Abs. 2 AktG obliegenden Maßnahmen in einer geeigneten Form getroffen hat und ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann"260. Er muss im Rahmen der Prüfung feststellen, ob das Risikomanagementsystem die Identifikation, die Bewertung und Kontrolle der Risiken sicherstellt, ob das System durch eine Kommunikation begleitet wird und ob es einer neutralen Überwachung durch ein Kontrollsystem unterliegt. Die Reaktion des Managements auf erfasste Risiken - die Risikosteuerung - ist wie bereits dargestellt nicht Gegenstand der Prüfung.261
254 255 256 257 258 259 260 261
Vgl. Theisen, M. R. (Revision, 1999), S. 53. Vgl. Lück, W./Jung, A. (Outsourcing, 1994), S. 175f.; PwC (Revision, 2000), S. 18. Vgl. Lück, W. (Revision, 1999), S. 27; Arbeitskreis „Externe und Interne Überwachung“ (KonTraG, 2000), S. 4, Rz. 45. Vgl. Ruud, T. F./ Bodenmann, J. M./ Kienast, M. (Revision, 2000), S. 1034. Bundesaufsichtsamt für Kreditwesen (Revision, 2000), S. 7, Rn. 39. Vgl. IDW PS 321, 7. (28). Wortlaut des § 317 Abs. 4 HGB. Vgl. Eggemann, G./Konradt, T. (Risikomanagement, 2000), S. 506.
88
3 Grundlagen des Risikomanagements
Der Abschlussprüfer nimmt dadurch eine Kontrollfunktion im Hinblick auf das Risikomanagement wahr. Er unterstützt nicht die Unternehmensleitung, die Aufgaben an das Controlling und die interne Revision delegieren kann, sondern vielmehr den Aufsichtsrat in seiner Überwachungspflicht. Bestandteil der Prüfung sind neben den Systemelementen auch die interne Revision als Teil des neutralen Überwachungssystems sowie das Controlling als Träger vielfältiger Aufgaben im Risikomanagementprozess.262 Besonders schwierig für den Abschlussprüfer ist die Tatsache, dass es sich bei der Prüfung nach § 317 Abs. 4 HGB um eine Systemprüfung handelt, die weitestgehend losgelöst von dem eher vergangenheitsorientierten „Rechnungswesenblickwinkel“ stattfindet und sich mit den Geschäftsrisiken auseinandersetzen muss.263 Kenntnisse des Abschlussprüfers über die wirtschaftliche Lage des Unternehmens, die Branchenbesonderheiten und spezifische Kenntnisse über den Geschäftsbetrieb werden vorausgesetzt.264 Es kann deshalb erforderlich sein, dass der Abschlussprüfer externe Experten für die Einschätzung der Risikolage oder Überprüfung des Überwachungssystems hinzuziehen muss.265 Eine besondere Herausforderung ist die Prüfung der Vollständigkeit der Maßnahmen, denn die Funktionsfähigkeit eines Risikomanagement- und Überwachungssystems hängt entscheidend von der Berücksichtigung aller relevanten Risiken ab.266 Die Problematik der Prüfung liegt darin begründet, dass ein SollRisikomanagementsystem, an dem sich der Prüfer orientieren kann, größtenteils nicht existiert.267 Die Planung der Prüfung des Risikomanagementsystems sollte in die allgemeine Planung der Jahresabschlussprüfung mit einbezogen werden.268 Der typische Ablauf einer Systemprüfung gliedert sich dabei in drei Stufen:269 x
Erfassung der relevanten Maßnahmen Bei der Erfassung der Maßnahmen zur Risikofrüherkennung stützt sich der Ab-
262 263 264 265 266 267 268 269
Vgl. Oechsle, E./Wirth, M. (Gegenstand, 1999), S. 567ff. Vgl. Kuhl, K./Nickel, J.-P. (Risikomanagement, 1999), S. 135; Schindler, J./Rabenhorst, D. (Prüfung, 2001), S. 167. Vgl. IDW PS 340 (20). Vgl. Eggemann, G./Konradt, T. (Risikomanagement, 2000), S. 507; Eisele, W. (Meinungsspiegel, 2000), S. 281; Lachnit, L./Müller, S. (KonTraG, 2001), S. 384. Vgl. Schindler, J./Rabenhorst, D. (Prüfung, 2001), S. 167; kritisch hierzu Förschle, G./Peter, M. (Überwachungssysteme, 1999), Rn. 87. Vgl. Dörner, D. (Unternehmensberatung, 1998), S. 303; Lachnit, L./Müller, S. (KonTraG, 2001), S. 387; Pollanz, M. (Prüfung, 2001), S. 1318. Vgl. Eggemann, G./Konradt, T. (Risikomanagement, 2000), S. 507. Vgl. IDW (WP-Handbuch, 2000), S. 1392ff.; Brebeck, F./Herrmann, D. (KonTraG-Entwurf, 1997), S. 389f.; Oechsle, E./Wirth, M. (Gegenstand, 1999), S. 580ff; Eggemann, G./Konradt, T. (Risikomanagement, 2000), S. 507f.; Schindler, J./Rabenhorst, D. (Prüfung, 2001), S. 167; Lachnit, L./Müller, S. (KonTraG, 2001), S. 384ff.
3 Grundlagen des Risikomanagements
89
schlussprüfer im Wesentlichen auf die Dokumentation des Unternehmens.270 Er hat zu überprüfen, ob ein Risikomanagement- und Überwachungssystem vorhanden ist. Dazu muss er Informationen über Risikopolitik, Frühwarnindikatoren, Aufbauorganisation (u.a. Zuständigkeiten, Verantwortlichkeiten) und Ablauforganisation (Prozess des Risikomanagements) berücksichtigen.271 Je aussagekräftiger und umfangreicher die Dokumentationsunterlagen des Risikofrüherkennungssystems sind, umso weniger muss der Abschlussprüfer eigene Untersuchungen und Befragungen der Mitarbeiter vornehmen. Fehlt eine umfassende Dokumentation, lässt das Rückschlüsse auf die mangelnde Ordnungsmäßigkeit des Systems zu, berechtigt jedoch nicht zu der Annahme, dass kein Risikomanagement- und Überwachungssystem eingerichtet wurde.272 Eine fehlende Dokumentation lässt jedoch einen Mehraufwand für den Abschlussprüfer entstehen, da er eine eigene Bestandsaufnahme durchführen muss und eine Dokumentation zu erstellen hat.273 Aufgabe des Abschlussprüfers in diesem Stadium ist weiterhin, dass er sich mit den Maßnahmen der Risikosensibilisierung auf Mitarbeiterebene und dem Risikobewusstsein der Geschäftsleitung auseinandersetzt.274 POLLANZ275 kritisiert diese sehr dokumentationsgesteuerte Sichtweise der Prüfungsdurchführung und fordert, einer Systemprüfung auch ein Systemverständnis zugrunde zu legen. Zwingender Ausgangspunkt für die Systemeinrichtung, aber auch die Systemprüfung "ist das Zielsystem und nicht die Dokumentation, denn Risiken sind per se Potenziale der Verhinderung der Zielerreichung"276. Gefordert wird deshalb eine Erfassung der Elemente, Prozesse und Funktionen des Risikomanagements, die dann auf ihre Eignung hin überprüft werden.277 x
Beurteilung der Angemessenheit der Maßnahmen In einem zweiten Schritt muss sich der Abschlussprüfer vergewissern, dass die nach § 91 Abs. 2 AktG getroffenen Maßnahmen grundsätzlich geeignet und angemessen sind, diese Aufgaben zu erfüllen.278 „Die Zweckmäßigkeit wird daran zu messen sein,
270 271 272 273 274 275 276 277 278
Vgl. Dörner, D. (Unternehmensberatung, 1998), S. 304. Vgl. Lachnit, L./Müller, S. (KonTraG, 2001), S. 384. Vgl. IDW (WP-Handbuch, 2000), S. 1393. Vgl. IDW PS 340 (18); Eggemann, G./Konradt, T. (Risikomanagement, 2000), S. 508; Schindler, J./Rabenhorst, D. (Prüfung, 2001), S. 168. Vgl. IDW PS 340, (22). Pollanz, M. (Prüfung, 2001), S. 1318. Pollanz, M. (Prüfung, 2001), S. 1318. Vgl. Pollanz, M. (Prüfung, 2001), S. 1322. Vgl. Kuhl, K./Nickel, J.-P. (Risikomanagement, 1999), S. 134.
90
3 Grundlagen des Risikomanagements
ob das Überwachungssystem den Zielen bzw. der Strategie des Unternehmens gerecht wird.“279 Dabei hat der Abschlussprüfer sich zu vergewissern, dass die Risikoidentifikation vollständig erfolgt und alle relevanten Risikobereiche umfasst. Im Rahmen der Risikobewertung sind die Plausibilität und die Widerspruchsfreiheit der angewandten Verfahren zu prüfen.280 Bei der Beurteilung von Risiken in besonderen Bereichen kann die Hinzuziehung von Spezialisten (z.B. Biologen oder Chemiker) notwendig sein.281 Darüber hinaus ist sicherzustellen, dass die Kommunikation des Risikos so frühzeitig erfolgt, dass noch rechtzeitig wirksame Steuerungsmaßnahmen durch die Geschäftsleitung ergriffen werden können. Auch die prozessunabhängigen Kontrollen durch die interne Revision unterliegen der Prüfung nach § 317 Abs. 4 HGB.282 Die Prüfung der Angemessenheit erscheint problematisch. So setzt ein erfolgreiches Risikomanagement bspw. ein angemessenes Risikobewusstsein im Unternehmen voraus und es sind Schwellenwerte auf ihre Angemessenheit hin zu überprüfen, worin zugleich Normvorstellungen über die als kritisch eingestuften Risikoausmaße zum Ausdruck kommen.283 Das KonTraG birgt die Gefahr, dass sich zunehmend Standards zur Risikopräferenz etablieren, die bei Unternehmensentscheidungen zugrunde gelegt oder zur Kenntnis genommen werden müssen. Hierdurch wird die unternehmerische Freiheit eingegrenzt, weil allgemeingültige Normen als Muster gelten. Es ist jedoch fraglich, wie eine Angemessenheit durch den Abschlussprüfer beurteilt und operationalisiert werden kann.284 x
Prüfung der Wirksamkeit der Maßnahmen Abschließend muss der Abschlussprüfer beurteilen, ob die Maßnahmen umgesetzt werden, also ob das Risikomanagement- und Überwachungssystem tatsächlich funktionsfähig ist. Neben der Einsicht in die Dokumentationsunterlagen kann der Abschlussprüfer durch Stichprobenüberprüfungen untersuchen, ob die Handlungsvorgaben eingehalten wurden.285 Die getroffenen Maßnahmen sind auf ihre Wirksamkeit
279 280 281 282 283 284 285
Schindler, J./Rabenhorst, D. (Prüfung, 2001), S. 168. Vgl. Eggemann, G./Konradt, T. (Risikomanagement, 2000), S. 508. Vgl. IDW PS 340 (30). Vgl. Oechsle, E./Wirth, M. (Gegenstand, 1999), S. 585; Eggemann, G./Konradt, T. (Risikomanagement, 2000), S. 508. Vgl. Wall, F. (Unterschiede, 2002), S. 16. Vgl. Wall, F. (Unterschiede, 2002), S. 17. Vgl. IDW (WP-Handbuch, 2000), S. 1396f.; Schindler, J./Rabenhorst, D. (Prüfung, 2001), S. 169.
3 Grundlagen des Risikomanagements
91
und auf ihre kontinuierliche Anwendung im betrachteten Zeitraum hin zu überprüfen.286 Bei der Wahrnehmung der Überwachungsaufgaben kann es zu Überschneidungen zwischen den Aufgabenbereichen der internen Revision und der externen Jahresabschlussprüfung kommen. Betroffen ist vor allem der Bereich des financial auditing, also der Prüfung des Finanz- und Rechnungswesen.287 Die externe Revision kann die Erkenntnisse der internen Revision bei ihrer Prüfung berücksichtigen, eine eigene Prüfung entfällt dadurch jedoch nicht.288 Der Abschlussprüfer kann seinen Prüfungsumfang lediglich reduzieren, wenn er sich vergewissert hat, dass die interne Revision die Prüfung in erforderlichem Umfang ausgeführt hat.289 Bestehen keine Bedenken hinsichtlich der sorgfältigen Arbeit der internen Revision, sollte der Abschlussprüfer, schon alleine aus wirtschaftlichen Gründen, die Arbeitsergebnisse berücksichtigen und seine eigenen Prüfungshandlungen in bestimmten Prüffeldern einschränken.290 Bei bedeutsamen Prüffeldern jedoch – hierzu zählt auch das Risikomanagementsystem – ist es ratsam, dass der Abschlussprüfer eine nochmalige Prüfung desselben Vorgangs vornimmt.291 Außerdem wird die interne Revision selbst - wie bereits angesprochen - Gegenstand der Prüfung durch den Abschlussprüfer im Rahmen der Prüfung des Risikomanagementsystems.292 Stellt der Abschlussprüfer bei der Prüfung Mängel fest, muss er diese benennen und kann Vorschläge zur Ausbesserung anbieten. Bei der Verbesserung jedoch kann er nicht mitwirken, dies ist alleinige Aufgabe des Vorstands und etwaigen Unternehmensberaters.293 Schon vor Inkrafttreten des KonTraG war eine Veränderung der Abschlussprüfung zu beobachten. Wirtschaftsprüfungsunternehmen haben sich zunehmend von einer reinen Buchführungsprüfung hin zu einer risiko-, problem- und zukunftsorientierten Prüfung entwickelt und dabei zunehmend auch eine „prüfungsnahe unternehmerische Beratung“ durchgeführt.294 Fraglich ist allerdings, inwieweit die Urteilsbildung des Abschlussprüfers unabhängig und unbefangen erfolgen kann, wenn er gleichzeitig Beratungsleistungen für das zu prüfende Unternehmen
286 287 288 289 290 291 292 293 294
Vgl. Förschle, G./Peter, M. (Überwachungssysteme, 1999), Rn. 93, 94; Oechsle, E./Wirth, M. (Gegenstand, 1999), S. 585. Vgl. Hofmann, R. (Revision, 1972), S. 127. Vgl. IDW PS 321, 3. (11), (12); Marten, K.-U./Quick, R. /Ruhnke, K. (Wirtschaftsprüfung, 2001), S. 297ff. Vgl. Freiling, C./Lück, W. (Jahresabschlußprüfung, 1986), S. 1004; Jung, M. K. P. (Revision, 2002), Sp. 804. Vgl. IDW PS 321, 4. (15); Schwager, E. (Entwicklungen, 2001), S. 2106. Vgl. Freiling, C./Lück, W. (Jahresabschlußprüfung, 1986), S. 1004; KPMG (Risikomanagement, 1998), S. 16; Amling, T./Bischof, S. (KonTraG, 1999), S. 51; Theisen, M. R. (Risikomanagement, 2003), S. 1429. Vgl. Amling, T./Bischof, S. (KonTraG, 1999), S. 51. Vgl. Mattheus, D. (Wirtschaftsprüfer, 1999), S. 711. Vgl. Mattheus, D. (Wirtschaftsprüfer, 1999), S. 689.
92
3 Grundlagen des Risikomanagements
wahrnimmt.295 Die Gefahr einer unzulässigen Beratung bei der Einrichtung eines Risikomanagement- und Überwachungssystems ergibt sich in erster Linie für kleine und mittelständische Unternehmen, die nicht über das fachlich erforderliche Know-how verfügen. Zulässig ist unabhängig von der Unternehmensgröße vermutlich eine Beratung, die theoretische Hinweise zu der Aufbau- und Ablauforganisation des Risikomanagementsystems gibt und Hilfestellung bei der Erarbeitung von Sollobjekten leistet. Unzulässig sind Beratungsleistungen, die in die Entscheidungsverantwortung der Leitungsorgane eingreifen, wie bspw. die Dokumentation des Risikomanagement- und Überwachungssystems durch den Abschlussprüfer, das dann Prüfungsgegenstand bildet.296 Für eine gleichzeitige Wahrnehmung von Prüfungs- und Beratungsaufgaben wird ein verbesserter Informationsstand der Wirtschaftsprüfer angeführt, der zum einen die Wirtschaftlichkeit, zum anderen aber auch die Qualität der Prüfung und Beratung erhöht. Demgegenüber steht die Gefahr, dass durch die Beratungsleistung die notwendige Distanz zum Unternehmen verloren geht. Bei der Prüfung aufgedeckte Beratungsfehler könnten verschwiegen werden, da der Prüfer ein zunehmendes Eigeninteresse an dem Unternehmen entwickelt. Allerdings wird von Gegnern eines generellen Beratungsverbots zu Recht angeführt, dass bei Beratung und Prüfung in den seltensten Fällen Personenidentität besteht und die Beratungsleistungen häufig von organisatorisch selbständigen Abteilungen durchgeführt werden.297
Der Abschlussprüfer steht bei der Prüfung der Teilkomponenten des Risikomanagements vor einem Dilemma. Will er seinem Auftrag nachkommen und dem Aufsichtsrat verbesserte Beurteilungsmöglichkeiten und einen höheren Informationsstand verschaffen, so muss er ein neutrales Urteil fällen. Eine Überprüfung des Risikomanagement- und Überwachungssystems beinhaltet zahlreiche in die Zukunft gerichtete und häufig strategische Informationen. Eine Überprüfung kann deshalb vielfach nur intuitiv und unter Berücksichtigung personenbezogener Aspekte erfolgen. So ist bei der Prüfung auf die "Sachverhalte Urteilsfähigkeit, Urteilsfreiheit und sachgerechte Urteilsbildung einzugehen"298. Ein Prüfer ist lediglich in der Lage, festzustellen, ob sich eine Prognose auf ein bewährtes und nachvollziehbares Verfahren stützt. Er kann kein Urteil dazu abgeben, ob nur die vom Unternehmen abgegebene Prognose plausi-
295 296 297 298
Vgl. ausführlich Quick, R. (Abschlussprüfung, 2002), S. 623f. Vgl. Pollanz, M. (Prüfung, 2001), S. 1321; Quick, R. (Abschlussprüfung, 2002), S. 625. Vgl. Quick, R. (Abschlussprüfung, 2002), S. 627f; ausführlich zu den möglichen Beratungsfeldern Dörner, D. (Unternehmensberatung, 1998), S. 311ff. Arbeitskreis "Externe und Interne Überwachung der Unternehmung" (Prognoseprüfung, 2003), S. 109, Rz. 38.
3 Grundlagen des Risikomanagements
93
bel erscheint oder ob darüber hinaus andere Möglichkeiten der Entwicklung bestehen.299 Untersucht werden sollte die Sachkenntnis bei Informationserfassung, -verarbeitung sowie Methodenanwendung. Aufgrund der subjektiven Elemente bei der Prognoseerstellung kann der Prüfer aber nicht dafür garantieren, dass keine weiteren Risiken eintreten werden. Fraglich ist, ob jedoch nicht gerade diese Garantie von der Öffentlichkeit erwartet wird.300 Es lässt sich festhalten, dass die Qualität der Prüfung einer vergangenheitsorientierten Rechnungslegung anders einzustufen ist, als die Plausibilitätsprüfung von Informationen im Lagebericht oder über die Funktionsfähigkeit des Risikomanagements.301 Der Wirtschaftsprüfer kann kein sicheres Urteil über zukünftige Informationen abgeben, er kann stets nur die zugrundeliegenden Prämissen und damit die Plausibilität von Zukunftsaussagen überprüfen.302
299 300 301 302
Vgl. Giese, R. (Prüfung, 1998), S. 455; Oechsle, E./Wirth, M. (Gegenstand, 1999), S. 571f; IDW PS 350, 5.2 (14), (15). Vgl. Lachnit, L./Müller, S. (KonTraG, 2001), S. 388. Vgl. Arbeitskreis "Externe und Interne Überwachung der Unternehmung" (Prognoseprüfung, 2003), S. 109, Rz. 40. Vgl. Arbeitskreis "Externe und Interne Überwachung der Unternehmung" (Prognoseprüfung, 2003), S. 110f., Rz. 54, 65.
4 Prozess des Risikomanagements
4
95
Prozess des Risikomanagements
4.1 Grundlagen des Risikomanagementprozesses Risikomanagement kann als Prozess interpretiert werden, der sich in verschiedene Phasen aufteilen lässt. Der Prozessablauf des Risikomanagements ergibt sich aus der Aufgabenstellung, die Unternehmensführung im Hinblick auf den Umgang mit Risiken zu unterstützen sowie die Unternehmensexistenz und die erfolgreiche Weiterentwicklung des Unternehmens sicherzustellen. Dafür müssen Risiken - aber auch Chancen - zuerst identifiziert werden, bevor sie bewertet und gesteuert werden können. In der Literatur finden sich verschiedene Ansätze zur Beschreibung der einzelnen Prozessphasen, die sich überwiegend in Detailliertheitsgrad und der Zuordnung einzelner Tätigkeiten zu der jeweiligen Phase unterscheiden. In jedem Prozessschritt bzw. jeder Phase können unterschiedliche Instrumente zur Erfüllung der Aufgaben des Prozessschrittes zur Anwendung kommen. Im Folgenden wird nun zuerst ein Überblick über die einzelnen Phasen des Risikomanagementprozesses gegeben, bevor detailliert auf die einzelnen Phasen eingegangen wird. Die Instrumente, die in den einzelnen Phasen einsetzbar sind, werden vorgestellt und voneinander abgegrenzt. Im Anschluss wird eine Empfehlung über einen Einsatz im Unternehmen abgegeben. Unter Berücksichtigung der Anwendungsgrenzen und -besonderheiten der einzelnen Instrumente sollte der Grad der Aufgabenerfüllung des jeweiligen Instruments in der entsprechenden Phase möglichst hoch sein, wobei eine gleichzeitige Minimierung der dafür anfallenden Kosten angestrebt wird. Die vorgestellten Instrumente in den einzelnen Phasen werden deshalb stets auch unter dem Aspekt ihrer Kosten-Nutzen-Wirkung betrachtet. Grundsätzlich lassen sich die vier Phasen der Risikoidentifikation, Risikobewertung, Risikosteuerung und Risikokontrolle unterscheiden1, begleitet durch eine Risikopolitik und eine Prozessüberwachung. Einen Überblick gibt Abbildung 14.
1
Vgl. Braun, H. (Risikomanagement, 1984), S. 65 ff.
96
4 Prozess des Risikomanagements
Risikopolitik Risikoidentifikation
o- g sik n Ri ertu w be
Prozessüberwachung osik le Ri trol n ko
Risikoung steuer
Risikopolitik
Abbildung 14: Risikomanagementprozess Die einzelnen Prozessschritte lassen sich in der Praxis oftmals nicht trennscharf und lediglich idealtypisch voneinander abgrenzen, weshalb es zu inhaltlichen Überschneidungen zwischen den einzelnen Phasen kommen kann. Andere Unterteilungen nehmen deshalb eine Dreiteilung des Risikomanagementprozesses in die Phasen Risikopolitik, Risikoanalyse und Risikobewältigung vor, wobei die Risikoanalyse dort die Risikoidentifikation, -messung und –bewertung umfasst; die Risikobewältigung setzt sich dagegen aus der Risikovermeidung und –beherrschung zusammen. Gegenstand der Risikopolitik ist der strategisch orintierte Umgang mit Risiken.2 Charakteristisch für den Prozess des Risikomanagements ist der kreislaufförmige Ansatz. Die Erkenntnisse eines "Durchgangs" bilden den Input für weitere "Durchgänge". Alle Prozessschritte des Risikomanagements müssen regelmäßig und wiederkehrend durchlaufen werden und können nicht nur einmalig wahrgenommen werden.3 Durch den Kreislaufcharakter unterliegt das Risikomanagement einem permanenten Verbesserungsprozess. Ein konsistent imp2 3
Vgl. Franz, K.-P. (Corporate, 2000), S. 53; ähnlich Schulte, M. (Risikopolitik, 1997), S. 14. Vgl. Eggemann, G./Konradt, T. (Risikomanagement, 2000), S. 504.
4 Prozess des Risikomanagements
97
lementierter Prozess ermöglicht darüber hinaus eine systematische Vorgehensweise, die durch regelmäßige Wiederholungsprozesse verbessert werden kann. Die aktive Auseinandersetzung mit bestehenden und potenziellen Risiken und Chancen wird dadurch deutlich erhöht.4
4.2 Risikopolitik als Rahmenbedingung Ausgangspunkt und zugleich Rahmen eines jeden Risikomanagements sollte die Formulierung einer unternehmensspezifischen Risikopolitik durch den Vorstand bzw. die Geschäftsführung sein.5 Die Risikopolitik berücksichtigt den Sicherheitsgedanken im Unternehmen,6 indem sie die Grundsätze im Umgang mit Risiken und Chancen vorgibt und das angestrebte Chancen-/Risikoprofil konkretisiert.7 Es muss daher sowohl auf Bereichsebene als auch auf Gesamtunternehmensebene festgelegt werden, in welchem Verhältnis Chancen und Risiken eingegangen werden dürfen und welche maximalen Risiken in Kauf genommen werden sollen.8 Die Risikopolitik sollte im Einklang mit der gesamten Unternehmenspolitik und –strategie stehen und sich aus ihr ableiten bzw. sie unterstützen.9 Ein regelmäßiger Abgleich zwischen tatsächlicher Risikosituation und den Vorgaben der Risikopolitik ermöglicht es, Abweichungen festzustellen und das Risiko-/Chancenprofil oder ggf. die gesamte Risikopolitik zu überarbeiten.10 Das Risikoprofil als Vorgabe, welche Risiken maximal eingegangen werden dürfen, bildet einerseits den Maßstab zur Ableitung erforderlicher Maßnahmen, nachdem die Risiken im Unternehmen erkannt und bewertet sind. Andererseits übernimmt das Risikoprofil auch eine wichtige Hinweisfunktion z.B. für Anteilseigner, Kreditgeber und Mitarbeiter und kann zu einer positiven Beurteilung und besseren Einschätzung eines Unternehmens beitragen.11 Des Weiteren beinhaltet die Festlegung des Risikoprofils auch die Zuordnung der Risiken zu den verantwortlichen Aufgabenträgern. Hierbei müssen Schwellenwerte festgelegt werden, die eine Kommunikation an eine höhergelegene Hierarchieebene fordern.12 Bei der erstmaligen
4 5 6 7 8 9 10 11 12
Vgl. Kirchner, M. (Risikomanagement, 2002), S. 15. Vgl. Vogler, M./Gundert, M. (Einführung, 1998), S. 2379. Vgl. Haller, M. (Eckpunkte, 1986), S. 25. Eine andere Definition der Risikopolitik findet sich bspw. bei Fasse, F.-W. (Risk-Management, 1995), S. 65f., der die Begriffe des generellen Risikomanagements und der Risikopolitik synonym verwendet. Vgl. Scharpf, P. (Sorgfaltspflichten, 1997), S. 740; Weber, J./Weißenberger, B./Liekweg, A. (Risikomanagement, 1999), S. 1712. Vgl. Naegeli, P. (Grundlagen, 1978), S. 52. Vgl. Lück, W. (Risiken, 1998), S. 1926: LÜCK verwendet den Begriff der Risikostrategie an Stelle von Risikopolitik. Vgl. Lischke, T. /Kirner, H. (Risikomanagementsystem, 2000), S. 45. Vgl.Emmerich, G. (Risikomanagement, 1999), S. 1084; Weber, J, (Controlling, 2002), S. 419.
98
4 Prozess des Risikomanagements
Erstellung eines Risikoprofils muss ein Hintergrundwissen über bestehende Chancen und Risiken bei der Unternehmensleitung vorhanden sein, so dass die Formulierung einer Strategie zum Umgang mit Risiken und Chancen erst nach einer Risikoidentifikation und -bewertung erfolgen kann.13 Die Risikopolitik soll eine risikobewusste Unternehmenskultur fördern.14 Risikobewusstsein versteht sich als Wissen um die stets vorhandenen Risiken und deren Wirkungsmöglichkeiten.15 Nur bei vorhandenem und ausgeprägtem Risikobewusstsein sind die Mitarbeiter in der Lage, Risiken zu erkennen, zu bewerten und zu steuern.16 Bei nicht ausreichend vorhandenem Risikobewusstsein fehlt die Sensibilisierung, Risiken im Unternehmen zu erkennen und zu kommunizieren.17 Ein Risikobewusstsein kann nur dann entwickelt und gelebt werden, wenn die Unternehmensführung den Risikomanagementprozess dauerhaft und konsequent unterstützt.18 Risikomanagement darf deshalb nicht zu einer Aufgabe werden, die nur in Krisensituationen im Unternehmen an Relevanz gewinnt, sondern sollte ein "integraler Bestandteil der täglichen Entscheidungen [...] und Gegenstand von Unternehmensstrategie und -führung sein"19. Wichtig erscheint bei der Festlegung der Risikopolitik, eine ausgewogene Balance zwischen Risikoorientierung und -bewusstsein und dem dazugehörigen Kontrollbewusstsein zu finden, um eine zu starke Kontrollorientierung oder eine zu starke Risikoorientierung zu vermeiden.20 Nachstehende Abbildung 15 verdeutlicht vereinfachend die unterschiedlichen RisikokulturTypen:
13 14 15 16 17 18 19 20
Vgl. Weber, J, (Controlling, 2002), S. 418. Vgl. Lischke, T. /Kirner, H. (Risikomanagementsystem, 2000), S. 45; KPMG (Risikomanagement, 1998), S. 10. Vgl. Oberparleiter, K. (Funktionen, 1955), S. 150; Braun, H. (Risikomanagement, 1984), S. 75. Vgl. Weber, J./Weißenberger, B./Liekweg, A.(Risk Tracking, 1999), S. 15; KPMG (Risikomanagement, 1998), S. 9. Vgl. Kirchner, M. (Risikomanagement, 2002), S. 19. Vgl. IIR (Risikomanagementsystem, 1999), S. 187; Lischke, T. /Kirner, H. (Risikomanagementsystem, 2000), S. 45. Steger, U. (Umweltmanagement, 1993), S. 259. Vgl. Martin, T. A./Bär, T. (Grundzüge, 2002), S. 139.
4 Prozess des Risikomanagements
99
Risikoorientierung
hoch
Risikoignorant „Cowboy“
Risikobewusst „Kontrolliert handelnder Unternehmer“
niedrig
Risikoavers „Maus“
Risikopenibel „Bürokrat“ Kontrollorientierung
niedrig
hoch
Abbildung 15: Mögliche Risikokultur-Typen21 Optimal erscheint eine hohe Risikoorientierung, gepaart mit einer gleichzeitig stark ausgeprägten Kontrollorientierung. Dabei muss auch sichergestellt sein, dass niemand in Nachteil gerät, der Risiken oder Schwachstellen offen und ehrlich anspricht.22 Nur durch eine offene Risikokommunikation eröffnet sich für Unternehmen die Chance, einen drohenden Verlust abzuwenden und das Risiko aktiv zu steuern.23 Nur die vorhandene Kommunikationsbereitschaft und Kommunikationsfähigkeit der Mitarbeiter als Bestandteil des Risikobewusstseins kann gewährleisten, dass die wesentlichen Informationen an die Empfänger weitergeleitet werden.24 Eine vorhandene Risikobereitschaft sollte durch die Risikopolitik nicht grundsätzlich vermieden werden, da sie Voraussetzung für den Unternehmenserfolg ist.25 Die Risikobereitschaft bestimmt sich dabei durch die Wahl verschiedener unsicherheitsbehafteter Entscheidungsmöglichkeiten und ist eine beobachtbare Folge der Risikoneigung als persönliche Einstellung.26 Wird gleichzeitig eine hohe Kontrollorientierung angestrebt, die sich in einer aktiven Auseinandersetzung mit den Risiken manifestiert, kann eine hohe Risikoorientierung positiv beurteilt werden.
21 22 23 24 25 26
Vgl. KPMG (Risikomanagement, 1998), S. 9. Vgl. Claassen, U. (Risikomanagement, 1999), S. 14. Vgl. Wittmann, E. (Organisation, 1999), S. 143. Vgl. Emmerich, G. (Risikomanagement, 1999), S. 1084; Martin, T. A./Bär, T. (Grundzüge, 2002), S. 89. Vgl. Braun, H. (Risikomanagement, 1984), S. 58; Haller, M. (Eckpunkte, 1986), S. 25; Schäfer, J. G. (Überwachungssystem, 2001), S. 78. Vgl. Kupsch, P. (Risikomanagement, 1995), S. 530; Schneider, D. (Unternehmung, 1997), S. 197.
100
4 Prozess des Risikomanagements
Durch die Festlegung der Risikopolitik versucht die Unternehmensleitung auch, die unterschiedliche Risikoneigung der Führungskräfte zu harmonisieren.27 Nicht zu vernachlässigen ist hierbei der Zusammenhang zwischen Risikobereitschaft und Gehaltssystem: Um zu vermeiden, dass Manager zu risikofreudig agieren, sollten im Rahmen der allgemeinen Geschäftspolitik die Gehälter so gestaltet werden, dass sie nicht zu stark vom dem erwarteten Umsatzergebnis abhängen.28 Es sind jedoch unabhängig von dieser Forderung des Bundesaufsichtsamtes für Kreditwesen durchaus Anreizsysteme denkbar, die Umsatzorientierung und eine Risiko- und Kontrollorientierung erfolgreich koppeln. Eine wirksame Risiko- und Kontrollkultur sollte auch die Bereitschaft der Mitarbeiter fördern, die Risikosteuerung in ihrem Bereich aktiv zu übernehmen. Eine Incentiveregelung, die die Bereitschaft zur Übernahme der Risikohandhabung belohnt, kann ein Weiterdelegieren der Risiken an andere Stellen vermeiden und so wertvolle Reaktionszeit nutzen.29 Einer durchgängigen Steuerung des Risikoverhaltens der Mitarbeiter können jedoch Grenzen gesetzt sein. Beispielsweise kann sich ein Unternehmen durch unterschiedliche Risikoeinstellungen der Führungskräfte einer unerwünschten (und unerwarteten) Situation gegenübersehen. Zum einen besteht bei Aktiengesellschaften stets die Gefahr opportunistischen Verhaltens, d.h. der Vorstand in seiner Funktion als Agent verhält sich nicht entsprechend den Wünschen des Prinzipals (Aufsichtsrats/Gesellschafter).30 Zum anderen kann es bei gleicher Risikoneigung geschehen, dass der Agent aufgrund negativer Erwartungen im Hinblick auf das Ergebnis sehr riskante Handlungsalternativen wählt, weil er davon ausgeht, dies sei die einzige Möglichkeit, überhaupt noch zu gewinnen.31 Hinzu kommt, dass schon die unterschiedliche Formulierung einer Entscheidungsmöglichkeit bewirken kann, dass sich Menschen risikofreundlich oder risikoscheu verhalten. Wenn Aspekte einer Entscheidungssituation zwar einen geringen Wahrscheinlichkeitsgrad jedoch dramatisch formulierte Konsequenzen besitzen, werden sie anders eingestuft, als bekannte Phänomene mit weitaus größeren Eintrittswahrscheinlichkeiten. So werden z.B. Kosten und nicht kompensierte Verluste nicht gleichartig eingestuft, obwohl sie in ihrer Wirkung auf die Kapitalmenge des Unternehmens gleichartig sind.32
27 28 29 30 31 32
Vgl. Hinterhuber, H. (Risikomanagement, 1998), S. 12. Vgl. Bundesaufsichtsamt für Kreditwesen (Mindestanforderungen, 1995), S. 4. Vgl. Wittmann, E. (Organisation, 1999), S. 143. Vgl. ausführlich zu Agency-Problemen im Rahmen des Risikomanagement: Wall, F. (Risikomanagement, 2001), S. 228 ff. Vgl. Weber, J./Liekweg, A. (Rationalität, 2001), S. 467. Vgl. ausführlich Kahneman, D./Tversky, A. (Prospect, 1979), S. 265ff.; Bernstein, P.L. (Riskmanagement, 1997), S. 346.
4 Prozess des Risikomanagements
101
4.3 Phase der Risikoidentifikation
4.3.1
Inhalt
Die Phase der Risikoidentifikation umfasst die „Sammlung aktueller, zukünftiger, potentieller und theoretisch denkbarer Risiken"33. Sie stellt dadurch den wichtigsten Schritt im Rahmen des Risikomanagements dar, denn ihr Ergebnis ist entscheidend für die in allen nachfolgenden Prozessschritten ablaufenden Tätigkeiten.34 Um Risiken im Unternehmen sinnvoll steuern zu können, muss zuvor stets ein Erkennen der Risiken erfolgt sein.35 Bei der Risikoidentifikation kann grundsätzlich top-down-orientiert oder bottom-up-orientiert vorgegangen werden. Am sinnvollsten erscheint eine Kombination beider Verfahren, die das Wissen und die Fähigkeiten der Mitarbeiter einerseits und des Managements andererseits vereint.36 Die Risikoidentifikation ist ein Prozessschritt, der regelmäßig und kontinuierlich erfolgen sollte, um der Dynamik der sich verändernden Umwelt gerecht zu werden.37 Nach einer erstmaligen Risikoidentifikation müssen die Risiken fortlaufend beobachtet werden, sowohl im Hinblick auf ihre Veränderung, als auch bezüglich neu hinzukommender Risiken. Bei der Identifizierung von Risiken kann sich die Unternehmensführung von der Frage nach den zukünftigen Erfolgspotenzialen des Unternehmens leiten lassen. Sind die Unternehmensziele (z. B. Wertsteigerung um 10%) festgesetzt, kann der Unternehmenserfolg operationalisiert werden und es können die zur Umsetzung wichtig erscheinenden Erfolgspotenziale aufgedeckt werden. Die Erfolgspotenziale gründen sich dabei auf die Kernkompetenzen eines Unternehmens, die sich in der Fähigkeit ausdrücken, Wettbewerbsvorteile auszubauen.38 Während der Risikoidentifikation sollte bereits systematisch nach den Risikoursachen geforscht werden. Dabei lassen sich grundsätzlich Ursachen, die von der Unternehmensleitung beeinflusst werden können, von nicht beeinflussbaren Ursachen unterscheiden. Dadurch entstehen zugleich erste Anhaltspunkte dafür, welche Möglichkeiten der Risikosteuerung einem Unternehmen offen stehen (vgl. 4.5.2).39 Auch die grundsätzlichen Wirkungsrichtungen von Risiken sollten Berücksichtigung finden, also Angaben darüber, welche Unternehmensgrößen
33 34 35 36 37 38 39
Füser, K./Gleißner, W./Meier, G. (Risikomanagement, 1999), S. 754. Vgl. Braun, H. (Risikomanagement, 1984), S. 217; Fasse, F.-W. (Risk-Management, 1995), S. 79. Vgl. Horváth, P./Gleich, R. (Risikomanagement, 2000), S. 111. Vgl. Vogler, M./Gundert, M. (Einführung, 1998), S. 2380f.; Horváth, P./Gleich, R. (Risikomanagement, 2000), S. 110. Vgl. Spannagl, T./Häßler, A. (Implementierung, 1999), S. 1830; Wolf, K./Runzheimer, B. (Risikomanagement, 2000), S. 33. Vgl. Gleißner, W. (Risikopolitik, 2000), S. 1625. Vgl. Lück, W. (Risiken, 1998), S. 1927.
102
4 Prozess des Risikomanagements
bzw. -kennzahlen in erster Linie durch das Risiko tangiert werden. Jedes Risiko ist zunächst losgelöst von der zu seiner Bewältigung zu treffenden Maßnahme zu betrachten.40 Nur so kann gewährleistet werden, dass die Maßnahmen laufend überprüft und eventuell revidiert und verbessert werden.41 Im Rahmen der Risikoidentifikation sollten die Risiken geordnet und systematisiert werden, damit sie in der Phase der Bewertung einfacher gehandhabt werden können. Dafür müssen Mehrfach- oder Doppelnennungen als Ergebnis des Einsatzes verschiedener Methoden eliminiert oder Risiken zusammengefasst werden, die ursächlich zusammenfallen.42 Bei der Identifikation von Risiken ist ein besonderes Augenmerk auf sog. versteckte Risiken zu setzen. Hierbei handelt es sich um Risiken, die bisher gut gemanagt wurden und deshalb noch gar nicht ersichtlich wurden. Bei einem Personalwechsel bspw. kann ein verstecktes Risiko dann wirksam werden, wenn dem neuen Funktionsträger das Bewusstsein über das versteckte Risiko fehlt.43 Eine Dokumentation denkbarer, potenzieller Risiken erscheint deshalb notwendig. Wichtig bei der Risikoerfassung ist auch die Berücksichtigung gegenseitiger Effekte verschiedener Einzelrisiken aufeinander. Denkbar sind kumulative, aber auch kompensierende Effekte. Bei den Kumulations- und Interdependenzrisiken erscheint es mitunter sinnvoll, die Kumulations- und Abhängigkeitseffekte als eigene Risikofelder zu definieren.44 Wird der Prozessschritt der Risikoidentifikation in die normalen Planungsrunden integriert, besteht die Gefahr, dass Schwachstellen bewusst nicht erwähnt werden, um eigene Verantwortungsbereich nicht zu belasten oder aber aus Angst vor möglichen negativen Konsequenzen. Eine neutrale Überprüfung der Risikosituation ist deshalb stets erforderlich. Die Identifikation der Risiken sollte anhand festgelegter Kriterien systematisch und gebündelt erfolgen.45 Instrumente, die die Risikoerkennung unterstützen, werden in Abschnitt 4.3.3 vorgestellt und beurteilt. Zuvor wird jedoch eine Darstellung der unterschiedlichen Risikoarten vorangestellt, denn eine Kategorisierung von Risikoarten oder Risikofeldern unterstützt die Identifikation von Risiken und vermindert eine unvollständige oder mehrdeutige Erfassung.46
40 41 42 43 44 45 46
Vgl. Vogler, M./Gundert, M. (Einführung, 1998), S. 2380; KPMG (Risikomanagement, 1998), S. 18. Vgl. Hornung, K. /Reichmann, T. /Diederichs, M. (Risikomanagement I, 1999), S. 319. Vgl. Füser, K./Gleißner, W./Meier, G. (Risikomanagement, 1999), S. 754. Vgl. Löhr, D. (KonTraG, 2000), S. 313. Vgl. Löhr, D. (KonTraG, 2000), S. 313. Vgl. Claassen, U. (Risikomanagement, 1999), S. 4. Vgl. Hornung, K. /Reichmann, T. /Diederichs, M. (Risikomanagement I, 1999), S. 320.
4 Prozess des Risikomanagements
4.3.2
103
Risikoarten
Wie unter Punkt 2.4.1 bereits geschildert, fordert das KonTraG nur die Erkennung und Überwachung von bestandsgefährdenden Risiken oder Risiken, die sich wesentlich auf die Vermögens-, Finanz- oder Ertragslage auswirken können. Deshalb müssen sämtliche betrieblichen Prozesse einschließlich aller Hierarchiestufen dahingehend untersucht werden, ob aus ihnen Risiken resultieren können, die nach Art und Umfang und gegebenenfalls im Zusammenwirken mit anderen Risiken den Bestand gefährden oder die Vermögens- Finanz- und Ertragslage wesentlich beeinflussen könnten.47 Diese Einschränkung wirft die Frage auf, ob sich Risiken im Unternehmen nach verschiedenen Kategorien einteilen lassen und ob sich so eine Abgrenzungsmöglichkeit zu nicht bestandsgefährdenden Risiken ergibt bzw. ob sich Bereiche ausmachen lassen, die unternehmensübergreifend ein besonders hohes Maß an Risiko bergen. Eine Risikokategorie fasst gleichartige, organisatorische oder funktional zusammengehörige Risiken zusammen.48 In der Literatur finden sich verschiedene Klassifikationsmöglichkeiten für Risiken in einem Unternehmen, die auf unterschiedlichen Sichtweisen beruhen und eine Erfassung und nachfolgende Bewertung erleichtern können.49 Zum einen werden in Abhängigkeit von dem vorhanden Planungs- und Kontrollsystem Risikokategorien gebildet, die Risiken nach strategischer, operativer und ergebnis- und liquiditätsorientierter Sicht unterteilen.50 Die Struktur vorhandener Steuerungssysteme wird bei dieser Möglichkeit beibehalten. Bei der Betrachtung der einzelnen Phasen des Risikomanagementprozesses erscheint eine Unterscheidung in strategische und operative Risiken grundsätzlich sinnvoll. Strategische Risiken wirken sich negativ auf die Erfolgspotenziale eines Unternehmens aus.51 Sie haben einen längeren Realisierungshorizont und können in der Regel schlechter vorhergesagt werden, da über sie weniger Informationen zur Verfügung stehen. Sie wirken sich negativ auf die Realisierung von langfristigen Zielen aus und beeinträchtigen das Unternehmen in seinem Fortbestand als Ganzes.52 Strategische Risiken unterliegen einer Vielzahl möglicher Einflussaber auch Handlungsfaktoren.53 Das Management strategischer Risiken umfasst stets das ge47 48 49 50 51 52 53
Vgl. Bitz, H. (Risikomanagement, 2000), S. 14. Vgl. DRS 5, 2001 Nr. 9. Vgl. für einen umfassenden Überblick Kupsch, P. (Risikomanagement, 1995), S. 532; Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 34. Vgl. Wyss, H.P. (Risikomanagement, 2000), S. 180; Lehner, U./Schmidt, M. (Risikomanagement, 2000), S. 262 f. Vgl. BDO (KonTraG, 1998), S. 70. Vgl. Saitz, B. (Risikomanagement, 1999), S. 77; Mikus, B. (Risiken, 2001), S. 7; Schichold, B. (Überwachung, 2001), S. 403. Vgl. Hermann, D.C. (Risikomanagement, 1996), S. 29.
104
4 Prozess des Risikomanagements
samte Unternehmen und fällt in den Aufgabenbereich der Unternehmensleitung. Die bereits angesprochene Risikopolitik legt den strategischen Rahmen für den Umgang mit Risiken im Unternehmen fest, und bildet den Leitfaden für alle Mitarbeiter in ihren individuellen Aufgabenbereichen.54 Operative Risiken hingegen haben eine kürzere zeitliche Reichweite und können detaillierter und differenzierter vorhergesagt werden. Sie treten eher in einzelnen Teilbereichen und Prozessen des Unternehmens auf und wirken sich auf kurz- bis mittelfristige Ziele aus.55 Das Management der operativen Risiken ist Bestandteil der operativen Ebenen. Im Rahmen der Vorgaben des strategischen Risikomanagements sollten die Risikoziele des Unternehmens umgesetzt werden und das optimale Maß an Sicherheit erreicht werden.56 Diese Unterteilung ist deshalb als sinnvoll zu betrachten, da zur Erkennung und Bewertung von strategischen und operativen Risiken unterschiedliche Methoden und Instrumente einzusetzen sind.57 Es soll bei der Betrachtung der Phasen des Risikomanagementprozesses deshalb gezielt darauf hingewiesen werden, wann eine Unterscheidung in strategische und operative Risiken wichtig ist. Problematisch erscheint bei diesem rein systemorientierten Vorgehen, dass erhebliche Abgrenzungsprobleme durch die Wechselbeziehungen verschiedener Risiken untereinander entstehen können. So gibt es Risiken, die eher in den strategischen Bereich einzuordnen sind, wie z.B. die Ausgestaltung der Organisationsstruktur58, die jedoch bspw. durch vorgegebene Prozessabläufe auch im operativen Bereich relevant werden können.59 Zudem wirken sich letztendlich alle Risiken in dem Moment ergebnis- und liquiditätsmindernd aus, in dem sie eintreten.60 Eine andere Form der Kategorisierung orientiert sich an verschiedenen Einfluss- und/oder Funktionsbereichen eines Unternehmens. Typischerweise werden dabei unternehmensexterne und -interne Risikobereiche unterschieden.61 Innerhalb dieser beiden grundlegenden Unterscheidungskriterien gibt es dann verschiedene Möglichkeiten der Detaillierung, bspw. eine
54 55 56 57 58 59 60 61
Vgl. Hölscher, R./Kremers, M./Rücker, U.-C. (Versicherungsmanagement, 1996), S. 1612. Vgl. Schulte, M. (Risikopolitik, 1997), S. 19; Saitz, B. (Risikomanagement, 1999), S. 78; Mikus, B. (Risiken, 2001), S. 8. Vgl. Hölscher, R./Kremers, M./Rücker, U.-C. (Versicherungsmanagement, 1996), S. 1612. Vgl. Braun, H. (Risikomanagement, 1984), S. 82. Vgl. Wyss, H.P. (Risikomanagement, 2000), S. 180. Weitere Beispiele finden sich bei Brebeck, F./Herrmann, D. (KonTraG-Entwurf, 1997), S. 383f. Vgl. Schulte, M. (Risikopolitik, 1997), S. 19. Vgl. Hahn, D. (Risiko-Management, 1987), S. 138; Förschle, G./Peter, M. (Überwachungssysteme, 1999), Rn. 73; Holst, J. (Risikomanagement, 1998), S. 11ff.; Bitz, H. (Risikomanagement, 2000), S. 14ff.; Amhof, R. /Schweizer, M. (Risikomanagement, 2000), S. 716; Keitsch, D. (Risikomanagement, 2000), S. 11ff.; Hölscher, R. (Gestaltungsformen, 2000), S. 302; Erdenberger, C. (Risikomanagement, 2001), S. 14; Brühwiler, B. (Risk, 2001), S. 51ff.
4 Prozess des Risikomanagements
105
Unterscheidung in Umfeldrisiken und Prozess- und Informationsrisiken62 oder eine Differenzierung nach einzelnen Funktionsbereichen.63 Eine mögliche Kategorisierung ist in der folgenden Abbildung 16 dargestellt, die auch die Wechselbeziehungen unter den verschiedenen Risikokategorien deutlich macht. Die Wechselbeziehungen der Risiken untereinander lassen sich unterscheiden in voneinander unabhängige Risiken, sich gegenseitig verstärkende oder sich kompensierende Risiken.64
Risiko
Risiko „höherer Gewalt“ Naturkatastrophen
Unternehmensrisiko
Politisches und/oder ökonomisches Risiko Veränderungen im gesellschaftlichen Umfeld
Betriebsrisiko
Finanzrisiko
Geschäftsrisiko
Organisationsstruktur, Ablaufprozesse, EDV, Personal
Verlustrisiken in den Finanzpositionen
Produkte, Absatzmärkte, Innovationen, Investitionen
Abbildung 16: Risikokategorisierung65 Empirische Untersuchungen66 haben ergeben, dass Unternehmen bei der Darstellung der Risiken im Lagebericht nach § 289 Abs. 1 HGB keiner einheitlichen und eindeutigen Risikokategorisierung folgen. Eine konsistente Systematik hinter der Kategorisierung ist für die externen Adressaten selten erkennbar. Eine Risikokategorisierung sollte zu einem besseren Überblick und einer besseren Verständlichkeit beitragen, durch unternehmensindividuelle Lösungen wird jedoch ein unternehmensübergreifender Vergleich erschwert.67
62 63
64 65 66
67
Vgl. Amhof, R. /Schweizer, M.(Risikomanagement, 2000), S. 716. Vgl. Bussmann, K. (Risiko, 1955), S. 23f.; DRS 5 Nr. 16; Bitz, H. (Risikomanagement. 2000), S. 25-40: Unterscheidung in Geschäftsbereichsrisiken, unternehmensindividuelle Risiken und periphere Risiken (Schadensfälle); Kless, T. (Unternehmensrisiken, 1998), S. 94; Arbeitskreis "Externe und Interne Überwachung der Unternehmung" (KonTraG, 2000), S. 2 f. Vgl. Hornung, K./Reichmann, T./Diederichs, M. (Risikomanagement I, 1999), S. 318; Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 5. in Anlehnung an Keitsch, D. (Risikomanagement, 2000), S. 11. Vgl. Kajüter, P./Winkler, C. (Risikoberichterstattung, 2003), S. 217ff.: untersucht wurden die Geschäftsberichte der DAX-100 Unternehmen von 1999 bis zum 31.12.2001 mit allen im Index vertretenen Unternehmen, mit Ausnahme von Banken und Versicherungen. Die Grundgesamtheit betrug 83 Unternehmen. Vgl. Kajüter, P./Winkler, C. (Risikoberichterstattung, 2003), S. 220.
106
4 Prozess des Risikomanagements
Eine Wesentlichkeit oder Bestandsgefährdung für das Unternehmen wird sich in der Regel erst nach einer Bewertung eines jeweiligen Risikos ergeben, deshalb ist der Suchprozess nach Risikopotenzialen nicht einzuschränken und daher eine möglichst vollständige Erfassung aller Risiken vorzunehmen.68 Weiterhin ist für die Darstellung der Risiken im Lagebericht nach § 289 Abs. 1 HGB eine Fokussierung auf lediglich die bestandsgefährdenden Risiken nicht vorgesehen. Aus diesem Grund ist es Aufgabe des Vorstands, sich generell mit den Risiken im Unternehmen zu beschäftigen, unabhängig von ihrer Höhe und Auswirkung auf den Fortbestand des Unternehmens.69 Eine Vollständigkeit der Darstellung kann dabei angestrebt werden, wenn nicht explizit Risikobereiche im Rahmen der Identifikation ausgeklammert werden. Die isolierte Betrachtung einzelner, besonders wichtig erscheinender Risikofelder, wie z.B. Finanzrisiken, ist für eine nachhaltige Risikoabsicherung des Unternehmens nicht ausreichend, da Risiken in allen Funktionsbereichen bzw. organisatorischen Ebenen entstehen können.70 Die Gewissheit, tatsächlich alle Risiken vollständig erfasst zu haben, kann jedoch nie gegeben sein: zum einen sprechen Komplexitätsgründe aber auch die teilweise schwierige Aufdeckung verbunden mit Kostenaspekten gegen eine lückenlose Erfassung.71 Es sollte eine Abwägung erfolgen, ab welchem Punkt die Präventionskosten des Risikomanagements die Schadenskosten übersteigen, denn nur bis zu diesem Schnittpunkt ist eine Prävention sinnvoll.72 An dieser Stelle bleibt festzuhalten, dass es keinen Bereich gibt, der unternehmensübergreifend als Bereich gilt, aus dem besonders bestandsgefährdende Risiken entstehen, diese Einordnung muss fallweise und im Zusammenspiel mit der gesamten Risikosituation des Unternehmens getroffen werden. Obwohl das KonTraG eine Unterscheidung zwischen existenzbedrohenden und anderen Risiken fordert, ist diese Abgrenzung auch in Abhängigkeit von dem betrachteten Zeithorizont schwierig, da die Auswirkung eines Risikos durchaus von erfolgsbedrohend zu existenzgefährdend variieren kann. Eine zutreffende Unterscheidung kann deshalb nur zwischen kurzfristig erfolgsrelevanten und kurz- oder langfristig existenzbedrohenden Risiken vorgenommen werden.73 Eine mögliche Vorgehensweise bei der Risikoerkennung, die eine Identifikation nach drei Perspektiven vorschlägt, zeigt nachfolgende Abbildung 17:
68 69 70 71 72 73
Vgl. Henselmann, K. (KonTraG, 2001), S. 36; Wall, F. (Risikomanagement, 2001), S. 218 f. Vgl. Lange, K. W. (Lagebericht, 2001), S. 137. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 71; Lischke, T. /Kirner, H. (Risikomanagementsystem, 2000), S. 44. Vgl. Zellmer, G. (Risiko-Management, 1990), S. 26. Vgl. Wolf, K./Runzheimer, B. (Risikomanagement, 2000), S. 33. Vgl. Hornung, K./Reichmann, T./Diederichs, M. (Risikomanagement I, 1999), S. 319.
4 Prozess des Risikomanagements
107
n ne Funktionsbereiche e eb Geschäftsfelder s g
n Geschäftsbereiche tu h c a Gesellschaften/Betriebsstätten tr Be usw.
Führungsprozesse z.B. oberste Führung, Bereichsführung, Projekte usw. Schwerpunktprozesse z.B. Forschung & Entwicklung, Produktion, Marketing & Vertrieb, Kundendienst, usw.
sik Ri e rn
en
he lic t f a te ch Ex irts w gs tun s i he le lic t e, f n a er n ch Int sike rts i i w R nz ina f ne er n Int sike Ri
Führungsunterstützungsprozesse z.B. Controlling, Finanzen, Personal, usw.
w. us
R
n rte a ko isi
Betrachtungsfelder Abbildung 17: Mögliche Perspektiven der Risikoidentifikation74 Auf die Unterscheidung in reine und spekulative bzw. symmetrische und asymmetrische Risiken wurde bereits in Abschnitt 3.1.2 eingegangen. Eine weitere Unterscheidungsmöglichkeit stammt von HALLER75, der eine Unterscheidung in Aktionsrisiken und Bedingungsrisiken vorschlägt. Aktionsrisiken sind dabei entscheidungsbedingt und beeinträchtigen die Zielerfüllung, sie gelten jedoch als durch das Unternehmen beeinflussbar. Demgegenüber sind Bedingungsrisiken für das Unternehmen nur schwer handhabbar, da sie durch die Veränderung von Randbedingungen entstehen, die den Entscheidungen als (unbewusste) Prämisse zugrunde liegen. Eine weitere Systematisierungsmöglichkeit trennt aktuelle und zukünftige Risiken voneinander. Aktuelle Risiken sind die tatsächlich bereits existierenden Risiken, die durch eine vollzogene Entscheidung entstanden sind, bspw. aus einer durchgeführten Diversifikation. Zukünf-
74 75
in Anlehnung an Buderath, H./Amling, T. (Überwachungssystem, 2000), S. 143. Vgl. Haller, M. (Eckpunkte, 1986), S. 20.
108
4 Prozess des Risikomanagements
tige Risiken können resultieren aus Gesetzesänderungen oder Änderungen im politischen Umfeld, die sich auf das diversifizierte Unternehmen in negativer Form auswirken könnten.76 Weit verbreitet ist die Unterteilung, die sich an den Vorschlägen des Baseler Ausschusses für Bankenaufsicht von Juli 1994 und an den "Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstitute" des Bundesaufsichtsamtes für das Kreditwesen orientiert, die fünf Risikobereiche unterscheiden:77 x
Kreditrisiko (Bonitätsrisiko): Risiko, dass ein Geschäftspartner seinen Verpflichtungen nicht nachkommt, z.B. Forderungsausfall.
x
Marktrisiko: Risiko, das sich aus der Markttätigkeit eines Unternehmens auf Absatz- und Beschaffungsmärkten ergibt, z.B. Absatzmarktpreise, Wechselkursschwankungen. Das Marktrisiko lässt sich ermitteln durch eine statistische Analyse historischer Absatzschwankungen und einer Analyse der Marktattraktivität auf Grundlage des Porterschen Modells der Wettbewerbskräfte.78
x
Liquiditätsrisiko: Risiko, dass ein Unternehmen aufgrund fehlender liquider Mittel seinen Zahlungsverpflichtungen nicht nachkommen kann.
x
Betriebsrisiko: Das Betriebsrisiko umfasst alle Risiken innerhalb des Unternehmens, z.B. technische Gefahren, organisatorische Mängel, Schwachstellen im Informations- und Kontrollsystem.
x
Rechtsrisiko: Risiko, dass Geschäfte rechtlich nicht durchsetzbar sind oder vertraglich nicht korrekt dokumentiert sind.
Es lässt sich leicht erkennen, dass diese Kategorisierung vor allem im Bankbereich Anwendung findet und stark auf den finanziellen Bereich abstellt. GLEIßNER/MEIER79 heben zusätzlich noch das Kostenstrukturrisiko hervor. Dieses Risiko betrachtet dabei die Kostenstruktur unter der Annahme, dass bei rückläufigem Umsatz das Risiko umso höher ist, umso höher
76 77 78 79
Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 71. Vgl. Bundesaufsichtsamt für das Kreditwesen (Mindestanforderungen, 1995), o.S. Vgl. Gleißner, W./Meier, G. (Risikomanagement, 2000), S. 8. Vgl. Gleißner, W./Meier, G. (Risikomanagement, 2000), S. 8.
4 Prozess des Risikomanagements
109
der Fixkostenanteil im Unternehmen ist. Die Fixkosten lassen sich bei rückläufiger Beschäftigung nicht sofort abbauen, was dann zu bestandsgefährdenden Situationen führen kann.80 Unabhängig welcher Systematisierung gefolgt wird, ist es denkbar, dass Risiken auftreten, die sich keiner Risikoart zuordnen lassen bzw. keine eindeutige Zuordnung erlauben.81 Grundsätzlich muss unternehmensspezifisch entschieden werden, welcher Unterscheidung bei der Risikoidentifikation gefolgt wird, um eine systematische und vollständige Identifikation sicherzustellen. Die Entscheidung sollte in Abhängigkeit von der Unternehmensstruktur und –organisation sowie -größe getroffen werden.82 Zweckmäßig erscheint, sich bei der Risikokategorisierung im Rahmen der Risikoidentifikation an den bereits im Unternehmen vorliegenden Planungs- und Berichtsstrukturen zu orientieren, um eine Informationsüberfrachtung zu vermeiden.83 Bei zunehmender Komplexität innerhalb und außerhalb des Unternehmens wird eine Klassifizierung der Risiken unverzichtbar, da nur mit Hilfe von vorgegebenen Kriterien eine vollständige Erfassung sichergestellt werden kann. 4.3.3
Modulare Instrumente zur Risikoidentifikation
4.3.3.1 Überblick In der Literatur finden sich zahlreiche Methoden zur Risikoidentifikation.84 So führt SCHENK bspw. als Grundmethoden die standardisierte Befragung, Prüfung der Unterlagen des Rechnungswesens, Prüfung anderer Dokumente und Unterlagen, das Erstellen von Produktionsflussplänen sowie Betriebsbesichtigungen und die Zuhilfenahme anderer interner und externer Informationsquellen an.85 Diese Auflistung unterscheidet jedoch die einzelnen Identifikationsmethoden nicht systematisch nach einem Kriterium. Eine andere Zusammenstellung verschiedener Instrumente findet sich bei WEBER/ WEIßENBERGER/LIEKWEG86, die zum einen mit dem Einsatz von Früherkennungssystemen systematisch nach Veränderungen in den für das Unternehmen relevanten Bereichen (intern und extern) suchen. Zum anderen sollte mit Hilfe von Workshops das Wissen im Unternehmen über Chancen und Risiken erfasst und gebündelt werden. Zur Analyse struktureller 80 81 82 83 84 85 86
Vgl. Braun, H. (Risikomanagement, 1984), S. 112 schlägt deshalb vor, möglichst viele Fixkosten zu variabilisieren. Vgl. Lück, W. (Aspekte, 1999), S. 146. Vgl. Kuhl, K./Nickel, J.-P. (Risikomanagement, 1999), S. 134. Vgl. Emmerich, G. (Risikomanagement, 1999), S. 1081. Vgl. Braun, H. (Risikomanagement, 1984), S. 227ff.; Zellmer, G. (Risiko-Management, 1990), S. 32ff.; Fasse, F.-W. (Risk-Management, 1995), S. 80. Vgl. Schenk, A. (Risikoidentifikation, 1998), S. 44. Vgl. Weber, J./Weißenberger, B./Liekweg, A. (Risikomanagement, 1999), S. 1713.
110
4 Prozess des Risikomanagements
Besonderheiten und vertiefenden Betrachtung einzelner Themenfelder bieten sich verschiedene Analysemethoden wie die Dokumentenanalyse, Erfolgsfaktorenanalyse, Interviews, Fragebögen, Besichtigungen oder vertiefende Workshops an.87 Einen Überblick über verschiedene Möglichkeiten der Risikoidentifikation gibt folgende Abbildung 18: Instrumente zur Risikoerkennung
Technische und organisatorische Hilfsmittel - Checklisten - Statistiken - Baupläne - Flow-Charts, Netzpläne - Betriebsinspektion - Mitarbeiterschulung und -motivation
Unternehmensanalysen
- Organisationsanalyse - Potentialanalyse - Stärken-/ Schwächenanalyse
Umweltanalysen
- Produktlebenszyklus- und Portfolioanalyse - Impact-Matrix - Konkurrenzanalyse - DiskontinuitätenMatrix
Prognosetechniken
- Gap-Analyse - Szenarien - Delphi-Methode - Relevanzbaum - Historische Analogie
Analysemodelle
- Simulationsmodelle - Sensitivitätsanalyse - Input-Output-Analyse
Abbildung 18: Mögliche Instrumente zur Risikoerkennung88 Unabhängig, welches Instrument zur Identifizierung der Risiken herangezogen wird, ist darauf zu achten, dass das Datenmaterial vollständig und möglichst aktuell ist. Je frühzeitiger Risiken identifiziert werden können, umso schneller ist eine Reaktion darauf möglich: veraltetes, unvollständiges Datenmaterial kann ein rechtzeitiges Gegensteuern gänzlich verhindern.89 Um ein durch das KonTraG gefordertes integriertes Planungssystem90 erstellen und betreiben zu können, benötigt ein Unternehmen Informationen unterschiedlichster Natur. Abbildung 19 macht deutlich, welche Informationen schwerpunktmäßig in ein solches Planungssystem einfließen.
87 88 89 90
Vgl. Kromschröder, B./Lück, W. (Grundsätze, 1998), S. 1574; Weber, J./Weißenberger, B./Liekweg, A. (Risikomanagement, 1999), S. 1713. Vgl. Martin, T.A./Bär, T. (Grundzüge, 2002), S. 93 in Anlehnung an Braun, H. (Risikomanagement, 1994), S. 227 ff. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 79. Vgl. Abbildung 3 sowie die dort dazu angegebene Literatur.
4 Prozess des Risikomanagements
Analysen
111
Früherkennungsinformationen
Prognosen
Unternehmenspolitische Ziele/ Generelle Zielplanung Wert-, Sach- und Sozialzielplanung
Strategische Planung Geschäftsfeldplanung Organisations- und Führungssystemplanung Rechtsform-/Rechtsstrukturplanung
Projektplanung
Gesamtunternehmensbezogene Ergebnisund Finanzplanung
Operative Planung Programmplanung Funktionsbereichsplanungen Abbildung 19: Zusammenhang zwischen Analyse, Früherkennungsinformationen, Prognosen und den Teilkomplexen eines integrierten Planungssystems91 Die einfließenden Informationen bilden zum einen die informationelle Basis für ein integriertes Planungs- und Kontrollsystem, zum anderen bilden sie jedoch gleichzeitig eine ebensolche Grundlage für ein unternehmensführungsunterstützendes Risikomanagementsystem. Analysen des Unternehmens und der Unternehmensumwelt generieren einen Großteil dieser Informationen. „Der generelle Zweck solcher Analysen besteht in der Erarbeitung von Informationen als Ausgangspunkt für Prognosen und Planungen, ein damit verbundener spezieller Zweck besteht in der Aufdeckung von Stärken und Schwächen in der Unternehmung und von Chancen und Risiken für die Unternehmung in ihrem Umsystem.“92 Analysen beziehen sich
91 92
Vgl. in enger Anlehnung an Hahn, D./Hungenberg, H. (PuK, 2001), S. 318. Hahn, D./Hungenberg, H. (PuK, 2001), S. 319.
112
4 Prozess des Risikomanagements
schwerpunktmäßig auf reale, d.h. bereits erfolgte und damit vergangene Ereignisse.93 Eine Risikoidentifikation, die nur auf Analysen aufbaut, greift nicht weit genug, denn zum einen lassen sich nicht alle vergangenen Ereignisse problemlos auf die Zukunft übertragen und zum anderen sind die in der Zukunft auftretenden Ereignisse nicht zwingend aus der Vergangenheit ableitbar. Es lassen sich eine Vielzahl verschiedenster Analysen unterscheiden,94 im folgenden Abschnitt 4.3.3.2 sollen einige Analyseformen vorgestellt werden, die in besonderem Maße für die Erkennung von Risiken genutzt werden können. Prognosen versuchen Aussagen über "die künftige Entwicklung von bestimmten Variablen in einem sachlich und zeitlich abgegrenzten Untersuchungsfeld bei Zugrundelegung definierter gegenwärtiger und künftiger Ausgangsbedingungen - möglichst unter Angabe der Eintrittswahrscheinlichkeit des Voraussageinhalts"95 zu treffen. Analysen bilden dabei die Basis jeglicher Prognosen, denn nur bei Kenntnis der Vergangenheit und Gegenwart lassen sich Aussagen über einen zukünftigen Verlauf treffen.96 Mit sog. Umweltprognosen können potenzielle Chancen und Risiken in der Umwelt des Unternehmens aufgedeckt werden und es kann eine Berücksichtigung im Rahmen der Unternehmensplanung erfolgen. Auch Prognosen lassen sich nach vielfältigen Kriterien aufgliedern und unterscheiden:97 im Abschnitt 4.3.3.4 werden gegliedert nach dem Kriterium der Quantifizierbarkeit einige wichtige Prognoseverfahren für die Risikoidentifikation vorgestellt. Die Früherkennung bildet eine Mischform aus Analyse- und Prognosetätigkeiten. Während sich Analysen auf reale Ereignisse beziehen, versuchen Prognosen daraus potenzielle Ereignisse abzuleiten. Früherkennungssysteme hingegen sind eine spezielle Art von Informationssystemen, die mit einem zeitlichen Vorlauf latente Chancen und Risiken signalisieren, damit ein Unternehmen rechtzeitig und zielorientiert reagieren kann.98 Ausgehend von teilweise verdeckten Erscheinungen analysiert die Früherkennung vorhandene Informationen, um daraus Wirkungen für das Unternehmen zu prognostizieren.99 Auf die Früherkennung und ihre große Bedeutung für die Risikoidentifikation wird im Abschnitt 4.3.3.3 ausführlich eingegangen.
93 94 95 96 97 98 99
Vgl. Hahn, D. (Frühwarnsysteme, 1979), S. 40; Krystek, U. (Früherkennung, 2003), S. 136. Vgl. dazu ausführlich Hahn, D./Hungenberg, H. (PuK, 2001), S. 320ff. Hahn, D./Hungenberg, H. (PuK, 2001), S. 324. Vgl. Krystek, U. (Früherkennung, 2003), S. 136. Vgl. Hahn, D./Hungenberg, H. (PuK, 2001), S. 324ff. Vgl. Hahn, D. (Frühwarnsysteme, 1979), S. 25; Krystek, U. (Früherkennung, 2003), S. 136. Vgl. Hahn, D./Hungenberg, H. (PuK, 2001), S. 334.
4 Prozess des Risikomanagements
113
4.3.3.2 Analysen 4.3.3.2.1 Abgrenzung Idealtypisch lassen sich Umwelt- und die Unternehmensanalysen voneinander abgrenzen. Die Grenzen sind jedoch fließend, da das Unternehmen auf vielfache Weise mit der Umwelt vernetzt ist und gegenseitige Einflussbeziehungen bestehen. Dennoch kann man versuchen, mit Unternehmensanalysen die Stärken und Schwächen des Unternehmens zu ermitteln und mit Umweltanalysen reale Chancen und Risiken für das Unternehmen aufzudecken.100 Umwelt- und Umfeldanalysen finden zunächst im Rahmen der strategischen Planung statt. Zielsetzung ist es, eine Strategie zu formulieren, die "Risiken aus dem Unternehmensumfeld und die Schwächen des eigenen Unternehmens reduziert sowie die Chancen aus dem Unternehmensumfeld und die Stärken des eigenen Unternehmens ausnutzt"101. Diese Strategie soll der langfristigen Erhaltung und erfolgreichen Weiterentwicklung des Unternehmens dienen und Erfolgspotenziale aufbauen. Allerdings bietet die Unternehmensanalyse auch Möglichkeiten des Einsatzes im operativen Bereich, die für die Risikoidentifikation von Interesse sein können. Eine Unterscheidung zwischen strategischen und operativen Analyseformen erfolgt deshalb im Rahmen der Unternehmensanalyse unter 4.3.3.2.3. 4.3.3.2.2 Umweltanalyse Das Unternehmensumfeld gestaltet sich für jedes Unternehmen individuell. Dennoch kann, um eine Analyse systematisch zu gestalten, das Umfeld i.d.R. unterteilt werden in eine (globale) Makroumwelt und in eine unmittelbar das Unternehmen umgebende (aufgabenspezifische) Wettbewerbsumwelt.102 Für die Analyse der Makroumwelt bieten sich Raster an, die die Umwelt in einen ökonomischen, rechtlichen, ökologischen, gesellschaftlichen und technologischen Bereich unterteilen. Andere Abgrenzungen sind jedoch denkbar.103 In den verschiedenen Umweltsegmenten existieren eine Vielzahl von Faktoren, die das Unternehmen bei der Interaktion mit der globalen Umwelt beachten und beobachten sollte. Beispielhaft sei hier Änderungen in der Steuergesetzgebung als Faktor im rechtlichen Bereich oder die Einkommensentwicklung im ökonomischen Bereich genannt.104 100 101 102 103 104
Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 97; Baum, H.-G./Coenenberg, A./Günther, T. (Controlling, 1999), S. 55ff. Baum, H.-G./Coenenberg, A./Günther, T. (Controlling, 1999), S. 55. Vgl. Baum, H.-G./Coenenberg, A./Günther, T. (Controlling, 1999), S. 56. Vgl. Baum, H.-G./Coenenberg, A./Günther, T. (Controlling, 1999), S. 57. Vgl. für eine ausführliche Auflistung Baum, H.-G./Coenenberg, A./Günther, T. (Controlling, 1999), S. 58f.
114
4 Prozess des Risikomanagements
Für die Analyse des Wettbewerbsumfelds kann das Branchenstruktur-Analyse-Raster von PORTER zugrunde gelegt werden, mit dem sich alle direkt mit dem Unternehmen in Verbindung stehenden Bereiche systematisch erfassen lassen.105 Potenzielle neue Konkurrenten Bedrohung durch neue Konkurrenten
Verhandlungsstärke der Lieferanten
Wettbewerber in der Branche
Verhandlungsmacht der Abnehmer
Lieferanten
Abnehmer Rivalität unter den bestehenden Unternehmen Bedrohung durch Ersatzprodukte und -dienste
Ersatzprodukte
Abbildung 20: Branchenstrukturmodell nach PORTER106 Das auch als PORTER´S Five-Forces bezeichnete Modell unterscheidet fünf Wettbewerbskräfte, die den Wettbewerb in einer Branche maßgeblich beeinflussen.107 So bewirkt der Eintritt neuer Konkurrenten in den Markt i.d.R. eine erhöhte Kapazität, niedrigere Preise und dadurch ein Absinken der Rentabilität. Auch Abnehmer und Lieferanten können die Rentabilität bspw. durch ihre Forderungen nach niedrigeren bzw. höheren Preisen und höherer oder schlechterer Qualität negativ beeinflussen. Ein weiterer Bereich sind existierende Ersatz- oder Substitutionsprodukte, die die Rentabilität eines Marktes begrenzen. Die fünfte Wettbewerbskraft ist der Grad der Rivalität unter den existierenden Wettbewerbern. Je höher die Rivalität ausfällt, umso größer ist die Gefahr einer sinkenden Branchenrendite.108 Durch eine systematische Beobachtung dieser fünf Wettbewerbskräfte lassen sich Risiken, aber auch Chancen für das eigene Unternehmen erkennen. Wird die Konkurrenz als Risiko wahrgenommen, kann die Branchenstrukturanalyse um eine Konkurrenzanalyse erweitert werden. Hierbei wird die
105 106 107 108
Vgl. Welge, M.K./Al-Laham, A. (Management, 1999), S. 193ff. Vgl. Porter, M. E. (Wettbewerbsstrategie, 1997), S. 26. Vgl. Porter, M. E. (Wettbewerbsstrategie, 1997), S. 25ff. Vgl. Baum, H.-G./Coenenberg, A./Günther, T. (Controlling, 1999), S. 63f.
4 Prozess des Risikomanagements
115
Konkurrenz im Hinblick auf spezifische Kriterien detailliert untersucht und ein Vergleich zu der eigenen Unternehmenssituation gezogen. Die Makroumwelt und das Wettbewerbsumfeld lassen sich jedoch nicht klar voneinander abgrenzen - im Gegenteil - vielfältige Einflüsse in beide Richtungen sind der Normalfall.109 Ein nicht unerhebliches Risikopotenzial für Unternehmen ergibt sich aus der Wahrnehmung von Situationen durch die Öffentlichkeit.110 Ein Imageschaden für ein Chemieunternehmen kann schon durch einen Meinungsumschwung in der Öffentlichkeit entstehen, ohne dass eine Störgröße im Unternehmen auftritt. Durch Umfeldbeobachtungen sollte versucht werden, auch Meinungsänderungen zu erkennen, um auf Stimmungen in der Öffentlichkeit vorbereitet zu sein. Es gilt dabei zu beachten, dass in Bereichen, die von der Öffentlichkeit sensibel beobachtet werden, nicht nur das tatsächliche Risiko Gegenstand des Risikomanagements sein sollte, sondern auch das von der Öffentlichkeit wahrgenommene Risiko Berücksichtigung findet.111 Für sehr sensible, zugleich öffentlichkeitswirksame Bereiche sollte eine Risikokommunikation mit der Öffentlichkeit sichergestellt werden. Die Umfeldanalyse trägt dazu bei, die Komplexität zu reduzieren, in dem die Daten herausgefiltert werden, die als strategisch relevant erachtet werden. Ziel ist es, neben der Beobachtung von Risiken, bewusst neue Chancen zu entdecken.112 4.3.3.2.3 Unternehmensanalyse
Strategische Analysen
Die Unternehmensanalyse soll eine möglichst objektive Einschätzung über die Unternehmenssituation liefern und die vorhandenen Stärken und Schwächen des Unternehmens aufdecken. Sie gliedert sich in zwei Teilaspekte: Zum einen sind die unternehmensspezifischen Kapazitäten, also die Potenziale, zu betrachten; zum anderen die Stärken und Schwächen des Unternehmens im Hinblick auf die Ergebnisse der Umweltanalyse und im Hinblick auf die Konkurrenz.113
109 110 111
112 113
Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 36ff. Vgl. Kratzheller, J. B. (Risiko, 1997), S. 99. Vgl. Kratzheller, J. B. (Risiko, 1997), S. 100. Als Beispiel wird das Risiko, mit einem Flugzeug zu verunglücken, angeführt. Obwohl Fliegen als die statistisch betrachtet sicherste Personenbeförderungsmöglichkeit gilt, wird Fliegen in der Öffentlichkeit als weitaus gefährlicher eingeschätzt, als Autofahren. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 99. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 100; Steinle, C. (Systeme, 1999), S. 296ff.
116
4 Prozess des Risikomanagements
Es lassen sich für diese Einschätzung qualitative und quantitative Informationen heranziehen. Während die quantitativen Informationen bspw. dem Rechnungswesen entnommen werden können, lassen sich qualitative Informationen z.B. auf Basis der Wertkette von PORTER ermitteln.114 Folgt man dem wertbezogenen Ansatz von PORTER zur Ermittlung von strategischen Potenzialen im Unternehmen, wird zunächst eine Wertkette konstruiert anhand der sich die wertschöpfungsbezogenen Tätigkeiten des Unternehmens visualisieren lassen.115 Als wertschöpfungsbezogene Tätigkeiten gelten alle Aktivitäten im Unternehmen, die einen Nutzen für die Abnehmer der Produkte und Dienstleistungen schaffen. Einen Überblick über eine Grundstruktur der Wertkette gibt Abbildung 21.
Unternehmensinfrastruktur e pann inns Gew
Unterstützende Aktivitäten
Personalwirtschaft Technologieentwicklung
Eingangs- Operations logistik Research
Marketing Ausgangsund logistik Vertrieb
Kundendienst
Gew inns pann e
Beschaffung
Primäre Aktivitäten
Abbildung 21: Grundstruktur einer Wertkette116 Die primären Aktivitäten umfassen alle Vorgänge, die die Versorgung des Marktes mit Produkten oder Dienstleistungen betreffen. Die unterstützenden Aktivitäten sind notwendig, um die primären Aktivitäten ausführen zu können. Werden die einzelnen Vorgänge mit Kosten
114 115 116
Vgl. Baum, H.-G./Coenenberg, A./Günther, T. (Controlling, 1999), S. 67; Burger, A./Buchhart, A. (RisikoControlling, 2002), S. 39f. Vgl. Porter, M. E. (Wettbewerbsvorteile, 1996), S. 56ff. Vgl. Porter, M. E. (Wettbewerbsvorteile, 1996), S. 62.
4 Prozess des Risikomanagements
117
bewertet und erfolgt ein Vergleich mit dem Produktpreis, lässt sich eine Gewinnspanne ermitteln.117 Die Konstruktion der Wertkette muss unternehmensspezifisch erfolgen. Es gibt zum einen die Möglichkeit, die einzelnen betrieblichen Aktivitäten zu Komponenten zusammenzufassen, die dann in Schwerpunkten verdichtet in der Wertkette dargestellt werden. Zum anderen können aber auch die Ergebnisse einer Prozessanalyse im Rahmen der Prozesskostenrechnung die Basis für die Erstellung einer Wertkette bilden.118 Um die im Rahmen der Wertkettenanalyse ermittelten strategischen Potenziale zu bewerten und die Stärken und Schwächen des Unternehmens zu erkennen, bieten sich unterschiedliche Ansätze an. Durch einen Zeitvergleich lassen sich aktuelle Potenziale mit Potenzialen aus Vorperioden vergleichen. Allerdings lässt sich durch einen Zeitvergleich selten ein wirklicher Mangel aufdecken, es werden immer nur relative Veränderungen wahrgenommen. Wirksamer ist ein Vergleich mit Wettbewerbern im Rahmen eines Benchmarking oder einer Konkurrenzanalyse sowie ein Vergleich mit der Phase des Produktlebenszyklus bzw. der Marktentwicklung. Hier werden externe Daten in die Beurteilung mit einbezogen, die die Einschätzung der ermittelten Potenziale durch einen externen Vergleich erlauben. Sind die kritischen Erfolgsfaktoren bekannt, kann auch ein Vergleich der Potenziale mit den kritischen Erfolgsfaktoren erfolgen, um den Stellenwert des Unternehmens ermitteln zu können.119 Die ermittelten Stärken und Schwächen lassen sich dann im Rahmen eines Stärken- Schwächen-Profils visualisieren.120 Mit Hilfe eines Punktwertmodells kann ein Stärken-SchwächenProfil erstellt werden, in dem die einzelnen Potenziale in Punktwerte transformiert und durch Addition zu einem Gesamtwert zusammengeführt werden.121 Unternehmen können daraus Erkenntnisse ableiten, welche Risiken, aber auch Chancen sich aus den Stärken und Schwächen für das Unternehmen ergeben. Eine Integration der Ergebnisse der Umfeldanalyse und strategischen Unternehmensanalyse liefert die sog. SWOT-Analyse (Strength-Weaknesses-Opportunities-Threats-Analyse), die die Chancen und Risiken den Stärken und Schwächen gegenüberstellt. Einen Überblick gibt:
117 118 119 120 121
Vgl. Welge, M.K./Al-Laham, A. (Planung, 1992), S. 111ff. Vgl. Baum, H.-G./Coenenberg, A./Günther, T. (Controlling, 1999), S. 69f. Vgl. Welge, M.K./Al-Laham, A. (Planung, 1992), S. 118ff.; Welge, M.K./Al-Laham, A. (Management, 1999), S. 226ff. Vgl. Steinle, C. (Systeme, 1999), S. 298. Vgl. Welge, M.K./Al-Laham, A. (Planung, 1992), S. 128.
118
4 Prozess des Risikomanagements
Unternehmensanalyse Umfeldanalyse
Stärken (Strengths)
Schwächen (Weaknesses)
Chancen (Opportunities)
Einsatz der Stärken des Unternehmens zur Ausnutzung der Chancen des Umfeldes (insb. Wachstumsstrategie)
Überwindung der Schwächen des Unternehmens durch Ausnutzung der Chancen des Umfeldes
Risiken (Threats)
Einsatz der Stärken des Unternehmens zur Minimierung der Risiken des Umfeldes
Minimierung der Schwächen des Unternehmens und der Risiken des Unternehmensumfeldes (Defensivstrategie)
Abbildung 22: SWOT-Analyse122 Aus der Darstellung lassen sich dann sowohl positive Entwicklungsmöglichkeiten (Chance des Umfeldes trifft auf Stärke des Unternehmens) als auch Gefahren (Risiko des Umfeldes trifft auf Schwäche des Unternehmens) ablesen.123
Operative Analysen
Auch im operativen Bereich gibt es eine Vielzahl von Analyseformen, die sich auf vergangenheitsorientiertes Material stützen und versuchen, daraus Erkenntnisse über Risiken, aber auch Chancen im Unternehmen abzuleiten. Die Besichtigungsanalyse bspw. findet in erster Linie bei innerbetrieblichen bzw. technischen Risiken Anwendung.124 Sie ist vor allem bei Risiken wie dem Brandrisiko, wo die Beobachtung realer Situationen im Vordergrund steht, eine wirksame Möglichkeit der Informationsgewinnung.125 Die Dokumentenanalyse ermittelt Risiken aus Verträgen, Plänen, Bescheiden oder aus Sekundärdokumenten wie dem betrieblichen Rechnungswesen. Dabei wird versucht aus vergangenheitsbezogenen Daten bestimmte Schadenpotenziale bzw. Risikofelder durch Auswertung verschiedener Aufstellungen des Rechnungswesens zu ermitteln.126 In diesen Bereich der operativen Analyseformen fällt auch die Anwendung von Kennzahlensystemen,
122 123 124 125 126
Vgl. Baum, H.-G./Coenenberg, A./Günther, T. (Controlling, 1999), S. 75. Vgl. Baum, H.-G./Coenenberg, A./Günther, T. (Controlling, 1999), S. 75f.; Welge, M.K./Al-Laham, A. (Management, 1999), S. 284ff. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 68. Vgl. Kupsch, P. (Risikomanagement, 1995), S. 536; Brebeck, F./Herrmann, D. (KonTraG-Entwurf, 1997), S. 385. Vgl. Schenk, A. (Risikoidentifikation, 1998), S. 50.
4 Prozess des Risikomanagements
119
die "relevante Zusammenhänge in verdichteter, quantitativ messbarer Form wiedergeben"127. Betrachtet man, wie teilweise angeregt wird, die Bilanz eines Unternehmens, so kann diese nur als grobe Orientierungshilfe dienen, welche Bereiche, z.B. Verbindlichkeiten, näher zu untersuchen sind. Eine realistische, die zukünftige Risikosituation betreffende Aussage lässt sich aus der Bilanz nicht ableiten (vgl. 4.3.3.3.2.1).128 Gleiches gilt für die Gewinn- und Verlustrechnung und Kennzahlensysteme, die eine Aufstellung historischer Werte beinhalten und aus diesem Grund auch nur als Indiz für bestimmte Entwicklungen in der Vergangenheit dienen können, die sich eventuell in der Zukunft fortsetzen könnten.129 Im Rahmen einer Organisationsanalyse lassen sich Risiken, die aus einer fehlerhaften Aufbau- oder Ablauforganisation resultieren, aufdecken, wie bspw. Kompetenzlücken oder Kompetenzüberschreitungen.130 Ein im Zusammenhang mit dem Risikomanagement häufig angeführtes Analyseinstrument zur operativen Risikoidentifikation ist ohne Zweifel die Befragung bzw. das Interview. Bei standardisierten Befragungen handelt es sich um einen Risikofragebogen, der im Hinblick auf ein Unternehmen allgemeine und spezifische Fragen stellt. Häufige Anwendung findet der Fragebogen vor allem in der Versicherungsbranche, um Schadenpotenziale bei zu versichernden Unternehmen aufzudecken. Problematisch ist, dass durch eine recht allgemeine Art des Fragestellens der Fragebogen zwar auf viele Unternehmen angewandt werden kann, jedoch spezielle, unternehmensspezifische Risiken unberücksichtigt bleiben und übersehen werden.131 Eine spezielle Ausprägung der standardisierten Fragebögen sind Checklisten, die unterschiedliche Detaillierung aufweisen können. Ziel ist es, systematisch Risiken nach einem strukturierten Erfassungsraster aufzudecken. Das Erfassungsraster bzw. die Systematik der Checkliste ist dabei unternehmensindividuell festzulegen, angepasst an die Organisationsform des Unternehmens.132 Eine mögliche Erfassungssystematik kann sich an der Wertschöpfungskette im Unternehmen orientieren, ergänzt um umfeldbezogene Aspekte. Möglich ist auch eine Gliederung nach Risikoarten133, aber auch eine Strukturierung nach Einflussfaktoren, die das Betriebsergebnis bestimmen, ist vorstellbar (vgl. 4.3.1).134 Eine Kombination mehrerer Erfassungsraster ist sinnvoll, um eine Vollständigkeits- und Eindeutigkeitskontrolle durchzu-
127 128 129 130 131 132 133 134
Horváth, P. (Controlling, 2001), S. 568. Vgl. Schenk, A. (Risikoidentifikation, 1998), S. 51 ff. Vgl. Schenk, A. (Risikoidentifikation, 1998), S. 52f. Vgl. C&L (Risikomanagement, 1998), S. 12. Vgl. Schenk, A. (Risikoidentifikation, 1998), S. 45. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 82f; ausführliche Beispiele finden sich bei KPMG (Risikomanagement, 1998), S. 18ff. Vgl. Franke, A. (Risiko-Controlling, 1997), S. 173. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 84f.
120
4 Prozess des Risikomanagements
führen. Checklisten entstehen auf empirischer Basis und stellen Erfahrungen über Risikofälle in anderen Unternehmen oder vergleichbaren Zusammenhängen zur Verfügung.135 Auch Mitarbeiterbefragungen zählen zu den standardisierten Befragungen, mit deren Hilfe man sich u.a. verspricht, innerbetriebliche Schwachstellen aufzudecken. Es kann sich dabei nicht nur um ökonomische Schwachstellen in Strukturen und Prozessen des Unternehmens handeln, sondern auch um zwischenmenschliche Schwachstellen, die aufzeigen, dass Grundbedürfnisse oder Erwartungen von Mitarbeiter/innen nicht hinreichend erfüllt werden. Der Vorteil von Checklisten bzw. standardisierten Fragebögen liegt in der einfachen Handhabung und individuellen Gestaltungsmöglichkeit begründet. Durch eine hohe Flexibilität ist eine Vielzahl von Risiken erfassbar. Einzusetzen sind Risikochecklisten vor allem für Routineaufgaben, d.h. für Aufgaben, die eine regelmäßige Erfassung und Vollständigkeitskontrolle in Bezug auf die Risiken notwendig haben.136 Von Vorteil ist weiterhin, dass eine zweckmäßige Aufbereitung für die weitere Nutzung im Rahmen der Risikobewertung und -steuerung erfolgen kann.137 Ein Gefahrenpotenzial der Checklisten und standardisierten Befragung liegt in der Anwendung. Die klare Struktur und das „Abhaken“ von Fragen können den Anwender dazu verleiten, nicht tiefer nachzuprüfen und eingehendere Fragen zu stellen. Eventuell wichtige Hintergrundinformationen werden dann nicht erhoben.138 Weitergehend kann kritisiert werden, dass die statische und eher vergangenheitsorientierten Sichtweise vieler Fragebögen neue Risikoquellen übersieht.139 Trotz der in der Theorie geäußerten Bedenken erfreut sich die Befragung bzw. Risikocheckliste in der Praxis großer Beliebtheit. Eine empirische Umfrage aus dem Jahr 2002140 hat ergeben, dass 75% aller befragten Unternehmen die Risikoidentifikation mit Hilfe von Risikochecklisten/-profilen vornehmen.141
135 136 137 138 139 140 141
Vgl. Franke, A. (Risiko-Controlling, 1997), S. 173. Vgl. Franke, A. (Risiko-Controlling, 1997), S. 173. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 88. Vgl. Schenk, A. (Risikoidentifikation, 1998), S. 50. Vgl. Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 22. Vgl. Diederichs, M./Reichmann, T. (Praxis, 2003), S. 229ff.: Untersucht wurden 253 deutsche Aktiengesellschaften aus den Indizes DAX 30, MDAX, SMAX und NEMAX 50; die Rücklaufquote betrug 22%. Vgl. Diederichs, M./Reichmann, T. (Praxis, 2003), S. 231.
4 Prozess des Risikomanagements
121
4.3.3.2.4 Mischformen
Portfolio-Analysen
Eine Möglichkeit der Identifikation für den Bereich der strategischen Risiken ist die PortfolioAnalyse, die Elemente der Unternehmens- und Umfeldanalyse kombiniert. Es existieren unterschiedliche Möglichkeiten der Portfolio-Analyse, die von einem MarktwachstumsMarktanteils-Portfolio über Marktattraktivitäts- Wettbewerbsstärken-Portfolios bis hin zu technologieorientierten Portfolio-Techniken reichen.142 Die Portfolio-Technik wird als Instrument der Strategieformulierung in Unternehmen eingesetzt, kann aber gemäß ihrer ursprünglichen Entstehungsgeschichte auch für die Identifikation von Risiken genutzt werden. Die Portfolio-Theorie entstammt der Finanzwirtschaft und wird dort vor allem eingesetzt um die optimale Mischung eines Wertpapierportfolios sicherzustellen. Eine optimale Mischung ist dann erreicht, wenn die Kombination verschiedener Wertpapiere hinsichtlich Rendite und Risiko als konkurrierende Größen ausgeglichen ist (Diversifikation).143 Allen Portfolio-Analysen ist der Versuch gemein, strategische Geschäftseinheiten in einer Matrix zu positionieren und daraus den Stand des eigenen Unternehmens abzuleiten und hin zu einer ausgewogenen Verteilung zu verbessern. Durch eine Analyse der Verteilung der strategischen Geschäftseinheiten in der Portfolio-Matrix lassen sich Risiken erkennen bzw. Chancen ableiten. Dadurch erfolgt die Verbindung zwischen der Unternehmensdimension (vorhandene Stärken und Schwächen) und der Umweltdimension (Chancen und Risiken).144 Aus dem Marktwachstums-Marktanteils-Portfolio lassen sich bspw. Erkenntnisse über eine mangelnde Ausgewogenheit einzelner strategischer Geschäftseinheiten ermitteln und Handlungsstrategien ableiten, die evtl. Risiken abwenden können.145 Bemängelt werden kann an der Portfolio-Analyse, dass es sich immer um vereinfachende Darstellungen handelt, die versuchen, die komplexe Unternehmens(um-)welt zu reduzieren. Der Aussagewert eines Portfolios ist stark von den gewählten Dimensionen abhängig, die i.d.R. nicht alle relevanten Merkmale erfassen können. Zudem wird durch eine Punktpositionierung eine Scheingenauigkeit vorgetäuscht, die die in der Unternehmenspraxis vorhandenen Unschärfebereiche nicht zum Ausdruck bringen kann. Es handelt sich bei einem Portfolio
142 143 144 145
Vgl. ausführlich zu den unterschiedlichen Ansätzen Baum, H.-G./Coenenberg, A./Günther, T. (Controlling, 1999), S. 186ff.; Welge, M.K./Al-Laham, A. (Planung, 1992), S. 197ff. Vgl. Baum, H.-G./Coenenberg, A./Günther, T. (Controlling, 1999), S. 179f. Vgl. Götze, U./Mikus, B. (Risikomanagement, 2001), S. 399. Vgl. Götze, U./Mikus, B. (Risikomanagement, 2001), S. 400.
122
4 Prozess des Risikomanagements
stets um eine statische Momentaufnahme, die regelmäßig angewandt werden muss, um signifikante Entwicklungen frühzeitig zu erkennen.146
Kreativitätstechniken
Eine Vielzahl von Kreativitätstechniken bietet das Potenzial, Risiken im Unternehmen aufzudecken. Kreativitätstechniken sind Arbeitsmethoden, die individuelle Gedankengänge oder gruppenorientierte Suchprozesse stimulieren und dadurch kreative Problemlösungen ermöglichen.147 Unterschieden werden können sogenannte systematisch-analytische Methoden und intuitiv-kreative Methoden.148 Erstere beinhalten eine systematische Erfassung, Ordnung und Gliederung problemrelevanter Elemente sowie deren systematische Kombination und Variation, um dadurch auf neue Lösungsideen zu stoßen. Beispiele systematisch-analytischer Methoden sind der Morphologische Kasten oder Problemlösungsbäume. Intuitiv-kreative Verfahren hingegen basieren auf wechselseitigen Assoziationen, Vergleichen und Strukturübertragungen und sind im Hinblick auf den Ablauf weniger systematisiert. Beispiele sind das Brainstorming, Brainwriting, die Methode 635, Synektik oder Mind-Mapping. Die wohl bekannteste und am weitesten verbreitete Kreativitätstechnik ist das Brainstorming. Ziel des Brainstormings ist eine spontane und uneingeschränkte Aufzählung verschiedenster Ideen unter Einhaltung bestimmter Grundregeln.149 Im Rahmen der Risikoidentifikation können dabei unabhängig von methodischen oder systematischen Vorgehensweisen Risiken aufgedeckt werden, die bisher unberücksichtigt geblieben sind. Die Qualität der Information tritt dabei zugunsten der Quantität in den Hintergrund. Die Brainstorming-Gruppen können sich aus Mitarbeitern von sowohl strategischen als auch operativen Ebenen zusammensetzen, aber auch externe Experten können hinzugezogen werden.150 Wird versucht, Risiken in einem Brainstorming-Workshop zu ermitteln, lassen sich Ursachen, Bedeutung und mögliche Handhabung interdisziplinär diskutieren.151 Der Morphologische Kasten als Beispiel für eine systematisch-analytische Vorgehensweise verlangt ein geordnetes und logisches Vorgehen. Der Morphologische Kasten wird vor allem dann eingesetzt, wenn alle relevanten Aspekte eines Problems erfasst werden sollen. Bisher nicht erkannte Risiken können mit Hilfe des Verfahrens aufgedeckt werden. Am Anfang des 146 147 148 149 150
Vgl. Baum, H.-G./Coenenberg, A./Günther, T. (Controlling, 1999), S. 203f. Vgl. Schlicksupp, H. (Innovation, 1992), S. 59. Vgl. hier und im Folgenden Schlicksupp, H. (Innovation, 1992), S. 62ff. Vgl. Hoffmann, H. (Kreativitätstechniken, 1987), S. 111f. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 69f.
4 Prozess des Risikomanagements
123
Prozesses muss das zu lösende Problem analysiert und definiert und ggf. verallgemeinert werden. Darauf aufbauend werden die Parameter, die die Lösung des Problems beeinflussen, bestimmt und in einer Spalte einer Tabelle angeordnet. Alle möglichen Ausprägungen, die ein Parameter theoretisch und praktisch annehmen kann, werden aufgelistet und in Zeilen zu einer Matrix - bzw. Kasten - angeordnet. Jede mögliche Kombination aus Spalten und Zeilen stellt eine mögliche Lösung dar und eröffnet u.U. neue Sichtweisen, die Risiken im Unternehmen aufdecken können.152 Grundsätzlich eignen sich Kreativitätstechniken eher dazu, strategische Risiken aufzudecken.153 Die Ergebnisse sind i.d.R. weniger systematisch und zu einem gewissen Teil zufallsgesteuert, weshalb diese Methoden der Risikoidentifikation lediglich ergänzend eingesetzt werden sollten.
Die vorgestellten Analysemethoden sind in der Lage, die derzeitige Ist-Situation darzustellen. Für eine konsistente Unternehmensplanung und erfolgreiche Weiterentwicklung ist der Status-Quo jedoch nicht ausreichend, vielmehr interessieren Informationen, die einen stärkeren Zukunftsaspekt aufweisen. 4.3.3.3 Früherkennung 4.3.3.3.1 Grundlagen Grundsätzlich lässt sich festhalten, dass der Unternehmensführung umso mehr Zeit bleibt, angemessen auf eine Information zu reagieren, je frühzeitiger sie bekannt wird. Aus dieser Erkenntnis heraus entwickelten sich betriebliche Früherkennungssysteme, die versuchen, für das Unternehmen relevante Informationen mit einem gewissen zeitlichen Vorlauf zu signalisieren. Auf diese frühzeitig ermittelten Informationen kann dann durch eine Plananpassung oder Neuplanung reagiert werden. In der deutschsprachigen Literatur existieren die Begriffe der Frühwarnung, der Früherkennung und der Frühaufklärung. Obwohl sie sich auf einfache Art voneinander abgrenzen lassen, werden sie in der Praxis häufig synonym verwendet was zu Missverständnissen führen kann.154
151 152 153 154
Vgl. Spannagl, T./Häßler, A. (Implementierung, 1999), S. 1830. Vgl. Schlicksupp, H. (Innovation, 1992), S. 82f. Vgl. Wolf, K./Runzheimer, B. (Risikomanagement, 2000), S. 37. Vgl. Krystek, U/Müller-Stewens, G. (Frühaufklärung, 1993), S. 21; synonyme Verwendung u.a. bei Drygala, T./Drygala, A. (Frühwarnsystem, 2000), S. 297.
124
4 Prozess des Risikomanagements
Frühwarnsysteme sind spezielle Informationssysteme, die den jeweiligen Benutzern mögliche Gefahren mit einem zeitlichen Vorlauf signalisieren sollen, damit sie noch rechtzeitig Maßnahmen zur Abwehr oder Minderung der Gefahren ergreifen können.155 Diese Definition hebt die inhaltliche Nähe zu der Forderung in § 91 Abs. 2 AktG nach Maßnahmen, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden, deutlich hervor.156 Da gerade auch die Identifikation latenter Chancen ein wesentlicher Bestandteil erfolgreicher Unternehmensführung darstellt, entwickelte sich die Frühwarnung weiter zur sog. Früherkennung, die neben der Identifikation möglicher Risiken auch die aktive Suche nach verdeckt bereits vorhandenen Chancen umfasst.157 Aufgabe eines Früherkennungssystems ist es, Informationen über „Entwicklungen/Ereignisse, deren Wirkungen mit hoher Eintrittswahrscheinlichkeit prognostiziert werden können und die für die Unternehmung mit zeitlichem Vorlauf erhebliche mögliche Gefährdungen/Risiken und/oder Chancen signalisieren“158, zu generieren. Die Frühaufklärung setzt an diesem Punkt an und erweitert den Begriff der Früherkennung um eine Initiierung von Reaktionsstrategien auf die frühzeizig wahrgenommenen Risiken und Chancen.159 Die Frühaufklärung umfasst damit "alle systematisch erfolgenden Aktionen der Wahrnehmung, Sammlung/Auswertung und Weiterleitung von Informationen über latent bereits vorhandene Chancen und Risken in einem so frühen Stadium, dass noch ausreichend Zeit für eine Planung und Realisierung von Strategien und zur Nutzung signalisierter Chancen oder zur Abwehr angezeigter Bedrohungen bleibt"160. Abbildung 23 stellt den Zusammenhang grafisch dar.
155 156 157 158 159 160
Vgl. Hahn, D. (Frühwarnsysteme, 1979), S. 25; Krystek, U./Müller, M. (Frühaufklärungssysteme, 1999), S. 177. Vgl. Krystek, U. (Gesetze, 1999), S. 147; Eggemann, G./Konradt, T. (Risikomanagement, 2000), S. 505. Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 21. Hahn, D./Krystek, U. (KonTraG, 2000), S. 76. Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 21. Krystek, U. (Frühaufklärung, 1990), S. 68.
4 Prozess des Risikomanagements
125
Frühaufklärung
Frühzeitige Ortung von Bedrohungen/ Risiken und Chancen
Früherkennung Frühwarnung Frühzeitige Ortung von Bedrohungen/Risiken
Frühzeitige Ortung von Bedrohungen/ Risiken und Chancen
sowie Sicherstellung der Einleitung von (Gegen-) Maßnahmen
Abbildung 23: Zusammenhang zwischen Frühwarnung, Früherkennung und Frühaufklärung161 Der Gesetzgeber beschäftigt sich im Rahmen des KonTraG nur mit Risiken, was zunächst eine Einschränkung auf den Begriff der Frühwarnung nahe legt. Allerdings beinhaltet die Beschränkung auf den rein negativen Aspekt des Risikos die Gefahr einer Risikoaversion und kann aus den oben genannten Gründen (vgl. 3.1.2) nicht als sinnvoll erachtet werden. Deshalb empfiehlt es sich aus betriebswirtschaftlicher Sicht, mindestens ein Früherkennungssystem einzuführen, das auch den Chancenaspekt bewusst mit einbezieht.162 Die Frühaufklärung geht über die Aufgaben der Früherkennung - wie bereits dargestellt - noch hinaus und beinhaltet neben der frühzeitigen Erkennung von Chancen und Risiken auch die Initiierung von Gegenmaßnahmen. Im hier betrachteten Zusammenhang erfolgt jedoch die Initiierung von Gegenmaßnahmen in der Phase der Risikosteuerung (vgl. 4.5.2), weshalb eine Beschränkung auf eine Früherkennung im Rahmen des KonTraG ausreichend ist. Den folgenden Ausführungen liegt deshalb auch das vorgestellte Begriffsverständnis der Früherkennung zugrunde. Da die Weiterleitung der ermittelten Chancen und vor allem Risiken jedoch zwingend für ein wirksames Risikomanagementsystem erforderlich ist, kann der Einführung eines Frühaufklärungssystems ebenso zugestimmt werden.163
161 162 163
Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 21. Vgl. Krystek, U. (Gesetze, 1999), S. 147; Hahn, D./Krystek, U. (KonTraG, 2000), S. 76; Franz, K.-P. (Corporate, 2000), S. 55. Vgl. Krystek, U. (Gesetze, 1999), S. 147.
126
4 Prozess des Risikomanagements
Es lassen sich operative und strategische Ansätze der betrieblichen Früherkennung unterscheiden, wobei operative Modelle (1. und 2. Generation der Früherkennung) eher auf der Stabilität ökonomischer Zusammenhänge aufbauen und sich daher mehr zur Identifikation operativer Risiken eignen. Die strategische Früherkennung (3. Generation) hingegen versucht, Diskontinuitäten und Trends aufzudecken, die die Unternehmenssituation beeinflussen können und ist in den strategischen Bereich einzuordnen.164 Ab Mitte der 80´er Jahre wurde eine vierte Generation von Früherkennungssystemen entwickelt, die sog. integrativen oder ganzheitlichen Früherkennungssysteme, die eine verstärkten Ausrichtung an den Bedürfnissen der Praxis beinhalten und versuchen, die Systeme der 2. und 3. Generation miteinander zu verbinden.165 Auf diese 4. Generation der Früherkennung wird im folgenden nicht weiter eingegangen, da es sich hier stets um maßgeschneiderte unternehmensindividuelle Lösungen handeln muss, die auf den theoretischen Erkenntnissen vorangegangener Stufen sowie Methoden des vernetzten Denkens aufbauen. 4.3.3.3.2 Operative Früherkennung 4.3.3.3.2.1 Kennzahlen- und hochrechnungsorientierte Früherkennung
Zu den operativen Ansätzen zählen in erster Linie die kennzahlen- bzw. hochrechnungsorientierten (Früherkennungssysteme der 1. Generation) und die indikatororientierten (Früherkennungssysteme der 2. Generation) Früherkennungssysteme.166 Kennzahlenorientierte Früherkennungssysteme setzen überwiegend an den Zahlen des internen oder externen Rechnungswesens an und erfassen mit Hilfe von Kennzahlen oder Kennzahlensystemen Abweichungen zwischen Plan-(Soll-)Größen und Istgrößen.167 Es existiert eine Vielzahl von Kennzahlensystemen168, die jedoch alle analyseorientierten Charakter aufweisen und wenig zukunftsorientiert sind. Ihr Beitrag zur frühzeitigen Erkennung von Veränderungen, der noch angemessene Zeit zur Gegenreaktion ermöglicht, ist deshalb naturgemäß eher gering. Zu den klassischen operativen kennzahlenorientierten Früherkennungsmodellen zählt auch die Bilanzanalyse. Mit Hilfe der Bilanzanalyse kann versucht werden, schon frühzeitig eine laten-
164 165 166 167 168
Vgl. Rehkugler, H. (Früherkennungsmodelle, 2002), Sp. 586; Krystek, U. (Frühaufklärung, 1990), S. 68. Vgl. für einen Überblick Weigand, A./Buchner, H. (Früherkennung, 2000), S. 11ff. Vgl. Krystek, U. (Frühaufklärung, 1990), S. 69; Krystek, U./Müller, M. (Frühaufklärungssysteme, 1999), S. 178f. Vgl. Rehkugler, H. (Früherkennungsmodelle, 2002), Sp. 587. Vgl. ausführlich Küpper, H.-U. (Controlling, 1997), S. 317ff.; Horváth, P. (Controlling, 2001), S. 569ff.
4 Prozess des Risikomanagements
127
te Krise aufzudecken und dadurch ein bestandsgefährdendes Risiko abzuwenden.169 Da das Ziel der Bilanzanalyse in der Aufdeckung einer möglichen Insolvenz liegt, wird auch häufig der Begriff der Insolvenzprognose verwendet. Eine Voraussetzung für eine erfolgreiche Anwendung der Bilanzanalyse ist die Gültigkeit der verarbeiteten, vergangenheitsorientierten Daten auch für zukünftige Perioden (Konsistenz-Hypothese, vgl. ausführlich 4.3.3.4.2). Im Rahmen der empirischen Bilanzforschung wurden traditionelle Instrumente der Jahresabschlussanalyse weiterentwickelt, um die Bilanzbonität von Unternehmen objektiver und ganzheitlicher beurteilen zu können. Zum Einsatz kommen hier u.a. multivariate Diskriminanzanalysen170, Künstliche Neuronale Netzanalysen oder die logistische Regression, die die Kennzahlen vieler Unternehmen mathematisch-statistisch auswerten und aus einer großen Menge von möglichen Kennzahlen die aussagekräftigen Kennzahlen herausfiltern und gewichtet zusammenstellen.171 "Künstliche Neuronale Netze (KNN) sind informationsverarbeitende Systeme, die biologischen Neuronalen Netzen nachempfunden sind und mit denen sich u.a. schwach strukturierte betriebswirtschaftliche Fragestellungen sehr erfolgreich bearbeiten lassen."172 Ein KNN besteht aus mehreren Schichten sog. Neuronen, die miteinander verbunden sind, Informationen aufnehmen, mathematisch weiterverarbeiten und an die nächste Schicht weiterleiten.173 Eine Möglichkeit, das Fortbestandsrisiko frühzeitig aufzudecken und eine Insolvenz mit einer objektiven Wahrscheinlichkeit vorherzusagen, bietet das "Künstliche Neuronale Netz BP-14".174 Der BP-14175 verdichtet 14 Jahresabschlusskennzahlen (Neuronen) zu einem Urteil über die Bestandsfestigkeit von Unternehmen, der sich als Bilanzbonitätsindex interpretieren lässt.176 Das Vorgehen des BP-14 kann mit einem Trichter verglichen werden, der aus den 14 von Experten als relevant ermittelten Kennzahlen eine Aussage generiert, die einem Unternehmen über einen Index eine Insolvenzwahrscheinlichkeit zuordnet. Eine Aussage über eine positive Bestandssicherheit ist ebenso möglich.177 Der Vorteil dieser weiterentwickelten Form der Bilanzanalyse liegt in der ganzheitlichen Sichtweise des Instruments, denn die Informationsbereiche decken die "Vermögens-, Finanz- und Ertragslage voll-
169 170 171 172 173 174 175 176 177
Vgl. Hauschildt, J. (Unternehmenskrisen, 2000), S. 3; zur Einsatzmöglichkeit im Rahmen der Abschlussprüfung vgl. Freidank, C.-C. (Prüfungswesen, 2000), S. 254. Vgl. ausführlich Baetge, J. (Unternehmenskrisen, 2002), S. 2282. Vgl. Baetge, J. (Früherkennung, 1998), S. 8; Baetge, J. (Unternehmenskrisen, 2002), S. 2281f. Baetge, J./Jerschensky, A. (Frühwarnsysteme, 1999), S. 173. Vgl. ausführlich Baetge, J. (Früherkennung, 1998), S. 17f. Vgl. Baetge, J./Jerschensky, A. (Frühwarnsysteme, 1999), S. 173. BP-14 steht für die Backpropagation-Architektur des KNN und die Zahl 14 gibt die Anzahle der als optimal ausgewählten Kennzahlen wider; vgl. hierzu Baetge, J. (Früherkennung, 1998), S. 17. Vgl. Baetge, J./Jerschensky, A. (Frühwarnsysteme, 1999), S. 173. Vgl. ausführlich zur Vorgehensweise Baetge, J./Jerschensky, A. (Frühwarnsysteme, 1999), S. 174f.
128
4 Prozess des Risikomanagements
ständig ab"178. Die Kennzahlen sind außerdem so definiert, dass gängige bilanzpolitische Maßnahmen wieder zurückgerechnet werden können.179 Eine weitere Möglichkeit moderner Bilanzanalyse bietet das "RiskCalcTM" das auf dem Verfahren der Regression beruht und neun Kennzahlen ermittelt, die die Informationsbereiche des Jahresabschlusses abdecken. Gegenüber den Verfahren der KNN weist das Modell eine höhere Transparenz und Nachvollziehbarkeit auf.180 Das Instrument der Bilanzanalyse bildet jedoch vor allem eine Möglichkeit für externe Unternehmensanalysten und Banken, sich ein Bild von einem Unternehmen zu machen.181 Unternehmensintern werden i.d.R. aussagekräftigere Instrumente zur Verfügung stehen, die eine fundiertere Risikoanalyse erlauben.182 Die zugrundeliegenden Annahmen lassen sich vom Vorstand nur schwer beurteilen und entsprechen damit nicht dem geforderten Sorgfaltsmaßstab in § 91 Abs. 2 AktG. Für die externe Überprüfung von kleinen und mittleren Unternehmen im Zuge einer Kreditvergabe eignet sich die Bilanzanalyse jedoch durchaus, da es sich hier um ein Massengeschäft aus Sicht der Bank handelt, bei dem es gilt, das Risiko des Forderungsausfalls zu optimieren.183 Die Vertreter der Bilanzanalyse sehen ihren Vorteil darin begründet, dass die Daten des Finanz- und Rechnungswesens bereits sehr früh auf Unternehmensgefährdungen hinweisen. So kann mit Hilfe des BP-14 schon bis zu drei Jahre im Voraus eine Insolvenz prognostiziert werden.184 Die Bilanzanalyse kann vor allem die operative Risikoidentifikation unterstützen. Das Vorhandensein einer latenten Krise deutet auf die Existenz verschiedener Risiken hin. Es lässt sich jedoch festhalten, dass die „Auskunftsleistung der Bilanz begrenzt“185 ist. Die Bilanz kommt vielfach zu spät, um noch Informationen zu generieren, die ein frühzeitiges Gegensteuern ermöglichen können186, gleichzeitig gibt es zu unterschiedliche Krisentypen, die sich einer Bilanzanalyse teilweise ganz verschließen. So betont auch D. SCHNEIDER, dass "die Nichtswürdigkeit unbegründeter Schlüsse von der Vergangenheit auf die Zukunft"187 im Rahmen von Bilanzanalysen zu berücksichtigen ist.188 Darüber hinaus zeigt die Bilanzanalyse vor allem die Symptome auf, die am Ende einer Ursache-
178 179 180 181 182 183 184 185 186 187 188
Baetge, J. (Früherkennung, 1998), S. 23. Vgl. zu ausführlichen Beispielen Baetge, J. (Früherkennung, 1998), S. 19ff. Vgl. Baetge, J. (Unternehmenskrisen, 2002), S. 2283ff. Vgl. Baetge, J. (Unternehmenskrisen, 2002), S. 2281. Vgl. Eisele, W. (Meinungsspiegel, 2000), S. 275. Vgl. Baetge, J. (Früherkennung, 1998), S. 12ff.; Schäfer, J. G. (Überwachungssystem, 2001), S. 155 f. Vgl. Baetge, J. (Unternehmenskrisen, 2002), S. 2283. Hauschildt, J. (Unternehmenskrisen, 2000), S. 16. Vgl. Hauschildt, J. (Anmerkungen, 2002), S. 10. Schneider, D. (Investition, 1992), S. 604. Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 148.
4 Prozess des Risikomanagements
129
/Wirkungskette stehen; grundsätzliche Schwachstellen und damit die ursächlichen Risiken im Unternehmen werden nicht aufgezeigt.189 Gleiches gilt für die Kapitalflussrechnung: die Kapital- oder Finanzflussrechnung enthält keinerlei Informationen, die nicht auch im Jahresabschluss enthalten sind und bietet deshalb auch keinen anderen Informationsgehalt als der Jahresabschluss. Eine Krisen- bzw. Risikoidentifikation mit Hilfe der Bilanzanalyse erfordert darüber hinaus langfristige, mehrperiodige, unterschiedliche Diagnosetechniken und ist demzufolge als aufwendig einzustufen.190 Eine Bilanzanalyse kann die Risikoidentifikation nur bedingt unterstützen, da wichtige, nicht quantifizierbare Informationen über z.B. technisches Know-how, Kreditlinien oder die Managementqualität nicht in die Bilanz einfließen,191 gleichwohl aber ein existenzbedrohendes Risiko darstellen können. An dieser Stelle kann auch hervorgehoben werden, dass jede Kennzahl immer nur ein komprimiertes und zusammengefasstes Bild der Situation vermitteln kann. Eine Zusammenfassung von Informationen nimmt einen gleichzeitigen Informationsverlust jedoch billigend in Kauf.192 Die Bilanzanalyse eignet sich aus einem weiteren Grund nicht für eine Krisen- und Risikodiagnose: eine theoretisch oder empirisch begründete Aussage, wie einzelne Bilanzkennzahlen zu interpretieren sind, existiert aufgrund hoher Komplexität nicht.193 Nur durch die reine Interpretation einer Kennzahl lassen sich keine allgemeingültigen Rückschlüsse auf die Situation des Unternehmens treffen.
Eine erste Weiterentwicklung der operativ orientierten Früherkennungssysteme der 1. Generation ist die hochrechnungsorientierte Früherkennung. Die grundlegende Idee der hochrechnungsorientierten Früherkennung besteht darin, mit einem abweichungsorientierten Soll-IstVergleich der Daten nicht mehr bis zum Periodenende zu warten, sondern einen permanenten Vergleich zwischen Planwerten und voraussichtlich geschätzten Istwerten (Forecasts) durchzuführen.194 In modernen Controllingkonzepten ist diese Form der Früherkennung bereits ein fest integrierter Bestandteil.195
189 190 191 192 193 194 195
Vgl. Kötzle, A. (Identifikation, 1993), S. 65. Vgl. Hauschildt, J. (Unternehmenskrisen, 2000), S. 16. Vgl. Littkemann, J./Krehl, H. (Kennzahlen, 2000), S. 21. Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 149. Vgl. Kötzle, A. (Identifikation, 1993), S. 66; Littkemann, J./Krehl, H. (Kennzahlen, 2000), S. 30; Hauschildt, J. (Anmerkungen, 2002), S. 10. Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 63f. Vgl. Krystek, U. (Frühaufklärung, 1990), S. 69; Krystek, U. (Früherkennung, 2003), S. 125.
130
4 Prozess des Risikomanagements
Früherkennungssysteme auf Basis von Hochrechnungen werden den Anforderungen des § 91 Abs. 2 AktG jedoch nur in unzureichendem Maße gerecht. Hochrechnungen sind einerseits bereits als Bestandteil der Berichterstattung über die laufenden Geschäfte zu betrachten196 und somit bereits in § 90 Abs. 1 Nr. 3 festgelegt. Darüber hinaus haben Hochrechnungen einen sehr eingeschränkten Vorhersagezeitraum und eignen sich nicht für die frühzeitige Erkennung von Veränderungen.197 Hochrechnungen unterstellen, dass unterstellte Zusammenhänge stabil bleiben und keine unvorhergesehenen Ereignisse auftreten. Treten jedoch sog. "Strukturbrüche" auf, die die zugrundegelegten Prämissen außer Kraft setzen, spricht man von einer Extrapolationsfalle, der jede Hochrechnung unterliegen kann.198 Aufgrund des dadurch beschränkten Zeithorizonts haben hochrechnungsorientierte Früherkennungssysteme nur einen eingegrenzten Nutzen für die Risikoidentifikation. 4.3.3.3.2.2 Indikatororientierte Früherkennung
Im Unterschied zu den kennzahlen- und hochrechnungsorientierten Früherkennungssystemen richtet sich die indikatororientierte Früherkennung auch auf unternehmensexterne Beobachtungsbereiche aus.199 Kerngedanke der indikatororientierten Früherkennung ist die Aufdeckung bereits latent vorhandener Veränderungen durch Indikatoren, die diese Veränderungen mit einem zeitlichen Vorlauf signalisieren können. "Indikatoren sind [...] Anzeiger für verborgene, nicht direkt fassbare Erscheinungen und Entwicklungen."200 Die Schwierigkeit liegt hierbei alledings im Auffinden von Kausalbeziehungen, die eine Aussage des Indikators erlauben sowie im Erstellen eines umfassenden und aussagekräftigen Indikatorenkataloges.201 Die nachfolgende Abbildung 24 vermittelt einen Überblick über die Vorgehensweise bei der Erstellung eines indikatororientierten Früherkennungssystems.
196 197 198 199 200 201
Vgl. Schäfer, J. G. (Überwachungssystem, 2001), S. 149; Krystek, U. (Unternehmungskrisen, 2002), S. 106. Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 64; Fasse, F.-W. (Risk-Management, 1995), S. 99. Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 76. Vgl. Krystek, U./Müller, M. (Frühaufklärungssysteme, 1999), S. 179. Krystek, U./Müller, M. (Frühaufklärungssysteme, 1999), S. 179. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 123.
4 Prozess des Risikomanagements
1 Suche nach Beobachtungsbereichen (extern/intern)
131
2 Auswahl/Festlegung von Beobachtungsbereichen
3 Suche nach Indikatoren einschl. Vorschlag für Sollwerte/Toleranzgrenzen
4 Auswahl/ Festlegung von Indikatoren
Projekt-Kollegien (Beobachter) 5 Nominierung von Beobachtern
6 Festlegung von Meldefrequenz undKommuniationsform Beobachter/ Zentrale
7 Festlegung der Zentrale(n) und ihrer Aufgaben
8 Festlegung von Meldefrequenz und Kommunikationsform Zentrale(n)/ Benutzer
9 Feed-backInformationen an Beobachter
Abbildung 24: Prinzipieller Aufbau eines indikatororientierten Früherkennungssystems202 In einem ersten Schritt müssen geeignete Beobachtungsbereiche innerhalb und außerhalb des Unternehmens gesucht werden. Grundsätzlich sollte sich ein Unternehmen bei der Festlegung an dem unternehmensindividuellen Zielsystem orientieren und sich im Rahmen des KonTraG vor allem auf solche Ziele konzentrieren, die für die Sicherung des Unternehmensfortbestandes relevant sind. Sind bspw. durch Stärken-/Schwächenanalysen oder Befragungen bereits unternehmensindividuelle Risikobereiche herausgearbeitet worden, so sollten diese Bereiche Berücksichtigung finden.203 Um das Risiko- aber auch Chancenpotenzial eines Beobachtungsbereiches voll auszuschöpfen, ist es wichtig, dass die jeweiligen Informationen zeitlich kontinuierlich erhoben werden. Nur so kann eine vollständige Auswertung der Beobachtungsbereiche angestrebt werden.204 Risiken und Chancen aus Bereichen, die nicht einer Beobachtung unterliegen, können nicht frühzeitig erkannt werden. Es ist deshalb wesentlich, die Suche nach Beobachtungsbereichen regelmäßig zu wiederholen und ggf. kritisch zu überprüfen. An die Suche schließt sich eine Auswahl und Festlegung der Beobachtungsbereiche an, die durch die Nutzer der Früherkennung zu treffen ist. Angesprochen ist hier in erster Linie die oberste interne Führung, die nach § 91 Abs. 2 AktG für die Implementierung eines früherkennenden Systems verantwortlich ist.205
202 203 204 205
Vgl. Hahn, D./Krystek, U. (KonTraG, 2000), S. 82. Vgl. Krystek, U./Müller, M. (Frühaufklärungssysteme, 1999), S. 179f. Vgl. Schröder, H.-H./Schiffer, G. (Frühinformationssysteme, 2001), S. 1508. Vgl. Krystek, U. (Früherkennung, 2003), S. 126f.
132
4 Prozess des Risikomanagements
Daran anschließend erfolgt eine Suche nach Indikatoren, die Veränderungen in den Beobachtungsbereichen frühzeitig übermitteln. An die Auswahl von Indikatoren sind spezifische Anforderungen zu stellen:206 x
Eindeutigkeit/Zuverlässigkeit (Entwicklungen sollen eindeutig und mit hoher Zuverlässigkeit angezeigt werden),
x
Frühzeitigkeit (die Informationen sollen mit einem gewissen zeitlichen Vorlauf signalisiert werden, so dass noch Zeit verbleibt, wirksame Maßnahmen zu ergreifen),
x
Vollständigkeit (möglichst vollständige Erfassung aller Risiken und Chancen im jeweiligen Beobachtungsbereich),
x
rechtzeitige Verfügbarkeit (Indikator muss dem Frühaufklärungssystem rechtzeitig zugänglich sein),
x
Ökonomizität (Anwendung des Indikators muss unter ökonomischen Kosten-NutzenAspekten vertretbar sein).
Besonderes Augenmerk, vor allem im Hinblick auf die frühzeitige Erkennung von Risiken, ist auf die Verkettung und Vernetzung von Indikatoren zu richten. Können stringente Kausalketten entwickelt werden, besteht die Möglichkeit, noch näher an die Ursache von verdeckten Bedrohungen, aber auch Chancen zu gelangen.207 Für die geeigneten Indikatoren sind dann Sollgrößen festzulegen, die um einen Toleranzspielraum erweitert werden. Schwankt der Wert des Indikators innerhalb des festgelegten Toleranzbereiches, wird kein Früherkennungssignal ausgelöst. Übersteigt oder unterschreitet der Indikator jedoch den Toleranzbereich, muss sofort eine Meldung durch das Früherkennungssystem über eine Bedrohung oder eine Chance ausgelöst werden.208 Eine verantwortungsvolle Aufgabe liegt in der Festlegung der Sollgrößen, also des als normal erachteten Wertes für einen Indikator. Vor einer statischen Fortschreibung muss gewarnt werden, denn "in deren Folge [sind] häufige Fehlmeldungen nicht auszuschließen, die dann leicht die Glaubwürdigkeit des gesamten Frühaufklärungssystems in Frage stellen können"209. Auch die Festlegung des Toleranzspielraums bedarf besonderer Sorgfalt: Sind die Grenzen zu weit gesteckt, verliert das Früherkennungssystem seine Wirksamkeit, sind die Grenzen zu eng festgelegt, führen die ebenso zu erwartenden häufigen "Falsch-Alarm"-Meldungen zu einer mangelnden Glaubwürdigkeit.210 Bei der Wertermittlung kann sich neben einer kritisch zu prüfenden Fort206 207 208 209 210
Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 103f. Vgl. Krystek, U./Müller, M. (Frühaufklärungssysteme, 1999), S. 180. Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 105ff. Krystek, U./Müller, M. (Frühaufklärungssysteme, 1999), S. 180. Vgl. Krystek, U./Müller, M. (Frühaufklärungssysteme, 1999), S. 180.
4 Prozess des Risikomanagements
133
schreibung von Vergangenheitswerten an unternehmensinternen oder -externen Benchmarks orientiert werden oder es können Expertenschätzungen zugrunde gelegt werden.211 Bereits für die Beobachtung der einzelnen Indikatoren sind Beobachter innerhalb oder außerhalb des Unternehmens zu nominieren, die die Entwicklung des jeweiligen Indikators verfolgen und bei den zuvor definierten Veränderungen eine entsprechende Meldung abgeben. Innerhalb des Unternehmens muss dann entschieden werden, an welcher Stelle (Zentrale) die Informationen des Früherkennungssystems gesammelt werden und in welcher Frequenz die Aufnahme und Abfrage von Signalen erfolgen soll. Dabei muss auch festgelegt werden, wie die Informationskanäle auszugestalten sind, damit eine schnelle Weiterleitung der Informationen gewährleistet ist.212 Die Aufgaben der Zentrale bestehen unter anderem in der Aufnahme/Abfrage und Plausibilitätsprüfung der eingegangenen Meldungen, ihrer Dokumentation, Aufbereitung, ggf. Interpretation sowie Berichterstattung an die jeweiligen Empfängerkreise.213 Bei geringer strategischer Relevanz kann der Bericht sogar für alle Mitarbeiter zugänglich publiziert werden, um den Informationsstand zu erhöhen und evtl. kritische Meinungen in einem Feed-back-Prozess mit aufzunehmen. Auch regelmäßige Meetings können bei der Überarbeitung und Aktualisierung der Indikatoren und/oder Beobachtungsbereiche hilfreich sein.214 Eine Feed-back-Information zumindest an die Beobachter im Rahmen des Früherkennungssystems erscheint aus motivatorischen Gründen unerlässlich. Darüber hinaus können Lerneffekte im Umgang mit den Beobachtungsbereichen und den vorgegebenen Sollwerten und Toleranzgrenzen erzielt werden, die für eine Weiterentwicklung des Früherkennungssystems von großem Nutzen sein können.215
Der Einsatz von indikatororientierten Früherkennungssystemen im Rahmen des Risikomanagements eignet sich dann, wenn stabile Umweltzusammenhänge vorliegen. Die Qualität eines indikatororientierten Früherkennungssystems hängt maßgeblich von den gewählten Indikatoren und den bekannten Ursache-Wirkungs-Beziehungen ab. Für die Risikoidentifikation im strategischen Bereich sind indikatororientierte Früherkennungssysteme jedoch nur bedingt geeignet. Sie können bei erforschten Ursache-Wirkungs-Beziehungen rechtzeitig Informationen über das Auftreten eines Risikos oder einer Chance liefern. Sie können allerdings keine neu auftretenden Entwicklungen in bisher als unwichtig eingestuften Bereichen wahrnehmen. 211 212 213 214
Vgl. Wolf, K. (Frühaufklärungssysteme, 2002), S. 129. Vgl. ausführlich Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 111ff. Vgl. Krystek, U. (Früherkennung, 2003), S. 129. Vgl. Wolf, K. (Frühaufklärungssysteme, 2002), S. 130.
134
4 Prozess des Risikomanagements
Sie sind selten in der Lage, sog. Drittvariablen zu erkennen, die die stabil geglaubten Gesetzesmäßigkeiten stören und zu weitreichenden Veränderungen führen können.216 4.3.3.3.3 Strategische Früherkennung Um plötzlich auftretende Turbulenzen und schlagartige Neuerungen erfassen zu können, erfolgte eine Weiterentwicklung hin zu einer strategischen Früherkennung. Die Idee der strategischen Früherkennung basiert auf dem "Konzept der Schwachen Signale" von ANSOFF und der Diffusionstheorie. Schwache Signale sind Vorläufer von Diskontinuitäten (Strukturbrüchen), die nicht überraschend eintreten, sondern sich durch Vorboten - eben jene Schwachen Signale - ankündigen. Zu Beginn handelt es sich um sehr vage Informationen, die sich im Zeitablauf zunehmend konkretisieren.217 Schwache Signale sind dabei Informationen, die in ihrer Herkunft und Wirkung nicht genau klassifizierbar sind.218 Es handelt sich um "Informationsrudimente, die sich erst nach und nach durch weitere - oft auch widersprüchliche Signale - verdichten und, falls die ersten Vermutungen nicht grundlos waren, auch konkretisieren"219. Durch die Identifikation von schwachen Signalen wird es der Unternehmensleitung ermöglicht, schon frühzeitig auf bevorstehende Diskontinuitäten zu reagieren. Das setzt allerdings eine Unternehmenskultur voraus, die die Flexibilität und Offenheit der Mitarbeiter fördert und zu unkonventionellem Denken anregt.220 Die Diffusionstheorie beschäftigt sich mit der Erforschung von Ausbreitungswegen neuer Erkenntnisse, Meinungen und Verhaltensweisen. Sie geht davon aus, dass Träger neuer Erkenntnisse quasi durch eine Ansteckungswirkung eine beständig wachsende Anzahl von Personen und Medien mit diesen Erkenntnisse infizieren, die ihrerseits dann für eine Verbreitung sorgen.221 Die Diffusionstheorie kann auch die Verbreitung von schwachen Signalen im Sinne der strategischen Früherkennung erklären und bildet demzufolge eine wichtige Basis für die Implementierung und Durchführung der strategischen Früherkennung im Unternehmen. Einige Autoren bezeichnen diesen Teilbereich des Strategischen Managements, der sich mit der Früherkennung möglicher Trends oder Kehrtwenden beschäftigt "Trend-Management"
215 216 217 218 219 220 221
Vgl. Krystek, U. (Früherkennung, 2003), S. 129; zu weiteren Möglichkeiten der Informationsweiterleitung siehe Baisch, F. (Implementierung, 2000), S. 92ff. Vgl. Krystek, U./Müller, M. (Frühaufklärungssysteme, 1999), S. 180; Götze, U./Mikus, B. (Risikomanagement, 2001), S. 408. Vgl. Ansoff, H.I. (Bewältigung, 1981), S. 237f. Vgl. Simon, D. (Signale, 1986), S. 18. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 166. Vgl. Simon, D. (Signale, 1986), S. 177f. Vgl. ausführlich Krampe, G./Müller, G. (Diffusionsfunktion, 1981), S. 391ff.
4 Prozess des Risikomanagements
135
oder "Issue-Management".222 Ein Trend wird dabei als Treiber für eine Veränderung angesehen. Bei frühzeitiger Erkenntnis des Trends kann folglich eine Veränderung auch schon antizipiert werden. Begrifflich lassen sich Trends als die Entwicklung in eine bestimmte Richtung auffassen. Statistisch betrachtet handelt es sich bei einem Trend um das langfristige Verhalten einer Zeitreihe. Ein Trend kann aber auch als Zeichen einer gesellschaftlichen oder kulturellen Innovation, also als etwas Neues interpretiert werden.223 Trends sind dabei nicht immer zurückzuführen auf objektiv nachprüfbare Faktoren, sondern können Ausdruck der Vorstellungswelten von Konsumenten- oder Stakeholder-Gruppen eines Unternehmens sein.224 Im strategischen Bereich ist ein frühzeitiges Erkennen von Risiken wichtiger als deren exakte Bewertung. Wenn sich das Unternehmen mit strategischen, langfristigen, latenten Risiken und Chancen auf Basis schwacher Signale auseinandersetzt, wird dadurch seine Flexibilität und Anpassungsfähigkeit erhöht.225 Mögliche Reaktionen werden dann durchdacht, um bei Eintritt oder Konkretisierung eines für möglich gehaltenen Ereignisses besser vorbereitet zu sein. Im Vordergrund steht hier die Sensibilisierung für die Unsicherheit und Ambivalenz der Zukunft, weniger die exakte Bestimmung des möglichen Ausmaßes. Früherkennungsinformationen bewirken grundsätzlich, dass eine verbesserte qualitative Entscheidungsgrundlage für die Unternehmensplanung bereit steht.226 Die durch die Früherkennung angezeigten Risikoinformationen ermöglichen es dem Unternehmen, rechtzeitig eine Neuplanung zu initiieren oder eine Plananpassung vorzunehmen.227 Darüber hinaus werden der Früherkennung auch Lerneffekte228 für zukünftige Planungen zugesprochen, da durch regelmäßig angewandte Früherkennung die Sensibilität der am Planungsprozess beteiligten Mitarbeiter erhöht wird.
Der grundlegende Ablauf der strategischen Früherkennung lässt sich wie folgt darstellen:
222 223 224 225 226 227 228
Vgl. Liebl, F. (Risiko-Management, 2001), S. 507. Vgl. Liebl, F. (Risiko-Management, 2001), S. 512f. Vgl. Liebl, F. (Risiko-Management, 2001), S. 515. Vgl. Ansoff, H.I. (Bewältigung, 1981), S. 242ff.; Braun, H. (Risikomanagement, 1984), S. 98f. Vgl. Hahn, D. (Frühwarnsysteme, 1979), S. 40. Vgl. Hahn, D. (Frühwarnsysteme, 1979), S. 40; Lück, W. (Elemente, 1998), S. 12. Vgl. Ansoff, H.I. (Bewältigung, 1981), S. 259.
136
4 Prozess des Risikomanagements
Phasen
1.
•Scanning 360°
2.
•Bildung von Trendlandschaften
3.
•Monitoring: vertiefende Untersuchung früherkannter Trends •Beobachtung von Trendlandschaften
4.
•Relevanzbeurteilung - Vergleich mit Prämissen der strategischen Planung(en) - Wirkungsprognose in Szenarioworkshops relevant? Relevant?
E
nein (speichern)
ja 5.
•Vernetzung mit strategischen Planungen - Anpassung - Neuplanung
Abbildung 25: Prinzipdarstellung des Ablaufs der strategischen Früherkennung229 Zu den Basisaktivitäten der strategischen Früherkennung zählen das Scanning und das Monitoring. Scanning tastet das Umfeld im Sinne eines 360-Grad-Radars gänzlich ungerichtet auf schwache Signale hin ab. Die Suche nach schwachen Signalen gestaltet sich in der Praxis als äußerst schwierig, da es keine genauen Empfehlungen geben kann, aus welchen Bereichen schwache Signale gesendet werden könnten. Eine große Menge an Informationen muss aus-
229
Vgl. Krystek, U. (Früherkennung, 2003), S. 134.
4 Prozess des Risikomanagements
137
gesiebt werden, um ein relevantes Signal zu entdecken, was die Informationseffektivität vermindert.230 Ein Erfassen aller schwachen Signale ist aus finanziellen und methodischen Gründen unmöglich, vielmehr geht es darum, mit gegebenen Mitteln eine möglichst hohe Informationseffektivität zu erzielen.231 Mögliche Quellen für schwache Signale sind neben Zeitungen und Zeitschriften sowie Expertengesprächen in zunehmendem Maße das Internet.232 Die Personen, die eine Suche nach schwachen Signalen betreiben, sollten neben einem möglichst breitem, bereichsübergreifendem Spektrum an Wissen und Erfahrung eine Unvoreingenommenheit gegenüber Neuerungen und die Bereitschaft zu Paradigmenwechseln aufweisen.233 Die durch das Scanning aufgedeckten Informationen werden als Trend erfasst und bei gehäuftem Auftreten zu sogenannten Trendlandschaften zusammengefasst.234 Das Monitoring bezeichnet die vertiefende und dauerhafte Beobachtung aufgedeckter Trends oder Trendlandschaften. Ziel des Monitoring ist es, die Informationsstruktur des Phänomens zu vertiefen, um eine Relevanzbeurteilung im Hinblick auf Risiken oder Chancen ermöglichen zu können.235 Bei der Beobachtung der Umwelt und dem vertiefenden Monitoring müssen subjektiv Auswahlentscheidungen getroffen werden, die nicht wertfrei sind. Das Ergebnis einer strategischen Früherkennung ist deshalb in hohem Maße abhängig von den Frühaufklärung betreibenden Personen.236
Zu den unterstützenden Methoden der strategischen Früherkennung zählen z.B. Inhaltsanalysen, die Delphi-Prognose (vgl. 4.3.3.4.3.2), Diskontinuitätenbefragungen und Kreativitätstechniken, durch die die Informationsbasis für Unternehmensentscheidungen deutlich erhöht werden kann.237 Ein zusätzlicher Einsatz von externen Früherkennungsinformationen Dritter ist außerdem empfehlenswert. In der Phase der Trendlandschaftsbildung kann die Szenariotechnik (vgl. 4.3.3.4.3.3) wertvolle Impulse liefern, um denkbare Veränderungen sowie Auswirkungen auf das Unternehmen aufzuzeigen.238 230 231
232 233 234 235 236 237 238
Vgl. Göbel, E. (Früherkennung, 1995), S. 57. Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 175; ein Vorschlag zur systematischen Erfassung von schwachen Signalen findet sich bei Göbel, E. (Früherkennung, 1995), S. 58ff., die ein Vorgehen nach Stakeholdergruppen differenziert vorschlägt. Vgl. Wolf, K. (Frühaufklärungssysteme, 2002), S. 130; Krystek, U. (Früherkennung, 2003), S. 132. Vgl. Krampe, G./Müller, G. (Diffusionsfunktion, 1981), S. 398; Krystek, U. (Früherkennung, 2003), S. 132. Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 196ff. Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 176ff.; Krystek, U./Müller, M. (Frühaufklärungssysteme, 1999), S. 181. Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 175. Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 228ff.; Baisch, F. (Implementierung, 2000), S. 79f. Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 216ff.; Rehkugler, H. (Früherkennungsmodelle, 2002), Sp. 594.
138
4 Prozess des Risikomanagements
4.3.3.4 Prognosen 4.3.3.4.1 Grundlagen Prognosen stellen quantitativ oder qualitativ begründete Aussagen über ein in der Zukunft liegendes Ereignis oder eine Entwicklung dar, die ggf. unter Zuhilfenahme von statistischen Modellen sowie unter Berücksichtigung von Erfahrungswissen und Informationen aus dem Unternehmen und seinem Umfeld getroffen werden.239 Prognosen unterstellen somit die Fortführung eines in der Vergangenheit und Gegenwart als gültig unterstellten Kausalmodells.240 Prognosen dienen zur gedanklichen Verringerung von Unsicherheiten, da sie vorhandenes Wissen im Hinblick auf die Zukunft auswerten.241 Im Zusammenhang mit der Identifikation von Risiken haben sie aufgrund ihrer Zukunftsbezogenheit eine höhere Relevanz als vergangenheitsbezogene Informationen, wie sie sich in bspw. Bilanz, GuV oder Kapitalflussrechnung antreffen lassen.242 Prognosen lassen sich von sog. Prophezeiungen klar abgrenzen: Prognosen müssen stets auf einem objektivierbaren Urteil beruhen und bestimmte Anforderungen erfüllen.243 Gerade diese objektive Begründung der Zukunftsaussagen ist es, die Prognosen vom reinen Raten unterscheidet.244 Eine Prognose sollte ihr Prognoseobjekt möglichst vollständig beschreiben, Bedingungen bzw. Annahmen über das Unternehmen in der Zukunft treffen, durch Wahrscheinlichkeitsaussagen gestützt werden können und logisch aus einer Wenn-dann-Beziehung entwickelt werden. Die Wenn-Komponenten bilden dabei die zugrundeliegenden Informationen, Annahmen und das Erfahrungswissen ab.245 Im Rahmen des Risikomanagementprozesses sind Prognosen an unterschiedlichen Stellen einsetzbar:246 x
Sie können zur Risikoidentifikation dienen; in diesem Zusammenhang werden die nachstehenden Verfahren erläutert.
239 240 241 242 243 244 245 246
Vgl. Götze, U. (Szenario-Technik, 1993), S. 29; Arbeitskreis "Externe und Interne Überwachung der Unternehmung" (Prognoseprüfung, 2003), S. 106, Rz. 15. Vgl. Wild, J. (Grundlagen, 1982), S. 87; Fasse, F.-W. (Risk-Management, 1995), S. 101. Vgl. Schneider, D. (Unternehmung, 1997), S. 87. Vgl. Arbeitskreis "Externe und Interne Überwachung der Unternehmung" (Prognoseprüfung, 2003), S. 106, Rz. 8. Vgl. Arbeitskreis "Externe und Interne Überwachung der Unternehmung" (Prognoseprüfung, 2003), S. 106, Rz. 12. Vgl. Standop, D. (Prognosemethoden, 2002), Sp. 1551. Vgl. Arbeitskreis "Externe und Interne Überwachung der Unternehmung" (Prognoseprüfung, 2003), S. 106, Rz. 13. Vgl. Mikus, B. (Risiken, 2001), S. 20.
4 Prozess des Risikomanagements
x
139
Sie sind zur Bewertung von Risikoursachen und Risikowirkungen im Rahmen der Risikobeurteilung (vgl. 4.4.2) einsetzbar.
x
Sie sind zur Bewertung von risikosteuernden Maßnahmen hilfreich (vgl. 4.5.2).
Die Qualität einer Prognose ist bestimmt durch ihren Informationsgehalt, ihren Sicherheitsgrad und die Qualität ihrer empirischen Fundierung, was auch in nachstehender Abbildung 26 verdeutlicht wird. Der Informationsgehalt einer Prognose hängt von ihrer Allgemeinheit, ihrer Präzision und ihrer Bedingtheit in sachlicher, zeitlicher und räumlicher Hinsicht ab. Der Sicherheitsgrad wiederum ist abhängig vom Informationsgehalt und der Qualität der empirischen Begründung. Die Qualität der empirischen Begründung fußt hauptsächlich auf den sog. Evidenzen. Evidenzen sind bisherige Erfahrungen, die eine Prognose stützen. Umso größer die Anzahl der Beobachtungen ist, die die Prognose in der Vergangenheit bewahrheitet hätten (positive Evidenzen), umso glaubwürdiger ist eine Prognose einzustufen. Da nicht alle Evidenzen die gleiche Begründungskraft aufweisen, müssen sie relativ gewichtet werden. Eine Evidenz fällt dabei umso höher ins Gewicht, je aktueller sie ist, je geringer ihre Prognosereichweite ist, je höher ihr Informationsgehalt ist und je besser die Evidenz theoretisch begründet ist. Darüber hinaus ist auch der Umstand der Beobachtungsgewinnung von Bedeutung: ist eine Prognose unter verschiedensten Bedingungen untersucht worden, sind die erfassten Evidenzen glaubwürdiger als bei einer weniger strengen Überprüfung.247
247
Vgl. Wild, J. (Grundlagen, 1982), S. 134ff.
140
4 Prozess des Risikomanagements
Die Qualität einer Prognose (n) ist bestimmt durch den
Informationsgehalt (n) der Prognose Dieser ist bestimmt durch: a) ihre Allgemeinheit (n) b) ihre Präzision (n) c) ihre Bedingtheit (p)
Sicherheitsgrad (n) der Prognose Dieser ist bestimmt durch: a) den Informationsgehalt der Prognose (p) b) die Qualität der empirischen Begründung (n)
Die Qualität der Begründung (n) ist bestimmt durch a) die Anzahl positiver Evidenzen im Verhältnis zu den negativen Evidenzen b) das Gewicht der positiven (n) bzw. negativen (p) Evidenzen
(n) (p)
Das Gewicht der Evidenzen (n) ist bestimmt durch (1) (2) (3) (4)
ihre Aktualität (n) die Prognosereichweite (p) ihren Informationsgehalt (n) die Varietät der Beobachtungsbedingungen (n) (5) die theoretische Begründung der Evidenzen (n)
Abbildung 26: Gütekriterien für Prognosen248 Die grundsätzliche Problematik des Prognostizierens wird am Beispiel der Risikoidentifikation besonders deutlich: Zum einen soll eine möglichst sichere Zukunftsvorhersage erfolgen, zum anderen soll die Information möglichst bestimmt sein und wenig allgemeingültig.249 Beides kann jedoch nicht erreicht werden. Prognosen haben eine umso größere Entscheidungsrelevanz, je kleiner der Bereich der vorhergesagten Zukunft ist. Umgekehrt bedeutet dies, dass
248 249
Vgl. Wild, J. (Grundlagen, 1982), S. 138. Vgl. Braun, H. (Risikomanagement, 1984), S. 39.
4 Prozess des Risikomanagements
141
bei einer Prognose, die so weit gefasst ist, dass eine Falsifizierung unmöglich ist, die Prognose zwar sicher ist, jedoch keine Genauigkeit und keinen hohen Informationsgehalt aufweist.250 Neben lang- und kurzfristigen Prognosen lassen sich grundsätzlich quantitative von qualitativen Prognosen abgrenzen.251 Während quantitative Prognosen ein formales Modell nutzen, das die Prognoseergebnisse bei Kenntnis der Inputdaten, Modellstruktur und Modellannahmen intersubjektiv nachprüfbar macht, bestimmt bei qualitativen Prognoseverfahren hauptsächlich die subjektive Erfahrung der an der Erstellung der Prognose Beteiligten das Prognoseergebnis. Weitestgehend deckungsgleich ist die Unterscheidung in analytische (quantitative) und intuitive Prognoseverfahren.252 4.3.3.4.2 Quantitative Prognosen Eine Prognose gilt dann als quantitativ, wenn sie auf Basis mathematisch-statistischer Verfahren zu rechnerischen Ergebnissen hinsichtlich der zu prognostizierenden Größe führt.253 Es lassen sich sog. Entwicklungsprognosen und Wirkungs- oder Kausalprognosen unterscheiden. Während die Entwicklungsprognosen eine Zeitreihe mit Hilfe analytischer Methoden fortschreiben, versuchen Wirkungsprognosen auch zukünftig geltende Zusammenhänge zwischen unabhängigen und abhängigen Variablen zu ermitteln.254 Zu den Zeitreihenanalysen, auch als univariate Verfahren bezeichnet255, zählen die Methoden des gleitenden Durchschnitts, der exponentiellen Glättung, Saisonverfahren, Trendextrapolationen, autoregressive Verfahren sowie Wachstums- und Sättigungsmodelle.256 Ohne vertiefend auf die einzelnen Verfahren einzugehen, lässt sich festhalten, dass Zeitreihenanalysen vor allem im Bereich der kurz- und mittelfristigen Planung Anwendung finden, um z.B. Trends oder Saisonschwankungen vorherzusagen.257 Kritisch anzumerken ist, dass bei Zeitreihenverfahren der einzige Einflussfaktor, der berücksichtigt wird die Zeit ist, was vielfach jedoch nicht ausreiht, um komplexe Phänomene zu erklären. Bei der Risikoidentifikation können Zeitreihenverfahren nur eingeschränkt Unterstützung bieten: Risiken, die durch das 250 251 252 253 254 255
256
Vgl. Wild, J. (Grundlagen, 1982), S. 88; Arbeitskreis "Externe und Interne Überwachung der Unternehmung" (Prognoseprüfung, 2003), S. 106, Rz. 16. Vgl. Makridakis, S./Wheelwright, S. (Forecasting, 1981), S. 168; Arbeitskreis "Externe und Interne Überwachung der Unternehmung" (Prognoseprüfung, 2003), S. 107, Rz. 22. Vgl. Götze, U. (Szenario-Technik, 1993), S. 30. Vgl. Welge, M.K./Al-Laham, A. (Planung, 1992), S. 132. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 101. Beruht eine Prognose dabei ausschließlich auf Vergangenheitsdaten einer Zeitreihe, spricht man von univariaten Verfahren. Multivariate Verfahren liegen dann vor, wenn neben der zu prognostizierenden Variablen andere Variablen berücksichtigt werden, die in einem Kausalzusammenhang zur Prognosegröße stehen. Vgl. Streitferdt, L./Schaefer, C. (Prognosemethoden, 2002), Sp. 1563. Vgl. ausführlich Makridakis, S./Wheelwright, S. (Forecasting, 1981), S. 168ff.
142
4 Prozess des Risikomanagements
reine Fortschreiben eines Trends oder einer Wachstumskurve festgestellt werden können, lassen sich erkennen. Darüber hinaus gehende Informationen über Risiken, die außerhalb einer Zeitreihe liegen oder bisher stabile Gesetzmäßigkeiten stören, lassen sich jedoch nicht ermitteln. Liegen dem Prognosemodell demgegenüber keine Vergangenheitsdaten, sondern kausal miteinander verbundene Variablen zugrunde, so spricht man von multivariaten Verfahren. Das Erkennen von Kausalbeziehungen beruht dabei nicht auf statistischen Auswertungen, sondern auf theoretischen Erkenntnissen. Wichtige Kausalverfahren, die an dieser Stelle jedoch nicht weiter vertieft werden, sind die Indikator-Methode, multiple Regressionsanalysen sowie Lebenszyklusanalysen.258 Eine wesentliche Anwendungsvoraussetzung für quantitative Prognosen ist das Vorliegen der Zeitstabilitätshypothese. Sie unterstellt, dass bisher gegebene Gesetzmäßigkeiten auch für die Zukunft gelten.259 Diese Annahme trifft in der Unternehmenspraxis häufig nicht zu und bildet den wohl größten Nachteil der quantitativen Prognosen. Die Vergangenheit bzw. Informationen aus der Vergangenheit, die zu Prognosezwecken verwendet werden, bilden stets nur ein Bruchstück der Realität.260 Die Realität besteht aus vielen verschiedenen untereinander abhängigen Ereignissen und lässt sich deshalb nur bedingt von statistischen Wahrscheinlichkeitsrechnungen abbilden. Quantitative Prognosen sind generell mit dem Problem der Anwendungsvoraussetzungen der Wahrscheinlichkeitsrechnung behaftet. Ausgehend von quantitativen Wahrscheinlichkeiten werden nachträgliche Veränderungen der geplanten Zukunftssituation ausgeschlossen, weil man davon ausgeht, alle Parameter in einem mathematischen Modell berücksichtigt zu haben. Diese Anforderung ist in der unternehmerischen Praxis jedoch kaum zu erfüllen. Der Planende kann sich nun entweder selbst täuschen und sich einbilden, seine auf der Wahrscheinlichkeitsrechnung aufbauendes Planung hätte einen empirischen Wahrheitsanspruch, oder er akzeptiert die Anwendungsschwierigkeiten und schränkt den Wahrheitsanspruch seiner Planung ein.261 „Eine solche Selbsttäuschung versuchen jene Betriebswirtschaftler und Unternehmensforscher den praktisch Planenden einzureden, welche die Anwendungsvoraussetzungen in ihrem aus Entscheidungsmodellen abgeleiteten Handlungsmodellen (z.B. Frühwarnsysteme) nicht diskutieren, sondern (kurz gesagt) in der Entscheidungstheorie das „Rechnen“ (z.B. mit Insolvenzindikatoren, Risikoprofilen, Streuungen)
257 258 259 260 261
Vgl. Streitferdt, L./Schaefer, C. (Prognosemethoden, 2002), Sp. 1564ff. Vgl. Streitferdt, L./Schaefer, C. (Prognosemethoden, 2002), Sp. 1569ff. Vgl. Wild, J. (Grundlagen, 1982), S. 93f.; Streitferdt, L./Schaefer, C. (Prognosemethoden, 2002), Sp. 1563. Vgl. Bernstein, P.L. (Riskmanagement, 1997), S. 155. Vgl. Schneider, D. (Risk Management, 2001), S. 189.
4 Prozess des Risikomanagements
143
vor das „Nachdenken“ über die Anwendungsvoraussetzungen der Wahrscheinlichkeitsrechnung stellen.“262 Für eine Risikoidentifikation eignen sich quantitative Prognosemethoden denn auch nur eingeschränkt für kurzfristige Betrachtungen. Es ist infolgedessen nicht ratsam, sich ausschließlich auf quantitative Modelle zu verlassen, da Trend- und Strukturbrüche nicht erkannt werden können und Risiken nicht frühzeitig aufgedeckt werden können. 4.3.3.4.3 Qualitative Prognosen 4.3.3.4.3.1 Eigenschaften
Qualitative Prognosen liefern im Gegensatz zu quantitativen Prognosen überwiegend verbale Aussagen. Sie verfolgen das Ziel, wissenschaftlich begründete Aussagen über zukünftige Entwicklungen zu treffen. Sie umfassen in der Regel komplexe Phänomene und erstrecken sich über längere Zeiträume. Sie beruhen ferner auf einer subjektiv begründeten Beurteilung.263 Die Subjektivität der an der Erstellung der Prognose beteiligten Personen bildet ein besonderes Merkmal der qualitativen Prognosen. Sie erschwert einerseits die Nachprüfbarkeit durch Unbeteiligte, bildet aber zugleich die Stärke im Vergleich zu quantitativen Prognosen, da sie eine Offenheit gegenüber neuartigen Veränderungen ermöglicht.264 Qualitative Prognosen bauen nicht auf festgelegten Algorithmen auf, mit denen sich die Zukunft aus Vergangenheitsdaten extrapolieren lässt, sondern setzen sich vielmehr verbalargumentativ mit der Zukunft auseinander. Eine gedankliche Nähe zu Kreativitätstechniken jeglicher Art ist dabei unübersehbar.265 Im Gegensatz zu quantitativen Prognosen, die sich für gut strukturierte Planungssituationen eignen, finden qualitative Prognosen vor allem bei nicht klar definierten Problemstrukturen Anwendung, bei denen ein hohes Maß an Kreativität erforderlich erscheint.266 Beispiel sind Langfristvorhersagen über technologische Entwicklungen oder das Marktpotenzial innovativer Produkte, die für ein Unternehmen neben großen Risiken auch enorme Chancen bieten können.
262 263 264 265 266
Schneider, D. (Risk Management, 2001), S. 189. Vgl. Makridakis, S./Wheelwright, S. (Forecasting, 1981), S. 176f.; Welge, M.K./Al-Laham, A. (Planung, 1992), S. 137; Fasse, F.-W. (Risk-Management, 1995), S. 101. Vgl. Standop, D. (Prognosemethoden, 2002), Sp. 1551f. Vgl. Makridakis, S./Wheelwright, S. (Forecasting, 1981), S. 170; Standop, D. (Prognosemethoden, 2002), Sp. 1554. Vgl. Standop, D. (Prognosemethoden, 2002), Sp. 1555.
144
4 Prozess des Risikomanagements
Einen Überblick über qualitative Prognoseverfahren findet sich bspw. bei WELGE/ALLAHAM267. Im Folgenden werden die Delphi-Prognose und die Szenariotechnik detaillierter betrachtet, da sie sinnvoll im Rahmen der Risikoidentifikation eingesetzt werden können. 4.3.3.4.3.2 Delphi-Prognose
Die Delphi-Prognose stellt eine spezifische Form der sukzessiven Expertenbefragung dar. Sie findet typischerweise bei Problemstellungen Anwendung, die unstrukturiert und mehrdeutig sind. Sie erfolgt schriftlich mit Hilfe eines standardisierten Fragebogens in mehreren Runden. Die Befragung wird durch eine Monitorgruppe gesteuert und mit einer Gruppe untereinander anonymer Experten durchgeführt. Ziel der Delphi-Prognose ist es, für die Prognosen der Experten einen Konsens zu erreichen.268 Den Experten wird zunächst in schriftlicher Form ein Prognoseproblem vorgelegt. Nach Beantwortung der Fragen erfolgt eine statistische Auswertung der Ergebnisse durch die Monitorbzw. Leitungsgruppe, wobei ein Mittelwert und extreme Urteile herausgefiltert werden. Hat ein Experte ein extremes Urteil auf die Fragestellung hin abgegeben, wird er um eine Begründung gebeten.269 Zusammen mit der evtl. modifizierten Problemstellung gehen den Experten bei jeder Befragungsrunde die Ergebnisse der Vorrunde (kontrollierte Rückkopplung) zu; der Befragte erhält so die Möglichkeit, seine eigene Meinung im Vergleich einzuschätzen und gegebenenfalls zu revidieren oder zu erhärten. Man erhofft sich bei diesem Vorgehen eine allmähliche Konvergenz der Expertenmeinungen hin zu einem konsensfähigen Ergebnis.270 Durch ein mehrmaliges Durchführen dieses Ablaufs, wird angenommen, dass ein Lernprozess stattfindet, der eine schrittweise Annäherung der Expertenmeinungen ermöglicht. Das geschilderte Vorgehen kann auf einen spezifischen Anwendungsfall angepasst werden und hat Alternativen in der Gestaltung, vor allem im Hinblick auf den Umfang und die Zusammensetzung der Experten- und Leitungsgruppe, auf Inhalt und Form der Fragen, und auf die Häufigkeit der Befragungsrunden.271 Eine Gruppendiskussion mit allen Teilnehmern wird bewusst vermieden, um Konformitätstendenzen oder publikumswirksame Präsentationen zu unterbinden. Durch eine schriftliche Befragung wird die Anonymität der Befragten gewahrt. Die schriftliche Befragungsform zwingt zudem zu einer verständlichen und relativ knappen Formulierung, gleichzeitig kann
267 268 269 270 271
Vgl. Welge, M.K./Al-Laham, A. (Planung, 1992), S. 138. Vgl. Götze, U./Mikus, B. (Management, 1999), S. 73. Vgl. Götze, U./Mikus, B. (Management, 1999), S. 73f. Vgl. Standop, D. (Prognosemethoden, 2002), Sp. 1556f. Vgl. Götze, U./Mikus, B. (Management, 1999), S. 74.
4 Prozess des Risikomanagements
145
sie orts- und zeitungebunden erfolgen.272 Bei den Experten handelt es sich um Personen, die fundierte Kenntnisse und Erfahrungen auf dem interessierenden Sachgebiet haben. Der Auswahl der Experten kommt im Hinblick auf das Ergebnis der Delphi-Prognose eine herausragende Bedeutung zu.273 Kritik wird vielfach dahingehend geäußert, dass eine Ansicht der Gruppenmehrheit nicht unbedingt eine zutreffende Prognose darstellen muss. Fraglich ist ferner, ob bei zukunftsrelevanten Fragestellungen eine einheitliche Meinung wirklich erstrebenswert ist, oder ob nicht gerade die Meinungsvielfalt eine sinnvolle Erkenntnis sein kann. Weiterhin wird der hohe Zeitbedarf kritisch bemängelt, allerdings ermöglicht eine schriftliche Befragung die gleichzeitige Teilnahme vieler Experten, die sonst nur schwer an einem oder mehreren Terminen zu versammeln wären.274 Durch die Nutzung neuer Medien kann der Ablauf der Delphi-Prognose außerdem erheblich beschleunigt werden.275 Die Delphi-Methode stellt hohe Anforderungen an die kreativen und zugleich analytischen Fähigkeiten der damit betrauten Mitarbeiter, vor allem im Hinblick auf die Auswertung im Risikomanagementprozess. Zugleich erfordert die Delphi-Methode einen hohen Kapitaleinsatz, da i.d.R. zur Durchführung externe Berater hinzugezogen werden müssen, die methodenspezifische Sachkenntnis besitzen und den Prozess begleiten.276 Die Darstellung komplexer Zusammenhänge ist nicht Zielsetzung der Delphi-Methode; es geht vielmehr darum, einzelne Verlustgefahren zu prognostizieren und nicht um die Darstellung der Gesamtrisikosituation.277 Neben dem Einsatz für die Risikoidentifikation kann die Delphi-Prognose in Einzelfällen auch Anwendung im Rahmen der Risikobewertung (vgl. 4.4) finden.278 4.3.3.4.3.3 Szenariotechnik
Die Szenariotechnik ist eine Kombination aus quantitativen und qualitativen Prognoseelementen.279 Sie zählt in großen deutschen Unternehmen zu einem der besonders häufig eingesetzten Methoden zur Unterstützung der Umfeldanalyse.280 Die Idee der Szenariotechnik ist das
272 273 274 275 276 277 278 279 280
Vgl. Götze, U./Mikus, B. (Management, 1999), S. 76. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 172. Vgl. Standop, D. (Prognosemethoden, 2002), Sp. 1557. Vgl. Götze, U./Mikus, B. (Management, 1999), S. 77; Schäfer, J. G. (Überwachungssystem, 2001), S. 170. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 180f. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 180. Vgl. Franke, A. (Risiko-Controlling, 1997), S. 175. Vgl. Reibnitz, U. von (Szenario-Technik, 1992), S. 12; Hahn, D./Hungenberg, H. (PuK, 2001), S. 325. Vgl. Liebl, F. (Risiko-Management, 2001), S. 507: So ergab eine Studie der Scholz&Friends Consulting in Zusammenarbeit mit der Universität Witten/Herdecke, dass von den 500 Top-Unternehmen (Rücklaufquote
146
4 Prozess des Risikomanagements
Entwerfen von alternativen Zukunftsbildern, deren Eintritt grundsätzlich für möglich gehalten wird. Dabei werden Extremszenarien entworfen, die die Bandbreite möglicher Entwicklungen, denen sich ein Unternehmen gegenüber sieht, abdecken sollen.281 Neben der Beschreibung zukünftiger, für möglich gehaltener Umfeldsituationen bzw. Szenarien, zeigt die Szenariotechnik auch den Weg auf, der von der heutigen Ausgangssituation zu den alternativen Zukunftsbildern führt.282 Die Sinnhaftigkeit von Szenarien lässt sich an folgendem Beispiel verdeutlichen: Legt man seinen Plänen eine einzige Zukunftsperspektive zugrunde, geht man quasi eine Wette auf ein einziges bestimmtes Ereignis ein. Da der Eintritt dieses Wetterfolges jedoch nur bedingt wahrscheinlich ist, verlangt kluges Planen, dass eine Vielzahl möglicher Ereignisse und die Reaktion auf diese Ereignisse in die Planung miteingebunden werden.283 Mit Hilfe der Szenariotechnik wird somit ein Denken in Alternativen im Rahmen der Planung gefördert. Im Gegensatz zu quantitativen und linearen Prognosen ist die Szenariotechnik bestrebt, verschiedenste Einflussfaktoren aus der Unternehmensumwelt zu berücksichtigen, um so alternative Entwicklungen und Bandbreiten der möglichen Entwicklung aufzuzeigen. Quantitative Prognosen werden unterstützend nur noch als Orientierungshilfe benutzt, die im Hinblick auf Genauigkeit und Treffsicherheit eingeschränkt gültig betrachtet werden.284 Die Grundidee der Szenariotechnik beruht auf der Philosophie, dass es in erster Linie wichtiger ist, auf die Zukunft vorbereitet zu sein, als die Zukunft vorherzusagen.285
281
282 283 284 285
20%) Deutschlands 76 % die Szenariotechnik als Instrument der Umfeldanalyse nutzen. Ähnliche Ergebnisse finden sich bei Götze, U. (Szenario-Technik, 1993), S. 44ff. Dabei empfehlen Weber, J./Weißenberger, B./Liekweg, A. (Risikomanagement, 1999), S. 1714 die Szenariotechnik als Instrument der Risikobewertung, weil die erwarteten Risiken auf ihre maximale Veränderung hin untersucht werden können. Vgl. Reibnitz, U. von (Szenarien, 1987), S. 15; Kötzle, A. (Identifikation, 1993), S. 243; Geschka, H. (Szenariotechnik, 1999), S. 523. Vgl. Dembo, R. S./Freeman, A. (Riskmanagement, 1998), S. 23. Vgl. Reibnitz, U. von (Szenarien, 1987), S. 23. Vgl. Reibnitz, U. von (Szenario-Technik, 1992), S. 21.
4 Prozess des Risikomanagements
147
Szenario (Bild einer denkbaren zukünftigen Situation)
Extremszenario
Entwicklung eines Szenarios Die durch ein Störereignis veränderte Entwicklungslinie
Störereignis
A A1 Trendszenario
Entscheidungspunkt, z.B. Einsetzen von Maßnahmen
Extremszenario Zeit Gegenwart
Zukunft
Abbildung 27: Denkmodell zur Darstellung von Szenarien286 Die Mehrwertigkeit der Zukunft wird durch einen Trichter dargestellt, der sich mit zunehmendem Prognosehorizont ausweitet. Der Trichter ist gleichzeitig ein Symbol für Komplexität und Unsicherheit.287 Im Rahmen von Planungszwecken werden i.d.R. drei unterschiedliche Szenarien entworfen: ein Regel- oder Trendszenario (normal case) und zwei Extremszenarien, die einmal den besonders positiven (best case) und den besonders negativen (worst case) Verlauf darstellen.288 Bei der Entwicklung von nur zwei konträren Szenarien ist vorteilhaft, dass das Management zum Denken in Alternativen gezwungen wird und nicht als Kompromiss auf ein mittleres bzw. trendmäßiges Szenario ausweichen kann.289 Ein für ein Szenario beschriebener Entwicklungspfad kann durch ein Störereignis (oder Trendbruchereignis290) beeinflusst werden und einen anderen Verlauf nehmen. Als Störereignis gelten plötzlich auftretende Ereignisse, die vorher nicht trendmäßig erkennbar waren und eine bis dahin kontinuierlich verlaufende Entwicklung in eine andere Richtung lenken.291 Die unterschiedlichen Szenarien sollten sich signifikant voneinander unterscheiden und das positive und negative Spektrum abdecken. Wenig sinnvoll erscheint es, alle theoretisch denkbaren Szenarien aufzuzeigen, da
286 287 288 289 290 291
Vgl. Geschka, H./Hammer, R. (Szenario-Technik, 1997), S. 468. Vgl. Reibnitz, U. von (Szenarien, 1987), S. 30. Vgl. Reibnitz, U. von (Szenario-Technik, 1992), S. 28. Vgl. Geschka, H. (Szenariotechnik, 1999), S. 522. Vgl. Geschka, H. (Szenariotechnik, 1999), S. 524. Vgl. Geschka, H./Hammer, R. (Szenario-Technik, 1997), S. 475.
148
4 Prozess des Risikomanagements
sie sich nur in wenigen Punkten unterscheiden würden und unter Kosten-NutzenBetrachtungen keinen wesentlichen Erkenntniszuwachs vermitteln.292 Für die Durchführung der Szenariotechnik existieren eine Vielzahl von unterschiedlichen Ansätzen, hier wird die Vorgehensweise nach GESCHKA293 zugrunde gelegt.
Ebene der Annahmenbildung
4
6 Konsistente Bündel
Störereignisse
Alternativ-Annahmen
Auswirkungsanalyse
Ebene der Zukunftsprojektionen
3 Projektionen Deskriptoren
Ebene der externen Einflüsse
2
Ebene der Maßnahmenplanung und Problembündelung
1
Zukunftsbilder
5
7 Einflußbereiche und ihre Wirkungsbeziehungen
Auswirkungen
Einflußfaktoren
Anforderungen
8 Strukturierung des Untersuchungsfeldes Festlegung der Aufgabenstellung
Lösungssuche Auswahl Maßnahmenplanung Implementierung
Ablauf der Szenariotechnik
Abbildung 28: Ablaufschema der Szenariotechnik294 292 293
Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 163f. Geschka, H. (Szenariotechnik, 1999), S. 524ff.
Verkürzter Planungsprozeß
4 Prozess des Risikomanagements
149
In einem ersten Schritt erfolgt die Festlegung und Abgrenzung des Untersuchungsfeldes, das bspw. das Unternehmen als Ganzes, Unternehmensteilbereiche, eine Branche oder einen Umweltbereich umfassen kann. Ebenso sollte die Festlegung des Zeithorizontes erfolgen, auf den sich die Szenarien erstrecken sollen.295 Das Untersuchungsfeld ist zu analysieren und zu strukturieren. Wesentliche Merkmale sowie Schlüsselfaktoren, die mit Hilfe der Szenariotechnik prognostiziert werden sollen, sind herauszuarbeiten.296 Im Anschluss an die Festlegung und Analyse des Untersuchungsfeldes, sind Einflussbereiche und -faktoren zu identifizieren, die auf das Untersuchungsfeld einwirken.297 Die Einflussfaktoren stammen ausschließlich aus der Unternehmensumwelt. Im Rahmen einer Wirkungsanalyse werden die Beziehungen zwischen den Einflussfaktoren und dem Untersuchungsfeld untersucht. Die Interdependenzanalyse überprüft die Beziehungen der Einflussfaktoren untereinander. Durch die Untersuchung der Beziehungen der Einflussfaktoren kann die Struktur des Systems aus Untersuchungsfeld und Einflussfaktoren charakterisiert werden, um so das Problemverständnis der Beteiligten zu vertiefen.298 Für die als relevant erachteten Einflussfaktoren sind Entwicklungstendenzen zu erarbeiten. Falls die Einflussfaktoren selbst komplexe Umfelder darstellen, können zur Charakterisierung sog. Deskriptoren herangezogen werden, die die Umfelder und die in ihnen zusammengefassten Einflussfaktoren repräsentieren.299 Für die Deskriptoren müssen Projektionen für die Zukunft vorgenommen werden, um nach einem gegenseitigen Abgleich ein Gerüst für ein mögliches Zukunftsbild zu erhalten. Da sich i.d.R. für die Deskriptoren keine eindeutigen Entwicklungsrichtlinien festlegen lassen, werden für die Deskriptoren alternative Annahmen festgelegt, die sich aus bereits in der Gegenwart erkennbaren Tendenzen ableiten und fundiert begründet werden. Die Annahmen für die Deskriptoren werden so untereinander kombiniert, dass in sich widerspruchsfreie, stimmige Bündel entstehen. In Kombination mit den im dritten Schritt erarbeiteten Projektionen der eindeutigen Deskriptoren lassen sich im fünften Schritt Zukunftsbildern entwickeln, die verbal ausformuliert werden.300 Anschließend wird versucht, Annahmen über Störereignisse einzuarbeiten, die eventuelle Trendverläufe beeinflussen und zu veränderten Szenarien führen können.301 Störereignisse können dabei sowohl negativen als auch positiven Charakter haben,
294 295 296 297 298 299 300 301
Vgl. Geschka, H. (Szenariotechnik, 1999), S. 525. Vgl. Götze, U. (Szenario-Technik, 1993), S. 101. Vgl. Götze, U. (Szenario-Technik, 1993), S. 102. Vgl. Reibnitz, U. von (Szenario-Technik, 1992), S. 33f. Vgl. Götze, U. (Szenario-Technik, 1993), S. 106f. Vgl. Götze, U. (Szenario-Technik, 1993), S. 109; Geschka, H. (Szenariotechnik, 1999), S. 527. Vgl. Geschka, H. (Szenariotechnik, 1999), S. 528f. Vgl. Geschka, H. (Szenariotechnik, 1999), S. 526.
150
4 Prozess des Risikomanagements
d.h. es kann sich bspw. um Naturkatastrophen oder aber auch technologische Durchbrüche handeln. Anhand der ausformulierten Szenarien lassen sich Auswirkungen auf das Untersuchungsfeld ableiten (Schritt 7) und nach einer entsprechenden Auswertung kann im achten Schritt eine Lösung ausgewählt werden.302 Die Szenariotechnik bietet die Möglichkeit, nicht nur zu reagieren, sondern aktiv Entwicklungen zu gestalten und Chancenpotenziale zu nutzen. Sie wird vor allem im Rahmen der strategischen Planung eingesetzt.303 Sie ermöglicht eine detaillierte Untersuchung der gegenwärtigen und zukünftigen Beziehungen zwischen Umweltbereichen und Unternehmen und verschiedenen Umweltbereichen untereinander. Die so gewonnenen Informationen bilden wertvolle Erkenntnisse über Chancen und Risiken im Unternehmen und in seinem Umfeld; sie können bei der Strategieformulierung berücksichtigt werden. Durch den Einbezug von Szenarien in die strategische Planung wird ein langfristiges Überleben des Unternehmens gefördert.304 Gefahren, die ein Unternehmen in eine Krise stürzen können, werden durch eine solche frühzeitige Antizipation als Herausforderung begriffen und können proaktiv gemeistert werden, bevor sie das Unternehmen unvorbereitet treffen.305 Auch eine Identifikation der Risikoursachen kann durch die Szenariotechnik geleistet werden, wenn Faktoren einen großen Einfluss auf eine Bezugsgröße haben und ihre Entwicklung als äußerst unsicher gilt.306 Die Szenariotechnik eignet sich demzufolge in besonderer Weise, um sowohl Einzelrisiken als auch eine Gesamtrisikolage durch das Erstellen alternativer Zukunftsbilder zu prognostizieren.307 Als Risiko interpretiert werden können dabei zum einen die erstellten Szenarien, aber auch die Störereignisse, die stabil geglaubte Trendverläufe beeinflussen können. Negative Störereignisse können mit Risiken gleichgesetzt werden, wenn die erarbeiteten Szenarien als Strategien interpretiert werden. Durch eine gezielte Analyse der Störereignisse lassen sich Schwachstellen im Unternehmen aufdecken und betroffene Unternehmensbereiche ausmachen. Eine angemessene Reaktion ist bei Kenntnis der Störereignisse möglich.308 Ein Vorteil der Szenariotechnik liegt in der Sensibilisierung der Beteiligten im Hinblick auf externe Entwicklungen begründet. Deren Berücksichtigung in der Strategiebeurteilung lässt externe Entwicklungen in ihren Zusammenhängen und Auswirkungen auf das Unternehmen
302 303 304 305 306 307 308
Vgl. Geschka, H. (Szenariotechnik, 1999), S. 524f. Vgl. Götze, U. (Szenario-Technik, 1993), S. 49; ausführlich Geschka, H. (Szenariotechnik, 1999), S. 534ff.; Reibnitz, U. von (Szenario-Technik, 1992), S. 187ff. Vgl. Götze, U. (Szenario-Technik, 1993), S. 49f. Vgl. Reibnitz, U. von (Szenarien, 1987), S. 226 f. Vgl. Götze, U./Mikus, B. (Risikomanagement, 2001), S. 396. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 179. Vgl. Reibnitz, U. von (Szenario-Technik, 1992), S. 62.
4 Prozess des Risikomanagements
151
besser erkennen, und die Beteiligten entwickeln ein Verständnis für die Veränderungen, das bei einer frühzeitigen Risikoidentifikation hilfreich sein kann.309 Die unterschiedlichen Szenarien können gleichzeitig die Basis für eine risikobewusste Unternehmensführung bilden.310 In der Praxis zeigt sich jedoch, dass Unternehmen trotz sorgfältiger Anwendung von Szenariotechniken von unerwarteten Situationen überrascht werden, die außerhalb der angenommenen Extremszenarien liegen. Dies lässt sich auf folgende Ursachen zurückführen:311 x
Es existiert ein Pluralitäts-Problem, weil sich ex-post herausstellt, dass es mehrere parallel auftretende Szenarien gibt. (Als Beispiel werden die unterschiedlichen Anwendungsszenarien des Internets beschrieben. In Abhängigkeit von verschiedenen Nutzergruppen sind völlig unterschiedliche Extremszenarien eingetreten.)
x
Es existiert ein Konsistenz-Problem, das darauf zurückzuführen ist, dass SzenarioElemente sich auf vorher nicht angenommene Weise kombinieren und sich nicht mehr ausschließen. So entstehen zwar keine über angenommene Wertgrenzen hinausgehenden Szenarien, allerdings sind die Dimensionen völlig anders gelagert.
Die Szenariotechnik in herkömmlicher Form läuft Gefahr, selbst zum Risiko zu werden, obwohl sie eigentlich zur Risikoidentifikation, vor allem im strategischen Bereich, beitragen soll. Zum einen werden durch die Szenarien strategische Stoßrichtungen für ein Unternehmen vorgegeben. Diese Richtung wirkt, untermauert durch ein Szenario, recht robust, weist aufgrund der geschilderten Schwächen jedoch eine gefährliche Scheingenauigkeit auf. Zum anderen bilden einmal formulierte Szenarien eine Interpretationsmöglichkeit für nachfolgend auftretende Ereignisse und verhindern so die Chance, frühzeitig Abweichungen zu erkennen.312 Der Erfolg der Szenariotechnik hängt maßgeblich mit der fachlichen Kompetenz und der Vorstellungskraft der Teilnehmer zusammen. Bedeutsam ist vor allem, die relevanten Einflussfaktoren zu erkennen und Interdependenzen zu analysieren.313 Ein weiterer Kritikpunkt ist die teilweise sehr kostenintensive Erstellung von Szenarien, die eine flächendeckende und dauerhafte Anwendung der Szenariotechnik im Unternehmen fraglich erscheinen lassen.314 Die Szenariotechnik stellt hohe Anforderungen an die ausführenden und auswertenden Mitarbeiter und die Integration in den Risikomanagementprozess. Sie gilt deshalb als kostenintensiv, da neben einem erheblichen Zeitaufwand für die beteiligten Mitar309 310 311 312 313
Vgl. Reibnitz, U. von (Szenarien, 1987), S. 227. Vgl. Götze, U./Mikus, B. (Risikomanagement, 2001), S. 397. Vgl. Liebl, F. (Risiko-Management, 2001), S. 508 f. Vgl. Liebl, F. (Risiko-Management, 2001), S. 509f. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 169.
152
4 Prozess des Risikomanagements
beiter externe Berater hinzugezogen werden müssen, die die erforderliche Methodenkenntnis besitzen.315 Durch den erheblichen Zeitbedarf für die Durchführung der Szenarien eignet sich diese Prognoseform nicht für das Aufdecken plötzlicher Veränderungen, da eine schnelle Reaktionsmöglichkeit aufgrund fehlender Ergebnisse nicht möglich ist. Wird die Szenariotechnik im Unternehmen angewendet, ist eine kontinuierliche Fortschreibung bestehender Szenarien und ihre Überprüfung auf Gültigkeit erforderlich.316 4.3.4
Zusammenfassende Beurteilung
Eine Risikoidentifikation gilt dann als wirkungsvoll und bietet demzufolge einen hohen Nutzen, wenn317 x
eine möglichst vollständige Risikoerfassung gewährleistet ist,
x
die Risikoerfassung permanent erfolgt,
x
neu auftretende Risiken schnell und frühzeitig erfasst werden können und
x
eine zeitnahe Kommunikation der identifizierten Risiken sichergestellt ist.
Problematisch erscheint die Tatsache, dass kein Instrument eine vollständige Erfassung der Risiken im Unternehmen gewährleisten kann.318 Neben dieser Einschränkung, resultierend aus der unsicheren Zukunft, die auch durch den Einsatz verschiedenster Instrumente nicht vollständig handhabbar gemacht werden kann, existiert außerdem das Problem der Wirtschaftlichkeit, das ein Streben nach vollständiger Risikoerfassung begrenzt.319 Weiterhin unterliegt das Streben nach Vollständigkeit einer Dynamik im Unternehmen, denn Risiken und ihre Relevanz verändern sich im Zeitablauf. Eine ständige Überprüfung der Erfassungskriterien und der gewählten Identifikationsinstrumente erscheint deshalb unerlässlich. Es ist demzufolge notwendig, alle Kontrollinformationen (vgl. 4.6.1) regelmäßig zu berücksichtigen.320 Die vorgestellten Instrumente eignen sich teilweise aufgrund ihrer Struktur und Vorgehensweise eher für einen Einsatz im operativen Bereich, andere Instrumente wiederum ermöglichen nur eine Identifikation von Risiken mit strategischem Horizont. In Abhängigkeit von dem betrachteten Zeithorizont ist es sinnvoll, unterschiedliche Instrumente zur Risikoidentifikation zu nutzen und zu kombinieren, um eine möglichst vollständige Erfassung aller Risiken
314 315 316 317 318 319 320
Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 99. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 180f. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 97. Vgl. Kromschröder, B./Lück, W. (Grundsätze, 1998), S. 1574. Vgl. Hermann, D.C. (Risikomanagement, 1996), S. 42; Emmerich, G. (Risikomanagement, 1999), S. 1080; Lachnit, L./Müller, S. (KonTraG, 2001), S. 370. Vgl. Haas, C. (Unsicherheit, 1965), S. 25; Kromschröder, B./Lück, W. (Grundsätze, 1998), S. 1574. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 44.
4 Prozess des Risikomanagements
153
zu erzielen. Die folgende Tabelle 3 gibt einen Überblick über die Einsatzmöglichkeiten der angesprochenen Instrumente und spricht auch den gegenüberstehenden Aufwand an. Instrumente
Einsatzmöglichkeit im Rahmen der Risikoidentifikation Operativ Strategisch
Aufwand
Kommentar
Mittel
Mangelnde Zukunftsorientierung Begrenzte Risikofokussierung
Analysen Umweltanalyse Unternehmensanalyse
StärkenSchwächenAnalyse Besichtigungsanalyse Befragung, Checklisten Dokumentationsanalyse (Rechnungswesen)
Gering
Gering Gering Mittel
Geeignet für physisch beobachtbare Risiken Qualität des Fragebogens ausschlaggebend Vergangenheitsorientierung
Mischformen PortfolioAnalyse Kreativitätstechniken
Mittel Mittel
Begrenzte Risikofokussierung Keine ErgebnisGarantie
Früherkennung Kennzahlenorientierte Bilanzanalyse Indikatororientierte Früherkennung Strategische Früherkennung
Mittel
Vergangenheitsorientierung
Hoch
Kausale Verknüpfungen ausschlaggebend
Hoch
Trendbrüche erkennbar
Zeitreihenverfahren Kausalverfahren
Mittel
Fortschreibung der Vergangenheit Strukturbrüche nicht erkennbar
Prognosen
DelphiPrognose Szenariotechnik
Mittel Mittel
Hoher Zeitaufwand
Hoch
Tendenz zur Scheingenauigkeit
Wobei gilt: = keine sinnvolle Einsatzmöglichkeit
= Einsatzmöglichkeit begrenzt gegeben
= Einsatzmöglichkeit gegeben
= Einsatzmöglichkeit überwiegend gegeben
= Einsatzmöglichkeit sehr gut
Tabelle 3: Überblick über die Einsatzmöglichkeiten der Instrumente zur Risikoidentifikation
154
4 Prozess des Risikomanagements
Die Umweltanalyse untersucht die Umweltbereiche eines Unternehmens nach Chancen und Risiken. Der Aufwand bzw. die Kosten, die für eine regelmäßige und unfassende Beobachtung entstehen, sind abhängig von der Anzahl der betrachteten Umweltbereiche und der Tiefe der Analyse. Der durch den Einsatz entstehende Nutzen verhält sich im Hinblick auf die Risikoidentifikationsmöglichkeiten bis zu einem gewissen Grad proportional: je detaillierter und tiefgehender die Umweltbereiche eines Unternehmens analysiert werden, umso höher ist der Informationsnutzen einzustufen. Die Nutzenwirkung ist vor allem bei einer erstmaligen Anwendung als sehr hoch einzustufen, bei kontinuierlicher Anwendung lassen sich lediglich Veränderungen wahrnehmen. Der Nachteil der Umweltanalyse in der vorgestellten Form liegt in der mangelnden Zukunftsgerichtetheit. Durch eine Kombination mit einem indikatororientierten oder strategischen Früherkennungssystem kann allerdings dieser Mangel behoben werden. Die Stärken-Schwächen-Analyse als Form der Unternehmensanalyse eignet sich tendenziell eher für einen Einsatz im strategischen Bereich, allerdings ist die Eignung dieser Analyseform für die Risikoidentifikation generell begrenzt. Durch eine Wertkettenanalyse können spezifische und zugleich sehr wertvolle Erkenntnisse über den Stand eines Unternehmens gewonnen werden. Daraus lassen sich Strategien entwickeln und Vorgehensweisen ableiten, die die Unternehmensprozesse wertsteigernd verbessern können. Die Aufdeckung von Risiken im strategischen Bereich ist dadurch quasi nur ein Nebenprodukt, wenn Schwachstellen im Unternehmen aufgedeckt werden, die einen optimalen Ablauf behindern. Im operativen Bereich besteht die Möglichkeit durch evtl. erforderliche Prozessbetrachtungen und -analysen Schwachstellen aufzudecken und Risiken zu beseitigen. Dennoch ist die Kosten-NutzenWirkung der Stärken-Schwächen-Analyse als angemessen einzustufen, da sie ein wertvolles Instrument der strategischen Planung und Steuerung darstellt und unabhängig von einer Risikoidentifikation Anwendung im Unternehmen finden kann. Für eine reine Risikoidentifikation rechtfertigt sich jedoch die Erstellung einer Stärken-Schwächen-Analyse nicht. Für die Identifikation operativer Risiken hervorragend geeignet sind die Besichtigungsanalyse und Befragungen oder Checklisten. Bei der Besichtigungsanalyse steht die reale, beobachtbare Situation im Vordergrund und es können offensichtliche Mängel und Risiken in Unternehmensabläufen erkannt werden. Der Aufwand, der für eine Besichtigung entsteht, ist einmalig und nicht als besonders hoch einzustufen; allerdings ist auch der Nutzen begrenzt. Nicht sichtbare und physisch nicht vorhandene Schwachstellen lassen sich durch eine Besichtigung nicht aufdecken, und eine Besichtigung ermöglicht keinerlei Informationen über zukünftige Risiken. Möglich ist immer nur eine Aufnahme des Status-quo, weshalb diese Analyseform
4 Prozess des Risikomanagements
155
zwar sinnvoll als Ergänzung eingesetzt werden kann, aber nie als alleiniges Instrument der Risikoidentifikation Anwendung finden sollte. Befragungen bzw. Checklisten zeichnen sich durch ihre einfache Handhabung und ihre geringen Kosten aus. Im operativen Bereich lassen sich große Erfolge erzielen, wenn Mitarbeiter zu Risiken in ihrem Arbeitsbereich befragt werden oder Abläufe überprüft werden. Es besteht allerdings immer die Gefahr eines "Abhakens" von Checklisten mit der Folge, wesentliche Risiken zu übersehen bzw. zu ignorieren. Eine Vollständigkeit kann somit durch Befragungen oder Checklisten auch für den operativen Bereich nicht sichergestellt werden. Im strategischen Bereich sind Befragungen nur bei entsprechender Fragebogenkonzeption und Motivation der Mitarbeiter zur Risikoidentifikation geeignet. Allerdings verwischen dann die Grenzen zu den Kreativitätstechniken oder Prognosemethoden wie z.B. Delphi-Prognose. Die Dokumentationsanalyse ist ein weiteres, sehr stark operativ ausgerichtetes Instrument. Durch die Auswertung von vergangenheitsorientierten Unterlagen des Vertragsmanagements oder des Rechnungswesens können nur sehr begrenzte Zukunftsaussagen getroffen werden. Das Verhältnis von Einsatznutzen und entstehendem Aufwand ist fragwürdig. Die Ergebnisse einer Dokumentenanalyse sollten eigentlich im Unternehmen bereits vorhanden sein und unabhängig von einer Risikoidentifikation beobachtet werden. So unterliegt das Vertragsmanagement, aber auch das Rechnungswesen regelmäßigen Prüfungen der internen Revision. Die Mischform der Portfolio-Analyse eignet sich nur begrenzt für eine Risikoidentifikation. Die Portfolio-Analyse kann je nach Konzeption neue Erkenntnisse über einzelne Risikopositionen liefern, wenngleich die Risikoidentifikation nicht Ziel der Portfolio-Analyse ist. Sie ist deshalb für eine Risikoidentifikation nicht notwendigerweise im Unternehmen anzuwenden, kann aber bei Vorhandensein genutzt werden. Kreativitätstechniken eignen sich sehr gut als ergänzendes Instrument für die Risikoidentifikation, vor allem im strategischen Bereich. Operative Risiken sind durch Kreativitätstechniken prinzipiell auch erkennbar, der Aufwand im operativen Bereich ist jedoch verhältnismäßig hoch, zumal operative Risiken besser mit Checklisten oder Fragebögen erfasst werden können. Das Kosten-Nutzen-Verhältnis ist sehr gut, da mit relativ geringen finanziellen und zeitlichen Mitteln bereits sehr gute Ergebnisse erzielt werden können. Allerdings sind die Ergebnisse zu einem gewissen Teil - auch bei systematischer Vorgehensweise - zufallsgesteuert, weshalb Kreativitätstechniken nie als alleiniges Instrument der Risikoidentifikation eingesetzt werden sollen. Die vorgestellte kennzahlenorientierte Form der Früherkennung - die Bilanzanalyse - eignet sich generell eher für unternehmensexterne Analysten oder Banken, um schnell zu einem Ur-
156
4 Prozess des Risikomanagements
teil über ein Unternehmen zu gelangen. Unter der Annahme der Konsistenz-Hypothese und der daraus ableitbaren Gültigkeit der Zusammenhänge auch für die Zukunft, können trotz des vergangenheitsorientierten Datenmaterials begrenzt Zukunftsaussagen getroffen werden. Da der Kostenaufwand sehr gering ist, ist das Verhältnis von Kosten und erzielbarem Nutzen als sehr gut einzustufen. Die Einrichtung von indikatororientierten oder strategischen Früherkennungssystemen ist dann ratsam, wenn der Umfang der vorhandenen Risiken eine systematische Verarbeitung erfordert. Im Rahmen der Früherkennung besteht das grundsätzliche Problem der KostenNutzen-Disparität: die Kosten für die Implementierung und den Betrieb eines Früherkennungssystems lassen sich einfach bestimmen und gelten als sicher - der Nutzen hingegen lässt sich nur äußerst schwer quantifizieren und ist als unsicher einzustufen. Der Nutzen von Früherkennungssystemen ist abhängig von der Qualität der bereit gestellten Früherkennungsinformationen. Diese Qualität lässt sich nur sehr schwer quantitativ beziffern, denn sie ist abhängig von der sachlichen Relevanz, der zeitlichen Eignung, dem Aussagegehalt, der empirischen Wahrheit sowie der Verwendungsfähigkeit und Vollständigkeit. Bei der Qualität von Früherkennungsinformationen steht ohne Zweifel die Frühzeitigkeit als Ausprägung der zeitlichen Eignung im Vordergrund. SCHRÖDER/SCHIFFER321 weisen jedoch darauf hin, dass selbst bei höchster Qualität der Früherkennungsinformationen kein Nutzeneffekt eintritt, wenn die Informationen keinen Eingang in die strategische Planung finden, um evtl. Maßnahmen zu veranlassen.322 Dieser Aspekt gilt ebenso für die operative Planung323, und im hier betrachteten Zusammenhang vor allem für das Risikomanagementsystem: nur wenn die frühzeitig ermittelten Informationen schnell und benutzergerecht weitergeleitet und in einem Risikomanagementsystem verarbeitet werden, kann ein Nutzen durch ein Früherkennungssystem auch für das Risikomanagement generiert werden. Wenn sich Unternehmen zu der Implementierung von Früherkennungssystemen entschließen, treten regelmäßig Hürden auf, die eine erfolgreiche Umsetzung scheitern lassen können.324 BAISCH325 differenziert in unternehmensweite Barrieren und Barrieren im Management und bei den Mitarbeitern, die abgebaut werden müssen. Angst vor Veränderungen bei den Mitarbeitern zählt ebenso zu den Barrieren wie Fokussierung auf das Tagesgeschäft.
321 322 323 324 325
Schröder, H.-H./Schiffer, G. (Frühinformationssysteme, 2001), S. 1507. Vgl. Schröder, H.-H./Schiffer, G. (Frühinformationssysteme, 2001), S. 1506f. Vgl. Hahn, D. (Frühwarnsysteme, 1979), S. 31. Vgl. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993), S. 269. Vgl. Baisch, F. (Implementierung, 2000), S. 124, 146ff.
4 Prozess des Risikomanagements
157
Kritik wird vielfach gegenüber den im Rahmen von indikatororientierten Früherkennungssystemen unterstellten Kausalzusammenhängen geäußert: "Insbesondere die nur vagen kausalen Verknüpfungen und die Dynamik bzw. Instabilität dieser Kausalzusammenhänge erlauben kaum eine genaue langfristig ausgerichtete Erfassung und damit Prognose von Risiken."326 Je größer der zeitliche Abstand zwischen Indikator und Indikandum ist, desto störanfälliger und unsicherer wird die zugrundegelegte Kausalkette.327 Allerdings steigt mit zunehmendem Zeithorizont der Anteil der Annahmen über zukünftige Entwicklungen, die sich als Chance oder Risiko realisieren können. In diesen strategischen Bereichen ist deshalb der Einsatz von Früherkennung durchaus zu empfehlen. Speziell an der strategischen Früherkennung wird Kritik im Hinblick auf die mangelnden Einsatzmöglichkeiten in der Praxis geübt. Die Suche nach schwachen Signalen gestaltet sich sehr schwammig und eine eindeutige Identifizierung, ob ein empfangenes Signal als stark oder schwach einzustufen ist, gibt es nicht. Die Auswertungsmöglichkeiten sind deshalb naturgemäß sehr subjektiv und begünstigen deren manipulativen Gebrauch.328 Es lässt sich an dieser Stelle festhalten, dass trotz der einleuchtenden Sinnhaftigkeit strategischer Früherkennung eine Forschungsstagnation zu beobachten ist. Während gerade die operativen Früherkennungssysteme durch den Einsatz von künstlicher Intelligenz inhaltlich und methodisch weiterentwickelt werden, fehlen für die strategische Früherkennung neue Grundlagenentwürfe.329 Die vorgestellten quantitativen Prognoseverfahren eignen sich mehr für die operative Risikoidentifikation, da sie quantitatives Zahlenmaterial auswerten und in die Zukunft fortschreiben. Sie weisen eher geringe Kosten auf und sind einfach zu handhaben.330 Bei Strukturbrüchen oder komplexen Phänomen sind sowohl Zeitreihenverfahren als auch Regressionsverfahren nicht in der Lage, angemessen zu reagieren, da Veränderungen nicht erkannt werden können. Hier können jedoch die qualitativen Prognoseverfahren wie die Delphi-Prognose oder die Szenariotechnik als Kombination aus quantitativen und qualitativen Prognoseverfahren sehr gut Anwendung finden. Die Szenariotechnik kann im Risikomanagementprozess vielfältig eingesetzt werden, was die hohen Kosten rechtfertigt und ein angemessenes Kosten-NutzenVerhältnis entstehen lässt. Bei kontinuierlicher Anwendung ist zudem mit einer Reduzierung
326 327 328 329 330
Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 81. Vgl. Göbel, E. (Früherkennung, 1995), S. 56. Vgl. Weigand, A./Buchner, H. (Früherkennung, 2000), S. 18. Vgl. Rehkugler, H. (Früherkennungsmodelle, 2002), Sp. 595. Vgl. Makridakis, S./Wheelwright, S. (Forecasting, 1981), S. 168.
158
4 Prozess des Risikomanagements
der Kosten zu rechnen, da weniger externer Beratungsbedarf besteht und im Unternehmen Lerneffekte im Umgang mit der Szenariotechnik auftreten.
Unabhängig von der Wahl der Instrumente zur Risikoidentifikation gibt es in der Unternehmenspraxis einige Aspekte, die eine erfolgreiche Risikoidentifikation behindern können. SCHÄFER331 führt die Unternehmensstruktur als ein Kriterium an, das den Erfolg einer Risikoidentifikation beeinträchtigen kann. Starre Unternehmensstrukturen weisen einen stabilen Charakter auf, der eine schnelle Anpassung an veränderte externe Anforderungen erschwert. Hinzu kommen in vielen Fällen "politische" Interessen, die das Handeln von einzelnen Personen beeinflussen. Dabei handelt es sich um die gegensätzlichen Interessen und Risikoeinstellungen verschiedener interner und externer Anspruchsgruppen, die einen effizienten Umgang mit Risiken behindern können, wenn sie ihren Einfluss auf die Handelnden ausüben.332 Eine frühzeitige Kommunikation relevanter Informationen kann im Zweifelsfall ausbleiben und die Gefahr heraufbeschwören, eine Krise nicht rechtzeitig zu verhindern. Auch psychologische Barrieren hemmen eine schnelle und wirksame Kommunikation identifizierter Risiken oder behindern sogar ihre Identifikation selbst. Menschen neigen grundsätzlich dazu, nach Informationen zu suchen, die ihre eigene Meinung bestätigen ("Selbstbestätigungs-Falle").333 Dieses psychologische Muster erschwert die Wahrnehmung von Veränderungen, die unerwartet auftreten. Ebenso führt der Bekanntheitsgrad eines Risikos dazu, dass die Erfahrung und der Umgang eine Risikowahrnehmung erleichtern. Gleichzeitig kann das Gefühl, ein Risiko kontrollieren zu können, bewirken, dass es in seinen Auswirkungen abgeschwächt wird und Sicherheitsvorkehrungen unterlassen werden.334 Ein weiterer Erfolgsfaktor im Umgang mit Risiken ist die Unternehmenskultur eines Unternehmens. Eine Unternehmenskultur ist ein implizites, gelebtes Phänomen in Organisationen. Sie bezieht sich auf eine gemeinsame Orientierungen und Wertvorstellung und prägt so das Verhalten der Mitarbeiter.335 Durch eine starke Unternehmenskultur können positive Effekte erzielt werden, bspw. ein starkes Kommunikationsnetz, eine rasche Informationsaufbereitung und Entscheidungsfindung, ein geringer Kontrollaufwand, hohe Motivation und Loyalität, aber auch Stabilität und Zuverlässigkeit.336 Allerdings unterliegt eine starke Unternehmens-
331 332 333 334 335 336
Vgl. Schäfer, J. G. (Überwachungssystem, 2001), S. 115 ff. Vgl. Schäfer, J. G. (Überwachungssystem, 2001), S. 117; Weber, J./Liekweg, A. (Rationalität, 2001), S. 491. Vgl. Schäfer, J. G. (Überwachungssystem, 2001), S. 119. Vgl. Wolf, K./Runzheimer, B. (Risikomanagement, 2000), S. 34. Vgl. Steinmann, H./Schreyögg, G. (Management, 1991), S. 532 f. Vgl. Steinmann, H./Schreyögg, G. (Management, 1991), S. 544 ff.
4 Prozess des Risikomanagements
159
kultur gerade im Hinblick auf die Risikoerkennung der Gefahr des sogenannten "GroupthinkPhänomens".337 Eine starke Unternehmenskultur kann zur Folge haben, dass aufgrund der Stärke der Gruppe neue Orientierungen blockiert werden und eine starke Fixierung auf traditionelle Erfolgsmotive vorherrscht.338 Das Groupthink-Phänomen fördert die Tendenz, eine Übereinstimmung zu erreichen; abweichende Mindermeinungen werden unterdrückt, indem sich Mitglieder der Organisation einer freiwilligen Selbstzensur unterwerfen.339 Die Unternehmenskultur prägt damit das Verhalten, mit dem Risiken wahrgenommen und kommuniziert werden und bildet dadurch ein eigenständiges, potenzielles Risiko.340 Weitere Gefahren im Hinblick auf die Steuerung der Risikoneigung liegen in den Grenzen des menschlichen Problemlösungsverhaltens bedingt durch psychologische Mechanismen. Typische beobachtbare Verhaltensformen sind z.B. die Verdrängung neu auftretender für die Entscheidung ungünstiger Informationen, um bereits getroffene Entscheidungen nicht revidieren zu müssen.341
Eine klare Empfehlung für den Einsatz von Instrumenten zur Risikoidentifikation kann grundsätzlich
nicht
unternehmensübergreifend
gegeben
werden.
Es
muss
stets
unternehmensindividuell unter Berücksichtigung der Unternehmenslage sowie der finanziellen Situation entschieden werden, welche Instrumente in welcher Form im Unternehmen zum Einsatz kommen sollen.
4.4 Phase der Risikobewertung
4.4.1
Gegenstand der Risikobewertung
Um die möglichen Auswirkungen auf das Unternehmen abschätzen zu können, müssen die identifizierten Risiken beurteilt bzw. bewertet werden. Die Bewertung baut auf den Daten der Identifikationsphase auf; ihr Ergebnis steht im Hinblick auf Datenqualität und -verfügbarkeit in direktem Zusammenhang zu der Identifikationsphase. Die verschiedenen Möglichkeiten der Risikoidentifikation sind deshalb auch mit verschiedenen Bewertungsinstrumenten zu
337 338 339 340 341
Vgl. Moorhead, G./Neck, C. P. (Groupthink, 1995), Sp. 1130. Vgl. Steinmann, H./Schreyögg, G. (Management, 1991), S. 546 f. Vgl. Moorhead, G./Neck, C. P. (Groupthink, 1995), Sp. 1130 ff. Vgl. Schäfer, J. G. (Überwachungssystem, 2001), S. 122. Vgl. Dörner, D. (Logik, 1994), S. 268f. ; Weber, J./Liekweg, A. (Rationalität, 2001), S. 470.
160
4 Prozess des Risikomanagements
kombinieren.342 Eine Bewertung des Risikos ist die notwendige Voraussetzung für die Steuerung und evtl. Bewältigung eines Risikos durch das Management. Auch eine Differenzierung zwischen bestandsgefährdenden und anderen Risiken ist ohne eine Bewertung nicht möglich.343 Die unterschiedlichen Vorgehensweisen werden in Abschnitt 4.4.2 dargestellt. Die Bewertung erfolgt üblicherweise in den Dimensionen der Eintrittswahrscheinlichkeit und der möglichen Schadenshöhe bei Eintritt.344 Darüber hinaus wird auch die Schadenhäufigkeit als weitere Größe zur Beurteilung eines Risikos angeführt. Die Schadenhäufigkeit (auch Schadenfrequenz)345 beschäftigt sich mit der Frage, wie oft ein bestimmtes Risiko in einem Zeitraum346 eintritt. Allerdings bestehen Interdependenzen zwischen diesen Größen, denn die Eintrittswahrscheinlichkeit ist abhängig von der Schadenhäufigkeit; ebenso ist zu erwarten, dass sich Schadenhöhe und Eintrittswahrscheinlichkeit umgekehrt proportional zueinander verhalten. Es lassen sich in Abhängigkeit von der zeitlichen Komponente zeitlich begrenzte und permanente Risiken unterscheiden.347 Für die Bestimmung der Schadenshöhe eines Risikos müssen bestimmte Ziele im Unternehmen vorgegeben werden, die durch Eintritt eines Risikos beeinträchtigt werden können. Mit einer Berechnung oder Abschätzung des Ausmaßes der Zielverfehlung und der daraus resultierenden Verlustentstehung bei Eintritt des Risikos kann die materielle Komponente des Risikos bestimmt werden.348 Der drohende Vermögensverlust bei Eintritt des Risikos sollte klar herausgearbeitet werden, um eine Beziehung zwischen Risikoübernahme und Haftungskapital herstellen zu können (vgl. 0).349 Bei der Bewertung der Risiken ist neben der Ermittlung der unmittelbaren, direkten Schäden auch eine Abschätzung der mittelbaren Folgen anzuraten. Mittelbare Folgeschäden sind z.B. Imageverluste aufgrund von Produktionsausfällen.350 Um die Eintrittswahrscheinlichkeit eines Risikos abschätzen zu können, müssen entweder objektive oder subjektive Wahrscheinlichkeiten vorliegen (vgl. 3.1.2). Die Höhe eines Risikos ergibt sich dann durch Multiplikation des erwarteten Schadenswertes mit der Eintrittswahrscheinlichkeit.351
342 343 344 345 346 347 348 349 350 351
Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 101. Vgl. Lange, K. W. (Lagebericht, 2001), S. 140. Vgl. Zellmer, G. (Risiko-Management, 1990), S. 40f.; Hornung, K. /Reichmann, T. /Diederichs, M. (Risikomanagement I, 1999), S. 321. Vgl. Schenk, A. (Bewertung, 1998), S. 86. Vgl. ausführlich zu den Aspekten der Zeitraumbetrachtung Dembo, R. S./Freeman, A. (Riskmanagement, 1998), S. 38ff. Vgl. Braun, H. (Risikomanagement, 1984), S. 32; Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 4. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 58; Hölscher, R. (Gestaltungsformen, 2000), S. 304. Vgl. Holst, J./Holtkamp, W. (Risikoquantifizierung, 2000), S. 816. Vgl. Löhr, D. (KonTraG, 2000), S. 316. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 59.
4 Prozess des Risikomanagements
161
Bei der Bewertung ist grundsätzlich darauf zu achten, dass Risiken und damit verbundene Chancen weitestgehend losgelöst voneinander betrachtet werden. Eine gegenseitige Kompensation im Vorfeld der Bewertung birgt die Gefahr, dass der zugrundeliegende Sachverhalt vernachlässigt wird.352 Dies macht auch der DRS 5 deutlich, der explizit betont, dass Risiken nicht mit Chancen verrechnet werden dürfen.353 Allerdings können - wie oben aufgezeigt aus Entscheidungen resultierende Risiken nicht isoliert betrachtet werden, da sie als gekoppelte Wirkungen jeweiliger Entscheidungen sowohl Chancen als auch Risiken nach sich ziehen können. Jedoch genau diese Zweiteilung muss bei der Bewertung deutlich gemacht werden; es darf nicht mit konsolidierten Werten gerechnet werden, die Rückschlüsse auf das eigentliche Risiko nicht mehr erlauben. Ebenso sind das Risiko und sein Regulativ, also die zur Bewältigung getroffene oder zu treffende Maßnahmen getrennt voneinander zu betrachten.354 Auch hier soll eine möglichst hohe Transparenz gewährleistet werden. Kennt man sowohl die Höhe des Risikos vor als auch nach dem Einsatz von Maßnahmen, ist das Risiko besser einzuschätzen. HENSELMANN355 weist jedoch daraufhin, dass eine Weitermeldung an die Unternehmensführung oder höhergelegene Ebenen unterbleiben kann, wenn für das Risiko (z.B. Zerstörung durch Brand) bereits wirksame Maßnahmen (z.B. Feuerversicherung) getroffen wurden oder wenn der betroffene Unternehmensbereich selbst wirksame Abhilfemaßnahmen schaffen kann. Eine Überlastung der Informationskanäle wird so vermieden. Wichtig ist im Rahmen der Risikobewertung ferner die Berücksichtigung des Phänomens der Risikokumulation. So kann sich durch das gleichzeitige Auftreten verschiedener, für sich betrachtet nicht bestandsgefährdender Einzelrisiken, ein insgesamt bestandsgefährdendes, existenzielles Gesamtrisiko ergeben. Dabei gilt als Einzelrisiko "das wahrscheinlichkeitsverteilte Ergebnis einer singulären Entscheidung"356, das Gesamtrisiko sich aus den aggregierten Einzelrisiken zusammensetzt. Um einen Überblick über die Gesamtrisikosituation des Unternehmens zu erhalten, wird gefordert, ein sogenanntes Risikoprofil zu erstellen und die einzelnen Risiken zu konsolidieren. Hierbei muss jedoch beachtet werden, dass den Einzelrisiken, wenn sie aus unterschiedlichen operativen Einheiten stammen, verschiedene Planungsmentalitäten und Sicherheitspräferenzen zugrunde liegen, die aus den unterschiedlichen Einstellungen der
352 353 354 355 356
Vgl. Hornung, K. /Reichmann, T. /Diederichs, M. (Risikomanagement I, 1999), S. 319. Vgl. DRS 5 Nr. 26. Vgl. Hornung, K. /Reichmann, T. /Diederichs, M. (Risikomanagement I, 1999), S. 319; Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 32. Vgl. Henselmann, K. (KonTraG, 2001), S. 38. Fasse, F.-W. (Risk-Management, 1995), S. 67.
162
4 Prozess des Risikomanagements
Entscheidungsträger resultieren.357 Problematisch erscheint hierbei, dass die Einzelrisiken nicht einfach aufsummiert werden können, um das Gesamtrisiko für ein Unternehmen zu ermitteln. Wechselwirkungen der Risiken untereinander müssen erkannt und richtig eingeschätzt werden, um ein möglichst vollständiges Bild der Gesamtrisikosituation zu ermitteln.358 Eine einfache Berechnungsmöglichkeit zur Abbildung von Wechselwirkungen existiert nicht, die Risikosituation kann deshalb auch nur in groben, ungenauen Größen dargestellt werden.359 Es ist deshalb WALL360 zuzustimmen, die die Qualität der Information von kumulierten Risiken in Frage stellt.
Um aus einer Bewertung eine Handlungsstrategie ableiten zu können, müssen im Unternehmen Grenzen festgelegt werden, deren Erreichen ein sofortiges Handeln auslöst.361 Diese Wertgrenzen, die sich sinnvollerweise an der Eigenkapitalausstattung und der mittelfristigen Ergebnis- und Finanzplanung ausrichten, können beispielhaft wie folgt dargestellt werden:
1 Mio €
Detailrisiken
5 Mio €
40 Mio €
relevante Risiken
wesentliche Risiken
• regelmässige Risikoüberwachung durch das Risikomanagement
• mindestens quartalsweise Berichterstattung an den Vorstand
Bestandsgefährdende Risiken • ad-hoc Meldung an den Vorstand • quartalsweise Berichterstattung an den Aufsichtsrat
Abbildung 29: Beispielhafte Darstellung von Wertgrenzen362 Wichtig ist die Festlegung der maximalen Verlustgrenze, die die Existenz des Unternehmens gefährdet. Ab dieser Grenze dürfen Projekte oder Strategien auch bei erheblichem Chancen-
357 358 359 360 361 362
Vgl. Wall, F. (Unterschiede, 2002), S. 25. Vgl. Lange, K. W. (Lagebericht, 2001), S. 141; Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 101. Vgl. Farny, D. (Grundfragen, 1979), S. 20; Brebeck, F./Herrmann, D. (KonTraG-Entwurf, 1997), S. 384; Holst, J./Holtkamp, W. (Risikoquantifizierung, 2000), S. 816. Vgl. Wall, F. (Unterschiede, 2002), S. 25. Vgl. Scharpf, P. (Sorgfaltspflichten, 1997), S. 741; Saitz, B. (Risikomanagement, 1999), S. 84; Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 17. In Anlehnung an Elfgen, R./Sieler, C. (Beratungsleistung, 2001), S. 389.
4 Prozess des Risikomanagements
163
potenzial nicht umgesetzt werden.363 Die Wesentlichkeitsgrenzen legen darüber hinaus jedoch auch fest, bis zu welchem Wert ein Risiko bzw. eine Chance von der organisatorischen Einheit selbst getragen und gesteuert werden kann, und ab welchem Wert eine Kommunikation an die nächsthöhere Ebene erfolgen muss. Ein als bestandsgefährdendes eingeschätztes Risiko sollte immer bis zum Vorstand und Aufsichtsrat kommuniziert werden.364 Die Festlegung der Wesentlichkeitsgrenzen für die organisatorischen Einheiten sollte im Einklang mit den sonstigen Handlungsspielräumen (z.B. Kosten- oder Investitionsbudgets) der jeweiligen Mitarbeiter und mit der Risikopolitik des Unternehmens stehen.365 Eine allgemein gültige Vorgehensweise zur Berechnung von Wesentlichkeitsgrenzen existiert nicht. Die Wesentlichkeitsgrenzen sollten jedoch idealerweise einen Bezug zu den finanziellen Kennzahlen des Unternehmens aufweisen. Es bietet sich eine Verknüpfung mit dem Betriebsergebnis, dem Eigenkapital, Rentabilitäten oder dem Cash-Flow an.366 Ein Risiko ist dann als bestandsgefährdend einzustufen, wenn bei Risikoeintritt die Zahlungsfähigkeit des Unternehmens bedroht ist (§§ 17,18 InsO).367 WEBER schlägt deshalb folgende Berechnung zur Bestimmung der als bestandsgefährdend eingestuften Wesentlichkeitsgrenzen als Faustregel vor:
Geplanter Quartals-Cash-Flow + flüssige Zahlungsmittel + leicht liquidierbare Finanzanlagen + unausgeschöpfte Kreditlinie - kurzfristig fällige Verbindlichkeiten - Sicherheitsabschlag = Wesentlichkeitsgrenze Abbildung 30: Faustformel zur Berechnung der Wesentlichkeitsgrenze nach WEBER368
363 364 365 366 367 368
Vgl. Hinterhuber, H. (Risikomanagement, 1998), S. 12. Vgl.Vogler, M./Gundert, M. (Einführung, 1998), S. 2381; Holst, J. (Risikomanagement, 1998), S. 24f.; Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 17. Vgl. Vogler, M./Gundert, M. (Einführung, 1998), S. 2381; Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 17f. Vgl. Saitz, B. (Risikomanagement, 1999), S. 84; andere Möglichkeiten siehe auch Vogler, M./Gundert, M. (Einführung, 1998), S. 2381; Eggemann, G./Konradt, T. (Risikomanagement, 2000), S. 504. Vgl. Emmerich, G. (Risikomanagement, 1999), S. 1082; Weber, J, (Controlling, 2002), S. 419. Vgl. Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 17; Weber, J, (Controlling, 2002), S. 419.
164
4 Prozess des Risikomanagements
Eine Bestandsgefährdung ist auch dann gegeben, wenn zumindest auf längere Sicht keine ausreichende Eigenkapitalrentabilität zu erwarten ist.369 Bestandsgefährdende Entwicklungen ergeben sich bspw. bei370 x
erheblichen dauerhaften Verlusten,
x
fehlender Marktanpassung/Produktwahl,
x
nicht
kompensierbaren
negativen
Preisentwicklungen
auf
dem
Absatz-
/Beschaffungsmarkt, x
mangelhafter Investitionsplanung,
x
drohendem Fremdkapitalentzug bei fehlender Neuverschuldungsmöglichkeit und mangelndem Eigenkapital,
x
riskanten Spekulationsgeschäften z.B. mit Derivaten oder Warentermingeschäften.
Grundsätzlich ist neben einer quantitativen Festsetzung von Grenzwerten auch eine Festlegung von Wesentlichkeitsgrenzen in qualitativer Form denkbar.371 Hier sollte z.B. bezogen auf Projekte oder Prozesse im Unternehmen festgelegt werden, ab welcher Eintrittshäufigkeit von bestimmten Faktoren über einen Abbruch eines Projektes nachzudenken ist. Der Vorteil von Wesentlichkeitsgrenzen liegt darin begründet, dass der Vorstand nicht mit nebensächlichen Risikoinformationen überflutet wird und sich auf die Steuerung von wesentlichen und bestandsgefährdenden Risiken konzentrieren kann.372 Nachteilig ist jedoch, dass sich alle Risiken bei Eintritt in ergebnis- und liquiditätsorientierten Größen im Unternehmen niederschlagen: so kann auch durch die Kumulation mehrerer nicht bestandsgefährdender Risiken (unbedeutende Schadensklassen) ein insgesamt existenzbedrohendes Szenario entstehen.373 Voraussetzung für eine Eingrenzung nach Wesentlichkeitsgrenzen ist, dass nie mehrere kleine Risiken gleichzeitig auftreten, und dass alle Verknüpfungen zwischen den Risiken im Unternehmen erfasst sind. Diese Annahme kann als äußerst unrealistisch betrachtet werden. In Abhängigkeit von den unterschiedlichen im Unternehmen existierender Risiken bedarf es einer Reihe verschiedener Instrumente zu deren Bewertung: So erscheint es offensichtlich, dass z.B. Personalrisiken oder Umweltrisiken kaum mit den gleichen Methoden wie Kursrisi-
369 370 371 372 373
Vgl. Lachnit, L./Müller, S. (KonTraG, 2001), S. 367. Janke, G. (Revision, 1997), S. 321. Vgl. Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 19; Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 48f. Vgl. Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 20; Vogler, M./Gundert, M. (Einführung, 1998), S. 2381. Vgl. Brebeck, F./Herrmann, D. (KonTraG-Entwurf, 1997), S. 385; Hommelhoff, P./Mattheus, D. (Grundlagen, 2000), S. 15; Ringleb, H.-M. (Kommentar, 2003), Rz. 464.
4 Prozess des Risikomanagements
165
ken oder Zinsrisiken von Wertpapieren gemessen werden können.374 Dennoch sollten gleiche Risikoarten unternehmensweit mit den gleichen Messverfahren und gleichen Kennzahlen beurteilt werden.375 Es lassen sich zwei große Gruppen von Bewertungsansätzen unterschieden, zum einen quantitative Ansätze (vgl. 4.4.2.1), zum anderen qualitative Bewertungsansätze (vgl. 4.4.2.2). 4.4.2
Modulare Instrumente zur Risikobewertung
4.4.2.1 Quantitative Ansätze Ein Risiko schlägt sich - wie bereits angesprochen - in der Verlustgefahr des Unternehmens im Hinblick auf ein konkretes Ziel nieder. Um ein Risiko quantitativ bewerten zu können, müssen als Voraussetzung Ziele definiert und quantifiziert werden, die als Sollzustände gelten. Das Ziel ist dabei nach Inhalt, Ausmaß und Zeitbezug festzulegen, wobei ein komplexes Zielsystem eine präzise Umschreibung der Einzelziele erschwert.376 Wird nun ein vom Unternehmen gesetztes Ziel nicht erreicht, entsteht ein Verlust, der die materielle Komponente des Risikos darstellt und das Ausmaß der Zielverfehlung quantifiziert.377 Ziel der Risikoquantifizierung ist es, zu erkennen, ob das Haftungskapital und die aktuell übernommenen Risiken in einem tragbaren Verhältnis zueinander stehen und ob die Zahlungsfähigkeit des Unternehmens zukünftig gefährdet ist.378 Quantitative Ansätze der Risikobewertung sind besonders bei einer Verknüpfung des Risikomanagements mit der Wertorientierung (vgl. 3.3.2) des Unternehmens von Interesse, da hier sowohl die Ziele als auch die Risiken in monetären Einheiten abgebildet werden.379 Eine quantitative Bewertung hat darüber hinaus eine große Bedeutung für die Risikoberichterstattung im Lagebericht. So fordert der DRS 5, dass "Risiken [...] zu quantifizieren [sind], wenn dies nach anerkannten und verlässlichen Methoden möglich und wirtschaftlich vertretbar ist und die quantitative Angabe eine entscheidungsrelevante Information für die Adressaten"380 enthält. Erfolgt eine quantitative Darstellung, sind Modelle und deren Annahmen zu erläutern. In der Begründung zum Standard-Entwurf macht das DRSC weiterhin deutlich,
374 375 376 377 378 379 380
Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 102. Vgl. Holst, J./Holtkamp, W. (Risikoquantifizierung, 2000), S. 816. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 57. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 58. Vgl. BDO (KonTraG, 1998), S. 57. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 102. DRS 5 Nr. 20.
166
4 Prozess des Risikomanagements
dass die Quantifizierung damit zurzeit nur für Finanzrisiken gelten kann und sich auf Sensitivitäten oder Risikomaße stützen kann.381 Empirische Untersuchungen382 haben ergeben, dass nur eine geringe Anzahl von Unternehmen ihre Risiken zumindest im Lagebericht quantifiziert. Ob sich daraus Rückschlüsse auf den internen Umgang mit Risiken ziehen lassen, ist jedoch fraglich.
Die Methodik zur Bewertung quantifizierbarer Risiken entstammt überwiegend der Bankbzw. Versicherungswirtschaft. Für den Bereich der finanziellen Risiken existieren deshalb eine Vielzahl von Methoden, die eine Risikoquantifizierung erlauben. Ein grundsätzlicher Unterschied der Verfahren besteht im Hinblick auf die Kenntnis der Wahrscheinlichkeitsverteilung der Risikofaktoren.383 Im Hinblick auf die Eintrittswahrscheinlichkeit lassen sich verteilungs- und ereignisabhängige Risiken unterscheiden:384 x
Vor allem bei Markt- und Preisrisiken handelt es sich um verteilungsabhängige Risiken, die sich anhand von historischen Daten berechnen lassen. Auch gegenwärtige und zukünftige Verteilungen können Berücksichtigung finden und spezielle Wahrscheinlichkeitsverteilungen berechnet werden. In den meisten Fällen wird von einer Normalverteilung ausgegangen.
x
Für selten auftretende Unternehmensrisiken kann jedoch keine normalverteilte Eintrittswahrscheinlichkeitsfunktion zugrunde gelegt werden. Es handelt sich um ereignisabhängige Risiken, die durch diskrete Wahrscheinlichkeitsverteilungen oder Punktschätzungen ermittelt werden können. Diese Einschätzung ist jedoch sehr subjektiv.
Auch bei der Ermittlung der Schadenshöhe treffen objektive Informationen und subjektive Einschätzungen aufeinander. Ein reiner Sachschaden lässt sich in den meisten Fällen über den Wiederbeschaffungswert objektiv festlegen, die durch einen Schaden entstehenden Qualitätsund Imageverluste lassen sich jedoch nur subjektiv abschätzen.385 Die folgende Abbildung 31 ermöglicht einen Überblick über die Einsatzmöglichkeiten einer Auswahl finanzmathematischer Verfahren zur Risikobewertung.
381 382
383 384 385
Vgl. E-DRS 5, S. 15. Vgl. Kajüter, P./Winkler, C. (Risikoberichterstattung, 2003), S. 223: untersucht wurden die Geschäftsberichte der DAX-100 Unternehmen von 1999 bis zum 31.12.2001 mit allen im Index vertretenen Unternehmen, mit Ausnahme von Banken und Versicherungen. Die Grundgesamtheit betrug 83 Unternehmen. Vgl. Arbeitskreis "Finanzierungsrechnung" (Risikomanagement, 2001), S. 64. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 106f. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 107.
4 Prozess des Risikomanagements
Informationsvoraussetzung Zielgröße
167
Kenntnis der Wahrscheinlichkeitsverteilung der Risikofaktoren
erforderlich
Nicht erforderlich
Marktwert
Value-at-Risk
Sensitivitätsanalysen Szenarioanalysen
Finanzieller Überschuss/ Ergebnisgröße
Cash Flow-at-Risk Earnings-at-Risk
Sensitivitätsanalysen Szenarioanalysen
Abbildung 31: Mögliche Methoden zur quantitativen Risikobewertung386
Value-at-Risk-Verfahren
Der Value-at-Risk-Ansatz kommt dann zur Anwendung, wenn objektive Erkenntnisse über die Höhe des Risikos und die Eintrittswahrscheinlichkeit vorliegen. Dies ist vor allem dann der Fall, wenn die Risiken auf einem Finanzmarkt gehandelt werden oder grundsätzlich versicherbar sind.387 Risikoarten wie das Marktzins-, Währungskurs- oder Aktienkursrisiko lassen sich mit einer einheitlichen Messvorschrift erfassen und in monetären Einheiten ausdrücken.388 Obwohl die Berechnung des Value-at-Risk (VaR) ein weitverbreitetes Verfahren zur Risikomessung vorwiegend im Bereich der finanziellen Risiken ist, kann die Methodik auch auf andere Risiken des Unternehmens übertragen werden.389 Das VaR-Verfahren basiert auf einem quantitativen Prognosemodell, der VaR ist dabei definiert als der maximale Verlust in absoluten Geldeinheiten eines bestimmten Portfolios in Abhängigkeit eines bestimmten Konfidenzintervalls und eines bestimmten Zeitraumes.390 Anders ausgedrückt gibt die Maßzahl des VaR wieder, mit welcher Wahrscheinlichkeit ein bestimmter Verlust innerhalb eines vorgegeben Zeitraumes eintreten kann.391
386 387 388
389 390 391
Vgl. Arbeitskreis "Finanzierungsrechnung" (Risikomanagement, 2001), S. 64. Vgl. Weber, J./Weißenberger, B./Liekweg, A. (Risikomanagement, 1999), S. 1713; Gebhardt, G. (Risikocontrolling, 2002), Sp. 1719. Vgl. Holst, J./Holtkamp, W. (Risikoquantifizierung, 2000), S. 816; Glaum, M. (Risikomanagement, 2000), S. 28f.:eine Studie der PwC Deutsche Revision in Zusammenarbeit mit der Justus-Liebig-Universität Gießen, bei der Ende 1998 74 (Rücklaufquote 48%) große deutsche Aktiengesellschaften mit Ausnahme von Versicherungen und Banken einbezogen wurden, ergab, dass 48% aller Unternehmen eine regelmäßige Quantifizierung der Verlustpotenziale aus Finanzmarktgeschäften vornehmen. Vgl. Holst, J./Holtkamp, W. (Risikoquantifizierung, 2000), S. 816. Vgl. Schulte, M. (Risikopolitik, 1997), S. 88; Holst, J. (Risikomanagement, 1998), S. 31f.; Gleason, J. T. (Risikomanagement, 2001), S. 225; Löw, E./Roggenbuck, H. E. (Performancemaße, 2002), Sp. 1397. Vgl. Brühwiler, B. (Risk, 2001), S. 35.
168
4 Prozess des Risikomanagements
WILKENS/VÖLKER392 fassen zusammen, dass der VaR definiert wird als x
erwartete maximale negative Änderung in Geldeinheiten
x
des Marktwertes einer Position oder eines Portefeuilles
x
aufgrund der Schwankung spezifizierter Marktfaktoren
x
innerhalb eines festgelegten Zeitraumes (Haltedauer)
x
berechnet auf der Basis eines statistischen Modells
x
für ein bestimmtes Konfidenzniveau 1-D.
Das VaR-Verfahren kann dabei recht flexibel eingesetzt werden, z.B. zur Bewertung des gesamten Anlagenportfolios eines Unternehmens oder zur Bestimmung von einzelnen Risikopositionen.393 Selten auftretende Ereignisse, die häufig auch große Verluste nach sich ziehen, können jedoch mit dem VaR-Verfahren nicht zuverlässig prognostiziert werden.394 Analog zum VaR lassen sich der Cash-Flow-at-Risk und der Earnings-at-Risk definieren, wenn an Stelle des Marktwertes eine periodenbezogene Position wie der Cash-Flow oder das Periodenergebnis gesetzt wird.395 Im Folgenden soll stellvertretend das Verfahren zur Bestimmung des VaR dargestellt werden. Voraussetzungen für die Anwendung der VaR-Methode sind:396 x
das Vorliegen fixierter Kontrakte, d.h. Zahlungsverpflichtungen bzw. Recht auf Zahlungserhaltung liegt vor,
x
marktgehandelte Kontrakte, deren Werte anhand von Marktpreisen bestimmbar sind,
x
ein relativer kurzfristiger Betrachtungs- und Prognosezeitraum, um eine gewisse Stabilität des Bewertungsmodells zu gewährleisten.
Bei der Ermittlung des VaR müssen in einem ersten Schritt die marktwertbestimmenden Faktoren, die sog. Risikofaktoren von einzelnen Finanzpositionen oder Portfolios bestimmt werden. Die komplexe Risikodimension einzelner Positionen soll auf wenige Risikofaktoren reduziert werden, wobei in Abhängigkeit der betrachteten Position unterschiedliche Risikofaktoren Verwendung finden. Darauf aufbauend muss die Beziehung zwischen den Risikofaktoren und dem Preis des betrachteten Finanztitels bzw. den Portfoliobestandteilen ermittelt werden. Die Beziehung kann entweder über die Verwendung von Sensitivitätsmodellen oder über ein Bewertungsmodell (z.B. Barwert- oder Optionspreismodell), das die Abhängigkeit des Preises von den Risikofaktoren beschreibt, erfolgen. In einem weiteren Schritt werden die 392 393 394 395
Vgl. Wilkens, M./Völker, J. (Value-at-Risk, 2001), S. 415; Holst, J. (Risikomanagement, 1998), S. 31. Vgl. Gleason, J. T. (Risikomanagement, 2001), S. 225. Vgl. Gleason, J. T. (Risikomanagement, 2001), S. 228. Vgl. Arbeitskreis "Finanzierungsrechnung" (Risikomanagement, 2001), S. 65.
4 Prozess des Risikomanagements
169
möglichen Entwicklungsszenarien der Risikofaktoren betrachtet. Durch die Kombination mit der Preisbetrachtung lassen sich mögliche Szenarien bzw. eine Wahrscheinlichkeitsverteilung für den betrachteten Titel oder das Portfolio ermitteln.397 Hier können verschiedene Methoden unterschieden werden, wobei zu den am stärksten verbreiteten Modellen zur Berechnung des Value-at-Risk x
die Historische Simulation,
x
die Monte-Carlo-Simulation und
x
die Analytische Varianz-Kovarianz-Methode
zählen.398
Bei der historischen Simulation handelt es sich um eine heuristische Methode, bei der Risikopositionen anhand historischer Daten bewertet werden. Typisch sind Daten, die die letzten 100 oder 200 Tage umfassen. Es wird versucht, mit Hilfe vergangenheitsbezogener Renditeverteilungen Aussagen über die Verteilung in der Zukunft abzuleiten. Dabei wird "das Eintreten und das Zusammenwirken von Risikoparametern und somit auch die Renditeverteilung der Risikoposition als im Zeitablauf stabil angenommen"399. Es wird die Annnahme getroffen, dass die Verteilung der Risikofaktoren stationär ist, die Möglichkeit Marktentwicklungen in die Risikoeinschätzung einfließen zu lassen, besteht nicht. Diesem gravierenden Nachteil steht jedoch der Vorteil der Einfachheit und leichten Verständlichkeit der Methode gegenüber. Darüber hinaus legt die historische Simulation die tatsächliche (unverfälschte) Verteilung der Risikofaktoren in der Vergangenheit zugrunde; Fehler durch fälschlicherweise unterstellte Normalverteilungen sind dadurch ausgeschlossen.400
Auch die Monte-Carlo-Simulation zählt zu den heuristischen Verfahren. Ihr Vorgehen ähnelt demjenigen der historischen Simulation, es werden jedoch keine historischen Daten, sondern Zufallsdaten zugrunde gelegt. An Stelle von vergangenheitsorientiertem Datenmaterial werden für einzelne Parameter oder die Risikopositionen selbst bestimmte Verteilungsprämissen zugrunde gelegt.401 Obwohl i.d.R. eine Normalverteilung unterstellt wird, kann die MonteCarlo-Simulation auch mit nicht normalverteilten Faktoren durchgeführt werden. Die Validi396 397 398 399 400 401
Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 124. Vgl. Holst, J. (Risikomanagement, 1998), S. 32ff.; Holst, J./Holtkamp, W. (Risikoquantifizierung, 2000), S. 817. Vgl. hierzu ausführlich Löw, E./Roggenbuck, H. E. (Performancemaße, 2002), Sp. 1397f. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 126. Vgl. Holst, J./Holtkamp, W. (Risikoquantifizierung, 2000), S. 817. Vgl. Holst, J./Holtkamp, W. (Risikoquantifizierung, 2000), S. 817.
170
4 Prozess des Risikomanagements
tät der Monte-Carlo-Simulation ist abhängig von der Anzahl der Durchläufe. Nur eine entsprechend hohe Anzahl an Durchläufen liefert ein hinreichend genaues Ergebnis.402 Der notwendige Rechenaufwand nimmt zwar mit dem technischen Fortschritt zunehmend ab, kann aber trotzdem mehrere Stunden beanspruchen, was für eine tägliche Überwachung oft schon zu zeitaufwendig ist.
Die Varianz-Kovarianz-Methode (auch Korrelationsansatz) ist eine analytische Vorgehensweise, die auf einem theoretischen Modell beruht. Zuerst muss die zu bewertende Risikoposition bestimmt werden, wobei maßgebliche Faktoren, die auf die Risikoposition einwirken, mitberücksichtigt werden. Danach werden Wahrscheinlichkeiten für die Ausprägung der Risikofaktoren festgelegt, wobei von einer Normalverteilung ausgegangen wird. In einem dritten Schritt wird dann die Wahrscheinlichkeit der Risikoposition bestimmt, die von Anzahl, Verteilung und der Korrelation der Einflussfaktoren abhängig ist. Der vierte Schritt umfasst die Festlegung von Konfidenzintervallen und der Bezugsperiode. Das Intervall sagt aus, mit welcher Wahrscheinlichkeit die Risikoposition in der Bezugsperiode eine bestimmte Höhe nicht überschreitet. Daraus resultierend kann der VaR bestimmt werden, der die Verlustmöglichkeit für eine bestimmte Risikoposition in Geldeinheiten ausdrückt.403
Unabhängig davon, welche Methode im Unternehmen angewandt wird, muss ein bestimmtes Vertrauensniveau festgelegt werden. Der VaR ist stets hinsichtlich einer bestimmten Wahrscheinlichkeit definiert, z.B. dass ein bestimmter Wert mit einer Wahrscheinlichkeit von 95% nicht unterschritten wird. Anders ausgedrückt tritt ein höherer Verlust als der VaR nur durchschnittlich in 5 von 100 Tagen auf, wenn der VaR für einen Tag definiert ist. Neben der Festlegung des Vertrauensniveaus muss auch bestimmt werden, auf welchen Zeitraum der VaR bezogen werden soll. Übliche Zeiträume sind bei der VaR-Berechnung ein Tag, zehn Tage oder ein Monat.404 Welcher Berechnungsmethode gefolgt werden sollte, lässt sich nicht eindeutig festlegen. Eine Empfehlung kann nur dann gegeben werden, wenn feststeht, "für welche Finanzinstrumente der VaR bestimmt werden soll, welches Konfidenzniveau und welche Haltedauer der VaRWert abzubilden hat, welche Datenbasis genutzt werden kann, welche Verteilungseigenschaf-
402 403 404
Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 128. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 129ff. Vgl. Holst, J./Holtkamp, W. (Risikoquantifizierung, 2000), S. 817; Löw, E./Roggenbuck, H. E. (Performancemaße, 2002), Sp. 1399.
4 Prozess des Risikomanagements
171
ten für die Faktorrenditen festgestellt wurden und welche Datenverarbeitungskapazitäten zur Verfügung stehen"405. Die Vorteile des VaR liegen in seiner methodischen Offenheit, die ihn für eine Vielzahl von Risiken anwendbar machen. Seine dominierende Position vor allem in der Finanzwelt ist darauf zurückzuführen, dass er verschiedene Risikoarten, wie bspw. Zinsänderungs- und Aktienkursrisiken, auf anschauliche Weise vergleichbar macht.406 Als alleiniges Instrument der Risikobewertung kommt jedoch der VaR nicht in Frage. Zum einen ist eine Bewertung von qualitativen Risiken mit Hilfe des VaR nicht möglich. Er eignet sich vor allem für die Bewertung von "gewöhnlichen" Risiken, wie Marktrisiken, die einen durchschnittlichen Verlauf in einem bestimmten Zeitraum haben. Der VaR weist zum anderen den Nachteil einer sehr kurzfristigen Orientierung auf.407 BURGER/BUCHHART äußern sich zudem kritisch hinsichtlich der Methodik des VaR: "Der VaR ist mit methodischen und anwendungsbezogenen Problemen behaftet. Eine ständige Überprüfung und Angleichung ist für die Prämissen und Methoden der Bewertungsmodelle ebenso notwendig wie für die einfließenden subjektiven Entscheidungen des Anwenders. Ein regelmäßiger Vergleich erwarteter und eingetroffener Verluste zeigt dabei die Notwendigkeit von Modifikationen."408 DEMBO/FREEMAN üben ebenfalls Kritik am VaR, der „kaum Anhaltspunkte bietet, an welcher Stelle im Unternehmen Risiken drohen“409. Obwohl einfach verständlich, birgt der VaR die Gefahr, durch die angestellten Vereinfachungen Risiken zu verschleiern oder zu übersehen. Der VaR beschränkt sich auf eine reine Darstellung des Risikoaspektes; Chancen können damit nicht quantifiziert werden. Er eignet sich deshalb in erster Linie zur Erfüllung der gesetzlichen Anforderungen; aus unternehmerischer Perspektive ist er jedoch nicht ausreichend. Auch im Bereich der Risikobetrachtungen hat sich der VaR als nicht hinreichend erwiesen und sollte deshalb um Stress-Testing-Analysen ergänzt werden, die extreme Szenarien aufzeigen.410 Zur operativen Steuerung der Chancen und Risiken sind Extremszenarien jedoch aufgrund ihrer äußerst geringen Eintrittswahrscheinlichkeit nicht geeignet.411
405 406 407 408 409 410 411
Wilkens, M./Völker, J. (Value-at-Risk, 2001), S. 420; eine ausführliche Darstellung der Vor- und Nachteile der einzelnen Verfahren findet sich bei Wilkens, M./Völker, J. (Value-at-Risk, 2001), S. 421f. Vgl. Wilkens, M./Völker, J. (Value-at-Risk, 2001), S. 415. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 134f. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 135f. Dembo, R. S./Freeman, A. (Riskmanagement, 1998), S. 49. Vgl. Holst, J./Holtkamp, W. (Risikoquantifizierung, 2000), S. 817. Vgl. Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 26.
172
4 Prozess des Risikomanagements
Das Konzept des VaR findet vor allem bei Kreditinstituten, Pensionskassen und Versicherungsgesellschaften Einsatz. Diesen Gesellschaftsformen ist gemein, dass sie von kurzfristigen Schwankungen am Kapitalmarkt profitieren können und langfristige Entwicklungen von eher untergeordneter Bedeutung sind. In Industrieunternehmen lässt sich ein Risikoportfolio erheblich schwerer definieren, als z.B. bei einer Bank und muss längere Zeiträume mit unschärferen (Plan-)Daten umfassen. Häufig liegen zu Beginn der Planung nicht alle notwendigen Daten vor oder werden nicht in der Berechnungssystematik des VaR bereitgestellt.412 Darüber hinaus sind die eingekauften VaR-Systeme von Industrieunternehmen oft nicht nachvollziehbar, weil ein Spezialistenstab an Mathematikern - wie in einer Bank - nicht zur Verfügung steht. Die Ergebnisse büßen dann an Vertrauen ein und bilden keine relevante Entscheidungsgrundlage.413
Sensitivitäts-/Szenarioanalysen
Wenn keine Kenntnis über die Wahrscheinlichkeitsverteilung der Risikofaktoren vorliegt, können Sensitivitäts- oder Szenarioanalysen angewendet werden. Bei beiden Analyseformen werden alle bis auf einen Risikofaktor auf ihrem aktuellen oder geschätzten zukünftigen Wert fixiert. Der verbleibende Risikofaktor wird dann variiert und seine Reaktionen auf z.B. CashFlows oder den Marktwert analysiert. Der Unterschied der Sensitivitätsanalyse gegenüber der Szenarioanalyse liegt vor allem in der Variationsbreite des Risikofaktors. Bei der Sensitivitätsanalyse erfolgt eine möglichst kleine Änderung, die Szenarioanalyse hingegen betrachtet vor allem große Änderungen des Risikofaktors. Eine spezielle Ausprägung der Szenarioanalyse sind die sog. Stress-Tests.414 In Ergänzung zum VaR werden mit Hilfe von Stress-Tests die Veränderung einzelner Parameter untersucht.415 Es werden diejenigen Restrisiken untersucht, die sich bspw. bei der VaR Methode nicht mehr innerhalb des Konfidenzintervalls befinden. Diese Risiken lassen sich durch eine sehr geringe Eintrittswahrscheinlichkeit, schlagartige Veränderungen und extreme außergewöhnliche Belastungen im Ergebnis kennzeichnen. Stress-Test bewerten sehr unwahrscheinliche Risiken und werden deshalb nicht routinemäßig angewandt, sind jedoch zur Ergänzung des Bewertungsinstrumentariums durch aus sinnvoll einsetzbar.416
412 413 414 415 416
Vgl. Ulmke, H.G./Schmale, S. (Value-at-Risk, 1999), S. 220f. Vgl. Ulmke, H.G./Schmale, S. (Value-at-Risk, 1999), S. 222. Vgl. Arbeitskreis "Finanzierungsrechnung" (Risikomanagement, 2001), S. 64. Vgl. Löw, E./Roggenbuck, H. E. (Performancemaße, 2002), Sp. 1399. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 152ff.
4 Prozess des Risikomanagements
173
Sensitivitätsanalysen ermitteln, wie sich ein bestimmtes Ergebnis bei Abweichung der Ausgangsdaten verändert. Dadurch können mit Sensitivitätsanalysen zwei unterschiedliche Fragestellungen untersucht werden, nämlich die Ermittlung kritischer Werte und die Bandbreitenanalyse. Bei der Ermittlung kritischer Werte wird beobachtet, wann sich durch Veränderung der Ausgangsdaten die Vorteilhaftigkeit einer Handlungsalternative gegenüber einer anderen Alternative ändert. Der kritische Wert ist dabei der Wert des Ausgangsdatums, bis zu welchem die relative Vorteilhaftigkeit einer Alternative unverändert bleibt.417 Die Bandbreitenanalyse hingegen untersucht, wie sich der Erfolg einer Handlungsalternative bei Variation der Ausgangsdaten absolut verändert. Um die Bandbreite möglicher Ergebnisse zu ermitteln, wird das Ergebnis für die günstigste und die am wenigsten günstigste Datenkonstellation ermittelt. Dadurch erhält man Informationen, über den Bereich der Ergebnisse einer Handlungsalternative, die aufzeigen können, welche Bereiche sich als bestandsgefährdend im Sinne des KonTraG erweisen. Sensitivitätsanalysen finden häufig im Bereich der Zinsrisiken Anwendung. Typische Ausprägungsformen sind die Value-per-Basis-Point-Methode, die Duration und die Key-Rate-Duration. Allen diesen Ansätzen ist gemein, dass sie die Änderung des Marktwertes einer abgegrenzten Position bestimmen, wenn sich einzelne Renditen oder die gesamte Zinsstrukturkurve ändert.418 Verfahren der Sensitivitätsanalyse finden dann Anwendung, wenn verschiedene Parameter eines Risikos relativ genau bekannt sind und der Einfluss eines stark variierenden Faktors auf die Risikoposition geschätzt werden soll.419 Für den Bereich der finanzwirtschaftlichen Risiken ist die Anwendung von Sensitivitätsanalysen sinnvoll, da sich diese Risikopositionen funktional abbilden lassen. Im Bereich der betrieblichen Risiken können funktionale Zusammenhänge meist nicht hergestellt werden. Mit Hilfe der Regressionsanalyse können jedoch Auswirkungen von Risikofaktoren auf eine Zielgröße empirisch abgeleitet werden, wenn man von konstanten Korrelationen im Zeitablauf ausgeht. Durch die starken Vereinfachungen und Vernachlässigung der Interdependenzen zwischen den Risiken ist die Sensitivitätsanalyse nur als unterstützende Methode zur Bewertung von Risiken geeignet.420
417 418 419 420
Vgl. Wall, F. (Risikomanagement, 2001), S. 222f. Vgl. hierzu ausführlich Arbeitskreis "Finanzierungsrechnung" (Risikomanagement, 2001), S. 67ff; Scharpf, P. (Treasury, 1998), S. 41ff. Vgl. ausführlich Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 110ff. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 120f.
174
4 Prozess des Risikomanagements
Verhältniskennzahlen
Eine andere Möglichkeit der Risikobewertung verwendet sog. relative Kennziffern zur Risikobewertung. Dabei werden Kennziffern aus einem Quotient von Erfolgsmaß und geeignetem Risikomaß gebildet, z.B. Erfolgserwartung/Verlusterwartung.421 Diese Kennziffern werden auch als risikoadjustierte Performancemaße bezeichnet und stellen eine Möglichkeit der Beurteilung der Zielerreichung bei Risiko dar. Sie finden vor allem im Bankrisikomanagement Anwendung, wo sie zur risikogerechten Kapitalverteilung eingesetzt werden und zur Erfolgskontrolle von Einzelgeschäften oder Geschäftsbereichen dienen.422 Weit verbreitet ist die Maßzahl „Risk adjusted return on capital“ (RAROC)423, bei der ein mathematisch adjustiertes Ergebnis einer Kapitalgröße gegenübergestellt wird. „Wirtschaftlich soll mit dieser Kennziffer gezeigt werden, ob die erzielten Gewinne in einem angemessenen Verhältnis zu den zur Erzielung der Gewinne verursachten Verlustrisiken stehen.“424 Das risikoadjustierte Ergebnis ergibt sich aus den erwirtschafteten Erträgen abzüglich der tatsächlichen Kosten sowie abzüglich der Risikokosten. Bei den Risikokosten handelt es sich um einen durchschnittlichen Verlust, der anhand von Schätzverfahren ermittelt wird. Eine Berechnung auf Planbasis ist ebenfalls möglich. Die Komponente Kapital ist die für die Risikotragfähigkeit relevante Größe und ist insofern von Finanzierungsmethoden unabhängig. Maßgeblich ist eine Größe, die ein Unternehmen als Ressource zur Verfügung hat, um eventuelle Verluste aufzufangen. Diese Größe wird häufig als „Ökonomisches Kapital“ bezeichnet. Eine Beziehung zwischen ökonomischem Kapital und Eigenkapital besteht insoweit, als dass das ökomische Kapital das Eigenkapital nicht übersteigen darf.425 Der RAROC bildet somit eine relative Kennziffer, mit der auch der Erfolg verschiedener Geschäfte mit unterschiedlichem Risikogehalt miteinander verglichen werden kann.426 Weitere Verhältniskennzahlen sind der „return on Risk adjusted capital“ (RORAC)427 sowie der „Return on risk adjusted assets“ (RORAA). Im Gegensatz zum RAROC wird bei RORAC die Risikokomponente in der Kapitalgröße berücksichtigt. Der Ertrag einer Risikoposition wird in Relation zu einer risikoadjustierten Kapitalbasis gesetzt. Bei zwei Risikopositionen mit gleichem Geschäftsvolumen hat diejenige Position das größere Risiko, für die eine höhere
421 422 423 424 425 426 427
Vgl. Kromschröder, B./Lück, W. (Grundsätze, 1998), S. 1575. Vgl. Baumeister, A. (Performancemaße, 2003), S. 221. Vgl. Schierenbeck, H. (Risikopolitik, 1998), S. 317. Löw, E./Roggenbuck, H. E. (Performancemaße, 2002), Sp. 1400. Vgl. Löw, E./Roggenbuck, H. E. (Performancemaße, 2002), Sp. 1400f. Vgl. Schierenbeck, H. (Konzeption, 1997), S. 30. Vgl. Schierenbeck, H. (Risikopolitik, 1998), S. 313ff; Fröhling, O. (KonTraG, 2000), S. 75f.
4 Prozess des Risikomanagements
175
Eigenkapitalausstattung erforderlich ist.428 RORAA hingegen stellt ein risikoadjustiertes Ergebnis den risikoadjustierten Aktiva gegenüber.429 Diese Kennzahlen können den Informationsstand von externen Adressaten verbessern, setzen jedoch ein tiefgreifendes Verständnis der angewandten Methoden, der getroffenen Annahmen und gewählten Berechnungsmodelle voraus.430 Bspw. können Risikointerdependenzen nicht oder nur unzureichend berücksichtigt werden, wenn anhand der Kennzahlen über die Aufnahme von Neuprojekten in ein bestehendes Geschäftsportfolio entschieden werden soll.431 Hinzu kommt, dass die dargestellten Kennzahlen in erster Linie für den Bereich der finanziellen Risiken entwickelt wurden und wenige Anhaltspunkte für qualitative Risiken bieten. Eine weitere Möglichkeit, Risiken unternehmensindividuell mit einer Verhältniskennzahl zu bewerten, bietet der sog. Risk-adjusted-value (RaV) nach DEMBO/FREEMAN432. Es handelt sich hierbei um einen risikoangepassten Wert, der sich durch ein Gegenrechnen des subjektiven Gewinn- und Verlustpotenzials einer Entscheidungsmöglichkeit ergibt. Das Gewinnpotenzial, auch als upside bezeichnet, entspricht dabei einer Wette auf einen bestimmten Gewinn, das Verlustpotenzial (downside) dem Gegenwert einer Versicherungspolice für den maximal entstehenden Schaden. Ein positiver RaV belegt, dass eine Möglichkeit vorteilhaft ist, sie sagt jedoch nichts über den tatsächlichen Gewinn aus.
433
Der RaV berücksichtigt in
hohem Maße die Risikoneigung der Entscheider. Es können sich deshalb grundsätzlich Unterschiede zu den aus der Wahrscheinlichkeitstheorie stammenden Erwartungs- oder Durchschnittswerten einer Risikoposition ergeben.434 Die persönliche Risikoneigung spiegelt sich dabei stark in der persönlich tragbaren möglichen Verlusthöhe wieder (downside). 4.4.2.2 Qualitative Ansätze Die qualitativen Ansätze beschäftigen sich mit der Bewertung von Risiken, bei denen keine objektiven Wahrscheinlichkeiten und damit Erwartungswerte gegeben sind und eine exakte Bemessung des Schadenspotenzials unmöglich ist. Risiken, die sich nur schwer quantifizieren lassen sind bspw. die Auswirkungen des Verlustes von Wissensträgern auf das Unternehmen, Imageschäden oder vernachlässigte Forschung und Entwicklung. Insbesondere die Quantifi-
428 429 430 431 432 433 434
Vgl. Schierenbeck, H. (Konzeption, 1997), S. 27. Vgl. Löw, E./Roggenbuck, H. E. (Performancemaße, 2002), Sp. 1401 f. Vgl. Löw, E./Roggenbuck, H. E. (Performancemaße, 2002), Sp. 1403. Vgl. ausführlich zu Kritik an den risikoadjustierten Perfomancemaßen Baumeister, A. (Performancemaße, 2003), S. 225f. Vgl. Dembo, R. S./Freeman, A. (Riskmanagement, 1998), S. 38ff. Vgl. Dembo, R. S./Freeman, A. (Riskmanagement, 1998), S. 73. Vgl. Dembo, R. S./Freeman, A. (Riskmanagement, 1998), S. 74.
176
4 Prozess des Risikomanagements
zierung von strategischen Risiken ist nur begrenzt möglich.435 Wie bereits dargestellt, müssen für diese Fälle subjektive Wahrscheinlichkeiten gebildet werden, die den Grad des persönlichen Fürwahrhaltens widerspiegeln.436 Ein Risiko wird in Abhängigkeit von der Risikoneigung der bewertenden Person regelmäßig unterschiedlich eingestuft werden. Würde jedes Risiko von allen genau gleich bewertet, blieben viele Chancen ungenutzt.437 Um die Erwägungen jedoch für Dritte nachvollziehbar zu machen, ist eine Dokumentation der Überlegungen unabdingbar. Bestandsgefährdende Risiken im Sinne des KonTraG sind zu überwiegenden Teilen Risiken, die mit einer subjektiven Eintrittswahrscheinlichkeit verbunden sind.
Annualisierung
Um die Eintrittswahrscheinlichkeit zu ermitteln, wird hilfsweise mit Fragen gearbeitet, die nach der Häufigkeit des Schadenseintritts in den nächsten 5, 10 , 20 oder 10 Jahren fragen. Daraus lassen sich Rückschlüsse für die Eintrittswahrscheinlichkeit im folgenden Jahr treffen. Rechnet der Entscheidungsträger bspw. mit einem Eintritt des Risikos einmal in 10 Jahren, so entspricht dies einer Eintrittswahrscheinlichkeit von 10 % pro Jahr.438 Neben der Eintrittswahrscheinlichkeit lassen sich auch die Schadenshöhen annualisieren bzw. periodisieren: bspw. liegt der erwartete jährliche Schaden für ein in 5 Jahren einmal auftretendes Risiko in Höhe von 5 Mio € bei 1 Mio €.439 Der Nutzen dieser Berechnung liegt in einer Quantifizierung der durchschnittlichen Schadenserwartung für eine Periode, die einen ersten Hinweis auf eine Basisrisikovorsorge für die berechnetet Periode bildet. Allerdings bringt diese vereinfachte Darstellung nicht übersehbare Nachteile mit sich: Interdependenzen der Risiken untereinander werden nicht deutlich gemacht, vorausgesetzt wird, dass zwischen dem Eintritt und der Schadenshöhe der Risiken keine Korrelation besteht. Das Einzelrisiko wird in dieser Darstellungsform nur unzureichend abgebildet und völlig unterschiedliche Risiken werden im Hinblick auf die Eintrittswahrscheinlichkeit völlig gleich bewertet. Einzelne Risiken mit bestandsgefährdenden Auswirkungen bedürfen jedoch einer differenzierteren Betrachtung als ein Kleinstschaden von 500 € wöchentlich, durch eine Periodisierung verschwinden die Un-
435 436 437 438 439
Vgl. KPMG (Risikomanagement, 1998), S. 22. Vgl. Braun, H. (Risikomanagement, 1984), S. 238f. Vgl. Bernstein, P.L. (Riskmanagement, 1997), S. 134. Vgl. Löhr, D. (KonTraG, 2000), S. 315. Vgl. Füser, K./Gleißner, W./Meier, G. (Risikomanagement, 1999), S. 755; Burger, A./Buchhart, A. (RisikoControlling, 2002), S. 107f.
4 Prozess des Risikomanagements
177
terschiede jedoch völlig. Ein annualisiertes Bewertungskonzept kann daher nur als grober Ansatzpunkt für die Risikobewältigung dienen.440 Durch die starke mathematische Vereinfachung dieses Vorgehens kann das tatsächliche Schadensausmaß bei Risikoeintritt falsch widergespiegelt werden. Neben einer jährlichen Betrachtung sollte auch ein Gesamtrisikoüberblick über einen größeren Zeitraum ermöglicht werden, der das Risikoausmaß deutlich werden lässt. Im Rahmen der Risikobewertung wird deshalb häufig abgeraten, eine Bestimmung der periodisierten bzw. annualisierten Erwartungswerte der Schäden vorzunehmen.
Klassifizierung
Eine andere Möglichkeit liegt in der Einordnung nach qualitativen Möglichkeiten ihres Eintretens (z.B. von sehr unwahrscheinlich über möglich bis sehr wahrscheinlich), denen dann subjektiv definierte Wahrscheinlichkeitsbereiche zugeordnet werden können.441 Neben der Eintrittswahrscheinlichkeit muss dabei auch die Höhe des Schadens, also das Schadensausmaß, bestimmt werden. Die Höhe des möglichen Schadens kann in diesem Falle z.B. in Relation zum Eigenkapital oder dem Ergebnis gesetzt werden. Als bestandsgefährdend gelten Risiken dann, wenn sie bspw. 50% oder mehr des Eigenkapitals übersteigen oder einen bestimmten Anteil am geplanten Ergebnis ausmachen (vgl. 4.4.1). Klassifikationen dieser Art können der Unternehmensführung als Orientierungshilfe dienen und je nach Risikoneigung modifiziert werden. Für die operativen Bereiche können dann Risikorichtwerte heruntergebrochen werden.442 Obwohl für qualitative Risiken kein exakter Wert hinsichtlich der Eintrittswahrscheinlichkeit und des Schadensausmaßes bestimmt werden kann, müssen die qualitativ bewerteten Risiken dennoch vergleichbar gemacht werden, um gezielte Steuerungsmaßnahmen auswählen zu können. Vorgeschlagen wird deshalb eine Zuordnung der Risiken zu verschiedenen Risikoklassen.443 Eine Einteilung in wenige Risikoklassen ist dabei vorteilhafter als eine Bildung von vielen verschiedenen Klassen, die eine Zuordnung im Bereich der qualitativen Risiken erschweren und eine Scheingenauigkeit vermitteln444, die aufgrund der ungenauen Bewertung
440 441
442 443 444
Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 109. Vgl. Haas, C. (Unsicherheit, 1965), S. 37;Saitz, B. (Risikomanagement, 1999), S. 83; Helmke, S./Risse, R. (Risikomanagement, 1999), S. 277 heben hervor, dass eine Grobabschätzung des Risikoausmaßes und der Eintrittswahrscheinlichkeit für die Praxis in den meisten Fällen völlig ausreichend ist. Vgl. Löhr, D. (KonTraG, 2000), S. 316. Zu anderen Möglichkeiten der Klassenbildung vgl. Fasse, F.-W. (Risk-Management, 1995), S. 216ff. Vgl. Hermann, D.C. (Risikomanagement, 1996), S. 27.
178
4 Prozess des Risikomanagements
nicht gegeben ist. Eine Einteilung in vier Risikoklassen wie in Abbildung 32 findet aus diesen Gründen häufig Anwendung.445 Risikoklasse
Risikoklasse IV (existenzbedrohendes Risiko)
IV
III
Risikoklasse III (größeres Risiko)
II
I
Risikoklasse II (mittleres Risiko) Risikoklasse I (geringes Risiko) Gefährdung gering
mittel
groß
existenzbedrohend
Abbildung 32: Beispielhafte Darstellung von Risikoklassen Die beispielhafte Darstellung erfolgt nach dem Kriterium der Gefährdung des Unternehmenserfolges. Die Risikoklassen kennzeichnen mit zunehmender Klasse eine steigende Unternehmensgefährdung. Der Nutzen einer Klassenbildung ist vor allem in der Systematisierung zu sehen. Nach einer Klassifizierung ist deutlicher, welche Risiken einer vertiefenden Beobachtung unterzogen werden müssen und wo welcher Handlungsbedarf besteht. Allerdings handelt es sich bei der Klassifizierung auch um ein Instrument, das sehr stark vereinfacht. Die Einordnung in eine Klasse erfolgt jeweils subjektiv und eine Steuerung allein auf Basis der Klassifizierung erscheint wenig sinnvoll. Wie auch in dem dargestellten Beispiel fehlt häufig eine Größeneinordnung bei der Bewertung. Auch die Einordnungskriterien in die einzelnen Klassen sind häufig unklar, weshalb Abgrenzungsprobleme bestehen. Eine Definition von Einordnungskriterien und Abgrenzungsmerkmalen ist deshalb wünschenswert.446 Die Schätzungen über Wahrscheinlichkeiten von Risiken sind in hohem Maße subjektiv und hängen von den Fähigkeiten und Erfahrungen einzelner im Umgang mit den jeweiligen Risiken ab. Durch ein Urteil mehrerer Experten, auch aus unterschiedlichen Bereichen des Unternehmens oder von außerhalb des Unternehmens, können Einschätzungen "verobjektiviert" 445
Vgl. Reichmann, T./Form, S. (Risk-Management, 2000), S. 192; Burger, A./Buchhart, A. (RisikoControlling, 2002), S. 103ff.
4 Prozess des Risikomanagements
179
werden. Auch regelmäßig durchgeführte Schulungsmaßnahmen und Weiterqualifizierungsprogramme können dazu beitragen, die Genauigkeit der Urteile zu erhöhen.447
Portfolio-Technik
Eine weitere Form der Bewertung und Darstellung qualitativer Risiken besteht in der Methode des Risikoportfolios, die zugleich auch auf die quantitativen Risiken angewendet werden kann. Mit Hilfe der Portfolio-Technik wird versucht, verschiedene Aktivitäten oder strategische Geschäftseinheiten optimal zu kombinieren, so dass ein für die Zielerreichung ausgewogenes Produkt- und /oder Leistungsprogramm erreicht wird.448 Das so entstehende Risikoportfolio bedient sich der Idee der Portfolio-Technik, wobei die Achsenbezeichnungen abgewandelt werden. Es kann Anwendung finden für einzelne Risikopositionen, aber auch für Risikobereiche im Unternehmen oder das ganze Unternehmen. Dann allerdings ergibt sich die bereits angesprochene Problematik der Risikokumulation. Je nach Quantifizierbarkeit können die Achsen numerisch oder ordinal skaliert sein.449 Es existieren aufgrund der verschiedenen Möglichkeiten der Berücksichtigung von Einflussfaktoren eine Vielzahl unterschiedlicher Portfolios, weshalb hier nur ein Ausschnitt wiedergegeben werden kann.
Eine Möglichkeit der Darstellung stuft Risiken in Bezug auf ihre Eintrittswahrscheinlichkeit und ihre erwarteten Schadensauswirkungen ein und stellt diese grafisch dar.450 Die nachfolgende Abbildung 33 zeigt ein Beispiel für die Darstellung von qualitativ einzuschätzenden Risiken:
446 447 448 449 450
Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 105. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 219. Vgl. Baum, H.-G./Coenenberg, A./Günther, T. (Controlling, 1999), S. 181. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 162. Vgl. KPMG (Risikomanagement, 1998), S. 22f.; Amhof, R./Schweizer, M. (Risikomanagement, 2000), S. 718.
180
4 Prozess des Risikomanagements
Schadenshöhe
existenzbedrohend Handlungsbedarf
schwerwiegend unter Umständen Handlungsbedarf
mittel
kein Handlungsbedarf
gering
sehr wahrscheinlich
wahrscheinlich
möglich
unwahrscheinlich
unmöglich
unbedeutend
Eintrittswahrscheinlichkeit
Abbildung 33: Risikoportfolio451 In dieser Abbildung wird gleichzeitig der abgeleitete Handlungsbedarf für die einzelnen Felder des Risikoportfolios deutlich. Auch Risiken, die sich in dem Bereich befinden, der vorerst keinen Handlungsbedarf auslöst, sollten weiter beobachtet werden, um eine eventuelle Verstärkung zu vermeiden.452 In der Literatur findet sich häufig der Hinweis darauf, dass vor allem die Risiken des oberen rechten Bereichs im Fokus des KonTraG liegen und einen dringenden Handlungsbedarf aufweisen. Es ist jedoch unwahrscheinlich und nicht zu hoffen, dass Unternehmen in diesem Bereich viele Risikopositionen einordnen können. Wenn gleichzeitig eine hohe Eintrittswahrscheinlichkeit bei existenzbedrohendem Ausmaß für mehrere Risiken vorliegt, dürfte dem Unternehmen nur eine sehr geringe Fortbestehenschance eingeräumt werden. Bestehen potenzielle Risiken in diesem Bereich, begründet durch eine noch zu treffende Entscheidung, so ist dem Unternehmen von der Wahrnehmung der dem Risiko gegenüberstehenden Chancen aufgrund der hohen Existenzgefährdung abzuraten.453 Im Sinne des KonTraG scheint deshalb eine genaue Beobachtung des mittleren bis oberen Bereiches der Schadenshöhe relevant, denn die Risiken in diesem Bereich können erhebliche Auswirkungen auf die Unternehmensexistenz haben. Die Eintrittswahrscheinlichkeit erscheint dafür eher nebensächlich.
451 452 453
Vgl. Lindeiner-Wildau, K. (Risiko-Management, 1986), S. 28; C&L (Risikomanagement, 1998), S. 14. Vgl. C&L (Risikomanagement, 1998), S. 14. Vgl. Hölscher, R. (Gestaltungsformen, 2000), S. 326.
4 Prozess des Risikomanagements
181
Die vorangegangene Darstellung beinhaltet lediglich den Risikoaspekt. Allerdings gibt es auch Möglichkeiten, den Chancenaspekt als Entscheidungshilfe in die Darstellung der Risiken mit einzubeziehen. Eine solche Variante stellt das Chancen-Risiko-Portfolio dar, das die Visualisierung von Chancen und Risiken vereint. Werden die Chancen dabei über den Erwartungswert der Rendite dargestellt und die Risiken über die Varianz der Rendite, ist eine Quantifizierung sowohl der Chancen als auch der Risiken notwendig. Einen Überblick gibt folgende Darstellung:
Erwartungswert der Rendite E(r)
hoch
Problemlose Investition
Investition mit Beobachtung der Risiken
Fragliche Investition
mittel
Problemlose Investition mit Überprüfung von Chancen
Investition mit Überprüfung von Chancen und Risiken
Zweifelhafte Investition
niedrig
Fragliche Investition
Investition ausgeschlossen
Investition ausgeschlossen
niedrig
mittel
hoch
Varianz der Rendite Var(r)
Abbildung 34: Chancen-Risiko-Matrix mit Handlungsempfehlungen454 Aus dieser Darstellung lassen sich zugleich auch Handlungsempfehlung ablesen. Es erscheint jedoch fraglich, ob eine Investition mit hohem Risiko und gleichzeitig hohem Chancenpotenzial eine aus Sicht des KonTraG lediglich "fragliche Investition" - wie in der Matrix angedeutet - darstellt und nicht vielmehr aufgrund des bestandsgefährdenden Risikos ausgeschlossen sein sollte. Darüber hinaus verstößt diese Form der Darstellung gegen die eingangs in Abschnitt 4.4.1 dargelegte Forderung der Trennung von Chancen- und Risikoaspekten, um den zugrundeliegenden Sachverhalt nicht zu optmistisch zu betrachten.
Eine weitere Möglichkeit der Integration des Chancenaspekts stellt das Risk-RewardProbability-Portfolio nach FRÖHLING455 dar. Es handelt sich hierbei um ein dreidimensiona-
454 455
Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 169. Vgl. Fröhling, O. (Reward, 2000), S. 12.
182
4 Prozess des Risikomanagements
les Portfolio, das Ergebnispotenziale dem Schadenspotenzial und der Eintrittswahrscheinlichkeit eines Risikos gegenüberstellt. Durch diese Form der Darstellung besteht auch die Möglichkeit die Wirkung von risikoverringernden Sicherungsmaßnahmen im Hinblick auf Risikopotenzial und Höhe der Eintrittswahrscheinlichkeit darzustellen.456
Alle Portfolio-Darstellungen bestechen zunächst durch ihre einfache Darstellungsform; Konzentrationen bzw. Verteilungen von Risiken lassen sich einfach erkennen. Das Instrument der Portfolio-Technik kann sowohl für die Planung bzw. Steuerung von Risiken verwendet werden als auch als Kontrollinstrument.457 Ein weiterer Vorteil dieser Technik liegt in der Möglichkeit, unternehmensinterne mit unternehmensexternen Informationen zu verbinden.458 Die einfache und subjektive Technik der Portfolio-Darstellung kann die Aufmerksamkeit des Managements auf die wichtigsten Risiken fokussieren und als Grundlage für die Entwicklung von Risikomanagementstrategien dienen. Außerdem kann ein Risikoportfolio als Grundlage für die Aggregation der Risiken herangezogen werden.459 Wichtig ist dabei stets zu beachten, dass es sich bei der Darstellung nur um eine Momentaufnahme handelt, da sich die Risiken durch ein turbulentes Umfeld ständig verändern.460 Außerdem unterliegen die einzelnen Risiken unterschiedlichen Zeithorizonten, weshalb zusätzliche Prämissen notwendig sind, die eine Addition oder aggregierte Darstellung ermöglichen.461 Bei Portfolio-Darstellungen handelt es sich stets um eine sehr starke Vereinfachung, die nur als grobe Richtungsbestimmung dienen sollte. Des Weiteren kämpft jede PortfolioDarstellung auch gegen verschiedene Unvollständigkeitsprobleme. Durch eine zwei- bzw. dreidimensionale Darstellung wird es nie gelingen, alle relevanten Aspekte abzubilden, die eine fundierte Entscheidungsgrundlage bilden.462
Scoring-Modelle
Scoring-Modelle sind eine Möglichkeit, qualitative und quantitative Risiken gleichermaßen zu bewerten. Scoring-Modelle können zu verschiedenen Zwecken im Unternehmen eingesetzt werden, ein Anwendungsfeld ist die Risikobewertung. Risiken oder Sachverhalten mit hete-
456 457 458 459 460 461 462
Vgl. ausführlich Fröhling, O. (KonTraG, 2000), S. 98ff. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 172. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 187. Vgl. Amhof, R./Schweizer, M. (Risikomanagement, 2000), S. 718. Vgl. Hornung, K. /Reichmann, T. /Diederichs, M. (Risikomanagement I, 1999), S. 320. Vgl. C&L (Risikomanagement, 1998), S. 14; Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 91. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 173.
4 Prozess des Risikomanagements
183
rogenem Charakter im Hinblick auf die Messbarkeit können durch die Zuordnung von Wertungspunkten in ihren Auswirkungen vergleichbar gemacht werden. Bei der Bewertung von Risiken kann z.B. die Eintrittswahrscheinlichkeit, die Schadenswirkung und -reichweite und die Dringlichkeit als Kriterien festgelegt werden. Jedes Kriterium erhält eine Gewichtung und die unterschiedlichen Risiken werden im Hinblick auf die Erfüllung der Kriterien mit Punktwerten belegt. Durch Multiplikation der Kriteriengewichtung mit den Punktwerten können vergleichbare Risikowerte ermittelt werden. Dieses Vorgehen kann sowohl auf strategischer Ebene als auch auf operativer Ebene angewandt werden.463 Ein Vorteil von Scoring-Modellen liegt sicherlich in der Möglichkeit, unterschiedlichste Risiken vergleichbar zu machen und zu aggregieren. Eine Vergleichbarkeit von Risiken einzelner Geschäftsfelder oder Unternehmensbereiche ist ebenso möglich, wie die Bildung eines Gesamtrisikos. Allerdings wird dieses Modell von subjektiven Einschätzungen dominiert. Die subjektive Punktverteilung kann zur Folge haben, dass eine scheingenaue Bewertung durchgeführt wird, da schon vor der Bewertung gewisse Handlungsalternativen bevorzugt werden oder Risiken stärker eingeschätzt werden. Wenn an verschiedenen Stellen im Unternehmen mit Scoring-Modellen gearbeitet wird, sind einheitliche Bewertungsmuster vorzugeben, die eine konsistente Bewertung unabhängig von der bewertenden Person sicherstellen. Schon diese Anforderung scheint nicht erfüllbar, aber auch die Wechselwirkungen und Interdependenzen zwischen den Risiken lassen sich mit dem Modell nicht berücksichtigen. Eine verlässliche Aussage über eine Gesamtrisikoposition ist somit nicht gegeben. Ein weiterer Nachteil besteht in der gleichen Bewertung von Risiken, die mit unterschiedlicher Qualität identifiziert wurden.464 Zur Bewertung der nicht quantifizierbaren Risiken eignet sich auch die bereits unter 4.3.3.4.3.3 dargestellte Szenariotechnik. Neben den möglichen Auswirkungen eines Risikos können hier im Gegensatz zu den finanzorientierten Risikobewertungsmethoden auch Chancen mitberücksichtigt werden. 465 4.4.3
Zusammenfassende Beurteilung
Zielsetzung der Risikobewertung ist eine möglichst genaue Einschätzung aller identifizierten Risiken, um das notwendige Maßnahmenprogramm zum Umgang mit den Risiken ableiten zu können. Im Bereich der operativen und eher finanziellen Risiken ist eine genaue Bewertung nach Eintrittswahrscheinlichkeit und Schadenshöhe möglich. Je strategischer und langfristiger
463 464 465
Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 156ff. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 160f. Vgl. Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 27.
184
4 Prozess des Risikomanagements
die Risiken einzustufen sind, umso schwieriger wird jedoch auch deren exakte Bewertung. Hier können qualitative Verfahren der Bewertung verwendet werden, die allerdings nur eine eher grobe Einschätzung ermöglichen. Problematisch ist weiterhin die Forderung nach einer isolierten Betrachtung der Risiken, losgelöst von den sich bietenden Chancen. Risiken werden im Unternehmen i.d.R. nur dann hingenommen werden, wenn die sich bietenden Chancen das Risiko übersteigen.466 Eine gleichzeitige Bewertung der Chance, die in Verbindung mit dem Risiko auftritt erscheint deshalb notwendig, wenngleich eine Saldierung von Risiko und Chance unzulässig ist. Bei einer zu starken Risikofokussierung besteht tendenziell die Gefahr zu wenig Chancen zu identifizieren und wahrzunehmen, was sich ebenfalls zu einer bestandsgefährdenden Entwicklung ausweiten kann.
Das Kosten-Nutzen-Verhältnis der zur Auswahl stehenden Bewertungsmodelle ist im Bereich der Risikobewertung weniger von Interesse. Die anfallenden Bewertungskosten sind bei allen Verfahren eher gering einzuschätzen. Eine Ausnahme bilden die VaR-Verfahren, die einen hohen Implementierungsaufwand aufweisen, danach jedoch auch eine schnelle und kostengünstige Einschätzung eines finanziellen Risikos ermöglichen.
Werden für die Quantifizierung von Risiken mathematisch-statistische Modelle zugrunde gelegt, besteht die Gefahr der Scheingenauigkeit, die diese Modelle regelmäßig hervorrufen. Lassen sich vergangene Ereignisse durch Zahlen sehr gut analysieren, trifft das für die unbekannte Zukunft nur bedingt zu. Eine solche Scheingenauigkeit kann dann problematisch werden, "wenn z.B. die Risiken, die aufgrund von Modellrechnungen als sehr unwahrscheinlich ausgewiesen wurden, in der Folge als derart unmöglich angesehen werden, daß sie nicht mehr mit der nötigen Aufmerksamkeit beobachtet werden"467. Informationssysteme, die auf einer mathematisch-statistischen Aufbereitung von Vergangenheitszahlen aufbauen können somit nur bedingt zu einer besseren Problembewältigung beitragen und bergen die Gefahr das „Problembewusstsein FREEMAN
469
der
praktisch
Entscheidenden
einzuschläfern“.468
DEMBO/
werfen deshalb die Frage auf, ob sich Unternehmen und vor allem Banken bei
der Risikosteuerung zu sehr auf mathematische und computergestützte Modelle verlassen, die eine nicht existierende Scheingenauigkeit erzeugen. Sie befürworten jedoch die dadurch aus-
466 467 468 469
Vgl. Kromschröder, B./Lück, W. (Grundsätze, 1998), S. 1574. KPMG (Risikomanagement, 1998), S. 23. Schneider, D. (Risk Management, 2001), S. 189. Vgl. Dembo, R. S./Freeman, A. (Riskmanagement, 1998), S. 29.
4 Prozess des Risikomanagements
185
gelöste Diskussion um bestehende Risikomodelle, die ihrer Ansicht nach zu erfolgreichen Weiterentwicklungen führen wird. Denn auch - und gerade - sehr unwahrscheinliche Risiken können zu einer für das Unternehmen bestandsgefährdenden Situation führen. Es empfiehlt sich deshalb, auch denjenigen Risiken Beachtung zu schenken, die keinen sofortigen Handlungsbedarf auslösen und die weitere Entwicklung im Hinblick auf Eintrittswahrscheinlichkeit und Schadenshöhe zu verfolgen.
Ein grundsätzliches Problem der Risikobewertung besteht in der menschlichen Neigung, aktuelle Erscheinungen im Vergleich über zu bewerten und langfristige Entwicklungen unter zu bewerten. Eine Überbetonung der Gegenwart kann jedoch strategische Fehlentscheidungen hervorrufen, weil die Lage insgesamt falsch eingeschätzt wird.470 In der Praxis besteht weiterhin häufig das Problem, dass das Wissen über Chancen und Risiken und deren Einflussfaktoren, die für die Bewertung wesentlich sind, nur dezentral vorhanden ist und keine durchgägnige Kommunikation an die Entscheidungsträger sichergestellt ist.471
4.5 Phase der Risikosteuerung
4.5.1
Gegenstand
Im Rahmen der Risikosteuerung bzw. Risikobewältigung müssen Möglichkeiten gefunden werden, die eine Reaktion auf das identifizierte und bewertete Risikospektrum erlauben und gleichzeitig im Einklang mit der festgelegten Risikopolitik stehen. Durch unterschiedliche Strategien und Maßnahmen soll aktiv versucht werden, das Verhältnis von Chancen und Risiken auszutarieren und die Risikostrategie an die Gesamtunternehmensstrategie anzupassen.472 Eine weit verbreitete Unterscheidung der Risikosteuerungsmaßnahmen ist eine Aufteilung in ursachenbezogene Maßnahmen und wirkungsbezogene Maßnahmen.473 Die ursachenbezogenen Maßnahmen setzen an der Ursache des Risikos an und versuchen diese zu beeinflussen. Die wirkungsbezogenen Maßnahmen hingegen versuchen die Auswirkungen bei Eintritt eines Risikos zu handhaben. Einen Überblick über die Maßnahmen zur Risikosteuerung gibt Abbildung 35.
470 471 472 473
Vgl. Bernstein, P.L. (Riskmanagement, 1997), S. 230. Vgl. Weber, J./Liekweg, A. (Rationalität, 2001), S. 491. Vgl. Kromschröder, B./Lück, W. (Grundsätze, 1998), S. 1575. Vgl. Kupsch, P. (Risiken, 1975), S. 154; ähnlich Wossidlo, P. (Reservierung, 1970), S. 46f.
186
4 Prozess des Risikomanagements
Maßnahmen zur Risikosteuerung
Ursachenbezogene Maßnahmen
Informationsgewinnung
Risikovermeidung
Wirkungsbezogene Maßnahmen
Risikoverhütung
Verlustvorsorge
Verlustverkürzung
Risikozerlegung
Abdeckung durch Reserven
Risikoteilung
Verlustausgleich
Risikobegrenzung
Risikoüberwälzung
Abbildung 35: Maßnahmen zur Risikosteuerung474 Es wird in der Literatur475 jedoch auch Kritik an einer - wie auch immer gearteten - Klassifizierung der Risikosteuerungsmöglichkeiten geäußert. So schildert BRAUN476 an einem Beispiel, dass eine Maßnahme wirkungsbezogen sein kann im Hinblick auf eine Risikoposition wie bspw. einen Maschinenausfall. Durch die vielfältigen Wirkungszusammenhänge der einzelnen Risiken untereinander erweist sich diese Maßnahme jedoch u.U. auf andere Risikopositionen als ursachenbezogen. Obwohl diese Kritik berechtigt ist, kann als Orientierungshilfe trotzdem der Klassifikation in ursachen- und wirkungsbezogene Maßnahmen gefolgt werden.
Im Umgang mit unternehmerischen Risiken lassen sich zwei Situationen unterscheiden: zum einen gibt es die operativen, kurzfristig zu steuernden Risiken, die sich mit den unter 4.5.2.1 und 0 vorgestellten ursachen- und wirkungsbezogenen Möglichkeiten handhabbar machen lassen. Zum anderen existieren die strategischen Risiken, die darüber hinaus auch mit anderen Instrumentarien gesteuert werden können. Aufgrund der Langfristigkeit ergeben sich hier Möglichkeiten, die es erlauben, die Risikosituation aktiv umzugestalten und bspw. durch eine 474 475 476
Vgl. ähnlich Kupsch, P. (Risiken, 1975), S. 155; Kupsch, P. (Risiko, 1973), S. 41. Vgl. Karten, W. (Risk Management, 1978), S. 317f. Vgl. Braun, H. (Risikomanagement, 1984), S. 257f.
4 Prozess des Risikomanagements
187
veränderte Planung Risiken in Chancen umzuwandeln. Eine Möglichkeit im Umgang mit strategischen Risiken ist die Eventualplanung, auf die unter 4.5.2.3 eingegangen wird. Eine trennscharfe Abgrenzung zwischen operativen und strategischen Risiken wird nicht für alle Risiken im Unternehmen herzustellen sein, es lassen sich jedoch grundsätzliche Empfehlungen aussprechen. Ein unternehmensindividuelles Abwägen entfällt dadurch jedoch nicht. 4.5.2
Möglichkeiten der Risikosteuerung
4.5.2.1 Ursachenbezogene Maßnahmen Die ursachenbezogenen Maßnahmen zur Beeinflussung eines Risikos setzen an den Risikoursachen an und versuchen dadurch den Eintritt des Risikos zu verhindern oder abzuschwächen. Zu den ursachenbezogenen Steuerungsmöglichkeiten können die Informationsgewinnung, die Risikovermeidung und die Risikoverhütung gezählt werden. Die Risikovermeidung als Verzicht auf das Risiko ist generell nur bei Einzelrisiken anwendbar. Problematisch ist, dass mit einer Risikovermeidung auch ein Verzicht auf die Wahrnehmung von Gewinnchancen stattfindet. Das Sicherheitsziel, das durch die Risikovermeidung verfolgt wird, hat in diesem Fall Vorrang vor anderen Unternehmenszielen wie Umsatz, Gewinn oder Wachstum. Aus diesen Gründen ist eine Risikovermeidung nur in Einzelfällen sinnvoll anwendbar.477 Ergibt sich durch die Bewertung ein bestandsgefährdendes Risiko bei Wahl einer spezifischen Entscheidungsmöglichkeit, sollte - wie in Abschnitt 4.4.2.2 erläutert auf diese Möglichkeit (auch bei großer Gewinnchance) verzichtet werden; eine Risikovermeidung wäre in diesem Falle die richtige Gegenmaßnahme. Die Risikoverhütung kann flexibler als die Risikovermeidung eingesetzt werden und nimmt deshalb in der Unternehmenspraxis einen höheren Stellenwert ein. Die Risikoverhütung versucht, den Risikoeintritt zu verhindern, gleichzeitig jedoch die angestrebte Chance zu nutzen. Dies durch Maßnahmen, die die potenziellen Ursachen bekämpfen, wie bspw. zusätzliche Schutzmaßnahmen zur Verbesserung der Sicherheit oder personalpolitische Schulungsmaßnahmen.478 Zu den ursachenbezogenen Maßnahmen gehören darüber hinaus intensivere Informationsgewinnungsaktivitäten, durch die die Unsicherheit des Planenden reduziert wird.479 Hierzu zählen Maßnahmen der Planungsgestaltung, wie z.B. die Zeitaufschiebung der Planung und Plan477 478 479
Vgl. Haller, M. (Eckpunkte, 1986), S. 31; Kless, T. (Unternehmensrisiken, 1998), S. 96; Lück, W. (Aspekte, 1999), S. 15f. Vgl. Haller, M. (Eckpunkte, 1986), S. 31; Fasse, F.-W. (Risk-Management, 1995), S. 88. Vgl. Kupsch, P. (Risiko, 1973), S. 39.
188
4 Prozess des Risikomanagements
realisation, die Plananpassung, Eventualplanungen (vgl. 4.5.2.3) sowie die flexible Planung.480 Diese Maßnahmen fallen in erster Linie in den Bereich der Steuerung strategischer Risiken.481 Durch flexible Planungssysteme und flexible Organisationsstrukturen kann ein Unternehmen auf die sich im Zeitablauf konkretisierenden Risiken besser reagieren.482 Gegenläufig zu einer erhöhten Flexibilität verhalten sich jedoch die Kosten, die mit zunehmender Flexibilität ansteigen. Es gilt somit "bei ausreichender Flexibilität die Kosten möglichst gering zu halten"483. Einem Unternehmen steht die Möglichkeit offen, interne Maßnahmen zur Unternehmensstabilisierung zu ergreifen, die einen Risikoeintritt weniger wahrscheinlich machen. Abhängigkeiten von anderen Marktpartnern, wie Kunden, Lieferanten aber auch Kreditgebern oder der Konkurrenz spielen als Risikofaktoren eine nicht unerhebliche Rolle. Ein Unternehmen sollte deshalb grundsätzlich alle Beziehungen zu seinen Partnern überdenken und evtl. bestehende Abhängigkeiten verringern.484 Die Eintrittswahrscheinlichkeit von Risikoursachen kann durch Sicherungsmaßnahmen wie bspw. den Aufbau enger Lieferantenbeziehungen, die Substitution gefährdeter Rohstoffe oder eine langfristige Instandhaltungspolitik verringert werden. Aber auch adäquate Anreizsysteme sowie eine fachgerechte Ausbildung der Mitarbeiter bieten die Möglichkeit, menschliche Planungs- und Handlungsfehler als weitere Risikoursache neben der Unsicherheit zu verringern.485 4.5.2.2 Wirkungsbezogene Maßnahmen Die wirkungsbezogenen Maßnahmen sollen im Fall eines Eintritts einer Risikoursache die Gefährdung des Unternehmens reduzieren. Zu ihnen zählen Möglichkeiten der Verlustverkürzung wie die Risikobegrenzung, die Risikoübertragung, die Risikoteilung oder die Risikozerlegung. Daneben hat ein Unternehmen stets die Möglichkeit der Verlustvorsorge, die die Risikoselbsttragung durch Verlustabdeckung mit Hilfe von Reserven oder Risikoausgleich ermöglichen soll.486 Im Rahmen der Risikoüberwälzung wird versucht, ein Risiko, meist vertraglich gesichert, auf andere zu überwälzen.487 Unterschieden werden können Versicherungen oder spezielle Ver-
480 481 482 483 484 485 486 487
Vgl. Mikus, B. (Integration, 1999), S. 98; Mikus, B. (Risiken, 2001), S. 16f. Vgl. Götze, U./Mikus, B. (Management, 1999), S. 359. Vgl. Braun, H. (Risikomanagement, 1984), S. 113. Braun, H. (Risikomanagement, 1984), S. 114. Vgl. Braun, H. (Risikomanagement, 1984), S. 108ff. Vgl. Mikus, B. (Integration, 1999), S. 98; Mikus, B. (Risiken, 2001), S. 16f. Vgl. Mikus, B. (Risiken, 2001), S. 17f. Vgl. Leitner, F. (Unternehmungsrisiken, 1915), S. 22f.
4 Prozess des Risikomanagements
189
träge, wie z.B. eine Haftungsüberwälzung.488 "Versicherungsschutz ist ein Angebot, mögliche finanzielle Folgen von zufälligen Schadenereignissen auf Versicherungsunternehmen zu transferieren und somit die Finanzplanung von Haushalten oder Unternehmen sicherer zu gestalten.“489 Voraussetzung dafür ist die Versicherbarkeit eines Risikos, was nur auf einen begrenzten Bereich aller im Unternehmen auftretender Risiken zutreffend ist.490 Für bestimmte Risiken im Unternehmen sind Versicherungen zwingend vorgeschrieben. Vor allem Katastrophenschäden sind zu versichern, da sie zwar nur selten eintreten, das Schadensausmaß jedoch nicht von dem Unternehmen selbst getragen werden kann. Ein optimales Versicherungsprogramm lässt sich jedoch nur erstellen, wenn gleichzeitig alle anderen Möglichkeiten der Risikosteuerung überprüft werden. Fällt die Entscheidung für eine Versicherung des Risikos aus, so sind die Deckungssummen regelmäßig zu überprüfen und ggf. anzupassen, um eine Über- oder Unterdeckung zu vermeiden.491 Die grundsätzliche Alternative zu einer Fremdversicherung bei einem Versicherungsgeber ist das Selbsttragen des Risikos.492 Unternehmen bietet sich jedoch durch eine Versicherung eine umfassendere und unverzügliche Möglichkeit, Finanzpläne abzusichern, als dies im Rahmen von Sparvorgängen möglich ist.493 Die Risikoüberwälzung bildet durch die vertragliche Abstimmung die sicherste, wohl zugleich aber auch teuerste Möglichkeit der Risikobewältigung. Vorteilhaft an dieser Möglichkeit ist jedoch die gute Kalkulierbarkeit der anfallenden Kosten für eine Versicherung.494 Risiken können darüber hinaus auch auf andere Vertragspartner überwälzt werden (Vertragliche Risikobegrenzung). Beispielhaft können hier Garantien, Abnahme- oder Bestellbedingungen, Transport-, Gewährleistungs- oder Produkthaftpflichtrisiken genannt werden, die auf die jeweiligen Vertragspartner verlagert werden.495 Die Kosten dieser Möglichkeit sind schwer zu ermitteln, weil damit zu rechnen ist, dass durch die Überwälzung von Risiken auf die Vertragspartner Konzessionen bei anderen Vertragsbedingungen gemacht werden müssen.496 Eine weitere Möglichkeit, Risiken im Bereich der Verlustverkürzung gegenzusteuern, ist die sog. Risikozerlegung.497 Eine Zerlegung des Risikos in mehrere kleinere Einzelrisiken ist auf lokale, temporale, personelle und sachliche Weise denkbar. Bei einer lokalen Zerlegung wird 488 489 490 491 492 493 494 495 496
Vgl. Haller, M. (Eckpunkte, 1986), S. 32. Helten, E./Bittl, A./Liebwein, P. (Versicherung, 2000), S. 174. Vgl. Karten, W. (Risk Management, 1978), S. 322; Haller, M. (Eckpunkte, 1986), S. 32. Vgl. Hölscher, R./Kremers, M./Rücker, U.-C. (Versicherungsmanagement, 1996), S. 1612f. Vgl. Zellmer, G. (Risiko-Management, 1990), S. 68f. Vgl. Helten, E./Bittl, A./Liebwein, P. (Versicherung, 2000), S. 174. Vgl. Haller, M. (Eckpunkte, 1986), S. 32; Müller, W. (Instrumente, 1979), S. 76; ausführlich zur Kostenwirkung und -zusammensetzung Rücker, U.-C. (Konzepte, 2000), S. 374ff. Vgl. Kupsch, P. (Risiken, 1975), S. 155. Vgl. Müller, W. (Instrumente, 1979), S. 76f.
190
4 Prozess des Risikomanagements
das Risiko eines Unternehmens auf mehrere Standorte verteilt, z.B. Verteilung des Absatzes auf unterschiedliche Ländermärkte. Bei einer temporalen Zerlegung werden die Aktivitäten des Unternehmens zeitlich verlagert. Personelle Zerlegung bedeutet, sich nicht von einigen wenigen Lieferanten oder Kunden abhängig zu machen. Eine Risikozerlegung auf sachlicher Ebene ist gleichzusetzen mit der Diversifikation, indem das bestehende Produktprogramm durch Ausweitung oder Ergänzung stabilisiert wird.498 Bei der Risikoteilung wird ein bestehendes Risiko auf mehrere Unternehmen verteilt. Typischerweise tritt diese Form der Risikohandhabung bei größeren Geschäften auf, Anwendungsbeispiele sind Arbeitsgemeinschaften, strategische Allianzen, Konsortialverträge oder andere Gemeinschaftsverträge.499
Einen weiteren Teilbereich der wirkungsbezogenen Maßnahmen bildet die Verlustvorsorge. Hierunter fällt die Möglichkeit der Risikoübernahme mit Hilfe des internen Risikoausgleichs, die ebenfalls einer Diversifikationsstrategie (sachliche Risikozerlegung) entspricht.500 Hierbei wird versucht, den potenziellen Schaden bei Eintritt eines Risikos durch gegenläufige Geschäfte zu kompensieren. Es wird versucht, die Abhängigkeit von externen Einflüssen durch die Zerlegung eines großen Risikos in viele kleinere Teilrisiken zu minimieren.501 In diesen Bereich fällt auch die Absicherung mit derivativen Finanzinstrumenten (Hedging, Swaps).502 Der interne Risikoausgleich ist meist mit der Einbuße kurzfristig maximaler Ergebnisse verbunden, da auf die Auswahl lediglich einer Handlungsalternative verzichtet wird.503 Des Weiteren können durch Diversifikationsmaßnahmen zusätzliche Risiken entstehen, die auf mangelnde Erfahrung mit dem Umgang neuer Produkte oder Überforderung des Managements resultieren können.504 So konstatiert auch HOLST505, dass "eine durch den puren Diversifikationsgedanken ausgelöste Entfernung vom Kerngeschäft und vom unternehmerischen Erfahrungsbereich tendenziell eher zu einer Unternehmensgefährdung" führt.
497 498 499 500 501 502
503 504 505
Vgl. Kupsch, P. (Risiken, 1975), S. 155. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 88f. Vgl. Kupsch, P. (Risiken, 1975), S. 155. Vgl. Kupsch, P. (Risiken, 1975), S. 155. Vgl. Müller, W. (Instrumente, 1979), S. 74. Vgl. ausführlich zur den Instrumenten der Diversifikation und des Hedging Perridon, L./Steiner, M. (Finanzwirtschaft, 1997), S.356ff.; Holst, J. (Risikomanagement, 1998), S. 20; Broll, U./Milde, H. (Risikomanagement, 1999), S. 570ff.; Brealey, R. A./Myers, S. C. (Finance, 2000), S. 763ff.; Spremann, K./Pfeil, O. P./Weckbach, S. (Value-Management, 2001), S. 227ff. Vgl. Müller, W. (Instrumente, 1979), S. 75. Vgl. Braun, H. (Risikomanagement, 1984), S. 262. Holst, J. (Risikomanagement, 1998), S. 47.
4 Prozess des Risikomanagements
191
Eine andere Möglichkeit besteht darin, dass ein Unternehmen Risiken bewusst ohne weitere Absicherung in Kauf nimmt.506 Entscheidet sich ein Unternehmen, Risiken selbst zu tragen, ist die Risikotragfähigkeit von großer Bedeutung. Nur wenn eine ausreichende Risikotragfähigkeit besteht, kann sich ein Unternehmen die Risikoübernahme leisten.507 Einfluss auf die Risikotragfähigkeit eines Unternehmens hat seine Ertragskraft, seine finanzielle Stabilität und die Größe des Unternehmens.508 Je erfolgreicher ein Unternehmen ist, um so mehr besteht die Möglichkeit, sich finanziell zu stärken und Reserven zu bilden.509 Außerdem geht mit zunehmender Größe häufig ein verbesserter Informationsstand einher, der es den Unternehmen ermöglicht, auf frühzeitige Steuerungsinformationen zurückzugreifen.510 Die Höhe der Risikoübernahme bestimmt sich grundsätzlich durch die Risikopolitik, also die Risikobereitschaft, des Unternehmens.511 Die dafür notwendige "Ansammlung von Rücklagen bzw. Reserven ist [...] wohl das älteste, möglicherweise immer noch das häufigste, oft auch das kostspieligste risikopolitische Instrument"512. Unterschieden werden können Reserven finanzieller Art (Rücklagenbildung)513, materieller Art (z.B. Vorratslager, Reservekapazität) und personeller Art (Einstellung "auf Vorrat").514 Kurzfristig sind diese Arten der Reservebildung unverzichtbar, um Schwankungen ausgleichen zu können und schnell zu reagieren. Langfristig betrachtet erscheint die Reservebildung jedoch wenig effizient: jede Form der Reservebildung kann als Kapitalinvestition verstanden werden, die wenig oder gar keine Rendite erwirtschaftet. Bei alternativer Anlage könnte dieses Kapital jedoch gewinnbringend eingesetzt werden.515 Grundsätzlich lassen sich bei der Reservebildung das Halten eines Liquiditätspolsters und eines Verlustpuffers unterscheiden, die eine Insolvenz verhindern sollen.516 Das Liquiditätspolster bildet sich z.B. aus Kassenbeständen, börsengängigen Wertpapieren oder Kreditzusagen, die es dem Unternehmen ermöglichen, einen Teil des investierten Kapitals schnell zur Deckung eines eintretenden Risikos in Geld umzuwandeln. Der Verlustpuffer ist längerfristig ausgelegt und soll die Zahlungsfähigkeit des Unternehmens über einen Planungszeitraum si-
506 507 508 509 510 511 512 513 514 515 516
Vgl. Lück, W. (Aspekte, 1999), S. 152. Vgl. Schierenbeck, H. (Konzeption, 1997), S. 4. Vgl. Jerschensky, A. (Messung, 1998), S. 68. Vgl. Kupsch, P. (Risiko, 1973), S. 42. Vgl. Müller, W. (Instrumente, 1979), S. 74; Jerschensky, A. (Messung, 1998), S. 69. Vgl. Haller, M. (Eckpunkte, 1986), S. 32. Vgl. Müller, W. (Instrumente, 1979), S. 73. Vgl. ausführlich Rücker, U.-C. (Konzepte, 2000), S. 370. Vgl. Wossidlo, P. (Reservierung, 1970), S. 87ff. Vgl. Müller, W. (Instrumente, 1979), S. 74; Fasse, F.-W. (Risk-Management, 1995), S. 90. Vgl. Schneider, D. (Investition, 1992), S. 42f.
192
4 Prozess des Risikomanagements
cherstellen, indem Investitionen aufgelöst werden können. Dieser Verlustpuffer wird vereinzelt auch als Risikokapital bezeichnet.517 Die Risikoübernahme greift neben einer bewussten Entscheidung - gesteuert durch die Risikopolitik - auch für all diejenigen Risiken, die durch die anderen Möglichkeiten der Risikosteuerung nicht erfasst, falsch bewertet oder schlichtweg nicht entdeckt wurden.518 4.5.2.3 Krisenmanagement Ergänzend zur Risikosteuerung nach den bereits dargestellten Möglichkeiten sollte für Risiken, die das Unternehmen selbst tragen möchte und die eine gewisse Schadenshöhe übersteigen, ein vorbeugender Krisenplan bzw. Alternativplan erarbeitet werden.519 Damit wird ein Unternehmen einerseits der Forderung gerecht, frühzeitig Maßnahmen zur Abwehr von Risiken zu ergreifen, andererseits kann das Management zeigen, dass es auch mit Eintritt von Katastrophenszenarien umzugehen weiß und dadurch Shareholder-Value-Einbußen vermeiden.520 Bestandteil des Alternativenplans521 sollte ein Maßnahmenplan sein, wie bei Eintritt des Risikos zu verfahren ist. So kann trotz Eintritt eines bestandsgefährdenden Risikos möglicherweise die Krise abgewendet werden, wenn das Management in der Lage ist, schnell und sachgerecht zu handeln.522 Ähnliche Vorschriften finden sich auch in den Mindestanforderungen für das Betreiben von Kreditgeschäften: zumindest für den Ausfall der für die Handelsgeschäfte erforderlichen technischen Einrichtungen ist eine schriftliche Notfallplanung zu erstellen, die die Existenz kurzfristiger Ersatzlösungen sicherstellt.523 Ein Alternativplan ist Bestandteil des unternehmerischen Krisenmanagements. Krisenmanagement ist darauf ausgerichtet, kritischen Situationen, die ein Unternehmen zu sofortigem Handeln zwingen, spezifische Maßnahmen entgegenzusetzen. Risikomanagement schließt das Krisenmanagement mit ein, versucht aber nach Möglichkeit in einer früheren Phase einzugreifen, um ein Eintreten der Krise vorab zu verhindern.524 Wie bereits angesprochen wurde, stehen Risikomanagement und Krisenmanagement als Bausteine der Zukunftsvorsorge in einem engen und wechselseitigen Verhältnis. Krisenmanage517 518 519 520 521 522 523
Vgl. Schneider, D. (Investition, 1992), S. 51f. Vgl. sinngemäß Hölscher, R. (Gestaltungsformen, 2000), S. 330f.; Rücker, U.-C. (Konzepte, 2000), S. 372. Vgl. KPMG (Risikomanagement, 1998), S. 13; Weber, J./Weißenberger, B./Liekweg, A. (Risikomanagement, 1999), S. 1715. Vgl. Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 34f. Vgl. Krystek, U. (Unternehmungskrisen, 1987), S. 131: begrifflich gleich zu setzen sind Schubladenpläne, Notfallpläne, Nebenpläne, Eventualpläne oder Contingency-Plans. Vgl. Weber, J./Weißenberger, B./Liekweg, A. (Risikomanagement, 1999), S. 1715. Vgl. Bundesaufsichtsamt für Kreditwesen (Mindestanforderungen, 1995), S. 8.
4 Prozess des Risikomanagements
193
ment trägt im allgemeinen Verständnis einen eher reagierenden Zug (Krisenmanagement i.e.S.) und setzt an bei der Bewältigung akuter Krisen. Risikomanagement hingegen wird vorbeugend eingesetzt. Bevor aufgezeigt werden kann, an welchen Stellen die genauen Anknüpfungspunkte und Verbindungen liegen, wird ein Einblick in die Grundlagen des Krisenmanagements gegeben. Unter einer Krise wird die Möglichkeit verstanden, das generelle Ziel einer langfristigen Erhaltung und erfolgreichen Weiterentwicklung des Unternehmens nicht zu erreichen. Krisen können definiert werden als „ungeplante und ungewollte Prozesse von begrenzter Dauer und Beeinflussbarkeit sowie mit ambivalentem Ausgang. Sie sind in der Lage, den Fortbestand der gesamten Unternehmung substanziell und nachhaltig zu gefährden oder sogar unmöglich zu machen“.525 Eine Krise entspricht folglich dem Eintritt eines existenzbedrohenden Risikos.526 Krisen weisen typische Verlaufsmuster auf, wobei die potenzielle Krise am Anfang steht und den Entstehungszeitraum von Krisen umfasst.527 Die Krise ist in diesem Stadium noch nicht eingetreten, gilt aber als möglich. Es handelt sich hierbei um den Normalzustand von Unternehmen. Die zweite Phase der latenten Unternehmenskrise beinhaltet verdeckt bereits vorhandene und mit hoher Wahrscheinlichkeit eintretende Krisen. Die Krise ist jedoch noch nicht direkt wahrnehmbar, kann aber über Systeme der Früherkennung entdeckt werden.528 In der dritten Phase der akut/beherrschbaren Krise werden die destruktiven Wirkungen der Krise deutlicher und das Unternehmen steht unter einem unmittelbaren Handlungs- und Entscheidungszwang. Die Bewältigung der Krise ist in diesem Stadium noch möglich, wenn ausreichend Kräfte mobilisiert werden. Fall es nicht gelingt, die akute Unternehmenskrise zu beherrschen, tritt die vierte Phase der akut/nicht beherrschbaren Unternehmenskrise ein. Es stehen dem Unternehmen keine ausreichenden Handlungsmöglichkeiten der Krisenbeherrschung mehr zur Verfügung, der Zeitdruck nimmt enorm zu und das Unternehmen gerät in die Insolvenz.529 Schon an dieser Stelle wird deutlich, dass Risiko- und Krisenmanagement vor einer ähnlichen Problemlage stehen und mit zum Teil gleichem Instrumentarium arbeiten.530 Die ersten drei Phasen des Krisenmanagements sind zugleich Wirkungsfeld des Risikomanagements, das
524 525 526 527 528 529 530
Vgl. Haller, M. (Eckpunkte, 1986), S. 17. Krystek, U. (Unternehmungskrisen, 2002), S. 89. Vgl. Krystek, U. (Unternehmungskrisen, 2002), S. 87; Hauschildt, J. (Anmerkungen, 2002), S. 2. Vgl. hier und im folgenden Krystek, U. (Unternehmungskrisen, 1987), S. 29 ff. Vgl. Vgl. Hahn, D. (Frühwarnsysteme, 1979), S. 42; Krystek, U. (Unternehmungskrisen, 1987), S. 123. Vgl. Krystek, U. (Unternehmungskrisen, 2002), S. 93f. Vgl. Braun, H. (Risikomanagement, 1984), S. 270.
194
4 Prozess des Risikomanagements
bestrebt ist, den Eintritt eines Unternehmens in die vierte Phase der akuten und nicht beherrschbaren Unternehmenskrise zu verhindern. Krisenmanagement i.w.S. kann definiert werden als besondere Form der Führung, mit der Aufgabe Prozesse, die den Fortbestand des Unternehmens nachhaltig gefährden, zu vermeiden oder zu bewältigen.531 Dabei wird die Vermeidung von Krisen als aktives, die Bewältigung von Krisen als reaktives Krisenmanagement bezeichnet.532 Das KonTraG macht mit seiner Hervorhebung in § 91 Abs. 2 AktG deutlich, dass es ihm auf die frühzeitige Erkennung bestandsgefährdender Entwicklungen, also von Krisen, ankommt. Wie bereits gezeigt wurde, macht es jedoch aus unternehmerischer Sicht wenig Sinn, sich auf eine solche Begrenzung einzulassen, wichtig ist vielmehr eine Erfassung der wesentlichen und aus Unternehmenssicht relevanten Risiken, die eine Bestandsgefährdung ausmachen können, aber nicht zwingend müssen. Das Risikomanagement umfasst eine laufende, regelmäßige Aufgabe der Unternehmensführung, das Krisenmanagement (i.e.S.) hingegen tritt nur fallweise in Kraft, wenn diejenigen Risiken bewältigt werden müssen, die vom Risikomanagement nicht ausreichend gesteuert oder erfasst wurden und für das Unternehmen existenzbedrohend wirken.533 Nachstehende Abbildung verdeutlicht die Verbindung von Risiko- und Krisenmanagement.
531 532 533
Vgl. Krystek, U. (Unternehmungskrisen, 1987), S. 90. Vgl. Hahn, D. (Frühwarnsysteme, 1979), S. 42; Krystek, U. (Unternehmungskrisen, 1987), S. 106. Vgl. Martin, T. A./Bär, T. (Grundzüge, 2002), S. 28f.
4 Prozess des Risikomanagements
195
Risikoidentifikation
Risikobeurteilung Bestandsgefährdend
Wesentlich
Unwesentlich
Risikosteuerung Bei Eintritt: Krisenmanagement (i.e.S.)
Vermeiden Vermindern Überwälzen Selbst tragen
Risikokontrolle Abbildung 36: Verbindung von Risiko- und Krisenmanagement Krisenmanagement (i.w.S.) und Risikomanagement haben jedoch auch Wechselwirkungen, die über die in Abbildung 36 aufgezeigten Verbindungen hinausgehen. Existiert ein aktives Krisenmanagement im Unternehmen mit dem Ziel der Krisenvermeidung, so ist eine enge gedankliche Nähe zum Risikomanagement festzustellen, denn eine erfolgreiche Krisenprävention kann erkannte Risiken verringern.534 Das aktive Krisenmanagement kann interpretiert werden als Umgang mit potenziellen und latenten Krisen, also als Teilbereich des Risikomanagements, fokussiert auf bestandsgefährdende Risiken. Das Risikomanagement verfolgt darüber hinaus das Ziel, wesentliche und für das Unternehmen relevante Risiken zu identifizieren, was über den Fokus des Krisenmanagements, das auf den Umgang mit bestandsgefährdenden Risiken spezialisiert ist, weit hinausgeht. Darüber hinaus kann an dieser Stelle noch einmal betont werden, dass ein Risikomanagement auch in der Lage sein sollte, vorhandene Chancen zu identifizieren, was nicht im Interessen-
534
Vgl. Töpfer, A. (Unternehmenskrisen, 1999), S. 4.
196
4 Prozess des Risikomanagements
gebiet des Krisenmanagements liegt. Der Bereich des aktiven Krisenmanagements kann zu großen Teilen von dem Risikomanagement abgedeckt werden.535 Das aktive Krisenmanagement umfasst jedoch darüber hinaus die Erstellung der bereits angesprochenen Alternativpläne, was im Prozessablauf des Risikomanagements nicht explizit vorgesehen ist. Alternativpläne sind Pläne, die vor Eintritt einer Krise erstellt werden, um bei Kriseneintritt nicht in die typische Zeitnot zu gelangen und Verluste im finanziellen Bereich ebenso wie Imageschäden zu minimieren.536 Aus Sicht des Unternehmens sind Alternativpläne eine sinnvolle Investition, die jedoch nur für einige wenige Ausnahmezustände entwickelt werden können.537 Inhalt von Alternativplänen sind neben Alternativ-Strategien im wesentlichen organisatorische Regelungen, Verhaltensrichtlinien und Ausweichmöglichkeiten für betroffene Bereiche, um eine möglichst schnelle Wiederinbetriebnahme sicherzustellen und sich an neue Gegebenheiten anzupassen.538 Alternativpläne sollten dabei keine Detailpläne sein, sondern Grobpläne, die im akut eintretenden Bedarfsfall situativ angepasst werden können.539 Im Rahmen dieser vorbeugenden Krisenplanung sind vor allem die bestandsgefährdenden Risiken genauer zu untersuchen, die bei Eintritt das gesamte oder Teile des Unternehmens lahm legen können, unerheblich ob für sie eine Eintrittswahrscheinlichkeit prognostiziert werden konnte (vgl. 3.1.2). Wie bereits angesprochen, fallen unter diese Kategorie der Risiken vor allem Naturkatastrophen oder andere unvorhersehbare Ereignisse. Zu den bestandsgefährdenden Risiken, die eines Notfallplans bedürfen, zählen auch die Betriebsunterbrechungsrisiken.540 FISCHER541 nennt beispielhaft einige Risiken aus verschiedenen Branchen, die eine Betriebsunterbrechung nach sich ziehen können: in der Telekommunikation zählt hierzu etwa der Ausfall von Satelliten oder Softwarefehler; in der Baubranche können Liquiditätsprobleme durch Baustops und steigendes Finanzierungsvolumen auftreten, in der Touristikbranche treten Krisen bspw. bei Reisewarnungen des Auswärtigen Amtes auf. Ein Alternativplan ist auch für Risiken, die Imageschäden nach sich ziehen können, von großer Relevanz. Dabei sind auch Risiken betroffen, gegen die sich ein Unternehmen versichern kann, wie z.B. Verlust eines Schiffes durch ein Tankerunglück, was jedoch große Imageprobleme mit sich bringen kann und eines speziellen Umgangs in der Öffentlichkeit bedürfen.
535 536 537 538 539 540 541
Vgl. Braun, H. (Risikomanagement, 1984), S. 270. Vgl. Hahn, D. (Frühwarnsysteme, 1979), S. 44; Krystek, U. (Unternehmungskrisen, 1987), S. 107; Keitsch, D. (Risikomanagement, 2000), S. 91. Vgl. für Gegenstände von Alternativplänen Krystek, U. (Unternehmungskrisen, 2002), S. 102. Vgl. Braun, H. (Risikomanagement, 1984), S. 93, 273. Vgl. Krystek, U. (Unternehmungskrisen, 2002), S. 102. Vgl. Scharpf, P. (Treasury, 1998), S. 104. Vgl. Fischer, M. (Betriebsunterbrechungsrisiken, 2000), S. 25.
4 Prozess des Risikomanagements
197
Imageschäden müssen i.d.R. immer selbst getragen und deshalb vorsorglich mit einem Alternativplan bearbeitet werden. Die Alternativplanung ist zugleich eng verknüpft mit der Szenariotechnik (vgl. 4.3.3.4.3.3), denn erarbeitete worts-case-Szenarien können Auslöser für die Erstellung eines Notfallplans sein.
Das reaktive Krisenmanagement sieht seine Aufgabe in der Führung des Unternehmens in einer bereits eingetretenen Krisensituation.542 Grundsätzliche Fragestellungen, die hier diskutiert werden, sind die Möglichkeiten der Sanierung oder Liquidation.543 Die hier zu treffenden Entscheidungen und Aufgaben liegen nicht mehr im Bereich des Risikomanagements und werden daher an dieser Stelle nicht vertiefend behandelt. 4.5.2.4 Einsatzmöglichkeiten der Balanced Scorecard Die Balanced Scorecard erscheint als ein derzeit vieldiskutiertes und in der Praxis beliebtes Managementinstrument, das vor allem in der Phase der Steuerung bzw. der Umsetzung der strategischen Planung Anwendung findet. Entstanden aus der Kritik an herkömmlichen Kennzahlensystemen, versucht die Balanced Scorecard (BSC) sich von rein vergangenheitsorientierten Kennzahlen zu lösen und neben der Finanzperspektive andere Sichtweisen zu berücksichtigen.544 Klassischerweise berücksichtigt die BSC neben der Finanzperspektive, eine interne Prozessperspektive, eine Kunden- und Marktperspektive und eine Lern- und Entwicklungsperspektive, die durch Kennzahlen abgebildet, sachlogisch verknüpft und gesteuert werden können.545 Darüber hinaus berücksichtigt die BSC auch sog. "Vorsteuergrößen", d.h. es werden nicht nur Kennzahlen, die die Vergangenheit reflektieren, dargestellt, sondern auch Maßgrößen, die eine Abschätzung der jeweiligen Wachstumsmöglichkeiten - also Chancen erlauben.546 Neben einer verbesserten Unternehmensführung versprechen sich die Verfechter der Balanced Scorecard auch eine effizientere Umsetzung von Strategien in operative Maßnahmen.547 Die ursprüngliche Form der Balanced Scorecard kann modifiziert werden, um einen Risiko- und Chancenaspekt mit zu berücksichtigen und so die Steuerungsmöglichkeiten, die dieses Instrument bietet, im Hinblick auf ein Risikomanagement auszubauen. Im Folgenden werden einige Möglichkeiten vorgestellt, die eine Erweiterung oder Weiterentwicklung der BSC darstellen. 542 543 544 545 546 547
Vgl. Krystek, U. (Unternehmungskrisen, 1987), S. 213. Vgl. Krystek, U. (Unternehmungskrisen, 2002), S. 100. Vgl. Gleich, R. (System, 2001), S. 52. Vgl. Kaplan, R.S./Norton, D.P. (Balanced, 1997), S. 9ff. Vgl. Gleich, R. (System, 2001), S. 52. Vgl. zur Kritik an der BSC Zwicker, E. (Balanced Scorecard, 2003), S. 212ff.
198
4 Prozess des Risikomanagements
Konzept der "BSCPlus" WEBER/WEIßENBERGER/LIEKWEG548 orientieren sich an den klassischen vier Grundperspektiven der BSC. Allerdings wird jede Perspektive um ihre Chancen und Risiken und deren Einflussfaktoren erweitert. Anwendbar ist dieses Konzept dann sowohl für operative Teileinheiten, als auch für das Gesamtunternehmen. WEBER/WEIßENBERGER/LIEKWEG sehen die um Risikoaspekte erweiterte "BSCPlus" als Möglichkeit einer effektiven Berichterstattung, die sich der bestehenden Unternehmensstrategie anpasst und zugleich Risikomanagementaufgaben wahrnehmen kann. Ein Vorteil ist die explizite Berücksichtigung des Chancenaspektes, um eine einseitige Risikofokussierung zu vermeiden. Vorteilhaft ist weiterhin die einfache und mit geringem Aufwand verbundene Weiterentwicklung der klassischen BSC. Die Mitarbeiter können durch die "BSCPlus" für die Risikoproblematik im Unternehmen sensibilisiert werden und die Verantwortlichkeiten für die jeweiligen Risiken lassen sich über die Perspektiven gut steuern. Allerdings besteht die Gefahr, dass Risiken, die außerhalb der BSC-Perspektiven liegen, übersehen werden und eine Risikoidentifikation nicht umfassend erfolgt.549 So weisen HORVÁTH/GLEICH550 denn auch daraufhin, dass die BSC nicht als „alleiniges Risikomanagementtool“ zu verstehen ist. Ist im Unternehmen jedoch eine BSC vorhanden, erscheint es sinnvoll, dem Risikoaspekt in diesem Steuerungsinstrument Rechnung zu tragen und die BSC um einen Aspekt zu erweitern.
Balanced Chance and Risk Card (BCR-Card) REICHMANN/FORM551 entwickelten die BSC weiter, indem sie sie um eine Unternehmenswertberechnung erweitern, die durch drei Spitzenkennzahlen (DCF, EVA, MVA) repräsentiert wird und die Ertragskraft des Unternehmens aus Sicht des Shareholders ermitteln.552 Die klassischen Perspektiven werden ersetzt durch sog. "Strategische Erfolgsfaktoren", die typische Merkmale strategischer Ziele aufweisen. Sie werden dargestellt durch quantitative oder qualitative Indikatoren, die die Auswirkungen auf den Unternehmenserfolg darstellen.553
548 549 550 551 552 553
Vgl. hier und im Folgenden Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 31f. Vgl. Horváth, P./Gleich, R. (Risikomanagement, 2000), S. 116; Wurl, H.-J. /Mayer, J.H. (Scorecard, 2001), S. 205. Horváth, P./Gleich, R. (Risikomanagement, 2000), S. 116. Vgl. Reichmann, T./Form, S. (Risk-Management, 2000), S. 189ff. Vgl. Reichmann, T. (Balanced Scorecard, 2001), S. 294. Vgl. Reichmann, T./Form, S. (Risk-Management, 2000), S. 191; Reichmann, T. (Balanced Scorecard, 2001), S. 295.
4 Prozess des Risikomanagements
199
Beispiele für typische Strategische Erfolgsfaktoren sind Finanzen, Absatzmarkt, Produkte, Logistik und Personal. Dadurch wird deutlich, dass sich die Erfolgsfaktoren inhaltlich nicht nennenswert von den klassischen Perspektiven der BSC unterscheiden. Von jedem dieser unternehmensspezifisch festgelegten Erfolgsfaktoren resultieren nun einerseits Risiken wie auch Chancen, die sich auf den Unternehmenswert auswirken.554 Aber auch Risiken, die aus dem Unternehmensumfeld resultieren und ihre Ursache außerhalb der strategischen Erfolgsfaktoren haben, müssen in eine vollständige Modellierung der Chancen- und Risikosituation des Unternehmens mit aufgenommen werden und dort Berücksichtigung finden.555 Die Gestaltung der Ursache-Wirkungszusammenhänge weicht grundsätzlich von der klassischen Vorgehensweise der BSC nicht ab. Vorteilhaft ist der aggregierte und ausgewogene Gesamtüberblick über die Situation des Unternehmens, der durch Einbeziehung von Chancen und Risiken klar herausgearbeitet wird. Die Weiterentwicklung und Konzeption der BCR-Card erscheint jedoch im Vergleich zur "BSCPlus" und herkömmlichen BSC-Konzepten deutlich aufwendiger.556
Erfolgsfaktoren-basierte BSC
Die erfolgsfaktoren-basierte BSC entwickelt die BSC dahingehend weiter, dass die klassischen vier Perspektiven durch strategische Erfolgsfaktoren ersetzt werden, die in Abhängigkeit von Zielsystem und branchenspezifischen Gegebenheiten des Unternemens festzulegen sind.557 Erfolgsfaktoren stellen aus Sicht von WURL/MAYER das Bindeglied zwischen dem strategischen Zielsystem und den finanziellen Kennzahlen dar und können somit "als zeitlich vorauslaufende Determinanten der finanziellen Kennzahlen interpretiert werden"558. Für jeden strategischen Erfolgsfaktor werden quantitative, i.d.R. finanzielle Kennzahlen herausgearbeitet. Sie sollen eine operative Planung, Steuerung und Kontrolle ermöglichen und den Zustand des strategischen Erfolgsfaktors quantifizieren. Um den Aspekt des Risikomanagements in die erfolgsfaktoren-basierte BSC zu integrieren, lassen sich zwei Möglichkeiten unterscheiden: zum einen kann das Risikomanagement als eigenständiger strategischer Erfolgsfaktor interpretiert und in die BSC mit aufgenommen werden. Zum anderen gibt es die Möglichkeit einer sog. hybriden Integration, bei der für die 554 555 556 557
Vgl. Reichmann, T./Form, S. (Risk-Management, 2000), S. 189; Reichmann, T. (Balanced Scorecard, 2001), S. 296. Vgl. Reichmann, T./Form, S. (Risk-Management, 2000), S. 191. Vgl. Wurl, H.-J. /Mayer, J.H. (Scorecard, 2001), S. 205. Vgl. Wurl, H.-J. /Mayer, J.H. (Gestaltungskonzept, 2000), S. 9f.
200
4 Prozess des Risikomanagements
identifizierten Erfolgsfaktoren die spezifischen Risiken erfasst, bewertet und ausgewiesen werden und zusätzlich eine erfolgsfaktoren-übergreifende Risk Balanced Scorecard eingerichtet wird, die alle Risiken der strategischen Erfolgsfaktoren in aggregierter Form ausweist und zusätzliche - nicht eindeutig einem Erfolgsfaktor zuordbare Risiken - aufzeigt.559 Die erfolgsfaktoren-basierte BSC kann die Risikosteuerung durch eine umfassende Sichtweise gut unterstützen, allerdings ist die Konzipierung sehr zeitaufwendig und anspruchsvoll.560
Einen Vorteil, den die BSC unabhängig von ihrer risikoangepassten Ausgestaltung bietet, ist eine transparente Kommunikation der Risikostrategie, wie unter 4.2 dargestellt.561 Allerdings rechtfertigt eine Verbesserung der Risikokommunikation allein nicht die Implementierung einer BSC im Unternehmen. Grundsätzlich baut eine BSC auf einer bereits im Unternehmen durch die Geschäftsleitung entwickelten Strategie auf. Risikomanagement ist jedoch gerade in der Phase der strategischen Zielsetzung und Planung nicht zu vernachlässigen und leistet einen wichtigen Beitrag bei der Strategiekonzipierung. Da die BSC vor allem als ein Instrument der Strategieumsetzung einen Beitrag leisten kann, sind Teile des Risikomanagements - wie die Risikoidentifikation und -bewertung, aber auch die Festlegung der Risikostrategie - der BSC gedanklich vorgeschaltet. Nur um den Aspekt der Risikosteuerung zu berücksichtigen, ist der Aufbau und Einsatz einer BSC allerdings nicht sinnvoll. Eine um Risikoaspekte erweiterte BSC kann das Risikomanagement als Teilprozess des betrieblichen Führungsprozesses nicht ersetzen. 4.5.3
Zusammenfassende Beurteilung
Im Überblick lässt sich das Vorgehen bei der Risikosteuerung wie folgt darstellen:
558 559 560 561
Wurl, H.-J. /Mayer, J.H. (Gestaltungskonzept, 2000), S. 9. Vgl. Wurl, H.-J. /Mayer, J.H. (Scorecard, 2001), S. 202f. Vgl. Wurl, H.-J. /Mayer, J.H. (Scorecard, 2001), S. 205f. Vgl. Wolf, K./Runzheimer, B. (Risikomanagement, 2000), S. 27; Kirchner, M. (Risikomanagement, 2002), S. 69f.
4 Prozess des Risikomanagements
Risikosituation vor Maßnahmen
201
./. Vermeidung Ursachenbezogen ./. Veminderung Ursachenbezogen Wirkungsbezogen
./. Teile überwälzen Wirkungsbezogen
= Restrisiko (Selbsttragen)
Wirkungsbezogen
Abbildung 37: Überblick zur Risikosteuerung562 Nach erfolgter Risikoidentifikation und -bewertung ist die Risikosituation vor Ergreifen jeglicher Maßnahmen bekannt. Ein Teil der bestehenden Risiken kann vermieden werden, in dem auf ein Geschäft verzichtet wird. Diese Risiko- und damit auch zugleich Chancenvermeidung fällt in den Bereich der ursachenbezogenen Maßnahmen und kann nur für einen Teil der Einzelrisiken angewandt werden. Ein weiterer Teil der Risiken kann üblicherweise verringert werden, indem bspw. Schutzvorrichtungen installiert werden (ursachenbezogen) oder das Risiko auf mehrere Vertragspartner verteilt oder bspw. lokal zerlegt (wirkungsbezogen) wird. Auf Versicherungen oder Vertragspartner lassen sich Teile des Gesamtrisikos überwälzen. Die Überwälzung des Risikos ist als Verlustverkürzung zu interpretieren und als wirkungsbezogen einzustufen. Das nach Abwägung aller Maßnahmen verbleibende Restrisiko muss von dem jeweiligen Unternehmen selbst getragen werden. Das sind vor allem Risiken, die in unmittelbarem Zusammenhang mit der Stärkung der Erfolgspotenziale des Unternehmens stehen, und die nicht sinnvoll auf Dritte übertragen werden können. Ein Beispiel sind Forschungs- und Entwicklungsaufgaben, bei Unternehmen, die ihren Wettbewerbsvorteil in ers-
562
Modifiziert nach Buderath, H./Amling, T. (Überwachungssystem, 2000), S. 145.
202
4 Prozess des Risikomanagements
ter Linie auf innovativen Entwicklungen begründen.563 Diese Maßnahmen sind bereits unter dem Bereich der Verlustvorsorge vorgestellt worden und überwiegend wirkungsbezogen.
Ein erfolgreicher Umgang mit Risiken erfordert immer eine Kombination der vorgestellten Risikosteuerungsmaßnahmen. Hinweise, wie die zur Auswahl stehenden Maßnahmen beurteilt und ausgewählt werden sollen, finden sich jedoch in der Literatur selten.564 Ein Risiko kann grundsätzlich nie absolut, sondern immer nur im Hinblick auf ein bestimmtes Ziel (vgl. Abschnitt 3.1.1) beurteilt werden. Die Entscheidung, welche Risiken akzeptiert werden können, und welche ein Unternehmen nicht eingehen sollte, unterliegt deshalb einer sich wandelnden Bewertung.565 Im Umgang mit Risikobewältigungsmaßnahmen lassen sich jedoch einige Prioritätsregeln aufstellen:566 x
die am leichtesten und mit geringstem Aufwand durchsetzbare Maßnahme genießt Priorität,
x
die zeitlich am frühesten greifende Maßnahme genießt Vorrang,
x
Maßnahmen mit komplementärer Wirkung auf die Unternehmensziele haben Vorrang vor Maßnahmen mit konfliktärer Wirkung auf die Unternehmensziele.
Die Entscheidung für eine risikosteuernde Maßnahme ist stets auch abhängig vom Informationsstand in der jeweiligen Entscheidungssituation.567 Um eine Maßnahme der Risikosteuerung beurteilen zu können, sollte zum einen die Wirksamkeit der Maßnahme berücksichtigt werden, zum anderen ihre Kosten. Die ausgewählten Maßnahmen zur Risikosteuerung sollen einen positiven Effekt auf den Unternehmenswert haben. Dabei ist die Höhe des positiven Effekts „u.a. vom bestehenden Sicherheitsgrad abhängig, der Grenzertrag sinkt tendenziell mit zunehmender Sicherheit“568. Die Wirksamkeit einer Risikobewältigungsmaßnahme lässt sich jedoch häufig nicht eindeutig bestimmen: neben den direkten Auswirkungen auf eine Risikoposition können durch die vielfältigen Interdependenzen schwer zu bestimmende Nebenwirkungen bei anderen Risiko- und Chancenpositionen entstehen. Eine weitere Problematik bei der Bestimmung und evtl. Quantifizierung der Wirksamkeit einer Steuerungsmaßnahme liegt vor allem darin begründet, dass bei wirkungsbezogenen Maßnahmen unsicher ist, ob das Risiko tatsächlich eintritt und bei ursachenbezogenen Maßnahmen fraglich ist, ob das
563 564 565 566 567 568
Vgl. Gleißner, W. (Risikopolitik, 2000), S. 1625. Vgl. Braun, H. (Risikomanagement, 1984), S. 254. Vgl. Steger, U. (Umweltmanagement, 1993), S. 263. Vgl. Koch, H. (Gewinnvorbehalt, 1996), S. 116. Vgl. Götze, U./Mikus, B. (Management, 1999), S. 361. Mikus, B. (Integration, 1999), S. 99.
4 Prozess des Risikomanagements
203
Risiko jemals eingetreten wäre. Der positive Effekt spiegelt sich deshalb nur in einer Verringerung der Streuung möglicher Ergebnisse wider.569 Hinzu kommt, dass die durch das Risikomanagement hinzugewonnene Sicherheit im Einzelfall auch hemmend oder lähmend wirken kann. Durch Sicherheitsmaßnahmen, die den betrieblichen Ablauf erheblich einschränken, kann die Flexibilität bspw. eingeschränkt werden, was u.U. noch größere Risiken generieren könnte.570 In gleicher Weise wird die Bestimmung der für eine Steuerungsmaßnahme anfallenden Kosten nicht immer eindeutig möglich sein.571 Eine möglichst genaue Erfassung der Risikokosten ist jedoch sinnvoll und notwendig: schon die Transparentmachung der Risikokosten kann bewirken, dass Einsparungen in den identifizierten Bereichen erzielt werden.572 Die direkten Kosten, die in unmittelbarem Zusammenhang mit der gewählten Maßnahme stehen, lassen sich meist recht einfach feststellen; indirekte Kosten mit dem Charakter von Opportunitätskosten machen eine Berechnung jedoch schwieriger.573 Zu den direkten Kosten auch als Sicherungskosten bezeichnet - zählen zum einen die sicherungsbedingten zusätzlichen Grundkosten und zum anderen sog. Sicherungs-Zusatzkosten. Zu den Grundkosten zählen z.B. Prämienzahlungen für eine Fremdversicherung, Personalkosten für Maschinenwartung, Lagerhaltung, Mehrkosten aufgrund von Diversifikation bei Lieferanten unter Verzicht auf Rabatte und dergleichen mehr. Die Zusatzkosten bauen auf den Grundkosten auf und umfassen in erster Linie Gewinnminderungen, die auf die Sicherungsmaßnahmen zurückzuführen sind. Z.B. zählen dazu Gewinnminderungen aufgrund von Reservelagern, Reserveanlagen oder geringerer Investition zugunsten der Bildung einer Finanzreserve.574 Aber auch Kosten im Vertriebsbereich, die für Erlösminderungen und/oder Zahlungsausfälle anfallen und Kosten zur Vermeidung von Produktionsausfällen und/oder Qualitätssicherung zählen zu den risikobedingten Zusatzkosten.575 Ebenso können Back-up-Personal und Back-up-Anlagen, die zum Ausgleich von Engpässen und zur Stillstandsüberbrückung genutzt werden, zu den Risikokosten gezählt werden. Weiterhin zählen zu den Kosten des Risikomanagements EDV- und Personalkosten, die in der Höhe von der gewählten Integrationsform in bestehende Strukturen abhängig sind.
569 570 571 572 573 574 575
Vgl. Mikus, B. (Integration, 1999), S. 99. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 84; Kratzheller, J. B. (Risiko, 1997), S. 95. Vgl. Pritzer, B. (Risikomanagement, 1999), S. 163. Vgl. Seifert, W. G. (Risikopolitik, 1986), S. 101. Vgl. Braun, H. (Risikomanagement, 1984), S. 255; Hölscher, R. (Gestaltungsformen, 2000), S. 315f. Vgl. Koch, H. (Gewinnvorbehalt, 1996), S. 120ff. Vgl. Seifert, W. G. (Risikopolitik, 1986), S. 102f.
204
4 Prozess des Risikomanagements
Einen Überblick gibt folgende Abbildung 38, die positive und negative Wirkungen von Maßnahmen zur Risikosteuerung gegenüberstellt. Positive Wirkungen • Verringerung der Gefahr von Fehlentscheidungen aufgrund einer Verbesserung des Informationsstandes bzw. von Maßnahmen der Planungsgestaltung • Verringerung der Eintrittswahrscheinlichkeiten von Risikoursachen infolge weiterer ursachenbezogener Maßnahmen • Verbesserung des Ergebnisses bzw. der Ergebnisverteilung, das bzw. die im Falle des Eintritts der Risikoursache erwartet wird, durch den Einsatz wirkungsbezogener Maßnahmen
Negative Wirkungen • Versicherungsprämien • Abschreibungen, Kapitalbindungs-, Miet-, Reparaturund/oder Wartungskosten für Betriebsmittel, die im Rahmen risikopolitischer Maßnahmen, bspw. zur Unfallvermeidung, Qualitätssicherung oder als Reserve, eingesetzt werden • Kosten für staatlich zugelassene Prüfstellen und sonstige Kosten zusätzlicher Qualitätskontrollen • Kosten für die Schulung von Mitarbeitern • zusätzliche Kosten für höhere Bestände und/oder weitere Läger • Kapitalbindungskosten für Rücklagen • erhöhte Kosten durch Informationsbeschaffungsmaßnahmen (z.B. Marktforschung) • Mehrkosten bei Bezug von mehreren Lieferanten aufgrund geringerer Einkaufsmenge je Lieferant • Gegenleistung für die Verlagerung der Risiken auf die Lieferanten (z.B. in Form höherer Beschaffungspreise) oder andere Geschäftspartner • entgangene Erlöse bei Geschäften, die aufgrund einer Risikomeidung oder zu hoher Wagniskosten oder Reserven nicht realisiert werden
Abbildung 38: Beispielhafte Wirkungen risikosteuernder Maßnahmen576 Es muss stets eine Abwägung erfolgen, welche positiven und negativen Wirkungen durch die gewählten Maßnahmen zu erwarten sind. Nur bei einer - noch so groben - Abschätzung kann ein Mix an Risikosteuerungsaktivitäten zusammengestellt werden, der das Unternehmen minimal belastet.
4.6 Phase der Risikokontrolle und -überwachung
4.6.1
Aufgaben der Risikokontrolle und -überwachung
Wie bereits in Abbildung 14 dargestellt, schließt der Prozesskreislauf des Risikomanagements mit einer Risikokontrolle. Gleichzeitig unterliegt der gesamte Prozess des Risikomanagements jedoch auch einer Überwachung, die wie unter 3.2.3 erläutert wurde, die Funktionsfähigkeit des Risikomanagements sicherstellen soll und vom Gesetzgeber (KonTraG) gefordert wird. Da sich die Begriffe und Aufgaben der Kontrolle und Überwachung stellenweise stark überschneiden, werden diese beiden Phasen des Risikomanagements im folgenden Abschnitt gemeinsam betrachtet. Zunächst erfolgt eine Darstellung der Aufgaben
576
Vgl. Mikus, B. (Integration, 1999), S. 100.
4 Prozess des Risikomanagements
205
beider Funktionen und eine Abgrenzung voneinander, bevor auf die Instrumente zur Wahrnehmung der jeweiligen Aufgaben eingegangen wird. Die Begriffe der Überwachung und Kontrolle werden in der Literatur teilweise uneinheitlich interpretiert und synonym verwendet.577 Grundsätzlich lässt sich der Begriff Überwachung jedoch - wie in der nachfolgenden Abbildung 39 dargestellt - untergliedern:
Überwachung
Kontrolle
Revision
laufende Überwachung
fallweise Überwachung
Interne Revision prozessabhängig
Externe Revision
prozessunabhängig
Abbildung 39: Überwachungsbegriffe578 Die Überwachung im Allgemeinen ist der den Phasen Planung und Steuerung nachgelagerte Prozess im Unternehmen, der durch Gegenüberstellung von Soll- und Istgrößen Abweichungen ermittelt und analysiert. Die Überwachung orientiert sich dabei an dem unternehmerischen Zielsystem.579 Sie ist eine „den betrieblichen Leistungserstellungsprozess begleitende Funktion, die sowohl von internen als auch externen Überwachungsträgern in Form von Aufsicht, Kontrolle und Prüfung zur Verbesserung/Erreichung der Unternehmungseffizienz und – effektivität durchgeführt wird“580. Dabei liegt eine Revision oder Prüfung581 dann vor, wenn
577 578 579 580 581
Vgl. Theisen, M. R. (Überwachung, 1987), S. 6ff. in Anlehnung an Buderath, H./Amling, T. (Überwachungssystem, 2000), S. 130. Vgl. Theisen, M. R. (Überwachung, 1993), Sp. 4225f. Thom, N./Cantin, F. (Auditing, 1992), S. 186; vgl. Theisen, M. R. (Überwachung, 1987), S. 13. Die Begriffe Revision und Prüfung umfassen prozessunabhängige Kontrollen und werden sysnonym verwendet. Vgl. Theisen, M. R. (Überwachung, 1993), Sp. 4219; Lück, W. (Überwachungssystem, 1997), S. 424.
206
4 Prozess des Risikomanagements
es sich um eine Überwachung durch prozessunabhängige Personen handelt, die nicht in die überwachten Vorgänge eingebunden, nicht für die Prozessergebnisse verantwortlich sind und keinen Einfluss auf den Zustand des Prüfobjekts haben. Wird die Überwachung hingegen von prozessabhängigen Personen oder automatisiert vorgenommen, spricht man von Kontrollen.582 Kontrollen sind damit Überwachungshandlungen, die unmittelbar an einem Arbeitsablauf ansetzen, mit dem Ziel, Fehler und Abweichungen aufzudecken oder zu verhindern.583 Kontrollen sind neben einer Informationsquelle für Entscheidungen und Korrekturhandlungen notwendige Voraussetzung für die Initiierung eines Lernprozesses und ggf. ein Mittel zur Verhaltensbeeinflussung.584 Unterschieden werden kann weiterhin eine externe und interne Überwachung. Externe Überwachungsaufgaben werden von Personen oder Institutionen außerhalb des Unternehmens wahrgenommen. Dazu zählen in erster Linie der Aufsichtsrat als zentraler Überwachungsträger, unterstützt durch den Abschlussprüfer, sowie ggf. steuerliche Außenprüfungen, der Rechnungshof und die Staatsaufsicht.585 Aufgabe des unternehmensinternen Überwachungssystems586 ist es, zum einen das Ordnungsgefüge im Unternehmen zu sichern und zum anderen die Zielerreichung zu gewährleisten.587 Das Interne Überwachungssystem (IÜS) wird von unternehmensinternen Instanzen betrieben. Zu den internen Überwachungsträgern zählen das Controlling und die interne Revision, daneben ggf. interne Prüfungsausschüsse, Wirtschaftsausschüsse und der Betriebsrat. Zielsetzung, Funktion und Intensität der internen und externen Überwachungsdurchführung kann erheblich variieren. Gemeinsam ist jedoch allen Überwachungsinstanzen das Überwachungsobjekt - die Geschäftsführung.588 In den Aufgabenbereich des Überwachungssystems fällt die Überprüfung, ob die Regelungen zum Risikomanagement eingehalten werden.589 Verwirrung entsteht durch den uneinheitli-
582 583 584 585 586
587 588 589
Vgl. Lück, W. (Überwachungssystem, 1997), S. 425; Jung, M.K.P. (Revision, 2000), Sp. 798. Vgl. Schewe, G./Littkemann, J./Beckemeier, P.O. (Kontrollsysteme, 1999), S. 1484. Vgl. Horváth, P. (Kontrollsystem, 1992), Sp. 886. Vgl. Theisen, M. R. (Überwachung, 1993), Sp. 4224. Der Begriff des Überwachungssystems wird in der Literatur uneinheitlich interpretiert und mit verschiedenen Inhalten in Verbindung gebracht. So fungiert das Interne Kontroll- und Überwachungssystem bspw. als Oberbegriff für das Controlling, die Interne Revision und das Betriebliche Rechnungswesen, die mit unterschiedlichen Schwerpunktsetzungen alle Überwachungsaufgaben wahrnehmen. Vgl. Theisen, M. R. (Revision, 1999), S. 51; Lück, W. (Überwachungssystem, 1997), S. 424; ähnlich IDW PS 260, 2. (6), Abb. 1. KROMSCHRÖDER/LÜCK hingegen subsumieren unter dem Überwachungssystem Rahmengrundsätze, den Risikomanagement-Prozess, Risikokategorien und die Organisation des Risikomanagements. Vgl. Kromschröder, B./Lück, W. (Grundsätze, 1998), S. 1574ff. Vgl. Lück, W. (Überwachungssystem, 1997), S. 425. Vgl. Theisen, M. R. (Überwachung, 1993), Sp. 4222f. Vgl. Amling, T./Bischof, S. (KonTraG, 1999), S. 56.
4 Prozess des Risikomanagements
207
chen Gebrauch des eng mit dem Überwachungssystem verwobenenen Begriffs des Internen Kontrollsystems. Resultierend aus einer (unglücklichen) Übersetzung des englischsprachigen Begriffes des „Internal Control“ haben sich hierzulande zwei verschiedene Ansichten etabliert. Zum einen lässt sich das Interne Kontrollsystem als Oberbegriff für die Prüfung und Kontrolle ausmachen, zum anderen bildet das Interne Kontrollsystem zusammen mit der internen Revision ein Subsystem des Internen Überwachungssystems. Letzterer Ansicht wird in der Praxis überwiegend gefolgt.590 Abbildung 40 verdeutlicht grafisch die Zuordnung der einzelnen Kontrollformen zu den jeweiligen Systemen.
Internes Überwachungssystem
Interne Revision (prozessunabhängig)
Ergebnis-, Prozessund Systemkontrollen (prozessabhängig)
Internes Kontrollsystem Interne Gegenkontrolle (organisatorische u. technische Sicherungsmaßnahmen)
Überwachung durch Unternehmensleitung und Controlling
Abbildung 40: Abgrenzung von Internem Überwachungssystem und Internem Kontrollsystem Dabei untergliedert sich das Interne Überwachungssystem (IÜS) - wie bereits dargestellt zum einen in die prozessunabhängige Überwachung bzw. Prüfung, die von der internen Revi590
Vgl. Hofmann, R. (Revision, 1972), S. 26; Förschle, G./Peter, M. (Überwachungssysteme, 1999), Rn. 76; Schewe, G./Littkemann, J./Beckemeier, P.O. (Kontrollsysteme, 1999), S. 1484; Buderath, H./Amling, T.
208
4 Prozess des Risikomanagements
sion wahrgenommen wird, und in eine prozessabhängige Überwachung. Es lassen sich grundsätzlich alle institutionalisierten Ergebnis-, Prozess- und Systemkontrollen unter die prozessabhängigen Kontrollen subsumieren; in ihrer Gesamtheit bilden sie das Interne Kontrollsystem (IKS). Dieses wiederum lässt sich untergliedern in den Teil der internen Gegenkontrolle, der alle technischen und organisatorischen Sicherungsmaßnahmen591 umfasst, und die Überwachung durch das Controlling und die Unternehmensleitung.592 Die Ziele des Internen Kontrollsystems liegen dabei zum einen in der Vermögenssicherung und der Gewinnung zuverlässiger, aussagekräftiger und zeitnaher Informationen. Zum anderen soll mit den internen Kontrollen jedoch auch der betriebliche Wirkungsgrad593 erhöht werden und die Einhaltung der Unternehmenspolitik sichergestellt werden.594 Das IKS soll die Realisation der Zielsetzungen des Unternehmens unterstützen und verhindern, dass Lücken, Schwachstellen oder Engpässe in der aufbau- oder ablauforganisatorischen Konzeption die Zielerreichung beeinträchtigen.595 Die Gestaltung des IKS ist ein klassischer Aufgabenbereich des Controllings und bildet für die interne Revision als prozessunabhängigem Überwachungsorgan das wesentliche Tätigkeitsfeld für die Prüfungen im Unternehmen.596 Das IDW fasst die Begriff und Aufgaben eines IKS wie folgt zusammen: "Unter einem IKS werden die von der Unternehmensleitung im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) verstanden, die gerichtet sind auf die organisatorische Umsetzung der Entscheidungen der Unternehmensleitung x
zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit (hierzu gehört auch der Schutz des Vermögens, einschließlich der Verhinderung und Aufdeckung von Vermögensschädigungen),
x
zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung sowie
591
592
593 594 595 596
(Überwachungssystem, 2000), S. 130; Bundesaufsichtsamt für Kreditwesen (Revision, 2000), S. 2; Freidank, C.-C. (Prüfungswesen, 2000), S. 248. Vgl. Lück, W. (Überwachungssystem, 1997), S. 426ff.: Unter organisatorischen Sicherungsmaßnahmen lassen sich alle laufenden, automatischen Überwachungsmaßnahmen subsumieren, z.B. Richtlinien für Zahlungsanweisungen, Doppelverschluss wichtiger, wertvoller Unterlagen, Zugriffsbeschränkungen auf elektronische Daten; IDW PS 260, 2. (6). Vgl. Hoffmann, F. (Revision, 1992), Sp. 870; Lück, W. (Überwachungssystem, 1997), S. 426 f. Dass die Aufgaben des Controllings in seiner Führungsunterstützungs- und Koordinationsfunktion weit über Kontrolltätigkeiten hinausgehen, sei hier nochmals betont. Siehe dazu 3.3.3.2. Der betriebliche Wirkungsgrad bestimmt sich hierbei durch die Struktur der Arbeitsabläufe im Kontrollsystem und die Zuverlässigkeit mit der einzelne Systeme arbeiten. Vgl. Horváth, P. (Kontrollsystem, 1992), Sp. 883; Schewe, G./Littkemann, J./Beckemeier, P.O. (Kontrollsysteme, 1999), S. 1483; Förschle, G./Peter, M. (Überwachungssysteme, 1999), Rn. 76. Vgl. Hofmann, R. (Unternehmensüberwachung, 1993), S. 44. Vgl. Horváth, P. (Kontrollsystem, 1992), Sp. 887, 889.
4 Prozess des Risikomanagements
x
209
zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften."597
Einer anderen Abgrenzung folgt der IIR-Arbeitskreis "Interne Revision in der Versicherungswirtschaft"598, der das Interne Kontrollsystem zwar als Subsystem des Internen Überwachungssystems betrachtet, aber das Risikomanagementsystem als Teil des Internen Kontrollsystems ansieht. Ein Unterschied zwischen Risikomanagementsystem und Internem Kontrollsystem besteht demnach nur insoweit, als "daß es [RMS] auf den engeren Risikobegriff des bestandsgefährdenen Risikos abstellt, und auf jene Risiken, die eine wesentliche Auswirkung auf die Vermögens-, Finanz- und Ertragslage des Unternehmens haben"599. Dieser Ansicht kann im weiteren Verlauf der Arbeit jedoch nicht zugestimmt werden.
Wie in Abschnitt 2.9.2 bereits angesprochen, fordert der Sarbanes-Oxley Act von Unternehmen, die an amerikanischen Börsen notiert sind, eine Einrichtung und den Betrieb eines Internen Kontrollsystems (internal control structure)600. Uneinigkeit über den Begriffsinhalt besteht auch im amerikanischen Sprachraum. Die SEC folgt jedoch im Zusammenhang mit anderen Regelungen der Ansicht, dass das Interne Kontrollsystem sicherstellen soll, dass „ – the company´s transactions are properly authorized; -
the company´s assets are safeguarded against unauthorized or improper use; and
-
the company´s transactions are properly recorded and reported”601.
Durch diese Definition wird deutlich, dass es sich bei der vom SOA geforderten Implementierung eines IKS in erster Linie um ein stark an finanz- und bilanzrechtlichen Vorschriften orientiertes System handelt. LANFERMAN/MAUL602 heben hervor, dass sich das IKS nach SOA auf alle wesentlichen Informationen bezieht und somit weitergehender als das Kontrollsystem nach § 91 Abs. 2 AktG ist, das sich auf die Kontrolle bestandsgefährdender Risiken beschränkt. Dieser Auffassung kann jedoch nicht gefolgt werden (vgl. dazu grundsätzlich die Argumentation unter 3.2.3). Zudem wird durch die Formulierung des KonTraG und die Herausstellung des Risikobegriffs die Zukunftsorientierung hervorgehoben, die in der Formulierung des SOA nicht deutlich gemacht wird.
Typischerweise existiert in Unternehmen bereits ein Kontrollsystem, das mit Hilfe verschiedener Kontrollträger und Kontrollinstrumente jeweilige Objekte und Prozesse im Unterneh597 598 599 600 601
IDW PS 260, 2. (5). IIR (Risikomanagementsystem, 1999), S. 186. IIR (Risikomanagementsystem, 1999), S. 186. FEI (Sarbanes-Oxley-Act, 2002), Section 404. Hinshaw & Culbertson (SEC-Rules, 2002), S. 20.
210
4 Prozess des Risikomanagements
men unter einer vorab festgelegten Zielsetzung vergleicht.603 Verglichen wird zumeist eine realisierte oder erwartete Größe mit einer geplanten und zieloptimalen Größe.604 Wesentliche Zielsetzungen des Kontrollsystems liegen in der Dokumentation, Entscheidungsunterstützung und Verhaltenssteuerung durch die erzielten Erkenntnisse.605 Kontrollen und Prüfungen werden im Allgemeinen nicht nur durchgeführt, um zu überprüfen, ob ein Ist-Zustand mit einem vorgegebenen Soll-Zustand übereinstimmt. Ziel ist es ferner, Abweichungen festzustellen und speziell die Ursachen für die Abweichungen aufzudecken, um daraus Lernprozesse zu initialisieren und die Verhaltensweisen der Beteiligten zu bestärken oder zu verändern.606 Aufgabe der Risikokontrolle ist es somit, zu gewährleisten, dass die tatsächliche Risikosituation des Unternehmens mit der geplanten Risikosituation übereinstimmt.607 Die identifizierten und bewerteten Risiken unterliegen vielfältigen unternehmensinternen und – externen Einflüssen und verändern sich dadurch im Zeitablauf. Eine Risikokontrolle ist deshalb unabdingbar, um diese Veränderungen zu beobachten und die Steuerungsmaßnahmen ggf. an die veränderte Situation anzupassen. Weiterhin muss die Wirksamkeit der ergriffenen Steuerungsmaßnahmen überprüft werden, um das angestrebte Risiko-Chancen-Verhältnis zu erreichen. Die Risikokontrolle hat die Aufgabe, die Auswirkungen der geschäftspolitischen Entscheidungen sowie der Maßnahmen der Risikosteuerung auf die Zielgrößen abzubilden und dies an die Verantwortlichen auf den höheren Hierarchieebenen zu kommunizieren.608 Die Risikokontrolle sollte durch eine vom Risikobereich selbst weisungsunabhängige Stelle erfolgen. Der Bereich des Controllings erscheint zur Wahrnehmung dieser Aufgabe gut geeignet (vgl. 3.3.3.2).609 Die Risikokontrolle gilt als prozessabhängige Kontrolle und erfolgt permanent oder zyklisch in Anpassung an die übliche Kontrolldurchführung. Die Überwachung des Risikomanagementprozesses wird hingegen idealerweise von prozessunabhängigen Beobachtern wahrgenommen und deshalb auch als prozessunabhängige Kontrolle bezeichnet. Im Rahmen der Prozessüberwachung werden die einzelnen Phasen auf ihre effiziente Aufgabenerfüllung hin überprüft und in ihrem Zusammenspiel betrachtet. Grundsätzlich kommen für diese prozessexternen Überwachungstätigkeiten neben der internen Revision auch die Jahresabschlussprüfer und die Aufsichtsgremien des
602 603 604 605 606 607 608 609
Vgl. Lanfermann, G. /Maul, S. (Auswirkungen, 2002), S. 1729. Vgl. Betz, S. (Kontrollsystem, 2002), Sp. 986. Vgl. Küpper, H.-U. (Controlling, 1997), S. 165. Vgl. Betz, S. (Kontrollsystem, 2002), Sp. 987. Vgl. Schenker-Wicki, A. (Prüfverfahren, 1999), S. 18. Vgl. Martin, T. A./Bär, T. (Grundzüge, 2002), S. 105. Vgl. Gebhardt, G. (Risikocontrolling, 2002), Sp. 1721. Vgl. Scharpf, P. (Sorgfaltspflichten, 1997), S. 740.
4 Prozess des Risikomanagements
211
Unternehmens in Betracht (vgl. hierzu 3.3.3.3 und 3.3.3.4).610 Die Überwachung des Risikomanagementprozesses erfolgt zyklisch durch die interne Revision und folgt unterschiedlichen Schwerpunktsetzungen durch die Revisionsplanung. Die externe Kontrolle des Abschlussprüfers erfolgt i.d.R. einmal jährlich. Die bei der Überwachung gewonnenen Erfahrungen sollen bei künftigen Planungen und organisatorischen Regelungen Anwendung finden.611 4.6.2
Kontrollformen
Im Rahmen der Risikokontrolle können in Abhängigkeit vom betrachteten Zeithorizont und der Qualität der zugrunde gelegten Daten unterschiedliche Kontrollformen unterschieden werden:612 x
Ergebniskontrolle,
x
Planfortschrittskontrolle,
x
Prämissenkontrolle,
x
Strategische Überwachung /Frühaufklärung.
Die Ergebniskontrolle als traditioneller Soll-Ist-Vergleich zeigt an, wie sich die Risikopositionen im Verhältnis zu ihrer geplanten oder erwarteten Höhe verhalten haben. Diese Form der Kontrolle ist vor allem von Interesse für den Bereich der operativen Risiken, deren Eintrittswahrscheinlichkeit und Schadenshöhe annähernd gut geplant werden können. Korrigierende Maßnahmen sind bei einer Ergebniskontrolle i.d.R. nicht mehr möglich, es können lediglich Lerneffekte für die Zukunft gewonnen werden.613 Für strategische Risiken kommt eine Ergebniskontrolle aufgrund der langen Realisierungszeit der Risiken jedoch vielfach zu spät.614 Im Bereich strategischer Risiken kann eine Plananpassung bei rechtzeitiger Erkenntnis vorgenommen werden, deshalb spielen die Planfortschrittskontrolle und Prämissenkontrolle eine größere Rolle.615 Weiterhin sind gerade die in die Zukunft gerichteten Kontrollen von Bedeutung für eine frühzeitige Risikoerkennung, um sich wandelnde Chancen und Risiken zu erkennen und rechtzeitige Handlungen einzuleiten.616
610 611 612 613 614 615 616
Vgl. Lück, W. (Überwachungssystem, 1997), S. 425; Hornung, K. /Reichmann, T. /Diederichs, M. (Risikomanagement I, 1999), S. 322; Betz, S. (Kontrollsystem, 2002), Sp. 987. Vgl. Deppe, H. (Zusammenarbeit, 1987), S. 128. Vgl. Braun, H. (Risikomanagement, 1984), S. 264f.; Steinle, C. (Systeme, 1999), S. 282f. Vgl. Braun, H. (Risikomanagement, 1984), S. 264. Vgl. Kötzle, A. (Identifikation, 1993), S. 223. Vgl. Baum, H.-G./Coenenberg, A./Günther, T. (Controlling, 1999), S. 305ff. Vgl. Weber, J./Liekweg, A. (Rationalität, 2001), S. 491.
212
4 Prozess des Risikomanagements
Bei der Planfortschrittskontrolle (Soll-Wird-Vergleich) werden erwartete Soll-Werte ex ante mit prognostizierten Wird-Werten verglichen.617 Für eine langfristige Risikobeobachtung ist diese Form der Kontrolle unverzichtbar, können hier doch auch längerfristig greifende Maßnahmen beobachtet werden. Im Mittelpunkt der Planfortschrittskontrolle steht die Strategierealisation, indem strategische Pläne in einzelne Planabschnitte (sog. Meilensteine) zerlegt werden, um erreichte Zwischenresultate überprüfen zu können. Werden Planabschnitte nicht erreicht, können Aussagen über die zu erwartende Gesamtplanverwirklichung getroffen und schon frühzeitig Maßnahmen der Gegensteuerung ergriffen werden.618 Risiken werden dadurch frühzeitiger erkannt und können bei rechtzeitiger Reaktion abgewandt werden. Im Rahmen der Prämissenkontrolle werden die Prämissen - also die strategischen Schlüsselannahmen, unter denen Planungen verabschiedet wurden - überprüft. Bei Änderungen der Prämissen, müssen Pläne und somit auch Risiken neu überdacht werden.619 Bereits vorgestellte Instrumente, die zur Prämissenkontrolle genutzt werden können, sind die Früherkennung, die Szenarioanalyse oder die Delphi-Prognose. Die strategische Überwachung ergänzt und erweitert die Prämissenkontrolle. Sie überlagert den gesamten Prozess des Risikomanagements und wird am besten durch strategische Früherkennungsinformationen (vgl. 4.3.3.3.3) gestützt.620 Aufgabe der strategischen Überwachung ist es, Entwicklungen zu identifizieren, die die Realität grundsätzlich in Frage stellen und bestehende Planungen im Hinblick auf ihre Zielsetzung gefährden. "Während bei der Kontrolle strategischer Prämissen die strategischen Planungsprämissen als solche Gegenstand der Kontrollaktivitäten sind, sind diese im Rahmen strategischer Überwachung Ausgangspunkt der Kontrollaktivitäten."621 Die strategische Überwachung schließt in ihrer Aufgabenstellung nahtlos an die Risikoidentifikation der strategischen Risiken an und komplettiert so den eingangs vorgestellten Kreislauf. Im Folgenden werden zunächst Instrumente für die regelmäßig durchzuführenden prozessabhängigen Kontrollen vorgestellt, bevor im Abschnitt 4.6.4 auf die prozessunabhängige Kontrolle - die Überwachung - eingegangen wird.
617 618 619 620 621
Vgl. ausführlich Kötzle, A. (Identifikation, 1993), S. 224. Vgl. Steinle, C. (Systeme, 1999), S. 308f. Vgl. Kötzle, A. (Identifikation, 1993), S. 224f.; Braun, H. (Risikomanagement, 1984), S. 264; Steinle, C. (Systeme, 1999), S. 282. Vgl. Krystek, U. (Früherkennung, 2003), S. 139. Kötzle, A. (Identifikation, 1993), S. 225.
4 Prozess des Risikomanagements
4.6.3
213
Prozessabhängige Kontrollinstrumente
4.6.3.1 Risikodokumentation Als Grundlage der Risikokontrolle empfiehlt sich die Erstellung eines Risikohandbuches, das alle Regelungen und Maßnahmen im Zusammenhang mit dem Risikomanagementsystem umfasst, z.B.:622 x
Aussagen zur Bedeutung der frühzeitigen Risikoerkennung für das Unternehmen,
x
Aussagen zur Risikoneigung und Risikopolitik,
x
Beschreibung der Beobachtungsbereiche,
x
Auflistung aller wesentlichen und bestandsgefährdenden Risiken,
x
Grundsätze und Verfahren der Risikoerkennung und -bewertung,
x
Festlegung von Verantwortlichkeiten und Aufgaben im Rahmen der einzelnen Prozessschritte des Risikomanagements, Organisation des Risikomanagements,
x
bestehende Steuerungsmaßnahmen für aktuelle und potenzielle Risiken,
x
Entscheidungskriterien für die Auswahl von Risikosteuerungsmaßnahmen,
x
Regelungen zur Berichterstattung und Kommunikation im Unternehmen,
x
Aufstellung der wesentlichen internen Kontrollen,
x
Aufgaben der internen Revision,
x
ggf. verwendete Formularsätze oder Datenerfassungsmasken.
Die Erstellung und Pflege des Risikohandbuches fällt üblicherweise in den Aufgabenbereich des Controllings. Art und Umfang des Risikohandbuches sind abhängig von der Größe und Komplexität des Unternehmens. Die Darstellung hat stets unternehmensspezifisch zu erfolgen, eine Übernahme von allgemeinen (von Dritten erstellten) Schemata wird den Anforderungen der Wirtschaftsprüfer, die die Dokumentation ihrer externen Prüfung zugrunde legen, nicht gerecht.623 Das Risikomanagementhandbuch sollte übersichtlich gegliedert sein, eine einheitliche Terminologie verwenden und Überschneidungen und Wiederholungen weitestgehend vermeiden.624 Die Risikodokumentation soll jegliche Grundlagen und Organisation des Risikomanagements dauerhaft und personenunabhängig darstellen. Die Dokumentation eines Risikomanagementsystems ist zwar nicht gesetzlich vorgeschrieben, dennoch notwendig und gleichzeitig verpflichtend, weil sie für das Unternehmen einige 622 623
Vgl. IDW PS 340 (17); C&L (Risikomanagement, 1998), S. 19; ausführlich Pollanz, M. (Einrichtung, 1999), S. 397f.; Oechsle, E./Wirth, M. (Gegenstand, 1999), S. 581ff. Vgl. Kuhl, K./Nickel, J.-P. (Risikomanagement, 1999), S. 135.
214
4 Prozess des Risikomanagements
wichtige Funktionen beinhaltet. Die Unternehmensleitung muss bspw. bei Eintritt einer Unternehmenskrise ihr pflichtgemäßes Verhalten nachweisen (Rechenschaftsfunktion). Darüber hinaus ist die Dokumentation, die Grundlage für die Prüfung des Risikomanagements durch den Abschlussprüfer bildet (Prüfbarkeitsfunktion), die Voraussetzung, um die Einhaltung der Maßnahmen im Zeitablauf sicherzustellen (Sicherungs- bzw. Durchsetzungsfunktion).625 Gleichzeitig bildet ein Risikohandbuch jedoch auch eine unternehmensinterne Richtlinie, an der sich jeder Mitarbeiter orientieren kann.626 Auch die Risikoüberwachung im prozessunabhängigen Bereich kann sich bei der Vorgehensweise ihrer Prüfung am Risikohandbuch orientieren. Fehlt eine Dokumentation oder ist sie unvollständig, so kann laut IDW an der dauerhaften Funktionsfähigkeit des Risikomanagementsystems gezweifelt werden.627 Mängel in der Dokumentation deuten für den Abschlussprüfer im Zweifel daraufhin, dass Informationslücken und Wissensverluste bei den Mitarbeitern vorliegen, was die Folge eines nur teilweise implementierten oder nicht funktionsfähigen Risikomanagementsystems sein könnte (vgl. 3.3.3.4).628 4.6.3.2 Berichtssystem Kernstück der prozessabhängigen Risikokontrolle und zugleich wichtiger Bestandteil eines funktionsfähigen Risikomanagementsystems bildet das Risikoberichtssystem bzw. Risikoreporting.629 Nur bei einer regelmäßigen Berichterstattung über Risiken und das damit verbundene Verlustpotenzial kann sich das Risikomanagement kontinuierlich weiterentwickeln. Die Einbeziehung von Risikoaspekten in strategischen Entscheidungen, aber auch das zum Teil nur sehr schwer quantitativ erfassbare operative Risiko bedarf einer Unterstützung durch ein Risikoreporting.630 Das Risikoreporting muss regelmäßig über die neu identifizierten, bestehenden, eliminierten oder verminderten Risiken berichten. Der Bericht muss dazu verständlich abgefasst sein, vollständig über die Risikosituation informieren und in einer ausreichend hohen Frequenz er-
624 625
626 627 628 629 630
Vgl. Pollanz, M. (Einrichtung, 1999), S. 397; ein beispielhafter Aufbau findet sich bei Kirchner, M. (Risikomanagement, 2002), S. 75ff. Vgl. Kless, T. (Unternehmensrisiken, 1998), S. 94; Kromschröder, B./Lück, W. (Grundsätze, 1998), S. 1576; Scharpf, P. (Treasury, 1998), S. 5; Pollanz, M. (Einrichtung, 1999), S. 397; Lück, W. (Aspekte, 1999), S. 149f.; Hornung, K. /Reichmann, T. /Diederichs, M. (Risikomanagement I, 1999), S. 324. Vgl. Hornung, K. /Reichmann, T. /Diederichs, M. (Risikomanagement I, 1999), S. 324. Vgl. IDW PS 340 (18). Vgl. KPMG (Reformen, 1998), S. 10. Vgl. Scharpf, P. (Sorgfaltspflichten, 1997), S. 741. Vgl. Peter, A. (Reportingstrukturen, 2000), S. 5.
4 Prozess des Risikomanagements
215
scheinen.631 Als "valide und permanent verfügbare Datenbasis"632 sollte die Berichterstattung einen jederzeitigen Überblick über die Risikolage des Unternehmens erlauben. Der Risikobericht dient der Geschäftsleitung und evtl. weiteren Empfängern als Grundlage, um gegebenenfalls die Risikosteuerung anzupassen.633 Die Ergebnisse der Berichte münden dann jährlich in den Lagebericht (vgl. 2.5).634 Um als Instrument zur Kontrolle und Entscheidungsunterstützung sinnvoll einsetzbar zu sein, sollte ein Risikoberichtssystem demnach folgende Anforderungen erfüllen:635 x
Wesentlichkeit (der Detaillierungsgrad ist in Abhängigkeit vom Informationsbedürfnis des Adressaten festzulegen),
x
Rechtzeitigkeit (die Information sollte so rechtzeitig erfolgen, dass ein gezieltes Eingreifen noch möglich ist),
x
Genauigkeit (möglichst genaue Quantifizierung),
x
Vollständigkeit (Unterscheidung nach Teilbereichen und Gesamtunternehmen),
x
Einheitlichkeit (einheitliche Gestaltung der Berichtsform unternehmensweit).
Im Hinblick auf ein empfängerorientiertes Berichtswesen ist zu klären, wie umfangreich der Empfängerkreis sein sollte.636 In einem Risikoreporting ist die Risikopolitik der Geschäftsführung als Ausgangspunkt zu dokumentieren. Des weiteren sollten Informationen über die Art der Risiken, die Einflussfaktoren, den zeitlichen Verlauf und das Schadenspotenzial der Risiken ebenso enthalten sein, wie Aussagen über Interdependenzen zwischen den Risiken und der möglichen Gesamtschadenserwartung.637 Ein besonderer Schwerpunkt liegt auch in der Einhaltung vorgegebener Limitwerte.638 Eine mögliche dreistufige Berichtshierarchie erleichtert den Empfängern dabei die Fokussierung auf die wesentlichen Informationen. Unterschieden werden können:
631 632 633 634 635 636 637 638
x
Standardreports,
x
Abweichungsreports,
x
Ad-hoc-Reports.
Vgl. Scharpf, P. (Sorgfaltspflichten, 1997), S. 741. Preußner, J./Zimmermann, D. (Risikomanagement, 2002), S. 660. Vgl. Scharpf, P. (Sorgfaltspflichten, 1997), S. 741f. Vgl. Horváth, P./Gleich, R. (Risikomanagement, 2000), S. 119. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 179; ähnlich auch Scharpf, P. (Sorgfaltspflichten, 1997), S. 741. Vgl. Vogler, M./Gundert, M. (Einführung, 1998), S. 2378; Holst, J. (Risikomanagement, 1998), S. 29; Horváth, P./Gleich, R. (Risikomanagement, 2000), S. 120. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 175. Vgl. Martin, T. A./Bär, T. (Grundzüge, 2002), S. 105.
216
4 Prozess des Risikomanagements
Standardreports sind die regelmäßig und automatisch produzierten Reports, die den Informationsempfängern zu festgesetzten Terminen zur Verfügung stehen. Abweichungsreports werden nur im Falle von gesondertem Bedarf oder bei speziellen Ereignissen produziert, wenn bspw. Schwellen- oder Limitwerte überschritten werden. Ad-hoc-Reports sind nur im Bedarfsfall zu produzieren und enthalten alle Arten von Informationen, die z.B. bei außergewöhnlichen Marktbedingungen von Bedeutung sind, wobei direkt an die Geschäftsleitung berichtet wird und vorgesehene Berichtswege übersprungen werden können.639 Bei der Risikoberichterstattung ist demzufolge der Definition von Schwellenwerten, die eine Information an die betroffene Ebene auslösen, besondere Aufmerksamkeit zu schenken.640 Werden die Schwellenwerte sehr niedrig angesetzt, kann durch die Vielfalt der zu berichtenden und zu berücksichtigenden Risiken der Geschäftsbetrieb stark verlangsamt werden. Andererseits können bei einer sehr hohen Festlegung der Schwellenwerte signifikante Risiken unberücksichtigt bleiben und das Unternehmen in eine existenzbedrohende Lage geraten.641 Eine wichtige Komponente der Risikoberichterstattung bilden die Informationsflüsse zwischen den Mitarbeitern. Nur wenn die Möglichkeit und die Bereitschaft zur effektiven und effizienten Kommunikation existiert, kann über Risiken erfolgreich berichtet werden.642 Um die Qualität des Berichtssystems sicher zu stellen, sind die eingesetzten Verfahren und Methoden regelmäßig zu überprüfen und ständig weiterzuentwickeln. Auch die Datenqualität von Zulieferern, wie z.B. Data-Warehouse, Marktforschung, etc., ist regelmäßig sicherzustellen. Weiterhin ist die Vollständigkeit der abgebildeten Risikopositionen regelmäßig zu überprüfen. Nicht zu vernachlässigen ist ferner eine Abstimmung mit den Informationsempfängern und ein Abgleich zwischen Informationsbedarf und Reportinginhalten. Die interne Revision als prozessunabhängige Prüfungsinstanz im Unternehmen sollte darüber hinaus das Berichtssystem regelmäßig einer Prüfung unterziehen.643
639
640 641 642 643
Vgl. Vogler, M./Gundert, M. (Einführung, 1998), S. 2378; Spannagl, T./Häßler, A. (Implementierung, 1999), S. 1831; Peter, A. (Reportingstrukturen, 2000), S. 22; Horváth, P./Gleich, R. (Risikomanagement, 2000), S. 120. Vgl. Claassen, U. (Risikomanagement, 1999), S. 4. Vgl. Claassen, U. (Risikomanagement, 1999), S. 6; Weber, J./Weißenberger, B./Liekweg, A. (Risikomanagement, 1999), S. 1712. Vgl. Claassen, U. (Risikomanagement, 1999), S. 13. Vgl. Peter, A. (Reportingstrukturen, 2000), S. 23f.
4 Prozess des Risikomanagements
217
Eine Möglichkeit das Risikoberichtswesen grafisch abzubilden und zu unterstützen, bildet die so genannte Risk-Map, häufig auch als Risikoerfassungsbogen bezeichnet.644 Dieses Instrument findet sich in verschiedenen Stellen des Risikomanagementprozesses wieder, beinhaltet es doch auch die Ergebnisse der Phasen der Identifikation, Bewertung sowie vorgeschlagene Steuerungsmaßnahmen. Als Instrument der Berichterstattung liefert es einen guten Überblick und dokumentiert die Risikosituation in übersichtlicher Weise. Der IIR-Arbeitskreis645 schlägt einen unternehmensindividuellen Risikoerfassungsbogen vor, der wie folgt aufgebaut sein kann: Bereich Nr.
Bestandsgefährdende Risikopotenziale
Vorhandene Risiken (Beispiele)
Risikobewertung
Überwachungssysteme (Beispiele)
Überwachungsmaßnahmen (organisat./ masch.)
Überwachungsträger (Wer?Bis wann?)
Eintrittswkt. Schadenvolumen
Abbildung 41: Beispielhafte Darstellung eines Risikoerfassungsbogens646 Der Erfassungsbogen soll zur Übersichtlichkeit nach Risikobereichen oder -kategorien strukturiert sein.647 Der Risikoerfassungsbogen bzw. die Risk Map ist für interne Adressaten gedacht und sollte nach deren Informationsbedürfnissen konzipiert werden. Bei der Ausgestaltung ist dann regelmäßig der Konflikt zwischen zunehmendem Detaillierungsgrad und abnehmender Übersichtlichkeit zu lösen.648 Eine Integration in das vorhandene Berichtssystem ist sinnvoll, solange gleichzeitig die Möglichkeit einer ad-hoc-Berichterstattung existiert.649 In die Risk-Map kann bei Bedarf auch der Nettorisikowert aufgenommen werden, also der Bruttorisikowert, vermindert um die vorgesehene Gegenmaßnahme. Bei einer Nettobewertung kann allerdings die Transparenz über das resultierende Gefährdungspotenzial verloren gehen.650 644
645 646 647 648 649 650
Vgl. mit einem ausführlichen Beispiel Helmke, S./Risse, R. (Risikomanagement, 1999), S. 282; Eggemann, G./Konradt, T. (Risikomanagement, 2000), S. 505; Lischke, T./Kirner, H. (Risikomanagementsystem, 2000), S. 47. Vgl. IIR (Risikomanagementsystem, 1999), S. 189. Vgl. IIR (Risikomanagementsystem, 1999), S. 198ff.; ähnliche Darstellungen finden sich bei Löhr, D. (KonTraG, 2000), S. 313; Bitz, H. (Risikomanagement, 2000), S. 82ff. Vgl. IIR (Risikomanagementsystem, 1999), S. 189. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 184. Vgl. Saitz, B. (Risikomanagement, 1999), S. 93; Löhr, D. (KonTraG, 2000), S. 314; Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 93; Schindler, J./Rabenhorst, D. (Prüfung, 2001), S. 165. Vgl. Saitz, B. (Risikomanagement, 1999), S. 93; Löhr, D. (KonTraG, 2000), S. 314.
218
Ein
4 Prozess des Risikomanagements
ähnliches
Instrument
zur
Risikoberichterstattung 651
BER/WEIßENBERGER/LIEKWEG.
findet
sich
bei
WE-
Das sog. "Risk Tracking Sheet" beinhaltet alle Risi-
ken und Chancen einer organisatorischen Einheit und wesentliche Unsicherheiten aus untergeordneten Bereichen. Diese untergeordneten Bereiche führen ihrerseits eigene Risk Tracking Sheets mit allen Chancen und Risiken. Eine Informationsflut wird so verhindert, nur die wesentlichen Risiken werden auf die nächst höhere Ebene kommuniziert. Der Vorteil des Risk Tracking Sheet liegt in der transparenten Darstellung von Risiken und Chancen. Es erfolgt keine Kumulation von Risiken und Chancen, vielmehr wird der prognostizierten Schadenssumme die erwartete Erfolgssumme gegenübergestellt. Ein Risiko lässt sich bei dieser Darstellung leichter in Relation zu der Erfolgsgröße einschätzen. Den in einem Bereich anfallenden Risiken werden Eintrittswahrscheinlichkeiten und die jeweilige finanzielle Auswirkung zugeordnet. Die als wesentlich eingestuften Risiken werden in die nächst höhere Ebene übernommen. Dort werden sie dann nach einzelnen Risikobereichen gegliedert dargestellt und den Chancen gegenübergestellt. Kumulative oder sich aufhebende Effekte zwischen einzelnen Risiken können, soweit intersubjektiv nachvollziehbar, berücksichtigt werden.652 Auch Kennzahlensysteme können im Rahmen der Risikoberichterstattung als Instrument eingesetzt werden. Erfolgt die Berichterstattung im Unternehmen größtenteils kennzahlenorientiert, kann unternehmensindividuell angestrebt werden, das Kennzahlensystem um risikorelevante Kennzahlen zu erweitern. Einige Möglichkeiten der Integration des Risikoaspekts in bestehende Kennzahlensysteme wurden bereits unter 4.5.2.4 im Zusammenhang mit der Balanced Scorecard diskutiert.
Die Risikoberichterstattung im Unternehmen sollte DV-gestützt ablaufen. In der Regel dürften an verschiedenen Stellen im Unternehmen bereits Risikokontrollinstrumente existieren und Informationen über Risikoentwicklungen gesammelt werden. Um jedoch einen Überblick über die Gesamtrisikolage zu erhalten, ist es notwendig, alle dezentral existierenden Informationen in einer zentralen Datenbank zu sammeln, die dann eine gezielte Berichterstattung ermöglicht.653 Bei dem Aufbau einer Datenbank ist den grundsätzlichen Kosten-/Nutzen-
651 652 653
Vgl. Weber, J./Weißenberger, B./Liekweg, A. (Risikomanagement, 1999), S. 1714; Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 28ff. Vgl. Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 28ff. Vgl. Holst, J. (Risikomanagement, 1998), S. 28; Lischke, T./Kirner, H. (Risikomanagementsystem, 2000), S. 47.
4 Prozess des Risikomanagements
219
Überlegungen zu folgen, damit die Kosten der Implementierung den Mehrwert der Risikoberichterstattung nicht übersteigen.
Konsolidierter Gesamtrisikobericht
Risikoberichte der Unternehmenseinheiten
Risikodatenbank
Finanzielle Daten
Betriebsdaten
Marktdaten
Sonstige Daten
Abbildung 42: Möglicher Aufbau einer Risikodatenbank654 Die Risikodatenbank bietet die Möglichkeit, Daten aus verschiedenen Bereichen zu übernehmen, zu bewerten und im Rahmen der Berichtsabfragen auszuwerten. Wird das Layout der finanziellen Berichterstattung angepasst, ist mit einer höheren Akzeptanz und Verständlichkeit bei den Empfängern zu rechnen. Eine Transparenz kann über die Option einer DrillDown-Funktion gewährleistet werden.655 4.6.4
Prozessunabhängige Überwachung
Der gesamte Prozess des Risikomanagements muss einer prozessunabhängigen Kontrolle unterliegen, um mögliche Defizite in Ablauf und Organisation aufzudecken. Wichtig ist in erster Linie eine "institutionalisierte Drittsicht"656, die die Sicherheit und Funktionalität des Prozesses hinterfragt und als Rücksicherung dienen kann. Gerade bei der Bildung von Wesentlichkeitsgrenzen, aber auch im Bereich der Berechnung des Gesamtrisikos könnte das Risikomanagement der Willkür des Managements unterliegen, die es zu vermeiden gilt. Besonders ge-
654 655 656
Vgl. Lischke, T./Kirner, H. (Risikomanagementsystem, 2000), S. 48. Vgl. Lischke, T./Kirner, H. (Risikomanagementsystem, 2000), S. 48. Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 36.
220
4 Prozess des Risikomanagements
eignet erscheint hierzu die interne Revision im Unternehmen.657 Eine ausführliche Darstellung der Revisionsaufgaben im Unternehmen erfolgte bereits unter Abschnitt 3.3.3.3. Die interne Revision führt Ordnungsmäßigkeits-, Sicherheits-, Zweckmäßigkeits- und Wirtschaftlichkeitsprüfungen durch. Ordnungsmäßigkeitsprüfungen untersuchen, ob das Unternehmensgeschehen entsprechend den betrieblichen Arbeitsanweisungen und Regelungen abläuft und ob die gesetzlichen Vorschriften z.B. für die Aufbewahrung von Belegen eingehalten werden. Sicherheitsprüfungen sollen ein ausreichendes Sicherheitsniveau für Abläufe und Ergebnisse und insbesondere für DV-gestützte Verfahren garantieren und die Sicherung der Unternehmensvermögensgegenstände
überprüfen.658
Zweckmäßig-keitsprüfungen
sollen
demgegenüber feststellen, ob die unternehmensinternen Prozesse unmittelbar den Unternehmenszielen dienen. Im Rahmen der Wirtschaftlichkeitsprüfungen wird dann untersucht, ob die Prozesse unter Wirtschaftlichkeitsgesichtspunkten optimal durchgeführt wurden.659 Die interne Revision soll im Zusammenhang mit dem zu prüfenden Risikomanagementsystem nachvollziehen, ob in risikointensiven Bereichen eine Funktionstrennung vollzogen wurde. Des Weiteren sind die internen Kontrollen, wie organisatorische Sicherungsmaßnahmen im Bereich der EDV (z. B. Regelungen zum Schutz sensibler Arbeitsfelder), Sicherungsmaßnahmen durch Arbeitsanweisungen (z. B. Festlegung von Investitionsrichtlinien für bestimmte Investitionsarten) und Sicherungsmaßnahmen im Bereich des innerbetrieblichen Belegwesens (z. B. Richtlinien zur Sicherung der Belegablage) zu überprüfen.660 Aber auch eine Überwachung, ob die vorgegebenen Limits und Termine eingehalten werden, ist durchzuführen. Die interne Revision kann im Rahmen ihrer Überwachungstätigkeit auch die Risikoberichterstattung durch das Controlling einer Überprüfung unterziehen, sowie interne Daten mit externen Quellen (z.B. Kennzahlen zur finanziellen Lage des Unternehmens) vergleichen.661 Ferner scheint eine Überprüfung der der Planung zugrunde liegenden Prognosen notwendig, da hier in starkem Maße subjektive Annahmen des Managements Eingang finden. Für außenstehende Aktionäre oder am Unternehmen Interessierte sind Zukunftsinformationen ein wichtiger Orientierungspunkt, die durch ein unabhängiges Urteil überprüft werden sollten.662
657 658 659 660 661 662
Vgl. Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 36f. Vgl. Schwager, E. (Entwicklungen, 2001), S. 2105. Vgl. Theisen, M. R. (Überwachung, 1987), S. 6240ff.; Heigl, A. (Controlling, 1989), S. 174. Vgl. Bitz, H. (Risikomanagement, 2000), S. 53. Vgl. Martin, T. A./Bär, T. (Grundzüge, 2002), S. 133. Vgl. Arbeitskreis "Externe und Interne Überwachung der Unternehmung" (Prognoseprüfung, 2003), S. 108, Rz. 30.
4 Prozess des Risikomanagements
4.6.5
221
Abgrenzung der Kontroll- und Überwachungsaufgaben
Wie bereits unter 3.3.3 dargestellt wurde, bilden das Controlling und die interne Revision die unternehmensinternen Instanzen, die den Vorstand bei der Konzipierung, Einführung, Durchführung und Überwachung des Risikomanagements unterstützen.663 Nachdem die grundlegenden Aufgaben des Controllings und der internen Revision bereits deutlich gemacht wurden, soll nun vor dem Hintergrund des detailliert betrachteten Risikomanagementprozesses eine Abgrenzung erfolgen, welche Aufgaben speziell im Bereich der Kontrolle und Überwachung von welcher Instanz wahrgenommen werden können, um Überschneidungen zu vermeiden. Eine klare Abgrenzung im Bereich der Überwachung, wie sie in der Vergangenheit durchaus üblich war, wird zukünftig nicht möglich sein, weil verschiedene Elemente der Revision und des Controllings miteinander vermischt werden, um eine möglichst vollständige Überprüfung komplexer Sachverhalte erzielen zu können.664 Es obliegt der Unternehmensführung, zu koordinieren, welche Führungsunterstützungsaufgaben durch das Controlling und die interne Revision wahrgenommen werden sollen, und in welchen Bereichen im Interesse des Unternehmens parallele Kontrollen stattfinden sollen.665 Controlling und Interne Revision tragen gegenüber der Unternehmensführung gemeinsam die Verantwortung der Überwachung. Insofern ist eine Abstimmung zwingend erforderlich und es wird gefordert, dass beide Institutionen sowohl prozessunabhängige (konsekutive), prozessbegleitende (simultane) sowie auch prozessübergreifende (antizipative) Überwachungsaufgaben in zeitlicher und inhaltlicher Abstimmung durchführen sollen.666 Grundsätzlich unterscheiden sich Controlling und interne Revision im Hinblick auf das Ziel der durchgeführten Überwachungstätigkeiten. Controlling unterstützt bei der Wahrnehmung seiner Kontrollaufgaben die nach innen gerichteten Eigenkontrollaktivitäten des Managements und wirkt in enger Zusammenarbeit mit den Bereichen an den in die Zukunft gerichteten Planungsprozessen mit.667 Die interne Revision demgegenüber führt prozessunabhängige Kontrollen durch, die überwiegend vergangenheitsorientiert ausgerichtet sind und ein unabhängiges Urteil erfordern.668 Hierdurch unterscheidet sich die interne Revision stark von den Kontrollen des Controllings. Die Kontrollaufgaben des Controllings basieren auf Systemen, 663 664 665 666 667
Vgl. Deppe, H. (Zusammenarbeit, 1987), S. 128; Schäfer, J. G. (Überwachungssystem, 2001), S. 137 f. Vgl. Schenker-Wicki, A. (Prüfverfahren, 1999), S. 29. Vgl. Theisen, M. R. (Risikomanagement, 2003), S. 1429. Vgl. Theisen, M. R. (Revision, 1999), S. 55; Lück, W. (Revision, 1999), S. 27. Vgl. Franz, K.-P. (Corporate, 2002), S. 56.
222
4 Prozess des Risikomanagements
die das Controlling selbst geschaffen hat, so z.B. Abweichungsanalysen in der Kostenrechnung.669 Während der Controller versucht, Informationsnachfrage und Informationsangebot in Einklang zu bringen und die Führung mit relevanten Informationen zu versorgen, legt er Daten und Informationen zugrunde, die er als richtig ansieht.670 Der interne Revisor hingegen untersucht, ob die Daten und Informationen tatsächlich richtig und vollständig sind und sich Systeme im Unternehmen bewähren.671 Die Abgrenzung kann auch anhand nachfolgender Abbildung 43 verdeutlicht werden: Interne Revision Ex-Post-Betrachtung Unabhängigkeit von Linie Überprüfungsaufgaben Sporadische Kontrolle Fehlersuche
Operational Auditing Ex-Ante Prüfung Beratungsfunktion
Controlling Mitwirkung bei Planung und Kontrolle Steuerung Starker Ex-Ante Charakter Zusammenarbeit mit Linie Laufende Kontrolle
Abbildung 43: Unterschiede und Gemeinsamkeiten von interner Revision und Controlling672 Die Kontrollen des Controllings finden laufend bzw. in regelmäßigen Abständen statt und werten vor allem erhaltene Unterlagen aus. Die interne Revision wird demgegenüber nur fallweise und mit wechselnden Schwerpunkten tätig und arbeitet i.d.R. vor Ort.673 In der Praxis konnte nachgewiesen werden, dass das Controlling für die interne Revision eine Datenquelle darstellt, auf die regelmäßig bei den durchzuführenden Prüfungen zurückgegriffen wird. Ebenso unterbreitet das Controlling der internen Revision Vorschläge zur Durchführung von Spezialprüfungen.674 Das Controlling demgegenüber kann jedoch auch Prüfungsobjekt der internen Revision werden.675 Im Rahmen der planungsunterstützenden Aufgaben des Controllings kommt es zu keinen Überschneidungen mit der internen Revision. Die interne Revision kann lediglich den Cont668 669 670 671 672 673 674
Vgl.Heigl, A. (Controlling, 1989), S. 14; Küpper, H.-U. (Controlling, 1997), S. 451; Franz, K.-P. (Corporate, 2002), S. 56. Vgl. Ruud, T.F./Beer, M. (Revision, 1999), S. 100f. Vgl. Heigl, A. (Controlling, 1989), S. 16. Vgl. Schenker-Wicki, A. (Prüfverfahren, 1999), S. 43. Vgl. Küpper, H.-U. (Controlling, 1997), S. 451. Vgl. Deppe, H. (Zusammenarbeit, 1987), S. 134. Vgl. Rückle, D./Gerhards, R. (Berufsbilder I, 1998). S. 221.
4 Prozess des Risikomanagements
223
rollingbereich unter verfahrenstechnischen Gesichtspunkten prüfen, also die angewendeten Planungstechniken, Planungsverfahren sowie die Richtigkeit der Planungsprämissen und die Plausibilität der Prognosen.676 Prognosen sind für die Revision ebenso wie für den Abschlussprüfer (vgl. 3.3.3.4) ein "besonders sperriger Prüfungsgegenstand, als sie sich auf eine noch nicht existente Realität beziehen und deshalb im Zeitpunkt ihrer Veröffentlichung nicht auf ihre empirische Wahrheit (i.S. einer Übereinstimmung mit den Tatsachen) überprüft werden können"677. Prüfbar sind lediglich die zugrundeliegenden Prognosemodelle oder gedanklichen Schritte, die eine Prognose plausibel erscheinen lassen.678 Gemeinsamkeiten zwischen Controlling und interner Revision bestehen dann, wenn auch die interne Revision Beratungsaufgaben wahrnimmt. Der traditionelle ex-post-Charakter der internen Revision verschiebt sich dann hin zu einer mehr zukunftsorientierten Sichtweise.679 Abgrenzungsprobleme zwischen den beiden Instanzen sind dann nicht auszuschließen (vgl. 3.3.3.3).
Bezogen auf den Bereich der Kontrolle und Überwachung des Risikomanagementprozesses konnte bei einer 2002 durchgeführten empirische Untersuchung680 festgestellt werden, dass neben dem Controlling auch die interne Revision bei der Implementierung und Umsetzung des Risikomanagements einbezogen wird.681 Obwohl die interne Revision eine prozessunabhängige Instanz im Unternehmen darstellt, werden ihr in der Praxis durchaus auch prozessabhängige Tätigkeiten im Bereich der Berichterstattung und Kontrolle übertragen.682 Gefährlich erscheint die durch den Gesetzgeber ausgelöste Gleichstellung von interner Revision und Controlling in der Gesetzesbegründung. Controlling ist jedoch keinesfalls nur gleich zu setzen mit Kontrolle (vgl. 3.3.3.2).683 Controlling schafft Systeme und hält sie in Gang (Systembildungsfunktion und Systemkopplungsfunktion), während die interne Revision diese Systeme prüft.684 Aufgabe der internen Revision im Rahmen des Risikomanagements ist die Prüfung der Angemessenheit, Funktionsfähigkeit, Anwendung und Wirksamkeit des eingerichteten Risiko675 676 677 678 679 680 681 682 683
Vgl. Jung, M. K. P. (Revision, 2002), Sp. 803 f. Vgl. Deppe, H. (Zusammenarbeit, 1987), S. 135. Bretzke, W.-R. (Prognoseprüfung, 1992), Sp. 1437. Vgl. ausführlich Bretzke, W.-R. (Prognoseprüfung, 1992), Sp. 1437ff. Vgl. Küpper, H.-U. (Controlling, 1997), S. 451; Weber, J. (Perspektiven, 2000), S. 1933. Vgl. Diederichs, M./Reichmann, T. (Praxis, 2003), S. 229ff.: Untersucht wurden 253 deutsche Aktiengesellschaften aus den Indizes DAX 30, MDAX, SMAX und NEMAX 50; die Rücklaufquote betrug 22%. Vgl. Diederichs, M./Reichmann, T. (Praxis, 2003), S. 230. Vgl. Diederichs, M./Reichmann, T. (Praxis, 2003), S. 232. Vgl. Franz, K.-P. (Corporate, 2000), S. 56.
224
4 Prozess des Risikomanagements
managementsystems.685 Die interne Revision überprüft, ob die Risikoidentifikation und -bewertung systematisch richtig erfolgt und die Steuerungsmaßnahmen eingehalten werden.686 Weiterthin fällt unter die Aufgaben der internen Revision im Rahmen des Risikomanagements687 x
die Prüfung der vollständigen Erfassung aller Risikofelder,
x
Prüfung der Angemessenheit der eingerichteten Maßnahmen zur Risikoerfassung und Risikokommunikation,
x
Prüfung auf kontinuierliche Anwendung der Maßnahmen und
x
Prüfung auf Einhaltung der integrierten Kontrollen.
Auf die Aufgaben des Controllings im Rahmen des Risikomanagements wurde bereits ausführlich unter 3.3.3.2 eingegangen. Überblicksartig übernimmt das Controlling die688 x
Mitwirkung bei der Risikostrategie und Ermittlung von Schwellenwerten,
x
Begleitung von frühzeitiger Identifikation und Bewertung von Chancen und Risiken,
x
Kontrolle der Einhaltung der Schwellenwerte,
x
Plausibilitätsprüfung der gemeldeten Risiken,
x
Ermittlung des Gesamtrisikos (Risikoaggregation),
x
Überwachung der Chancen- und Risikosteuerung,
x
Risikoberichterstattung an die Geschäftsführung,
x
Ausarbeitung von Vorschlägen zur Risikobewältigung und
x
Koordination und Kontrolle der einzelnen Maßnahmen zur Risikobewältigung.
Folgende Abbildung 44 verdeutlicht den Aufgabenbereich des Controllings noch einmal grafisch.
684 685 686 687 688
Vgl. Lück, W. (Revision, 1999), S. 27. Vgl. Bundesaufsichtsamt für Kreditwesen (Revision, 2000), S. 3, Rn. 16. Vgl. IIR (Risikomanagementsystem, 1999), S. 196; Lischke, T. /Kirner, H. (Risikomanagementsystem, 2000), S. 46; Kirchner, M. (Risikomanagement, 2002), S. 35. Vgl. IDW PS 340 (16). Vgl. Martin, T. A./Bär, T. (Grundzüge, 2002), S. 123; Weber, J, (Controlling, 2002), S. 438.
4 Prozess des Risikomanagements
225
Erfassung
RisikoControlling
Information
Prozessverantwortung
Instrumente
Bewertung
Akzeptanz
Koordination der Phasen
RisikoControlling
Unternehmensführung
Minderung
Steuerung Vermeidung Überwälzung
Ziel- und Prämissenkontrolle Kontrolle
Soll-Ist-Vergleich
RisikoControlling
Abbildung 44: Einbindung des Risikocontrollings in den Risikomanagementprozess689 Auch eine Integration von Risikoaspekten in die Zielvereinbarungen der Mitarbeiter kann Aufgabe des Controllings sein, um selbststeuernde Anreizsysteme zum risikobewussten Verhalten zu realisieren.690 Für eine Übernahme zahlreicher Aufgaben im Rahmen des Risikomanagementprozesses durch das Controlling spricht neben der Unabhängigkeit grundsätzlich die Nähe zu den originären Controlling-Aufgaben.691 Im Bereich spezieller Risiken wie z.B. der Finanzrisiken kann allerdings u.U. die Finanzabteilung im Unternehmen besser geeignet sein, die Risiken zu steuern und zu überwachen.692 4.6.6
Zusammenfassende Beurteilung
Um einen zusammenfassenden Überblick zu erhalten, sind in nachstehender Abbildung die Kontroll- und Überwachungsaufgaben im Risikomanagementprozess hervorgehoben.
689 690
691 692
Vgl. Burger, A. /Buchhart, A. (Risiko-Controlling, 2002), S. 58. Vgl. Lischke, T. /Kirner, H. (Risikomanagementsystem, 2000), S. 45: Dabei sollte grundsätzlich beachtet werden, dass eine sinnvolle Mischung von Risiko- und Chancenaspekten bei den Zielvereinbarungen zugrunde gelegt wird. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 362f; Krystek, U. (Gesetze, 1999), S. 146. Vgl. Weber, J, (Controlling, 2002), S. 438.
226
4 Prozess des Risikomanagements
Unternehmensziele Vorgaben zur Risikoakzeptanz (Risikopolitik)
Frühzeitige Risikoidentifikation
Vermeiden Gesamtrisiko
Risikobewertung nach Kategorien
E
S Risikoportfolio
Vermindern Überwälzen Selbsttragen Restrisiko
Risikokontrolle, Ergebnisnachweis durch das Controlling
Externe Überwachung durch den Abschlussprüfer
Information, Kommunikation
Risikosteuerung Maßnahmenwahl unter Chancen-Risiko-Abwägung
Prozessüberwachung durch die interne Revision
Abbildung 45: Kontroll- und Überwachungsaufgaben im Risikomanagementkreislauf693 Deutlich wird, dass die Risikokontrolle - als prozessabhängige Überwachung - direkt in den Risikomanagementkreislauf integriert ist und durch die Möglichkeit der Rückkopplung mit den zeitlich vorhergehenden Phasen verbunden ist. Der gesamte Prozess unterliegt der prozessunabhängigen Überwachung durch die interne Revision, die die bereits vorgestellten Prüfungen durchführt.694 Das gesamte System des Risikomanagements, bestehend aus dem Risikomanagementkreislauf und der Prozessüberwachung durch die interne Revision unterliegt wiederum der externen Überwachung durch den Abschlussprüfer. Diese neutrale Überwachung ist gesetzlich vorgeschrieben (vgl. 2.6 und 3.3.3.4) und soll dadurch das Vertrauen der Anleger im Hinblick auf die Unternehmensentwicklung stärken.
Auch in der Phase der Kontrolle und Überwachung lässt sich über den Aufgabenumfang aus Kosten-Nutzen-Gesichtspunkten diskutieren.695 Die externe Überwachung durch den Abschlussprüfer ist gesetzlich vorgeschrieben, hier bestehen also lediglich Wahlmöglichkeiten im Hinblick auf das den Prüfungsauftrag ausführende Wirtschaftsprüfungsunternehmen. Die
693 694 695
In Anlehnung an Krystek, U./Fiege, S. (Risikomanagement, 2004), S. 2559. Vgl. Scharpf, P. (Treasury, 1998), S. 16. Vgl. ausführlich Theisen, M. R. (Überwachung, 1987), S. 36ff.
4 Prozess des Risikomanagements
227
Auftragsvergabe und damit die Entscheidung auch über die entstehenden Kosten obliegt jedoch dem Aufsichtsrat und nicht dem Vorstand des Unternehmens (vgl. 2.4.2). Da sich der Abschlussprüfer zu großen Teil auf die unternehmensinterne Dokumentation des Risikomanagements (Risikohandbuch) stützen wird und bei unvollständigen Unterlagen im Zweifel zu einem negativen Urteil im Hinblick auf das Risikomanagement gelangen wird, stehen dem Unternehmen hier auch nur Wahlmöglichkeiten über den Umfang und die Ausgestaltung zur Verfügung, nicht jedoch über die Erstellung einer Risikomanagementdokumentation per se. Gleiches gilt für die interne Revision, die - durch den Gesetzgeber hervorgehoben - für die neutrale, unternehmensinterne Überwachung verantwortlich ist. Fehlt eine Überprüfung durch eine neutrale Prüfungsinstanz im Unternehmen, wird der Abschlussprüfer bei der Überprüfung des Risikomanagementsystems gemäß § 317 Abs. 4 HGB zu keinem zufriedenstellenden Ergebnis gelangen. Wahlmöglichkeiten im Hinblick auf den Kostenanfall bestehen für Unternehmen im Rahmen der Kontrolltätigkeiten durch das Controlling jedoch im Hinblick auf die Ausgestaltung und DV-technische Unterstützung des Risikoberichtswesens. Es empfiehlt sich jedoch auch bei schlanker Ausgestaltung, die Kontrolle nicht aus Kostenaspekten zu vernachlässigen, da eine fehlende oder unzureichende Kontrolle die vorangegangenen Prozessschritte aufgrund fehlender Rückkopplung wenig sinnvoll erscheinen lässt.
4.7 Phasenübergreifende Beurteilung In den vorangegangenen Abschnitten wurden die einzelnen Phasen des Risikomanagementprozesses vorgestellt. Um nicht zu einer eigenständigen, von der sonstigen Führung losgelösten Insellösung zu geraten, sollten die einzelnen Prozessschritte in die bereits vorhandenen Planungs- und Kontrollprozesse integriert werden. Eine Integration ermöglicht zudem die Ausgestaltung eines schlanken Risikomanagements mit überschaubarem Zusatzaufwand.696 Die einzelnen Schritte des Risikomanagementprozesses lassen sich den einzelnen Phasen des Planungsprozesses wie folgt zuordnen:
696
Vgl. Weber, J./Weißenberger, B./Liekweg, A.(Risk Tracking, 1999), S. 11; Saitz, B. (Risikomanagement, 1999), S. 73; Wall, F. (Unterschiede, 2002), S. 5.
228
4 Prozess des Risikomanagements
Zielbildung Problemfeststellung und -analyse
Alternativensuche
Formulieren der Risikostrategie
Risikoidentifikation: -Entscheidungsproblem als Resultat von Risiken - der spezifischen Risiken der Alternativen
Alternativenbewertung und Auswahl Realisation
Planfortschrittskontrolle
Ergebniskontrolle
Risikoanalyse: -Risiken als zu lösendes Problem - der spezifischen Risiken der Alternativen
Risikosteuerg.: Erweiterung d. Alternativen um risikopol. Maßnahmen
Verfahrenskontrolle
Risikobewertung -Überwachung der Umsetzung d. risikopol. Maßnahmen -Überwachung d. RisikoManagement
Risikoüberwachung: -ggf. Anpassung der risikopol. Maßnahmen -Ermittlung negativer/positiver Beiträge der risikopol. Maßnahmen und des Einflusses von Risiken auf die Zielerreichung
Abbildung 46: Risikomanagement im Entscheidungsprozess697 Bereits im Rahmen der Zielbildung findet der Risikoaspekt Berücksichtigung. Dabei wird die Risikoeinstellung
des
Entscheidungsträgers
bewusst
einbezogen
und
Niederschlag in der unternehmensspezifischen Risikopolitik (vgl. 4.2).
698
findet
ihren
Darüber hinaus
bestehen verschiedene Möglichkeiten, den Risikoaspekt in der Zielbildung zu verdeutlichen.699 Zum einen kann über das Ziel der Sicherung und erfolgreichen Weiterentwicklung des Unternehmens700 der Risikoaspekt indirekt berücksichtigt werden: Versucht ein Unternehmen unter der Maxime der erfolgreichen Weiterentwicklung und Sicherung des Unternehmens seine Formal- und Sachziele bestmöglichst zu erfüllen, so kann durch die Erfüllung der anderen Ziele bereits ein Beitrag zur Sicherung der Unternehmensexistenz vermutet werden. Zum anderen kann die Sicherheit als eigenständiges Formal- oder Sachziel neben anderen Zielen in das Zielsystem integriert werden. Beispielhaft sei hier das Vermeiden von Störungen in der Produktion angeführt. Ein eigenständiges Sicherheitsziel kann dabei neutral, gegenläufig oder unterstützend zu anderen Zielen im Unternehmen wirken. Bis zu einem gewissen Grad an angestrebter Sicherheit verhält sich das Sicherheitsziel sogar 697 698 699
Vgl. Wall, F. (Risikomanagement, 2001), S. 216. Vgl. Mikus, B. (Risikomanagement, 1996), S. 109. Vgl. Hölscher, R. (Gestaltungsformen, 2000), S. 312.
4 Prozess des Risikomanagements
229
komplementär zu dem Gewinnziel; bei zu hoher angestrebter Sicherheit allerdings übersteigen die Kosten zur Erreichung des Sicherheitsziels die damit zu erzielenden Gewinnverbesserungen und die Ziele entwickeln sich zueinander konkurrierend.701 In der Phase der Problemfeststellung und –analyse geht es darum, mit Hilfe einer systematische Analyse Probleme zu identifizieren und zu strukturieren. Probleme können dabei einerseits aus Risiken resultieren (Gefahr der Zielabweichung) oder andererseits kann ein Problem als Risiko interpretiert werden. Im Zusammenhang mit einem unternehmensweit integrierten Risikomanagement kann dieser Phase die Risikoidentifikation und –bewertung zusammen mit einer Ursache-Wirkungs-Analyse zugeordnet werden. Vor einer Ausarbeitung der geplanten Alternativen zur Lösung eines Entscheidungsproblems kann allerdings nur eine Analyse der Risikosituation ohne Einbeziehung der Wirkung der geplanten Alternativen erfolgen.702 Die Ergebnisse der Risikoidentifikation (z.B. Früherkennungsinformationen) sollten im Rahmen der Problemfeststellung und -analyse berücksichtigt werden. In der Planungsphase der Alternativensuche werden verschiedene, sich gegenseitig ausschließende Handlungsalternativen gesucht, die eine Problemlösung ermöglichen. Unter Einbeziehung der Erkenntnisse aus den vorangegangenen Phasen können zusätzliche oder abgewandelte Alternativen aufgrund der gewählten Risikoposition entstehen, die eine Handhabung der Risiken miteinbeziehen.703 Auf die Alternativensuche folgt die Auswahl einer Alternative zur anschließenden Realisation. Die Alternative soll unter Berücksichtigung der bestehenden Risiken bewertet werden, wobei Kosten und Nutzen der Risikobewältigungsmaßnahmen eine wichtige Rolle spielen.704 Die ausgewählte Alternative soll die zugrundegelegte Zielgröße maximieren bei gleichzeitig möglichst geringen Kosten der Risikohandhabung. Im Zuge der Realisation der Maßnahme wird die gewählte Alternative und die zugehörige risikopolitischen Maßnahme ausgeführt.705 Die abschließende Kontrollphase dient der „Entscheidungsvorbereitung, -findung und –überprüfung, indem sie relevante Informationen für Planungsprozesse liefert und dabei vor allem Korrektur- und Anpassungsnotwendigkeiten aufdeckt“706. Im Zusammenhang mit dem
700 701 702 703 704 705 706
Vgl. ausführlich zu der steigenden Bedeutung von Sicherheitszielen Macharzina, K. (Unternehmensführung, 1999), S. 171ff. Vgl. Mikus, B. (Integration, 1999), S. 89ff.; Wall, F. (Unterschiede, 2002), S. 6. Vgl. Mikus, B. (Integration, 1999), S. 92f. Vgl. Mikus, B. (Integration, 1999), S. 97. Vgl. Mikus, B. (Integration, 1999), S. 101. Vgl. Mikus, B. (Risikomanagement, 1996), S. 109. Mikus, B. (Integration, 1999), S. 104.
230
4 Prozess des Risikomanagements
Risikomanagement geht es dabei in erster Linie um die Erfassung der nicht in der Planung berücksichtigten Zukunftsentwicklungen und um die Identifikation von Abweichungen der Zielerfüllung risikopolitischer Maßnahmen. Kontrollen sind trotz Risikomanagement ein wichtiger Bestandteil des Planungsprozesses, da mögliche Planungs- und Handlungsfehler der beteiligten Personen aufgedeckt werden können, die ein Risikomanagement nicht verhindern kann. Die Kontrolle bildet demzufolge einen wichtigen Bestandteil des Risikomanagements, gleichzeitig sollte jedoch auch das Risikomanagement als Prozess einer Kontrolle unterliegen (vgl. 4.6.4).707
Zusammenfassend kann festgehalten werden, dass das Risikomanagement im Wesentlichen folgende Zielsetzungen verfolgt: x
Sicherstellung der Unternehmensexistenz708 (diese Zielsetzung beinhaltet auch die logische Konsequenz, dass nicht nur spezielle Risiken berücksichtigt werden können, sondern generell alle Risiken des unternehmerischen Handelns in Betracht zu ziehen sind) verbunden mit der Schaffung eines erhöhten Risikobewusstseins auf allen Unternehmensebenen,709
x
Sicherung künftiger Unternehmenserfolge durch die Erschließung neuer Erfolgspotenziale,710
x
Minimierung der Risikokosten711 sowie
x
Steigerung des Marktwertes eines Unternehmens.712
Jedes Unternehmen steht einer individuellen Risikosituation gegenüber. Die Instrumente, die im Rahmen eines Risikomanagementkonzeptes zur Erfüllung der Zielsetzungen eingesetzt werden, sollten deshalb so ausgewählt werden, dass sie Risiken rechtzeitig, vollständig und im richtigen Ausmaß anzeigen. Zu beachten ist neben der Auswahl einzelner Instrumente auch ihr Zusammenspiel im Instrumenten-Mix.713 Der Instrumenten-Mix hängt von der Unternehmensgröße, den Geschäftsfeldern und der Risikoeinstellung der Unternehmensführung ab. Mit zunehmender Unternehmensgröße steigt die Anzahl der verwendeten Erfassungs- und Bewertungsinstrumente, die Koordination nimmt zu. Ähnliches gilt für die Anzahl der Geschäftsfelder: je mehr Geschäftsfelder existieren, um707 708 709 710 711 712 713
Vgl. Mikus, B. (Integration, 1999), S. 104. Vgl. Braun, H. (Risikomanagement, 1984), S. 57. Vgl. Braun, H. (Risikomanagement, 1984), S. 59. Vgl. Pollanz, M. (Einrichtung, 1999), S. 394. Vgl. Wolf, K. /Runzheimer, B. (Risikomanagement, 2000), S. 25. Vgl. Pollanz, M. (Einrichtung, 1999), S. 394; Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 20. Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 18.
4 Prozess des Risikomanagements
231
so differenziertere Instrumente werden für die Beobachtung und Bewertung der unterschiedlichen Bereiche benötigt. Die Risikoeinstellung der Unternehmensführung beeinflusst den Instrumenten-Mix durch die entsprechende Auswahl von Instrumenten von eher risikoaversen oder risikofreudigen Unternehmensführern.714 Für mittelständische Unternehmen besteht im Vergleich zu Großunternehmen erhöhter Handlungsbedarf bei der Einführung und Implementierung eines Risikomanagementsystems. Nach MARTIN/BÄR ist dies "u.a. auch darauf zurückzuführen, dass das Controlling (wesentlich) auch Ziele verfolgt, die nicht der Früherkennung dienen, z.B. monatliche Wirtschaftlichkeitskontrolle in den Kostenstellen"715. Eine optimale Instrumentenkombination ist dann gegeben, wenn dem Unternehmen ein bestimmter Nutzen in Form eines Sicherheitsgrades oder Informationszuwachses gegeben wird, der bestimmte Kosten verursacht.716 Diese beiden Größen sollten möglichst ausgeglichen sein, die Kosten sollten den Nutzen - wie bereits angesprochen - (langfristig) nicht übersteigen. Zu den Kosten des Risikomanagements zählen die Kosten, die für die Identifikation und Bewertung anfallen (vgl. 4.3.4 und 4.4.3) sowie die Kosten, die für die ausgewählten Steuerungsmaßnahmen anfallen (vgl. 0). Des Weiteren fallen unter die Kosten des Risikomanagements auch auftretende Schadenskosten und Kosten der Liquiditätsvorsorge. Ein schwerwiegendes Problem ist jedoch die Erfolgsmessung des Risikomanagements. Während die Kostenentstehung sofort auffällig und dadurch relativ gut messbar ist, bleibt der Nutzen in Form einer verbesserten Risikolage oft verborgen oder ist nicht quantifizierbar.717 FARNY fasst dieses Dilemma im Hinblick auf die Aufgaben eines Risikomanagers wie folgt zusammen: "Hat er [der Risikomanager] gut gearbeitet, bleibt dies meist unbemerkt; hat er schlecht gearbeitet, kommt es sofort an den Tag, wenn Schäden, für die nicht vorgesorgt wurde, die Unternehmensexistenz bedrohen."718 Zu dem Nutzen, den ein Risikomanagement stiftet, zählen neben dem Überleben des Unternehmens z. B. evtl. Gewinne durch externe Ratingvorteile oder durch Marktzuwächse. Es lässt sich jedoch festhalten, dass eine eindeutige Zuordnung eines Gewinns hervorgerufen durch eine Risikomanagemententscheidung selten festgestellt werden kann und eine Quantifizierung schwierig ist. Neben dem Risikomanage-
714 715 716 717 718
Vgl. Burger, A./Buchhart, A. (Risiko-Controlling, 2002), S. 63. Vgl. Martin, T.A./Bär, T. (Grundzüge, 2002), S. 49. Vgl. Farny, D. (Grundfragen, 1979), S. 30. Vgl. Hölscher, R. (Gestaltungsformen, 2000), S. 310. Farny, D. (Grundfragen, 1979), S. 33.
232
4 Prozess des Risikomanagements
ment spielen viele andere Faktoren mit in die (verbesserte) Gewinnsituation, so dass eine eindeutige Bemessung selten gelingen wird. Um so wichtiger erscheint, dass aufgrund der Kosten-Nutzen-Problematik eine eindeutige und nachdrückliche Unterstützung des Risikomanagementprozesses durch die Unternehmensleitung erfolgt.
5 System des Risikomanagements
5
233
System des Risikomanagements
5.1 Organisatorische Ausgestaltung des Risikomanagements
5.1.1
Problemstellung
Um ein funktionsfähiges Risikomanagement sicherstellen zu können, ist eine Einbindung in die bestehende Organisationsstruktur notwendig. In der Organisationslehre wird grundsätzlich zwischen Aufbau- und Ablauforganisation unterschieden, wobei unter der Aufbauorganisation "alle Fragestellungen [...] im Zusammenhang mit der vertikalen und horizontalen Zerlegung von komplexen Entscheidungsaufgaben, der Zuweisung abgegrenzter Aufgabenkomplexe auf organisatorische Einheiten (Stellenbildung) sowie mit der Gestaltung von Weisungsund Kommunikationsbeziehungen zwischen diesen Einheiten"1 verbunden sind. Die Ablauforganisation beschäftigt sich demgegenüber mit der Kombination einzelner Arbeitsschritte zu komplexen Prozessen und deren zeitlicher und räumlicher Abfolge.2 Die Aufbauorganisation sichert eine organisatorische Infrastruktur und steht an dieser Stelle im Mittelpunkt der Betrachtung. Nur bei einer dauerhaften organisatorischen Institutionalisierung des Risikomanagements kann sichergestellt werden, dass die resultierenden Aufgaben regelmäßig und gewissenhaft wahrgenommen werden. Bei der nachfolgenden Darstellung unterschiedlicher Organisationsmöglichkeiten wird auf das Konzept von V. WERDER/GRUNDEI3 zurückgegriffen, die zwei strukturbildende Gestaltungsdimensionen unterscheiden, zum einen die Delegation, zum anderen die Bereichsbildung. Bei der Delegation steht die Frage der vertikalen Kompetenzverteilung im Mittelpunkt. Dies bedeutet im hier interessierenden Zusammenhang: welche Risikomanagementaufgaben sollen zentral von der Unternehmensleitung wahrgenommen werden, welche Aufgaben lassen sich sinnvoll auf nachgelagerte Hierarchieebenen verschieben?4 Im Rahmen der Bereichsbildung wird untersucht, wie die Kompetenzbeziehungen der Organisationseinheiten im Unternehmen untereinander zu gestalten sind. Hier interessiert vor al1 2 3
Frese, E. (Organisation, 2000), S. 7. Vgl. Frese, E. (Organisation, 2000), S. 7. Vgl. hierzu v. Werder, A./Grundei, J. (Organisationsmanagement, 2000), S. 98 ff.; v. Werder, A./Grundei, /Talaulicar, T. (Organisation, 2002), S. 396 ff.
234
5 System des Risikomanagements
lem die Frage, ob die Risikomanagementaufgaben von einem Zentralbereich wahrgenommen werden sollen, oder ob das Risikomanagement direkt in den einzelnen operativen Einheiten verankert wird. Es werden dabei die Gestaltungsfelder Etablierung, Platzierung, Differenzierung und Kooperation unterschieden.5 5.1.2
Delegation
Wie bereits angesprochen, beschäftigt sich die Delegation mit der Kompetenzverteilung auf nachgelagerte Hierarchieebenen. Theoretisch denkbar sind dabei alle Delegationsgrade von einer vollkommenen Zentralisation der jeweiligen Kompetenz bei der Unternehmensleitung bis hin zu einer vollständigen Dezentralisation auf nachgelagerte Hierarchieebenen.6 Im Hinblick auf die Risikomanagementaufgaben sind den theoretischen Möglichkeiten jedoch Grenzen gesetzt. Bereits in Abschnitt 2.4.1 wurde dargestellt, dass die Verantwortung für die Erfüllung der Risikomanagementaufgaben bei der Unternehmensleitung liegt. Aufgrund der vielfältigen Aufgaben im Zusammenhang mit dem Risikomanagement ist die Unternehmensleitung bei der Wahrnehmung jedoch schnell überlastet, weshalb eine Delegation an einen Zentralbereich7 im Unternehmen sinnvoll erscheint. Des Weiteren spielt der Querschnittscharakter des Risikomanagements eine besondere Rolle. Risikomanagement ist eine Querschnittsfunktion, die sich durch alle Bereiche und Ebenen eines Unternehmens zieht. Es sind demzufolge grundsätzlich alle Geschäftsbereiche eines Unternehmens betroffen, und die Wahrnehmung der Risikomanagementaufgaben setzt eine profunde Kenntnis der jeweiligen Bereichsbesonderheiten voraus. Prinzipiell können zwar die benötigten Informationen der Bereiche von der Unternehmensleitung angefordert werden, jedoch müssen dafür zusätzliche Zeit und Ressourcen aufgewendet werden. Je höher dabei der zu erwartende Koordinationsaufwand sein wird, um so eher bietet sich eine stärkere Dezentralisation an, die weniger Koordination erfordert. Grundsätzlich fördert die Kompetenzverteilung auf nachgelagerte Hierarchieebenen zugleich die Motivation und lässt dadurch auf eine effiziente Arbeitserfüllung hoffen.8
4 5
6 7 8
Vgl. hierzu v. Werder, A./Grundei, J. (Organisationsmanagement, 2000), S. 103; v. Werder, A./Grundei, J./Talaulicar, T. (Organisation, 2002), S. 402. Vgl. v. Werder, A./Grundei, J./Talaulicar, T. (Organisation, 2002), S. 402 am Beispiel der Unternehmenskommunikation. Die Aussagen lassen sich jedoch größtenteils auf das Risikomanagement analog anwenden. Vgl. v. Werder, A./Grundei, J./Talaulicar, T. (Organisation, 2002), S. 402. Abschnitt 5.1.3.4 beschäftigt sich ausführlich mit den verschiedenen Ausprägungsformen eines Zentralbereichs. Vgl. Steger, U. (Umweltmanagement, 1993), S. 260; v. Werder, A./Grundei, J./Talaulicar, T. (Organisation, 2002), S. 404.
5 System des Risikomanagements
235
Bei zentralen Konzepten ergeben sich gegenüber einer reinen dezentralen Einordnung der Risikomanagementaufgaben stets Spezialisierungsvorteile. Das methodische Know-how sowie die gesammelten Erfahrungswerte der zentralen Einheit können für verschiedene Risikobereiche genutzt werden.9 Darüber hinaus hat eine zentrale Einheit die Möglichkeit, aus ihrer übergeordneten Perspektive heraus die Risikopositionen zu einer bereichsübergreifenden, gesamtunternehmensbezogenen Sichtweise zusammenzufassen. Eine übergreifende Sichtweise ist notwendig, um sinnvolle Risikobewältigungsmaßnahmen einzusetzen, die auch Kompensations- oder Verstärkungseffekte der Risiken untereinander berücksichtigen.10 Für eine Zentralisation von Risikomanagementaufgaben spricht auch das gesamtunternehmensbezogene Wissen und die Übersicht der Unternehmensleitung. Allerdings erfordern einzelne Aufgaben im Rahmen des Risikomanagements, wie z.B. die Risikoidentifikation, zugleich heterogene fachliche Anforderungen, die gegen eine Zentralisation der gesamten Risikomanagementaufgaben sprechen. Es erscheint daher sinnvoll, in einer zentralen Risikomanagementstelle vor allem koordinierende, motivierende, planende und steuernde Tätigkeiten anzusiedeln, die darauf abzielen, andere Organisationseinheiten aufeinander abzustimmen und das Risikobewusstsein im gesamten Unternehmen zu steigern.11 Das Risikomanagement befindet sich deshalb „in einem gewissen Spannungsfeld zwischen der Notwendigkeit der Dezentralisation der Entscheidungskompetenzen, um eine weitgehende Wissensintegration zu erreichen einerseits und der Notwendigkeit zu ihrer Zentralisation, um eine gewisse Koordination der Risikopolitik zu gewähren andererseits“12. Zu den nicht delegierbaren Aufgaben im Rahmen des Risikomanagements gehört demzufolge ohne Frage die Risikopolitik, die den Handlungsrahmen für alle weiteren Schritte des Risikomanagements vorgibt.13 Die Tätigkeiten im Bereich der Risikoidentifikation und –bewertung eignen sich hingegen für eine Delegation auf nachgelagerte Hierarchieebenen. Gegenteilig verhält sich die Delegationsmöglichkeit bei der Maßnahmenfestlegung14 und bei den Kontrolltätigkeiten. Hier ist mindestens die Vorgabe einer einheitlichen Richtlinie durch die Unternehmensleitung erforderlich, die nachgelagerten Hierarchieebenen enge Grenzen vorgibt, wenn nicht gar ein Verbleib der Entscheidungsrechte bei der Unternehmensleitung.15 9 10 11 12 13 14 15
Vgl. v. Werder, A. (Risk Management, 1992), Sp. 2217; Fasse, F.-W. (Risk-Management, 1995), S. 354. Vgl. Farny, D. (Grundfragen, 1979), S. 34; Kupsch, P. (Risikomanagement, 1995), S. 541f.; ähnlich v. Werder, A. (Risk Management, 1992), Sp. 2217 f.; Hölscher, R. (Gestaltungsformen, 2000), S. 308. Vgl. Mugler, J. (Organisation, 1979), S. 110; v. Werder, A. (Risk Management, 1992), Sp. 2218; Eisele, W. (Meinungsspiegel, 2000), S. 275. Kratzheller, J. B. (Risiko, 1997), S. 105f. Vgl. Farny, D. (Grundfragen, 1979), S. 34; Naegeli, P. (Grundlagen, 1978), S. 211. Vgl. Holst, J. (Risikomanagement, 1998), S. 24. Vgl. v. Werder, A. (Risk Management, 1992), Sp. 2220 f.
236
5 System des Risikomanagements
Eine generell gültige Handlungsempfehlung kann an dieser Stelle nicht gegeben werden, die Tiefe der Delegation lässt sich nur unternehmensspezifisch unter Berücksichtigung der möglichen Konflikte festlegen. 5.1.3
Bereichsbildung
5.1.3.1 Etablierung Das Gestaltungsfeld der Etablierung beschäftigt sich mit der Fragestellung, ob für die Wahrnehmung von Risikomanagementaufgaben eine organisatorische Einheit notwendig ist, die sich ausschließlich mit dieser Aufgabe befasst. Wählt man eine solche Spezialistenlösung, so ergeben sich Vorteile im Hinblick auf das Methodenwissen und die gesammelten Erfahrungswerte im Umgang mit Risikomanagementsystemen.16 Weiterhin spricht die Zuordnung zu einem neutralen, spezialisierten Bereich für die unvoreingenommene Verfolgung der Risikoposition des Unternehmens.17 Einzelne Teilaufgaben des Risikomanagements, die eine gewisse organisatorische Differenzierung notwendig machen, sind bereits gesetzlich, jedoch losgelöst vom KonTraG, vorgeschrieben. So bestehen zum Beispiel für die Bereiche Arbeitsschutz, Umweltschutz oder Datenschutz rechtliche Vorschriften zur Schaffung einer „Beauftragten“-Stelle, die sich speziell mit Sicherheitsfragen der einzelnen Bereiche auseinandersetzt.18 Diese Bereiche sind dann auch mit Spezialisten zu besetzen. Dem Einsatz eines Spezialisten haftet jedoch stets die Gefahr an, dass andere Führungskräfte im Unternehmen sich von Risikomanagementaufgaben entlastet fühlen, obwohl die Risiken, die in ihren Bereichen entstehen, hauptsächlich von ihnen selbst zu erkennen und zu beeinflussen wären.19 Der Einsatz eines oder mehrerer Spezialisten darf folglich nicht dazu führen, dass die Risikomanagementaufgaben komplett auf Spezialisten abgewälzt werden. Die Mitarbeiter aller Ebenen müssen nicht nur Verständnis für ein Risikomanagement und seine strategische Bedeutung im Unternehmen entwickeln, sondern auch Verantwortung für Risikomanagementaufgaben mit übernehmen.20
16 17 18 19 20
Vgl. v. Werder, A./Grundei, J./Talaulicar, T. (Organisation, 2002), S. 405 am Beispiel der Unternehmenskommunikation. Vgl. v. Werder, A. (Risk Management, 1992), Sp. 2220. Vgl. v. Werder, A. (Risk Management, 1992), Sp. 2217. Vgl. Haller, M. (Risiko-Management, 1986), S. 11. Vgl. v. Werder, A./Grundei, J./Talaulicar, T. (Organisation, 2002), S. 405 am Beispiel der Unternehmenskommunikation.
5 System des Risikomanagements
237
Es bleibt festzuhalten, dass für verschiedene Teilaufgaben des Risikomanagements durchaus unterschiedliche Etablierungsentscheidungen getroffen werden können. So sind bspw. für den Arbeitsschutzbereich oder die Risikobewertung Spezialisten denkbar, während die Risikoidentifikation in keiner eigenen organisatorischen Einheit verankert wird. 5.1.3.2 Platzierung Geht man davon aus, dass zumindest Teilfunktionen des Risikomanagements in spezialisierten Organisationseinheiten verankert werden können, so stellt sich die Frage nach der Eingliederung in die bestehende Unternehmensstruktur. V. WERDER/GRUNDEI stellen dabei drei Möglichkeiten der Platzierung, die x
Konzentrationslösung,
x
Dekonzentrationslösung und
x
Kombinationslösung
zur Auswahl.21 Bei einer Konzentrationslösung werden die Risikomanagementspezialisten in einem Zentralbereich zusammengefasst. Generell wird bei dieser Lösung die unternehmensweite Abstimmung erleichtert und ein risikopolitisch konformes Verhalten sichergestellt. Neben der eventuellen Nutzung von Synergiepotenzialen wird durch eine Konzentrationslösung auch der strategische Stellenwert des Risikomanagements betont.22 Ist der Zentralbereich unmittelbar der Geschäftsführung unterstellt, fördert diese hohe hierarchische Einbindung die Autorität der Risikomanagementspezialisten, die dann ein unternehmensweit einheitliches Risikomanagement sicherstellen können. Nachteilig kann sich die Nähe zur Unternehmensleitung jedoch dann auswirken, wenn Risikomanagement von den anderen Bereichen überwiegend als Kontrollfunktion wahrgenommen wird und dadurch zum Aufbau von Misstrauensbarrieren im Unternehmen beiträgt.23 Demgegenüber steht die Dekonzentrationslösung, bei der sämtliche Risikomanagementaufgaben durch die operativen Bereiche wahrgenommen werden. Es existiert in einem solchen Falle kein Zentralbereich mit Risikomanagementspezialisten, sondern in jedem einzelnen Unternehmensbereich sind Risikomanagementspezialisten angesiedelt. Diese Lösung bietet sich für sehr heterogene Strukturen an, die stark vom Fachwissen der operativen Bereiche abhängig
21 22 23
Vgl. v. Werder, A./Grundei, J. (Organisationsmanagement, 2000), S. 106; v. Werder, A./Grundei, J./Talaulicar, T. (Organisation, 2002), S. 406. Vgl. v. Werder, A./Grundei, J./Talaulicar, T. (Organisation, 2002), S. 407 am Beispiel der Unternehmenskommunikation. Vgl. v. Werder, A. (Risk Management, 1992), Sp. 2220.
238
5 System des Risikomanagements
sind.24 Als problematisch ist hier jedoch in jedem Falle die fehlende, bereichsübergreifende Koordination der Risikoinformationen zu betrachten.25 Deshalb erscheint eine Kombinationslösung sinnvoll, die die Konzentrations- und Dekonzentrationslösung miteinander verbindet. Dabei existiert ein Zentralbereich Risikomanagement, daneben jedoch Risikomanagementspezialisten in den operativen Bereichen.26 Diese Lösung erscheint für das Risikomanagement in Unternehmen grundsätzlich sinnvoll, da ein Zentralbereich bereits wegen einer Koordination und Konsolidierung der relevanten Informationen unverzichtbar erscheint, gleichzeitig jedoch das Wissen der operativen Bereiche für spezifische Tätigkeiten wie die Risikoidentifikation unbedingt benötigt wird. Auch eine Umsetzung der entwickelten Reaktionsmaßnahmen ist durch einen Risikomanagementspezialisten, der in der operativen Einheit angesiedelt ist, leichter zu steuern und zu kontrollieren als durch einen Zentralbereich. 5.1.3.3 Differenzierung Die Differenzierung beschäftigt sich mit der internen Arbeitsteilung auf Bereichsebene. Diese Problemstellung ergibt sich aus dem regelmäßig für eine Person zu hohen Arbeitsaufwand, der dazu führt, dass mehrere Personen in einem Zentralbereich mit Risikomanagementaufgaben betraut sind.27 Es sind unterschiedliche Möglichkeiten für eine bereichsinterne Arbeitsteilung denkbar. Als geläufige Segmentierungskriterien gelten die Objekt- und Verrichtungsorientierung.28 Die objektorientierte Aufteilung führt zu einer Spezialisierung auf einzelne Risikokategorien. Es ist dann bspw. eine Einteilung in Absatzrisiken, Finanzrisiken, Qualitätsrisiken, Umweltrisiken etc. denkbar (vgl. 4.3.2). Eine solche objektorientierte Segmentierung bietet den Vorteil, dass auf die Besonderheiten der einzelnen Risikokategorien detailliert eingegangen werden kann. Eine risikokategorien-übergreifende Abstimmung ist allerdings zusätzlich notwendig, um ein risikoorientiertes Gesamtbild des Unternehmens zu ermöglichen. Eine funktionsorientierte Segmentierung richtet sich demgegenüber an dem Risikomanagementprozess aus. Danach ist eine Aufteilung in Spezialisten für Risikoidentifikation, -bewertung, -steuerung und –kontrolle denkbar. Diese Lösung bietet den Vorteil, dass das Metho-
24 25 26 27 28
Vgl. v. Werder, A./Grundei, J./Talaulicar, T. (Organisation, 2002), S. 407. Vgl. Kupsch, P. (Risikomanagement, 1995), S. 541. Vgl. Lindeiner-Wildau, K. (Risiko-Management, 1986), S. 34f.; v. Werder, A./Grundei, J./Talaulicar, T. (Organisation, 2002), S. 407f., am Beispiel der Unternehmenskommunikation. Vgl. v. Werder, A./Grundei, J./Talaulicar, T. (Organisation, 2002), S. 408. Vgl. v. Werder, A./Grundei, J. (Organisationsmanagement, 2000), S. 107; v. Werder, A./Grundei, J./Talaulicar, T. (Organisation, 2002), S. 408.
5 System des Risikomanagements
239
denwissen zur Erfüllung der einzelnen Prozessschritte stärker im Vordergrund steht. Ein unternehmensweit einheitliches, alle Risikokategorien umspannendes Vorgehen ist damit gesichert. Aus diesem Grund kann eine solch funktionsorientierte Strukturierung empfohlen werden. Es ist jedoch auch eine Kombination beider Segmentierungskriterien ist denkbar. So kann bei einer funktionsorientierten Ausrichtung die Untergliederung in den einzelnen Prozessschritten nach Objekten erfolgen. Ist ein Unternehmen so groß, dass es sich lohnt, mehrere Spezialisten für eine Risikoidentifikation anzusiedeln, kann untereinander eine Aufteilung nach verschiedenen Risikokategorien erfolgen, bspw. Finanz- und Umweltrisiken. 5.1.3.4 Kooperation Im Rahmen der Kooperation steht die Regelung von Kompetenzbeziehungen zwischen mehreren organisatorischen Einheiten, die Risikomanagementaufgaben wahrnehmen, im Mittelpunkt. Dabei gilt es grundsätzlich drei Problemkreise zu beachten:29 x
Festlegung der Zuständigkeiten von zentralen und dezentralen Risikomanagementspezialisten,
x
Festlegung der Kompetenzen zwischen zentralen/dezentralen Einheiten und sonstigen Mitarbeitern sowie
x
Koordination der unterschiedlichen Risikomanagementfelder.
Für die Gestaltung von Kooperationsbeziehungen stehen unterschiedliche Organisationsformen zur Auswahl, die in Abbildung 47 im Überblick dargestellt sind.
Kernbereichsmodell abnehmend
Richtlinienmodell
Matrixmodell
Servicemodell
Einfluss der Geschäftsbereiche
Stabsmodell
Autarkiemodell zunehmend
Abbildung 47: Typen von Zentralbereichen30 Bei allen Organisationsmodellen handelt es sich um Zentralbereichsmodelle, wobei der Einfluss der Geschäftsbereiche unterschiedlich gelagert ist. Bei dem Kernbereichsmodell ist das Risikomanagement vollständig aus den operativen Einheiten ausgelagert und in einer eigenen organisatorischen Einheit verankert. „Der Kernbe29
Vgl. v. Werder, A./Grundei, J./Talaulicar, T. (Organisation, 2002), S. 409, am Beispiel der Unternehmenskommunikation.
240
5 System des Risikomanagements
reich, der intern natürlich weiter untergliedert sein kann, beschließt allein über die vorzunehmenden Aktivitäten und besorgt auch ihre Durchführung“31 (vgl. Abbildung 48). Vorteilhaft an dieser Lösung ist, dass die benötigten Ressourcen nur in einem Bereich anfallen, was mit Einsparungen verbunden sein dürfte. Weiterhin gibt es kaum Abstimmungsprobleme mit anderen Bereichen, da die Kernbereichseinheit alleine in Abstimmung mit der Unternehmensleitung über die vorzunehmenden Aktivitäten entscheidet und eigenverantwortlich ihre Durchführung besorgt.32 Allerdings überwiegen im Hinblick auf das Risikomanagement die Nachteile, da eine umfassende Einbeziehung der übrigen Geschäftsbereiche, die über das benötigte Detail- und Fachwissen verfügen, fehlt (vgl. dazu Argumentation unter 5.1.3.1).
Unternehmensleitung
Kernbereich
Geschäftsbereich
Geschäftsbereich
Risikomanagement
Produkt I
Produkt II
Abbildung 48: Modell des Kernbereichs33 Die abgeschwächte Variante des Kernbereichsmodells stellt eine Lösung dar, bei der zwischen Kernbereich und operativen Einheiten ein Informations- und Know-how-Austausch stattfindet.34 Durch diese Variante kann versucht werden, das fehlende Fachwissen im Hinblick auf die zu erfassenden und steuernden Risiken zu integrieren. Es ist jedoch nicht gewährleistet, dass die operativen Bereiche motiviert sind, alle Informationen zeitnah und umfassend zur Verfügung zu stellen. Im Interesse der Geschäftsführung, die Risikomanagementaufgabe bestmöglich auszuführen, ist ein Kernbereichsmodell deshalb wohl nur in den seltensten Fällen geeignet.
30 31 32 33 34
Vgl. Frese, E. (Organisation, 2000), S. 493. Frese, E./v. Werder, A. (Zentralbereiche, 1993), S. 39. Vgl. Frese, E. (Organisation, 2000), S. 492. Vgl. Frese, E./ v. Werder, A. (Zentralbereiche, 1993), S. 39, hier dargestellt am Beispiel des Risikomanagements. Vgl. Frese, E./ v. Werder, A. (Zentralbereiche, 1993), S. 39f.
5 System des Risikomanagements
241
Das Richtlinienmodell sieht vor, dass die betrachteten Aufgaben in mehreren Einheiten (zentral und auf operativer Ebene) verankert werden.35 Der Richtlinienbereich ist dabei für die Grundsatzentscheidungen der betreffenden Aufgabe allein entscheidungsbefugt und gegenüber den operativen Einheiten, die die Aufgabe ausführen, weisungsberechtigt (Richtlinienkompetenz).36 Folgende Abbildung 49 verdeutlicht das Zusammenspiel der einzelnen Bereiche:
Unternehmensleitung
Kernbereich
Geschäftsbereich
Geschäftsbereich
Risikomanagement
Produkt I
Produkt II
Risikomanagement
Risikomanagement
Abbildung 49: Modell des Richtlinienbereichs37 Das Richtlinienmodell baut auf einem hierarchischen Prinzip auf, bei dem die nachgelagerten Geschäftsbereiche für die Umsetzung der Entscheidungen des Richtlinienbereichs zuständig sind und nur im Rahmen der Vorgaben eigenen Entscheidungen treffen können.38 Aufgrund seiner Struktur ist das Richtlinienmodell in der Lage, eine übergreifende, unternehmenszielorientierte Perspektive zu verfolgen.39 Im Hinblick auf das Risikomanagement scheint das Richtlinienmodell geeignet, die spezifischen Anforderungen erfüllen zu können. Eine unternehmensweite Integration der Risikoperspektive ist durch klare Vorgaben gesichert, gleichzeitig wird das Fachwissen der operativen Einheiten sinnvoll genutzt und integriert.
35 36 37 38 39
Vgl. Frese, E. (Organisation, 2000), S. 492. Vgl. Frese, E./ v. Werder, A. (Zentralbereiche, 1993), S. 40. Vgl. Frese, E./ v. Werder, A. (Zentralbereiche, 1993), S. 40, hier dargestellt am Beispiel des Risikomanagements. Vgl. Frese, E. (Organisation, 2000), S. 493. Vgl. v. Werder, A./Grundei, J./Talaulicar, T. (Organisation, 2002), S. 413.
242
5 System des Risikomanagements
Einen ähnlichen Ansatz wählt die Matrixlösung. Bei der Matrixlösung wird die Risikomanagementaufgabe sowohl in den einzelnen Geschäftsbereichen als auch in einer zentralen Organisationseinheit verankert.40 Risikomanagement kann dabei als „gleichberechtigte zweite Dimension neben der Erfüllung der eigentlichen Sachaufgabe wahrgenommen werden“41. Die Organisationseinheiten sind jedoch nur gemeinsam entscheidungsbefugt und bilden deshalb einzelne oder mehrere Ausschüsse zur Selbstabstimmung.42
Unternehmensleitung
Matrixausschuss Risikomanagement
Zentrale Matrixeinheit Risikomanagement
Geschäftsbereich
Geschäftsbereich
Produkt I
Produkt II
Operative Matrixeinheit
Operative Matrixeinheit
Risikomanagement
Risikomanagement
Abbildung 50: Matrixmodell43 Der Matrixausschuss trifft Entscheidungen, die dann für die operativen Einheiten bindend sind und schränkt damit deren Handlungsspielraum ein. Im Gegensatz zum Richtlinienmodell ist jedoch der Matrixausschuss mit gleichberechtigten, entscheidungsbefugten Vertretern hierarchisch unverbundener Einheiten besetzt, die eine Selbstabstimmung vornehmen müssen.44 Der Richtlinienbereich demgegenüber gleicht mehr einer Fremdstrukturierung durch übergeordnete Dritte.45 Kritisch ist der zu erwartende Kompetenzkonflikt zwischen Risiko- und Sachzielen in den einzelnen Bereichen. Auch der Bedarf an Fachkräften im administrativen Bereich darf im 40 41 42 43 44
Vgl. Mugler, J. (Organisation, 1979), S. 112. Kratzheller, J. B. (Risiko, 1997), S. 112. Vgl. Frese, E./ v. Werder, A. (Zentralbereiche, 1993), S. 41. Vgl. Frese, E./ v. Werder, A. (Zentralbereiche, 1993), S. 41, hier dargestellt am Beispiel des Risikomanagements. Vgl. Frese, E. (Organisation, 2000), S. 494.
5 System des Risikomanagements
243
Rahmen einer Matrixorganisation nicht unterschätzt werden, ein Kosten-/Nutzenverhältnis sollte auch in diesem Bereich gewahrt werden.46 Der Erfolg einer zentralen Risikomanagementeinheit in der Matrixlösung hängt maßgeblich von der Kooperationsbereitschaft der dezentralen Bereiche ab.47 Fühlen sich die Bereiche unzureichend in die Entscheidungsfindung einbezogen, haben sie aufgrund ihrer fachspezifischen Informationen die Möglichkeit, erhebliche Widerstände aufzubauen, die die Zielerreichung beeinträchtigen.48 Die gewollte Gleichberechtigung im Matrixmodell erfordert einen unter Umständen sehr hohen Abstimmungsaufwand, da die Interessen der betroffenen Geschäftsbereiche unterschiedlich gewichtet sein können. Werden jedoch gemeinsam Beschlüsse nach erfolgreicher Einigung getroffen, kann deren Qualität als höherwertig angenommen werden, und die Akzeptanz in den operativen Einheiten dürfte ungleich höher sein.
Bei dem Servicemodell wird ein modifiziertes Ausgliederungsprinzip zugrunde gelegt. Es erfolgt dabei eine Trennung der Entscheidung, ob überhaupt Risikomanagementaufgaben betrieben werden, was genau gemacht werden soll und wie die einzelnen Aufgaben durchzuführen sind. Die Geschäftsbereiche sind jeweils für die Entscheidungen über die Art der Maßnahme zuständig, sie legen fest, ob überhaupt eine Maßnahme durchzuführen ist und was das Ziel der Maßnahme sein sollte. Sie erteilen dann einen Auftrag an den Servicebereich, der darüber entscheidet, wie die Maßnahme durchgeführt werden soll. Das Servicemodell hat durch diesen Ansatz besondere Bedeutung für Dienstleistungsaufgaben im Unternehmen erlangt. 49 Für ein Risikomanagement gemäß KonTraG kommt ein Servicemodell nicht in Frage, da eine Wahlentscheidung ob und in welcher Form Risikomanagementaufgaben wahrgenommen werden nicht im Ermessen der operativen Bereiche liegt. Der Gesetzgeber macht den Vorstand für diese Aufgabe verantwortlich, weshalb ein Abwälzen auf die operativen Bereiche nicht vertretbar ist.
Bei dem Stabsmodell nimmt der Risikomanagementstab die Aufgaben der Entscheidungsvorbereitung wahr und dient der informationellen und methodischen Unterstützung der Unter-
45 46 47 48 49
Vgl. Frese, E./ v. Werder, A. (Zentralbereiche, 1993), S. 41. Vgl. Kratzheller, J. B. (Risiko, 1997), S. 112ff. Vgl. Fasse, F.-W. (Risk-Management, 1995), S. 359. Vgl. v. Werder, A. (Risk Management, 1992), Sp. 2219. Vgl. Frese, E. (Organisation, 2000), S. 494.
244
5 System des Risikomanagements
nehmensbereiche. Die getroffenen Risikomanagemententscheidungen beruhen bei dieser Lösung auf bereichsinternen und vom Stab erarbeiteten Daten und Kenntnissen. 50 Unternehmensleitung Stab Risikomanagement
Geschäftsbereich
Geschäftsbereich
Produkt I
Produkt II
Abbildung 51: Stabsmodell51 Eine Stabseinheit kann als "Informationsdrehscheibe Fachwissen bündeln"52, das dann für die bereichsübergreifende Konsolidierung und Integration genutzt werden kann. Eine zentrale Analyse von Informationen aus den verschiedensten Bereichen bietet insbesondere die Chance, Informationssynergien zu realisieren, da beispielsweise große Datenbestände zuverlässig ausgewertet werden können und sich die Bedeutung von Einzelinformationen im Zusammenspiel mit weiterem (Hintergrund-)Wissen erschließt („Mosaiksteineffekt“). Die Gefahr einer Informationssammelstelle liegt in einer Überflutung mit Informationen begründet, die nicht mehr sinnvoll gebündelt und ausgewertet werden können.53 Allerdings kann eine Stabstelle bspw. Schulungen für die operativen Einheiten anbieten und bei gezielten Anfragen der Unternehmensleitung tätig werden. Die Verantwortung der Linieninstanzen für die Risiken wird bei diesem Ansatz beibehalten und die Stabsstelle gewährleistet lediglich eine qualifizierte Koordination und Unterstützung.54 Es besteht jedoch die Gefahr, dass sich Führungskräfte durch das Vorhandensein eines
50 51 52 53 54
Vgl. Frese, E. (Organisation, 2000), S. 495. Vgl. Frese, E./ v. Werder, A. (Zentralbereiche, 1993), S. 43, hier dargestellt am Beispiel des Risikomanagements. v. Werder, A./Grundei, J./Talaulicar, T. (Organisation, 2002), S. 411. Vgl. v. Werder, A. (Risk Management, 1992), Sp. 2221. Vgl. Kratzheller, J. B. (Risiko, 1997), S. 110f.; Glaum, M. (Risikomanagement, 2000), S. 19: eine Studie der PwC Deutsche Revision in Zusammenarbeit mit der Justus-Liebig-Universität Gießen, bei der Ende 1998 74 (rücklaufquote 48%) große deutsche Aktiengesellschaften mit Ausnahme von Versicherungen und
5 System des Risikomanagements
245
"Risiko-Stabes" entlastet fühlen und ihre Sicherungsaufgaben nur unzureichend wahrnehmen, obwohl diese untrennbar mit ihrer Funktion verbunden sind.55 Von einzelnen Vertretern wird deshalb auch gefordert, Risikomanagement im Unternehmen eindeutig als „Chefsache“ zu betrachten, eine Delegation der Aufgaben an eine Stabstelle schließt sich aus.56 Ein weiterer Nachteil kann in der mangelnden Entscheidungsbefugnis des Risiko-Stabes gesehen werden: Bei kurzfristigen Zielkonflikten zwischen Verbesserung der Sicherheit und Verbesserung der Wirtschaftlichkeit, kann die fehlende Ausstattung mit Kompetenz zu Schwierigkeiten bei der Durchsetzung des Risikomanagementbelange führen.57
Bei dem Autarkiemodell gibt es keine gesonderte Einheit zur Koordination der betrachteten Aufgabe. Bezogen auf das Risikomanagement bedeutet dies eine Institutionalisierung des Risikomanagements auf operativer Bereichsebene. In jedem Bereich gibt es Risikomanagementspezialisten, die unabhängig voneinander agieren und allein handlungsbefugt sind. Bei dieser Lösung wird somit vollständig auf die Bildung eines Zentralbereichs verzichtet. 58 Vorteilhaft ist dabei „die enge Vertrautheit der jeweilige Stelleninhaber mit den besonderen Anforderungen ihrer Aufgaben“59. Ein effizientes Risikomanagement muss im Kopf jeder einzelnen Führungskraft und jedes einzelnen Mitarbeiters gelebt werden. Daher ist das Herunterbrechen der Risikoarten und die Integration des Risikoaspektes in vorhandene Strukturen zunächst der Schaffung eines Zentralbereichs vorzuziehen.60 Weiterhin entsteht gegenüber der Schaffung einer neuen Organisationseinheit kein zusätzlicher Aufwand und Kompetenzkonflikte zwischen dezentralen und zentralen Einheiten entfallen.61 Diese Organisationsform impliziert jedoch, dass in den Bereichen das benötigte Fachwissen und die Methodenkompetenz zur Wahrnehmung der Risikomanagementaufgaben vorhanden ist. Eine Ausnahme im Rahmen der dezentralen Wahrnehmung von Risikomanagementaufgaben bilden Aufgaben, die detailliertes Spezialwissen erfordern. So ist es z.B. unwahrscheinlich anzunehmen, dass die Bereiche ausreichend Fachwissen besitzen, um beispielsweise Versicherungen möglichst kostengünstig abzuschließen.62 Ebenso ist in diesem Falle auch die
55 56 57 58 59 60 61 62
Banken einbezogen wurden, ergab, dass 23% aller Unternehmen die Verantwortlichkeit für das Risikomanagement einer Stabstelle übertragen. Vgl. Haller, M. (Risiko-Management, 1978), S. 484. Vgl. Mugler, J. (Organisation, 1979), S. 111; Amhof, R./Schweizer, M. (Risikomanagement, 2000), S. 715. Vgl. v. Werder, A. (Risk Management, 1992), Sp. 2219. Vgl. Frese, E. (Organisation, 2000), S. 495. v. Werder, A. (Risk Management, 1992), Sp. 2217. Vgl. Claassen, U. (Risikomanagement, 1999), S. 9. Vgl. v. Werder, A. (Risk Management, 1992), Sp. 2217. Vgl. Kratzheller, J. B. (Risiko, 1997), S. 182.
246
5 System des Risikomanagements
Implementierung eines Risikobewusstseins über alle Bereiche und Ebenen hinweg unabdingbarer Bestandteil für eine erfolgreiche Umsetzung.63 Eine weitere Gefahr bei der dezentralen Einordnung des Risikomanagements besteht in der mangelnden Aufmerksamkeit, die die dezentralen Einheiten den Risikoaspekten möglicherweise entgegenbringen. Zum einen ist eine gewisse „Risikoblindheit“ in dem eigenen Bereich zu erwarten, zum anderen geht die Wahrnehmung der Risikomanagementaufgaben zeitlich zu Lasten der originären Bereichsaufgabe.64 Aufgrund der notwendigen bereichsübergreifenden Koordinations- und Abstimmungsaktivitäten ist das Autarkiemodell als Organisationslösung für das Risikomanagement nicht relevant. Neben den dargestellten Extremformen des Autarkiemodells existiert eine moderate Variante, die eine Abstimmung zwischen den Bereichsspezialisten untereinander vorsieht.65 Allerdings bleibt die Entscheidungskompetenz in diesem Falle allein bei dem jeweiligen Bereich. Auch diese moderate Form reicht für ein konformes Vorgehen im Sinne eines funktionsfähigen Risikomanagements nicht aus.
Ob bei der Einrichtung eines Zentralbereichs im Unternehmen auf vorhandene Organisationseinheiten zurückgegriffen werden kann oder ob eine neue Einheit geschaffen werden muss, ist von der Unternehmensgröße und dem Risikopotenzial sowie den übertragenen Aufgaben abhängig.66 Eine wichtige Rolle bei der Wahrnehmung von Risikomanagementaufgaben spielen in jedem Fall das Controlling und die interne Revision im Unternehmen, auf die bereits in den Abschnitten 3.3.3 und 4.6.5 eingegangen wurde. Überblicksartig lässt sich die mögliche Aufgabenverteilung in den einzenen Risikomanagementprozessschritten gemäß folgender Tabelle 4 darstellen.
63 64 65 66
Vgl. Kratzheller, J. B. (Risiko, 1997), S. 181. Vgl. v. Werder, A. (Risk Management, 1992), Sp. 2218. Vgl. Frese, E./ v. Werder, A. (Zentralbereiche, 1993), S. 44. Vgl. v. Werder, A. (Risk Management, 1992), Sp. 2215, 2218.
5 System des Risikomanagements
Geschäftsführung Rahmenvorgaben Risikopolitik RM-Methoden und Verfahren Identifikation von Risiken Bewertung der Risiken Steuerung der Risiken Kontrollen Reporting der Risikosituation Überwachung der Risiken
247
Zentrales RM
Operative Einheiten
Revision
Controlling
X X
X
(X)
X
X
X
(X)
(X)
X
X
X
(X) X
X X
X
X
X
X
(X)
X
X
X
X
(X)
X
wobei gilt: X = volle Aufgabenwahrnehmung; (X) = eingeschränkte Aufgabenwahrnehmung
Tabelle 4: Verantwortlichkeitsmatrix Die Darstellung macht deutlich, dass die Geschäftsführung die Rahmenvorgaben und die Risikopolitik nicht delegieren kann. Diese Vorgaben gelten verbindlich für alle nachfolgenden Prozessphasen und alle beteiligten Instanzen. Die Steuerung und Überwachung der Risiken obliegt ebenfalls originär im Aufgabenbereich der Geschäftsführung, allerdings ist hier eine Delegation an die operativen Einheiten bis hin zu einer vordefinierten Toleranzgrenze denkbar. Die operativen Einheiten im Unternehmen beteiligen sich aktiv bei der Identifikation und Bewertung der Risiken, da hier in hohem Maße fachspezifisches Wissen notwendig ist. Die Kontrolle und das Reporting kann in Zusammenarbeit mit dem Controllingbereich oder einem institutionalisierten Zentralbereich erfolgen. Das Controlling wirkt sehr stark unterstützend in den jeweiligen Prozessphasen des Risikomanagements. Aufgabe ist es, Risikomanagementverfahren und Methoden bereit zu stellen, die eine Identifikation ermöglichen, eine unternehmensweit einheitliche Bewertung sicherstellen und ein regelmäßiges und umfassendes Reporting erlauben. Kontrollen im strategischen und operativen Bereich kann das Controlling aktiv durchführen, für eine prozessunabhängige Überwachung eignet sich hingegen die interne Revision besser. Gibt es im Unternehmen einen eigenständigen Zentralbereich Risikomanagement, der neben dem Controlling und der internen Revision Risikomanagementaufgaben wahrnimmt, sind Abstimmungen und eine Aufgabenabgrenzung mit dem Controllingbereich erforderlich. Grundsätzlich eignet sich jedoch das Controlling im Unternehmen dafür, einen
248
5 System des Risikomanagements
Großteil der anfallenden Aufgaben zu übernehmen, ohne dass eine Umstrukturierung und das Schaffen einer neuen Instanz notwendig wären.
5.2 Modell eines Risikomanagementsystems
5.2.1
Anforderungen an ein Risikomanagementsystem
Nachdem sowohl der Prozess des Risikomanagements, als auch die durch das Risikomanagement betroffenen Instanzen dargestellt wurden, stellt sich die Frage, wie ein Risikomanagement- und Überwachungssystem ausgestaltet werden könnte. Durch die Entwicklung eines Risikomanagementsystem-Standards könnte die Beurteilung des Risikomanagementsystems eines Unternehmens von externer Seite aus ermöglicht bzw. verbessert werden. Besteht die Möglichkeit zu einer verlässlichen Beurteilung, könnte sich der Unternehmenswert verbessern, aber ebenso die Marktbeziehungen zu Banken, Lieferanten, Kunden und anderen Interessengruppen (vgl. 3.3.2). Obwohl - wie unter 5.2.2 dargestellt wird - eine Vielzahl von Vorschlägen für einen Risikomanagementsystem-Standard existieren, hat sich bisher kein Soll-Konzept durchgesetzt, das als Grundlage für eine Zertifizierung ähnlich einer Zertifizierung nach DIN ISO 9000ff. gelten könnte.67 Fraglich ist, ob eine Beurteilung im Sinne einer Zertifizierung prinzipiell möglich und sinnvoll ist, um ein verlässliches Urteil für Externe abzugeben. Die Existenz eines Risikomanagementsystems kann aufgrund der individuellen Gegebenheiten im Unternehmen und der demzufolge spezifischen Systemausgestaltung von Außenstehenden bislang nur schwer beurteilt werden. Eine Beurteilung zumindest des Überwachungssystems für bestandsgefährdende Risiken gemäß § 91 Abs. 2 AktG findet jedoch durch den Abschlussprüfer nach § 317 Abs. 4 HGB statt. Die Prüfung macht jedoch keinerlei Aussagen darüber, ob "Risikomanagement in der Unternehmung tatsächlich gelebt wird und inwieweit Maßnahmen der Risikobewältigung ergriffen und umgesetzt werden"68. Eine unabhängige Zertifizierung ähnlich der Qualitätsstandards nach DIN ISO 9000ff. könnte jedoch sowohl den Unternehmen als auch den Außenstehenden Vorteile verschaffen, wenn dadurch ein qualitativ hochwertiges Risikomanagement signalisiert wird, mit welchem das Unternehmen beweist, Risiken zu erkennen und aktiv zu bewältigen.69
67 68 69
Vgl. Weidemann, M./Wieben, H.-J. (Zertifizierbarkeit, 2001), S. 1789. Weidemann, M./Wieben, H.-J. (Zertifizierbarkeit, 2001), S. 1789. Vgl. Weidemann, M./Wieben, H.-J. (Zertifizierbarkeit, 2001), S. 1789.
5 System des Risikomanagements
249
Eine Zertifizierung sollte die Einhaltung, aber auch die Umsetzung der Anforderungen mit Hilfe der einzelnen Elemente prüfen. Neben dem tatsächlichen Vorhandensein der Elemente muss auch deren Verknüpfung überprüft und beurteilt werden.70 Um herauszufinden, wie ein modellhaftes Risikomanagementsystem ausgestaltet sein könnte, müssen zuerst die Anforderungen, die an ein funktionsfähiges Risikomanagementsystem gestellt werden, herausgearbeitet werden. Dabei gibt es zum einen die Anforderungen des Gesetzgebers durch § 91 Abs. 2 AktG, zum anderen Anforderungen betriebswirtschaftlicher Natur. Auf die Anforderungen des Gesetzgebers wurde bereits in Abschnitt 3.2.3 eingegangen, zusammenfassend lässt sich festhalten, dass der Gesetzgeber x x
eine Früherkennung bestandsgefährdender Entwicklungen sicherstellen will, und ein angemessenes Risikomanagement und eine angemessene internen Revision fordert.
Das System zur frühzeitigen Erkennung bestandsgefährdender Risiken muss zudem einer Überwachung durch eine neutrale Instanz im Unternehmen unterliegen. Der Gesetzgeber fordert hingegen nicht die Implementation oder Durchführung von Risikobewältigungsmaßnahmen, allerdings verpflichtet die allgemeine Leitungspflicht nach § 76 Abs. 1 AktG den Vorstand ohnehin zur Risikobewältigung, die jedoch nicht notwendigerweise institutionalisiert sein muss.71 Aus Sicht der Betriebswirtschaftslehre lassen sich folgende Anforderungen an ein Risikomanagementsystem formulieren:72 x
es muss ein systematischer Ansatz zum Umgang mit Risiken im Unternehmen vorliegen, wobei die einzelnen Elemente des Risikomanagements durch Ordnungen verknüpft sein sollen,
x
die Ausrichtung des Systems sollte an der Unternehmensstrategie erfolgen,73
x
wobei die Risikopolitik in Einklang mit der Unternehmenspolitik formuliert werden sollte,
x x
die Risikoerfassung bestehender und potenzieller Risiken muss vollständig sein, die Daten sollten schnell und frühzeitig, mit einem möglichst großen Vorlauf zur Verfügung stehen, um einen möglichst großen Handlungsspielraum für das Unternehmen zu erzeugen,
70 71 72 73
Vgl. Weidemann, M./Wieben, H.-J. (Zertifizierbarkeit, 2001), S. 1790. Vgl. Hommelhoff, P./Mattheus, D. (Grundlagen, 2000), S. 14. Vgl. Weidemann, M./Wieben, H.-J. (Zertifizierbarkeit, 2001), S. 1789ff.; ähnlich auch Holst, J. (Risikomanagement, 1998), S. 9f. Vgl. Lück, W. (Risiken, 1998), S. 1926.
250
5 System des Risikomanagements
x
erfasste Risiken sollten objektiv analysiert und möglichst quantitativ bewertet werden,
x
die Bewältigung aller wesentlichen Risiken muss gewährleistet sein,
x
eine Risikokontrolle sollte das angestrebte Risikoprofil mit dem tatsächlichen Risikoprofil jederzeit abgleichen können,
x
die Kommunikationsstruktur des Unternehmens sollte eine offene, wirksame und zeitnahe Risikoberichterstattung ermöglichen,74
x
eine umfassende und vollständige Risikodokumentation ist unerlässlich,
x
das System sollte möglichst flexibel gestaltet sein, um sich schnell an veränderte Rahmenbedingungen anpassen zu können, damit Risiken und Chancen frühzeitig erkannt werden,75
x
eine organisatorische Verankerung des Risikomanagementsystems sollte sichergestellt sein,
x
das Risikomanagementsystem muss einer neutralen Überwachung unterliegen,
x
ein Risikomanagementsystem sollte für Dritte nachvollziehbar und prüfbar sein.
Die erfolgreiche Umsetzung eines Risikomanagementsystems bedarf demzufolge einer ausführlichen Planung und offenen Kommunikation des Risikomanagementsystems im Unternehmen, gestützt durch eine einheitliche Fachsprache. Ein solches Projekt sollte nach Möglichkeit eine hierarchieübergreifende Projektunterstützung erfahren; zugleich erleichtert die funktions- und bereichsübergreifende Bildung von Arbeitsgruppen die Einführung und Anwendung des Risikomanagementsystems. Durch regelmäßiges Training der Mitarbeiter sowie ggf. Schulungsmaßnahmen sollte die Wissensbasis erweitert werden.76 Fraglich ist, ob generelle Aussagen dahingehend getroffen werden können, dass durch die Existenz eines qualitativ hochwertigen, zertifizierbaren Risikomanagementsystems geringere Risiken für die (potenziellen) Anleger und Investoren entstehen. Es ist durchaus denkbar, dass das Risikomanagementsystem vollständig den Ansprüchen der Zertifizierung genügt, das Management und damit die Risikopolitik des Unternehmens jedoch extrem risikofreudig agieren. Eine risikoscheue Bank etwa sieht ihre Erwartungen dann u.U. auch nicht erfüllt, obwohl aus Sicht des Unternehmens risikobewusst gehandelt wurde. Fraglich ist auch, wie der Forderung von WEIDEMANN/WIEBEN77 nachzukommen ist, die von der Zertifizierung eine Gewährleistung über die Wirksamkeit der vom Unternehmen er-
74 75 76 77
Vgl. Brebeck, F./Herrmann, D. (KonTraG-Entwurf, 1997), S. 384; BDO (KonTraG, 1998), S. 53. Vgl. Holst, J. (Risikomanagement, 1998), S. 10; Pritzer, B. (Risikomanagement, 2000), o. S. Vgl. Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999), S. 37f. Vgl. Weidemann, M./Wieben, H.-J. (Zertifizierbarkeit, 2001), S. 1794.
5 System des Risikomanagements
251
griffenen Risikosteuerungsmaßnahmen fordern. Dies ist zum einen Ermessen des Vorstands und des (soweit vorhandenen) Aufsichtsrats. Zum anderen lässt sich die Wirksamkeit von Maßnahmen ex-post vielfach nicht beurteilen, wenn z.B. der Verzicht einer Handlung gewählt wurde, oder die Ursachen anders bewältigt wurden. Vielfach treten die Wirkungen eines Risiko zeitversetzt ein und lassen sich nicht objektiv, sondern lediglich stets subjektiv beurteilen. Im folgenden Abschnitt werden nun einige Risikomanagementsystem-Ansätze aus Literatur und Praxis vorgestellt, die an den erarbeiteten Anforderungen gemessen werden können. So lässt sich feststellen, ob bereits Ansätze existieren, die als Standard für eine unternehmensübergreifende Zertifizierung dienen könnten. 5.2.2
Risikomanagementsysteme nach KonTraG in der Literatur
Aufgrund einer fehlenden konkreten Sollvorgabe haben sich verschiedenste Ansätze eines Risikomanagement- und Überwachungssystems in der Literatur und Praxis herausgebildet, so dass es sich bei der Darstellung der Systeme lediglich um einen Ausschnitt handelt, der keinen Anspruch auf Vollständigkeit erheben kann. Analog zu den bisher angesprochenen Themenschwerpunkten lassen sich im Zusammenhang mit dem Risikomanagementsystem drei verschiedene Sichtweisen unterscheiden. Vielfach wird Risikomanagement - und auch das Risikomanagementsystem - gleichgesetzt mit dem unter Kapitel 0 dargestellten Prozess des Risikomanagements. Betrachtet werden hauptsächlich die Phasen des Risikomanagements, bestehend aus Identifikation, Bewertung, Steuerung und Kontrolle. Eine andere Sichtweise stellt schwerpunktmäßig auf die einzelnen Systembestandteile ab, die sich bspw. in Risikomanagement-, Überwachungs-, Risikofrüherkennungsund Risikocontrollingsystem unterteilen lassen. Im Rahmen der Systembestandteile existiert eine kaum zu überblickende Begriffsvielfalt, wobei sich die unterschiedlichen Systembestandteile zwar hinsichtlich der Bezeichnung unterscheiden, nicht jedoch hinsichtlich der angedachten Aufgabenwahrnehmung durch die einzelnen Systembestandteile. In diesen Bereich fällt auch die Abgrenzung der unter 4.6.1 diskutierten Abgrenzung von Überwachungssystem und Internem Kontrollsystem. Die dritte Perspektive beschäftigt sich in erster Linie mit den Instanzen im Unternehmen, die Risikomanagementaufgaben wahrnehmen (vgl. 5.1.3.4), wobei Geschäftsführung, Controlling, interne Revision sowie die Abschlussprüfung im Vordergrund stehen. Die in Literatur und Praxis existierenden Vorschläge lassen sich demzufolge grob unterteilen in Ansätze,
252
5 System des Risikomanagements
x
die den Risikomanagementprozess, die Instanzen oder die einzelnen Systembestandteile in den Mittelpunkt stellen,
x
und die eine Kombination aus den unterschiedlichen Betrachtungsschwerpunkten bilden.
Wünschenswert wäre eine getrennte Berücksichtigung aller drei Perspektiven bei gleichzeitiger Erfüllung der Anforderungen, die unter 5.2.1 dargelegt wurden. Eine Möglichkeit der Ausgestaltung des Risikomanagement- und Überwachungssystems, die die einzelnen Systembestandteile in den Mittelpunkt der Diskussion stellt, ist der Ansatz von LÜCK78. Er interpretiert die Forderung des Gesetzgebers in § 91 Abs. 2 AktG mit der Einrichtung eines Risikomanagementsystems, eines Internen Überwachungssystems, eines Controllings sowie eines Frühwarnsystems. Anhand nachfolgender Abbildung 52 kann das Zusammenwirken der einzelnen Bestandteile dargestellt werden.
Interne Revision
Frühwarnsystem
Organisatorische Sicherungsmaßnahmen Risikomanagementsystem - Risiken identifizieren - Risiken analysieren - Risiken bewerten - Risiken steuern
Kontrolle
RisikoControlling
Abbildung 52: Risikomanagementsystem und Überwachungssystem nach LÜCK79
78 79
Vgl. Lück, W. (Elemente, 1998), S. 8; Lück, W. (Aspekte, 1999), S. 141. Vgl. Lück, W. (Risiken, 1998), S. 1925.
5 System des Risikomanagements
253
Der Prozess des Risikomanagements wird als Risikomanagementsystem interpretiert und steht als zentrales Element im Mittelpunkt. Er wird um ein Risikocontrolling, ein Frühwarnsystem und ein Überwachungssystem erweitert. Das Überwachungssystem hat dabei insbesondere zwei Aufgabenbereiche zu erfüllen: Zum einen sollen durch die Präventivfunktion des Überwachungssystems bestehende und potenzielle Risiken vermieden oder vermindert werden, zum anderen soll durch die Korrekturfunktion des Überwachungssystems die Funktionsfähigkeit der Maßnahmen des Risikomanagementsystems überprüft werden.80 Durch diese Wahl der Abgrenzung entsteht eine nicht ganz eindeutige Überschneidung zwischen Risikomanagement- und Überwachungssystem. In das Aufgabengebiet der Präventivfunktion des Überwachungssystems fällt auch die Risikovermeidung und -verminderung, die jedoch zugleich Bestandteil des Prozesschrittes der Risikosteuerung und damit zugleich Bestandteil des Risikomanagementsystems ist. Zu den Elementen des Überwachungssystems zählen organisatorische Sicherungsmaßnahmen, Kontrollen und die interne Revision.81 Die organisatorischen Sicherungsmaßnahmen sollen gewährleisten, dass ein durch die Unternehmensleitung vorgegebenes Sicherheitsniveau eingehalten wird. Kontrollen als weiteres Element im Rahmen des Internen Überwachungssystems sollen die Wahrscheinlichkeit des Eintritts von Fehlern verringern und damit risikomindernd wirken. Grundsätzlich sind dabei sowohl personenabhängige als auch automatische Kontrollen denkbar.82 Die interne Revision versucht durch interne Prüfungen Schwachstellen und Fehler zu erkennen, aus denen Risiken entstehen können. Im Rahmen der Prüfung sollten sowohl die Organisation und betriebliche Abläufe (operational auditing) als auch die Zweckmäßigkeit der Entscheidungen der Führungskräfte (management auditing) untersucht werden.83 Im Rahmen der Korrekturfunktion des Überwachungssystems ist weiterhin eine Prüfung der Wirksamkeit und Funktionsfähigkeit des Risikomanagementsystems vorzunehmen. Die Prüfung kann dabei in angemessenen Zeitabständen durch Systemprüfungen und Stichprobenprüfungen erfolgen. Ein weiterer Systembestandteil des Risikomanagement- und Überwachungssystems ist das Risikocontrolling. Die Aufgaben orientieren sich an den generellen Controllingaufgaben und liegen in erster Linie in der Informationsversorgung der Unternehmensleitung mit Informationen über die Risikolage. Darüber hinaus muss das Risikocontrolling die Planung, Steuerung
80 81 82 83
Vgl. Lück, W. (Risiken, 1998), S. 1928. Vgl. Lück, W. (Aspekte, 1999), S. 153. Vgl. Lück, W. (Risiken, 1998), S. 1929. Vgl. Lück, W. (Risiken, 1998), S. 1929.
254
5 System des Risikomanagements
und Kontrolle der Risikolage unterstützen und ein Risiko-Reporting-System einrichten.84 Neben dem Risikocontrolling existiert weiterhin ein Frühwarnsystem, dass bestandsgefährdende Entwicklungen frühzeitig erkennen soll. KRYSTEK/MÜLLER weisen daraufhin, dass LÜCK zwar die Notwendigkeit eines Frühwarnsystems eindeutig befürwortet, auf die "naheliegende Verbindung zu einem (risikoorientierten) Controlling"85 jedoch nicht eingegangen wird. Außerdem kommt es hier erneut zu einer nicht eindeutigen Abgrenzungsproblematik zwischen Risikomanagementsystem und weiteren Systembestandteilen: das Frühwarnsystem dient zur Risikoidentifikation, wird aber nicht im Rahmen des Prozesses, sondern gesondert aufgeführt. Auch THEISEN86 argumentiert, dass schon vor Einführung des KonTraG die Überwachung der Risiken bei den Teilsystemen Controlling, Interne Revision und Betriebliches Rechnungswesen lag. Damit wird auch deutlich, dass das Betreiben eines Frühwarnsystems schon immer Aufgabe des Controllings war und nicht hierarchisch (wie nach LÜCK) neben das Controlling und das Interne Überwachungssystem zu stellen ist. Durch die Vermischung von Systembestandteilen, Trägern und Instrumenten eignet sich der Ansatz von LÜCK nur bedingt als RisikomanagementsystemStandard, obwohl sich alle wesentlichen Elemente wiederfinden lassen.
Einen ähnlichen an den Systemkomponenten orientierten Ansatz zur Darstellung des Risikomanagementsystems wählen DÖRNER/DOLECZIK87. Ihrer Ansicht folgend setzt sich ein Risikomanagementsystem aus drei Komponenten zusammen (vgl. Abbildung 53).
84 85 86 87
Vgl. Lück, W. (Risiken, 1998), S. 1929f.; Lück, W. (Aspekte, 1999), S. 158ff. Krystek, U./Müller, M. (Frühaufklärungssysteme, 1999), S. 182. Vgl. Theisen, M. R. (Revision, 1999), S. 57. Vgl. Dörner, D./Doleczik, G. (Risikomanagement, 2000), S. 200.
5 System des Risikomanagements
Internes Überwachungssystem
255
Früherkennungssystem
Controllingsystem
Organisatorische Sicherungsmaßnahmen
systematisches Scanning und Monitoring
Planungs- und Kontrollsystem
Interne Revision
Informationsverarbeitung
Informationsverarbeitung
Kontrollen
Signale Schwellenwerte Reporting
Analysen Kennziffern Reporting
Abbildung 53: Komponenten des Risikomanagementsystems88 Das Früherkennungssystem wird bei dieser Darstellung jedoch nicht als eigenständiges, isolierbares System, sondern als das Ergebnis der Tätigkeiten des Überwachungs- und Controllingsystems verstanden. Ziel der Früherkennung ist es, durch ein systematisches Scanning inund externer Daten und ein vertiefendes Monitoring möglichst frühzeitig Entwicklungen und Auswirkungen auf die kritischen Erfolgsfaktoren des Unternehmens abzuschätzen. Das Früherkennungssystem dient folglich primär der Risikoidentifikation, weitere Phasen des Risikomanagementprozesses werden nicht explizit durch das System angesprochen. Das Interne Überwachungssystem umfasst organisatorische Sicherungsmaßnahmen, die interne Revision sowie interne Kontrollen. Die interne Revision prüft dabei prozessunabhängig z.B. die Einhaltung der Vorgaben des Vorstands, die Einhaltung der Funktionstrennungen sowie die Wirksamkeit des internen Berichtswesens. Damit obliegt der internen Revision auch die Effizienzprüfung des Risikomanagementsystems. Die internen Kontrollen als dritte Säule umfassen alle im Unternehmen installierten, prozessabhängigen Kontrollen. Das Controllingsystem sollte idealerweise aus einem operativen und strategischen Controlling bestehen und das Management durch Planungs-, Kontroll- und Informationssysteme bei der Entscheidungsfindung unterstützen.89 Kritisch an dieser Darstellung erscheint die Sichtweise der Früherkennung, die kein eigenständiges System bilden soll, jedoch eigene Aktionen (Scanning und Monitoring) sowie eine gesonderte Berichterstattung erfordert. Unklar bleibt, wer für die Erfüllung und die Koordina88
Vgl. Dörner, D./Doleczik, G. (Risikomanagement, 2000), S. 200.
256
5 System des Risikomanagements
tion dieser Aufgaben verantwortlich ist. Gleichzeitig findet hier eine Vermischung von typischen Tätigkeiten der strategischen und operativen Früherkennung statt, ohne dass eine klare Abgrenzung erfolgt. Weiterhin erscheint die Rolle der internen Revision als Bestandteil des Internen Überwachungssystem schwierig. Zum einen ist das Überwachungssystem in nicht weiter erläuterter Form mit dem Früherkennungssystem verknüpft und soll Ergebnisse liefern, gleichzeitig ist ein Aufgabenfeld der internen Revision die Überprüfung der Effizienz und Wirksamkeit des gesamten Risikomanagementsystems. Hier kann es zu Interessenkonflikten kommen, die eine wirksame Kontrolle in Frage stellen können. Auch die Kontrollaufgaben, die im Rahmen des Internen Überwachungssystems anfallen, lassen sich nicht eindeutig von den Kontrollaufgaben im Rahmen des Planungs- und Kontrollsystems des Controllings abgrenzen. Als Risikomanagementsystem-Standard ist auch dieser Ansatz wenig geeignet, da der Risikomanagementprozess als wesentlicher Bestandteil der Anforderungen nicht explizit berücksichtigt wird. Die Verknüpfung bzw. Abgrenzung der einzelnen Systemelemente ist unklar, weshalb eine Umsetzung durch externe Prüfer oder Gutachter nur schwer nachvollzogen werden kann. Auch HAHN/KRYSTEK90 wählen bei ihrer Darstellung zur Erfüllung der gesetzlichen Anforderungen an das Risikomanagementsystem eine Dreiteilung mit Schwerpunkt auf den Systembestandteilen, die folgende Abbildung veranschaulicht:
89 90
Vgl. Dörner, D./Doleczik, G. (Risikomanagement, 2000), S. 200 f. Vgl. Hahn, D./Krystek, U. (KonTraG, 2000), S. 80.
5 System des Risikomanagements
257
Risikomanagementsystem Controlling
Spezielles Generelles UnternehmungsRisikoRisikoplanung und management -kontrolle management
Vorstand veranlasst und nutzt
Früherkennungssystem
Internes Überwachungssystem
Abschlussprüfer prüft
Überwachung der Einhaltung rechtlicher u. interner Regelungen (Interne Revision) Überwachung der Einhaltung organisatorischer Regelungen (interne Kontrolle)
Abbildung 54: Zusammenhang zwischen Risikomanagementsystem, Früherkennungssystem und internem Überwachungssystem91 Risikomanagement muss durch ein spezielles (im Sinne von Handhabung spezieller Einzelrisiken) und ein generelles Risikomanagement sicherstellen, dass sowohl vorhandene, als auch verdeckt vorhandene (latente) sowie potenzielle (lediglich mögliche) Risiken erkannt werden. Das Risikomanagement ist prozessorientiert aufgebaut und unterliegt den Grundsätzen einer risikobewussten Unternehmensführung. Für die Risikoidentifikation bildet ein Früherkennungssystem die informatorische Basis. Die Informationen werden dann in der integrierten Unternehmensplanung berücksichtigt, die als Voraussetzung im Sinne des § 90 Abs. 1 Nr. 1 AktG interpretiert werden kann.92 Das Überwachungssystem wird bei dieser Darstellung sowohl institutionell als auch aufgabenmäßig strikt getrennt und beschäftigt sich mit der Wahrnehmung von Kontrollen im Hinblick auf organisatorische und rechtliche Fragestellungen im Unternehmen.93 Auch Aufgabe des Überwachungssystems ist es, die Ordnungsmäßigkeit des Risikomanagement- und Früherkennungssystems zu überprüfen.94 Vorteilhaft an diesem Ansatz ist eine klare Trennung von Risikomanagement- und Überwachungssystem und eine Zuordnung der Instanzen im Unternehmen zu den einzelnen Systemen. Allerdings erfolgt auch hier eine Gleichstellung von Institutionen und Instrumenten (in-
91 92 93 94
Vgl. Hahn, D./Krystek, U. (KonTraG, 2000), S. 80. Vgl. Hahn, D./Krystek, U. (KonTraG, 2000), S. 79; Krystek, U. (Meinungsspiegel, 2000), S. 276f. Vgl. Hahn, D./Krystek, U. (KonTraG, 2000), S. 80. Vgl. Hahn, D./Krystek, U. (KonTraG, 2000), S. 80f.
258
5 System des Risikomanagements
terne Revision, interne Kontrollen) im Rahmen des Internen Überwachungssystems, die vermieden werden sollte.
Ein Ansatz der den Prozess des Risikomanagements für die Einrichtung eines Risikomanagementsystems stärker in den Mittelpunkt rückt, ist das IDW-Modell. Das IDW bezeichnet in seinem PS 340 (Prüfung des Risikofrüherkennungssystem nach § 317 Abs. 4 HGB), der die Richtlinie für die Abschlussprüfer bildet, das nach § 91 Abs. 2 AktG einzurichtende Risikomanagement- und Überwachungssystem als Risikofrüherkennungssystem.95 Es bildet einen wichtigen Teilaspekt eines Risikomanagements ab und ist auf die Früherkennung bestandsgefährdender Entwicklungen ausgerichtet.96 Als Risikomanagement wird "die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischen Betätigung"97 bezeichnet. Bestandteil des Risikomanagementsystems ist auch ein Überwachungssystem, das die Einhaltung der getroffenen Maßnahmen sicherstellt.98 In Anlehnung an die Richtlinie des IDW PS 340 sollte ein Risikofrüherkennungssystem folgende Schritte verfolgen:99
95 96 97 98 99
Vgl. IDW PS 340 (1). Vgl. IDW PS 340 (5). IDW PS 340 (4). Vgl. IDW PS 340 (4). Vgl. IDW PS 340.
5 System des Risikomanagements
1. Festlegung der Risikofelder
• Risikoorientierte Untersuchung aller Funktionen/Prozesse sowie der Umwelt • Definition der Risikoarten
4. Zuordnung von Verantwortlichkeiten und Aufgaben einschließlich Sicherung der Rückkopplungen
259
2. Risikoerkennung und -analyse
• Schaffung/Fortentwicklung eines Risikobewusstseins • Beurteilung der Tragweite/ Eintrittswahrscheinlichkeit erkannter Risiken und deren Auswirkungen
5. Errichtung eines Überwachungs-/Kontrollsystems Aufgaben: Überwachung der • Meldungen, • Meldegrenzen, • Termine
3. Risikokommunikation • Berichterstattung über nicht bewältigte Risiken • Weiterleitung an zuständige Entscheider • Definition von Auslösungsgrenzen für Meldungen • Festlegung von zeitl. Abständen der Berichte
6. Dokumentation der getroffenen Maßnahmen
Abbildung 55: Maßnahmen zum Aufbau eines Risikofrüherkennungssystems nach IDW100 Am Anfang des gesamten Risikofrüherkennungsprozesses soll eine Festlegung der Prozesse/Bereiche liegen, die als besonders risikoreich und bestandsgefährdend eingeschätzt werden. Daneben erfolgt für die jeweiligen Prozesse/Bereiche eine Definition der Risikoarten, die als bestandsgefährdend gelten. Über kumulative Wirkungen zwischen einzelnen Risikofeldern/arten soll auch bereits an dieser Stelle nachgedacht werden.101 Die vom IDW vorgeschlagene Vorgehensweise hat den Nachteil, dass durch die Festlegung auf einzelne Risikofelder bereits eine Einschränkung ganz zu Beginn des Prozesses erfolgt, die dazu führen kann, dass wesentliche Risiken unerkannt bleiben, da sie außerhalb der festgelegten Bereiche liegen. Instrumente, die zur Identifikation der Risiken dienen, werden vom IDW nicht erläutert.102 In einem zweiten Schritt sollen die Risiken erfasst und analysiert werden, was ein Risikobewusstsein und eine angemessene Sensibilisierung bei allen Mitarbeitern voraussetzt. Im Hinblick auf die Analyse sollen Risiken in Bezug auf die Eintrittswahrscheinlichkeit und ihre Auswirkungen wenn möglich quantifiziert werden.103
100 101 102 103
Vgl. Krystek, U./Müller, M. (Frühaufklärungssysteme, 1999), S. 182. Vgl. IDW PS 340 (7), (8). Vgl. Schäfer, J. G. (Überwachungssystem, 2001), S. 69. Vgl. IDW PS 340 (9), (10).
260
5 System des Risikomanagements
Einen Schwerpunkt bildet die Risikokommunikation: Nicht bewältigte Risiken müssen, wenn sie als bestandsgefährdend eingestuft werden, bis hin zum Vorstand kommuniziert werden. Generell müssen Schwellenwerte festgelegt werden auf einer jeden Stufe, die angeben, wann ein Risiko an die nächst höher gelegene Ebene kommuniziert werden soll. Berichtswege, -strukturen und -zeiträume müssen festgelegt werden. Die Möglichkeit für eine Ad-hocBerichterstattung in Ausnahmefällen soll zusätzlich gegeben sein.104 Nach einer Zuordnung von Risikoverantwortung auf die jeweiligen Unternehmensbereiche105 ist ein Überwachungssystem einzurichten, das die Einhaltung der nach § 91 Abs. 2 AktG geforderten Maßnahmen überprüft. Bestandteil dieses Überwachungssystems sind fest eingebaute Kontrollen wie z.B. die Überwachung der Einhaltung der Meldegrenzen, Kontrolle der Risikoberichterstattung und die Überwachung der Einhaltung von Terminen.106 Daneben prüft die interne Revision die Maßnahmen nach § 91 Abs. 2 AktG im Hinblick auf z.B. die vollständige Erfassung der Risikofelder, die Angemessenheit der Maßnahmen und die Einhaltung der integrierten Kontrollen.107 Abschließend sollten alle getroffenen Maßnahmen in ausreichender Form dokumentiert werden. Hierfür wird die Erstellung eines Risikohandbuches empfohlen, das die organisatorischen Regelungen und Maßnahmen zur Einrichtung des Systems enthält.108 Die Reaktionen auf erkannte Risiken sind nicht Gegenstand der Maßnahmen nach § 91 Abs. 2 AktG und fallen damit auch nicht unter die Prüfung des Risikofrüherkennungssystems durch den Abschlussprüfer.109 Problematisch erscheint die abweichende Interpretation der Risikofrüherkennung aus Sicht des IDW von dem betriebswirtschaftlichen Verständnis der Früherkennung (vgl. 4.3.3.3).110 Eine ähnlich weite Begriffswahl findet sich auch bei LACHNIT/MÜLLER111, die unter der Risikofrüherkennung die Risikoidentifikation, die Einzelrisikobewertung, die Risikokommunikation und -aggregation sowie den Risikobericht zusammenfassen. Als allgemeingültiger Standard für eine externe Beurteilung fehlen Hinweise auf Instrumente und Instanzen im Unternehmen, die für die einzelnen Prozessschritte eingesetzt werden können. Auch die Abgrenzung der einzelnen Systembestandteile (Risikomanagementsystem, Risikofrüherkennungssys-
104 105 106 107 108 109 110 111
Vgl. IDW PS 340 (11), (12). Vgl. IDW PS 340 (13), (14). Vgl. IDW PS 340 (15). Vgl. IDW PS 340 (16). Vgl. IDW PS 340 (17). Vgl. IDW PS 340 (6). Vgl. Krystek, U. (Gesetze, 1999), S. 148; Krystek, U./Müller, M. (Frühaufklärungssysteme, 1999), S. 182. Vgl. Lachnit, L./Müller, S. (KonTraG, 2001), S. 369.
5 System des Risikomanagements
261
tem und Überwachungs-/Kontrollsystem) kommt nicht eindeutig zum Ausdruck. Aus Sicht der Wirtschaftsprüfer erscheint hier eine Verbesserung wünschenswert, da § 317 Abs. 4 HGB eine Überprüfung der Existenz, aber auch Überprüfung Funktion der einzelnen Systembestandteile fordert (vgl. 2.6).
Eine Verbindung verschiedener Modellbestandteile findet sich in dem Ansatz nach FRANZ112. Er trennt bei der Darstellung seines Risikomanagementsystems stark in eine Eigenkontrolle, die durch das Controlling wahrgenommen wird und eine Fremdkontrolle, die mit Überwachung gleichzusetzen ist und damit von z.B. der internen Revision wahrgenommen wird. FRANZ grenzt die Aufgabenstellung des Controllers klar von den Überwachungsaufgaben der internen Revision ab: "Es ist bemerkenswert, dass das Controlling teilweise in gefährliche Nähe zur Fremdkontrolle gebracht oder gar mit dieser gleichgesetzt wird. So wird in der allgemeinen Gesetzesbegründung zum KonTraG bemerkt, dass das deutsche Aktienrecht ein vielschichtiges Kontrollsystem habe und dass Überwachung auf mehreren Ebenen stattfinde; entscheidend sei aber zunächst die Einrichtung einer unternehmerischen Kontrolle durch den Vorstand (Interne Revision, Controlling). Eine solche Gleichstellung mit der Internen Revision rückt das Controlling auf die falsche Ebene."113 Das Modell von FRANZ kann an folgender Abbildung verdeutlicht werden:
112 113
Vgl. Franz, K.-P. (Corporate, 2000), S. 56. Franz, K.-P. (Corporate, 2000), S. 56 f.
262
5 System des Risikomanagements
Risikomanagement
Risikopolitik Risikoerkennung und -bewertung Risikoinventur
Internes Kontrollsystem
Risikobewältigung
Risikofrüherkennung
Interne Revision
Überwachungssystem („Fremd“-Kontrolle)
Risikoberichterstattung
Planung/ Eigenkontrolle durch Management
Nach aussen Nach innen
Unterstützung durch Institution Controlling
Controlling („Eigen“-Kontrolle)
Prüfung von Existenz und Aufgabenerfüllung
Abschlussprüfer
Aufsichtsrat
Abbildung 56: Das System des Risikomanagements nach Franz114 Positiv hervorzuheben ist die strikte Trennung in Eigen- und Fremdkontrolle, wodurch das Controlling aus dem Überwachungssystem herausgelöst wird. Allerdings bleibt gemäß der Darstellung unklar, wer die Existenz und Funktionsfähigkeit des Überwachungssystems und der Risikobewältigung zu prüfen hat. Weiterhin ist die Verbindung von interner Revision und Risikofrüherkennung schwierig zu interpretieren. Prüft die interne Revision lediglich das Vorhandensein von Früherkennungsinformationen oder auch deren Inhalt oder ist sie gar für
114
Vgl. Franz, K.-P. (Corporate, 2000), S. 67.
5 System des Risikomanagements
263
die Erhebung von Früherkennungsinformationen verantwortlich? Unklar ist auch, ob und welche Verbindungen zum Controlling als Träger der Risikofrüherkennung angedacht sind.
Eine abschließende Darstellung stammt aus der Beratungspraxis:
Interne Überwachung
Risikound Sicherheitspolitik SystemAufbaudokuorganisation mentation RISIKOMANAGEMENT Risikoanalyse Umsetzungsund controlling -reporting Risikosteuerung
Externe Überwachung
Abbildung 57: Elemente eines Risikomanagementsystems nach ELFGEN/SIELER115 Eine Besonderheit dieser Systemdarstellung bildet die Hervorhebung der Aufbauorganisation als Element des Risikomanagementsystems. Aus Beratersicht besteht vor allem für diesen Bereich noch erheblicher Handlungsbedarf, denn für ein integriertes Risikomanagement ist eine Organisation der Risikoverantwortung parallel zur Geschäftsverantwortung eine unabdingbare Voraussetzung.116 In vielen Unternehmen werden Risikomanagementfunktionen jedoch noch stets von den Versicherungsabteilungen und/oder den Betriebsbeauftragten wahrgenommen und dadurch auf Expertenebene oder operativen Ebenen bearbeitet. Die in der Abbildung 57 grau hinterlegten Felder bilden gemeinsam den Risikocontrollingprozess. Dabei werden nach Festlegung der risikopolitischen Ziele Risiken identifiziert, bewertet und gesteuert und durch ein Umsetzungscontrolling begleitet. Das Risikocontrolling soll einen jederzeit aktuellen Überblick über die Risikosituation des Unternehmens ermögli-
115 116
Elfgen, R./Sieler, C. (Beratungsleistung, 2001), S. 378. Vgl. Elfgen, R./Sieler, C. (Beratungsleistung, 2001), S. 378f.
264
5 System des Risikomanagements
chen und der Unternehmensführung die Möglichkeit zu einem frühzeitigen Eingreifen bieten.117 Abweichend zu anderen Darstellungen nimmt hier auch die Systemdokumentation einen besonderen Stellenwert ein. Aufgabe dieser Dokumentation soll es sein, alle Regelungen und Maßnahmen zu erfassen und so den Mitarbeitern als Orientierungshilfe und als Nachweis für die ordnungsgemäße Umsetzung zu dienen. Allerdings sollte die Dokumentation nicht Selbstzweck sein. Erfahrungen aus der Praxis zeigen, dass beim Aufbau von Risikomanagementsystemen - ähnlich wie bei der Einrichtung von Qualitätsmanagement-Systemen - die Dokumentation, resultierend aus der Erwartungshaltung des Abschlussprüfers, einen zu hohen Stellenwert einnimmt. Die sich aus einem funktionsfähigen Risikomanagement ergebenden Chancen wurden dabei vernachlässigt und nicht wahrgenommen.118 Ein Früherkennungssystem als festes Element eines Risikomanagementsystems ist nicht vorgesehen, eine Integration in den strategischen Managementprozess kann jedoch grundsätzlich vorgenommen werden. Als Betreiber bzw. Prozessverantwortlicher wird das strategische Controlling vorgeschlagen, wobei die Beobachtungen dann in den operativen Einheiten erhoben werden.119 Flankiert wird das Risikomanagement von einer internen und externen Überwachung, wobei die Träger der Überwachung nicht herausgearbeitet werden. Eine klare Systemabgrenzung zwischen Risikomanagement- und Überwachungssystem ist deshalb nicht möglich. 5.2.3
Konklusion
Keine der dargestellten Alternativen zur Beschreibung eines Risikomanagement- und Überwachungssystem berücksichtigt die drei unterschiedlichen Ebenen der Systembestandteile, Instanzen und des Risikomanagementprozesses gleichzeitig. Obwohl grundsätzlich alle dargestellten Systeme in der Lage sind, einer Überprüfung durch den Abschlussprüfer gem. § 317 Abs. 4 HGB Stand zu halten, wäre eine trennscharfe Systematik wünschenswert. Eine Möglichkeit, den Risikomanagementprozess als Bestandteil des Risikomanagementsystems, der der Prüfung durch das Überwachungssystem unterliegt, darzustellen, bietet Abbildung 58. Getrennt dargestellt sind die Träger innerhalb und außerhalb des Unternehmens, die mit Risikomanagement- oder Überwachungsaufgaben betraut sind.
117 118 119
Vgl. Elfgen, R./Sieler, C. (Beratungsleistung, 2001), S. 379. Vgl. Elfgen, R./Sieler, C. (Beratungsleistung, 2001), S. 381. Vgl. Elfgen, R./Sieler, C. (Beratungsleistung, 2001), S. 393.
5 System des Risikomanagements
265
Risikomanagementsystem Vorstand/ Geschäftsführung
Operative Einheiten
Überwachungssystem Controlling
Abschlussprüfer
Risikopolitik Risikoidentifikation
Risikobewertung
Risikosteuerung Risikokontrolle
Prozessüberwachung Interne Revision
Abbildung 58: Risikomanagement- und Überwachungssystem unter Berücksichtigung der beteiligten Unternehmensinstanzen Diese Darstellung wird der Anforderung gerecht, sowohl den Risikomanagementprozess zu berücksichtigen, als auch die Systembestandteile voneinander abzugrenzen. Die im oder außerhalb des Unternehmens mit Risikomanagement- oder Überwachungsaufgaben betrauten Instanzen sind hinterlegt. Diese Darstellung ermöglicht eine systematische Überprüfung und kann als Mindeststandard zugrunde gelegt werden, wenn die einzusetzenden Instrumente in den einzelnen Phasen und die Zuordnung zu den jeweiligen Instanzen konkretisiert werden.
Fraglich ist, ob die Einführung eines Standards generell sinnvoll ist. Aus Prüfersicht ist das Bestreben, einen Mindeststandard festzulegen durchaus begrüßenswert. Für die betroffenen Unternehmen verbergen sich hinter diesen Standards jedoch nicht zu unterschätzende Gefahren. Es lassen sich eindeutige Parallelen zu der Vorgehensweise der Zertifzierung nach DIN
266
5 System des Risikomanagements
ISO 9000ff. und 14000ff. feststellen, wo auch vor allem die Dokumentation der geforderten Unterlagen im Vordergrund stand.120 Eine Dokumentation kann jedoch nie den tatsächlichen Nachweis über die Existenz und Funktionsfähigkeit eines Systems geben; notwendig sind zumindest Stichproben, die die Funktionsfähigkeit testen. Ein weiteres Problem liegt in der spezifischen Natur der Risikoinformationen im Gegensatz zu bspw. Qualitätsstandards. Auch wenn die Überprüfung auf Basis eines Standards zu hervorragenden Ergebnissen kommt, und Stichproben die Funktionsfähigkeit eines Risikomanagement- und Überwachungssystems nachgewiesen haben, kann aufgrund der Zukunftsgerichtetheit der Risikoinformationen nie gewährleistet werden, dass ein heute funktionsfähiges Instrument alle in der Zukunft auftretenden Risiken und Chancen erkennen wird. Es ist nie auszuschließen, dass wichtige Informationen übersehen werden, die dann nicht im Unternehmen weitergeleitet und berücksichtigt werden können. Dennoch kann ein Standard das Unternehmen selbst, aber auch die externen Prüfer, bei der Konzeption und Einschätzung eines Risikomanagementsystems unterstützen, wenn durch eine externe Überprüfung positive Signale gesetzt werden.
Folgt ein Unternehmen den allgemeinen Empfehlungen zur Konzipierung eines Risikomanagementsystems, gibt es zusätzlich unterschiedliche Faktoren, die bei der Ausprägung des Risikomanagementsystems eine Rolle spielen und den Umfang des Risikomanagementsystems mit beeinflussen. Dazu zählen x
Umweltdynamik und –komplexität: die Anforderungen an ein Risikomanagementsystem steigen mit zunehmender Dynamik der Unternehmensumwelt.121
x
Organisationsstruktur: das Risikomanagement erhält seine Ausprägung in starker Abhängigkeit der Unternehmensorganisationsstruktur.122
x
Unternehmensgröße: Uneinigkeit herrscht in Bezug auf die Auswirkung der Unternehmensgröße. Zum einen ist die Risikoneigung umso höher, je kleiner ein Unternehmen ist, zum anderen steigt die Notwendigkeit zur Institutionalisierung eines Risikomanagements bei zunehmender Unternehmensgröße.123
x
Unternehmensalter: junge Unternehmen sind stark abhängig von Risiken, die sie i.d.R. auch abhängig von der Finanzierung und somit von ihrem Überleben machen. Deshalb
120 121 122 123
Vgl. Elfgen, R./Sieler, C. (Beratungsleistung, 2001), S. 382. Vgl. Braun, H. (Risikomanagement, 1984), S. 69; Horváth, P./Gleich, R. (Risikomanagement, 2000), S. 107. Vgl. Braun, H. (Risikomanagement, 1984), S. 70; Kratzheller, J. B. (Risiko, 1997), S. 185. Vgl. Braun, H. (Risikomanagement, 1984), S. 69 f.
5 System des Risikomanagements
267
besteht hier die Notwendigkeit, sehr detaillierte Informationen über die Risiken der künftigen Entwicklung zu erhalten.124 x
Fertigungstechnologie: bei zunehmender Komplexität der Fertigung steigen auch die Anforderungen an ein Risikomanagementsystem.125
x
Branche: in Abhängigkeit von der Branche existieren unterschiedliche spezielle Anforderungen. So sind Banken z.B. verpflichtet, ein sehr ausgefeiltes Risikomanagement vorzuweisen. Einleuchtend ist gleichfalls, dass es tendenziell stärker risikobehaftete Branchen gibt (z.B. chemische Industrie), die eines dementsprechend ausgebauteren Risikomanagements bedürfen.
124 125 126 127
x
Entwicklungsstand der Controlling-, Berichts- und Internen Überwachungssysteme.126
x
Machtverhältnisse im Unternehmen, Barrieren durch persönliche Widerstände.127
Vgl. Horváth, P./Gleich, R. (Risikomanagement, 2000), S. 107. Vgl. Braun, H. (Risikomanagement, 1984), S. 70. Vgl. Buderath, H./Amling, T. (Überwachungssystem, 2000), S. 140. Vgl. Kratzheller, J. B. (Risiko, 1997), S. 185.
6 Schluss
6
269
Schluss
Wie gezeigt werden konnte, hat der Gesetzgeber mit seinen Bemühungen um eine verbesserte Corporate Governance durch das KonTraG und TransPuG wichtige Schritte eingeleitet, die mittel- bis langfristig zu einer verbesserten Transparenz des Unternehmensgeschehens und damit zu größerer Sicherheit für die Anleger führen werden. Sie sind allerdings nicht als "AllHeil-Mittel" gegen Unternehmenszusammenbrüche zu interpretieren und werden diese auch zukünftig nicht gänzlich verhindern können. Obwohl es deshalb kritische Stimmen gibt, die weitreichendere und konkretere Gesetze fordern, kann dieser Meinung nicht gefolgt werden. Es sollte deutlich geworden sein, dass es stets im Ermessen und zugleich Interesse der betroffenen Unternehmen liegen sollte, die geforderten Regelungen so umzusetzen, dass sie einerseits den gesetzlichen Ansprüchen gerecht werden, andererseits die sich daraus ergebenden Möglichkeiten im Hinblick auf eine erfolgreiche Unternehmensentwicklung voll ausnutzen. Eine zu detaillierte und zu strenge Vorgabe durch den Gesetzgeber birgt stets die Gefahr eines "Abhakens" von Checklisten und kann bewirken, dass Unternehmen sich nicht mit den an sie gestellten Anforderungen des Risikomanagements in vollem Maße auseinander setzen. Je weniger Vorgaben gemacht werden, um so stärker sind eigene, kreative Ansätze zu erarbeiten, die eine effektivere Lösung als universelle gesetzliche Regelungen vermuten lassen, da sie spezifisch auf das jeweilige Unternehmen maßgeschneidert sind. Auch ein maßgeschneidertes Konzept sollte jedoch stets die Phasen des Risikomanagements – bestehend aus Risikoidentifikation, -bewertung, -steuerung und -kontrolle unter Berücksichtigung der Risikopolitik – umfassen. Wie in dieser Arbeit dargestellt, sollte die Umsetzung der Aufgaben in den einzelnen Phasen jedoch durch einen individuellen Mix an möglichen Instrumenten wahrgenommen werden, der durch die jeweilige Unternehmenssituation, aber auch durch Kosten-Nutzen-Aspekte beeinflusst wird. Die in dieser Arbeit dargestellten Instrumenten erlauben einen geeigneten Überblick über die zur Verfügung stehenden Instrumente in den einzelnen Phasen und können aufgrund der erfolgten Einschätzung Unternehmen die Auswahlentscheidung erleichtern. Die Risikobereitschaft ist bei der Ausgestaltung des Risikomanagementsystems von fundamentaler Bedeutung für Unternehmen, denn nur durch das bewusste und gesteuerte Eingehen von Risiken lassen sich gleichzeitig Chancen aufdecken und nutzen, um so Wertsteigerungen für eine nachhaltige Unternehmensentwicklung zu realisieren. Eine Überbetonung des rein risikoorientierten Denkens in der unternehmerischen Entscheidungsfindung ist jedoch zu vermeiden, damit Risikomanagement nicht zu einem Innovationshemmnis wird und zur Blo-
270
6 Schluss
ckade zukunftsorientierter Aktivitäten führt. Vor allem im Bereich der Risikoidentifikation lassen sich Instrumente wie bspw. die Früherkennung einsetzen, die gleichzeitig Chancen aufdecken könen und Unternehmen somit in die Lage versetzen, Wettbewerbsvorteile zu schaffen und weiter auszubauen. Neben der Wahrnehmung von Aufgaben, die aus dem Risikomanagementprozess resultieren, sind auch die Überwachungsaufgaben im Zusammenhang mit den gesetzlichen Auflagen und deren Träger bei der Konzipierung eines Risikomanagementsystems mit einzubinden. Ein funktionsfähiges und den gesetzlichen Ansprüchen genügendes Risikomanagementsystem verspricht einen Wertzuwachs für Unternehmen, der auch vom Kapitalmarkt und anderen unternehmensexternen Anspruchsgruppen wahrgenommen werden wird.
Quellenverzeichnis
271
Quellenverzeichnis Aktiengesetz (AktG): vom 6. September 1965, BGBl I 1965, 1089; Stand: zuletzt geändert durch Art. 73 V v. 25.11.2003 I 2304. Deutscher Bundestag (Gesetzesbegründung, 1998): Gesetzesentwurf der Bundesregierung, Entwurf eines Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), Drucksache 13/9712, 1998. Deutscher Bundestag (Gesetzesbegründung, 2002): Gesetzesentwurf der Bundesregierung, Entwurf eines Gesetzes zur weiteren Reform des Aktien- und Bilanzrechts zu Transparenz und Publizität (Transparenz- und Publizitätsgesetz), Drucksache 14/8769, 2002. DRS 5: Deutscher Rechnungslegungs Standard Nr. 5 (DRS 5): Risikoberichterstattung, hrsg. v. DRSC e.V., Berlin, Stand 29.05. 2001. E-DRS 5: Entwurf Deutscher Rechnungslegungs Standard Nr. 5 (E-DRS 5): Risikoberichterstattung, hrsg. v. DRSC e.V., Berlin, 2000. FEI (Sarbanes-Oxley-Act, 2002):Sarbanes-Oxley Act of 2002, Morristown (NJ), 2002. Handelsgesetzbuch (HGB): vom 10. Mai 1897, RGBl 1897, 219; Stand: zuletzt geändert durch Art. 6 G v. 1.12.2003 I 2446. IDW PS 260: Das interne Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 260), Stand 02.07.2001. IDW PS 321: Interne Revision und Abschlussprüfung (IDW PS 321), Stand 06.05.2002. IDW PS 340: IDW Prüfungsstandard: Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340), Stand 11.09.2000 IDW PS 345: Auswirkungen des Deutschen Corporate Governance Kodex auf die Abschlussprüfung (IDW PS 345), Stand 01.07.2003. IDW PS 350: Prüfung des Lageberichts (IDW PS 350), Stand 26.06.1998. IDW PS 400: IDW Prüfungsstandard: Grundsätze für die ordnungsmäßige Erteilung von Bestätigungsvermerken
bei
Abschlussprüfungen
(IDW
PS
400),
Stand
01.10.2002.
Literaturverzeichnis
273
Literaturverzeichnis Albach, H. (Unsicherheit, 1984): Ungewißheit und Unsicherheit, in: Handwörterbuch der Betriebswirtschaft, hrsg. v. Grochla. E./Wittmann, W. , 4. völlig neu gest. Aufl., Stuttgart, 1984, Sp. 4036-4041. Altmeppen, H. (Auswirkungen, 1999): Die Auswirkungen des KonTraG auf die GmbH, in: Zeitschrift fürUnternehmens- und Gesellschaftsrecht, 28. Jg., 1999, S. 291-313. Amhof, R./Schweizer, M. (Risikomanagement, 2000): Positives Risikomanagement, in: Der Schweizer Treuhänder, 74. Jg., 2000, S. 713-721. Amling, T./Bischof, S. (KonTraG, 1999): KonTraG und Interne Revision - unter besonderer Berücksichtigung der Internationalisierung des Berufsstandes, in: Zeitschrift Interne Revision, Sonderheft 2a, 1999, S. 44-60. Ansoff, H.I. (Bewältigung, 1981): Die Bewältigung von Überraschungen und Diskontinuitäten durch die Unternehmensführung - Strategische Reaktionen auf schwache Signale, in: Planung & Kontrolle: Probleme der strategischen Unternehmensführung, hrsg. v. Steinmann, H. unter Mitarbeit von Achenbach, R., München, 1981, S. 233-264. Arbeitskreis "Externe und Interne Überwachung der Unternehmung" (KonTraG, 2000): Auswirkungen des KonTraG auf die Unternehmensüberwachung: KonTraG und Vorstand - KonTraG und Interne Revision - KonTraG und Aufsichtsrat - KonTraG und Wirtschaftsprüfer, in: DB, Beilage Nr. 11/2000 zu Heft 37 vom 15.09.2000, S. 1-11. Arbeitskreis "Externe und Interne Überwachung der Unternehmung" (Prognoseprüfung, 2003): Probleme der Prognoseprüfung, in: DB, 56. Jg., 2003, S. 105-111. Arbeitskreis "Finanzierungsrechnung" (Risikomanagement, 2001): Risikomanagement und Risikocontrolling in Industrie- und Handelsunternehmen: Empfehlungen des Arbeitskreises "Finanzierungsrechnung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.V., hrsg. v. Gebhardt, G./ Mansch, H., zfbf-Sonderheft 46, 2001. Baetge, J. (Früherkennung, 1998): Empirische Methoden zur Früherkennung von Unternehmenskrisen, Opladen, Wiesbaden, 1998. Baetge, J. (Unternehmenskrisen, 2002): Die Früherkennung von Unternehmenskrisen anhand von Abschlusskennzahlen - Rückblick und Standortbestimmung, in: DB, 55. Jg., 2002, S. 2281-2287.
274
Literaturverzeichnis
Baetge, J./Jerschensky, A. (Frühwarnsysteme, 1999): Frühwarnsysteme als Instrumente eines effizienten Risikomanagement und -Controlling, in: Controlling, 11. Jg., 1999, S. 171176. Baetge, J./Schulze, D. (Objektivierung, 1998): Möglichkeiten der Objektivierung der Lageberichterstattung über "Risiken der künftigen Entwicklung" - Ein Vorschlag zur praktischen Umsetzung der vom KonTraG verlangten Berichtspflichten, in: DB, 51. Jg., 1998, S. 937-948. Baisch, F. (Implementierung, 2000): Implementierung von Früherkennungssystemen in Unternehmen, Lohmar, Köln, 2000. Baum, H.-G./Coenenberg, A./Günther, T. (Controlling, 1999): Strategisches Controlling, 2. völlig neugest. Aufl., Stuttgart, 1999. Baumeister, A. (Performancemaße, 2003): Risikoadjustierte Performancemaße, in: DBW, 63. Jg., 2003, S. 221-226. BDI & PwC (Corporate, 2000): Corporate Governance in Deutschland, BDI-Drucksache Nr. 322, hrsg. v. BDI e.V. und PwC Deutsche Revision AG, Frankfurt am Main, Berlin, 2000. BDI & PwC (Corporate, 2002): Corporate Governance in Germany, hrsg. v. BDI e.V. und PwC Deutsche Revision AG, Frankfurt am Main, 2002. BDO (KonTraG, 1998): Auswirkungen des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und des Kapitalaufnahmeerleichterungsgesetztes (KapAEG), hrsg. v. BDO Deutsche Warentreuhand AG, o.O., 1998. Behr, G./Fickert, R./Gantenbein, P./Spremann, K. (Accounting, 2002): Accounting, Controlling und Finanzen: Einführung, München, 2002. Berg, S./Stöcker, M. (Kodex, 2002): Anwendungs- und Haftungsfragen zum Deutschen Corporate Governance Kodex, Arbeitspapier Nr. 91, Institut für Bankrecht, Universität Frankfurt, 2002. Bernhardt, W. (Neues, 1997): Wenig Neues - zu wenig?, in: ZfB, 67. Jg., 1997, S. 803-816. Bernstein, P.L. (Riskmanagement, 1997): Wider die Götter: Die Geschichte von Risiko und Riskmanagement von der Antike bis heute, München, 1997. Bertschinger, P./Schaad, M. (Sarbanes-Oxley Act, 2002): Der amerikanische SarbanesOxley-Act of 2002, in: Der Schweizer Treuhänder, 76. Jg., 2002, S. 883-888.
Literaturverzeichnis
275
Betz, S. (Kontrollsystem, 2002): Kontrollsystem, in: Handwörterbuch Unternehmensrechnung und Controlling, hrsg. v. Küpper, H.-U./Wagenhofer, A., 4. völlig neu gest. Aufl., Stuttgart, 2002, Sp. 986-995. Bitz, H. (Risikomanagement, 2000): Risikomanagement nach KonTraG: Einrichtung von Frühwarnsystemen zur Effizienzsteigerung und zur Vermeidung persönlicher Haftung, Stuttgart, 2000. Bitz, M. (Entscheidungstheorie, 1981): Entscheidungstheorie, München, 1981. Böcking, H.-J./Orth, C. (Beitrag, 1998): Kann das "Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)" einen Beitrag zur Verringerung der Erwartungslücke leisten? - Eine Würdigung auf Basis von Rechnungslegung und Kapitalmarkt, in: Die Wirtschaftsprüfung, 51. Jg., 1998, S. 351-364. Braun, H. (Risikomanagement, 1984): Risikomanagement. Eine spezifische Controllingaufgabe, Darmstadt, 1984. Brealey, R. A./Myers, S. C. (Finance, 2000): Principles of Corporate Finance, 6. Aufl., McGraw-Hill, 2000. Brebeck, F./Herrmann, D. (KonTraG-Entwurf, 1997): Zur Forderung des KonTraGEntwurfs nach einem Frühwarnsystem und zu den Konsequenzen für die Jahres- und Konzernabschlußprüfung, in: Die Wirtschaftsprüfung, 50. Jg., 1997, S. 381-391. Bretzke, W.-R. (Prognoseprüfung, 1992): Prognoseprüfung, in: Handwörterbuch der Revision, hrsg. v. Coenenberg, A. G./ v. Wysocki, K., 2. neugest. u. erg. Aufl., Stuttgart, 1992, Sp. 1436-1443. Broll, U./Milde, H. (Risikomanagement, 1999): Risikomanagement im Vergleich - Versicherung, Diversifikation und Hedging (Teil 2), in: WiSt, 28. Jg., 1999, S.570-576. Brühwiler, B. (Risk, 2001): Unternehmensweites Risk Management als Frühwarnsystem Methoden und Prozesse für die Bewältigung von Geschäftsrisiken in integrierten Managementsystemen, Bern, Stuttgart, Wien, 2001. Buderath, H./Amling, T. (Überwachungssystem, 2000): Das Interne Überwachungssystem als Teil des Risikomanagementsystems, in: Praxis des Risikomanagements, hrsg. v. Dörner, D./Horváth, P./Kagermann, H., Stuttgart, 2000, S. 127-152.
276
Literaturverzeichnis
Bühler, P./Schweizer, M. (Sarbanes-Oxley Act, 2002): Was bedeutet der Sarbanes-Oxley Act für die Swiss Corporate Governance? In: Der Schweizer Treuhänder, 76. Jg., 2002, S. 997-1002. Bundesaufsichtsamt für Kreditwesen (Mindestanforderungen, 1995): Verlautbarung über Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstitute, Geschäftszeichen I 4 -42-3/86, Berlin, 1995. Bundesaufsichtsamt für Kreditwesen (Revision, 2000): Mindestanforderungen an die Ausgestaltung der Internen Revision der Kreditinstitute, Rundschreiben 1/2000, 17. Januar 2000. Bundesministerium der Justiz (Corporate Governance Kodex, 2002): Bekanntmachung des "Deutschen Corporate Governance Kodex" vom 14. November 2002, Berlin 2002. Burger, A./Buchhart, A. (Risiko, 2002): Zur Berücksichtigung von Risiko in der strategischen Unternehmensführung, in: DB, 55. Jg., 2002, S. 593-599. Burger, A./Buchhart, A. (Risiko-Controlling, 2002): Risiko-Controlling, München, Wien, 2002. Bussmann, K. (Risiko, 1955): Das betriebswirtschaftliche Risiko, Meisenheim am Glan, 1955. C&L (Risikomanagement, 1998): Unternehmensweites Risikomanagement - Maßnahmen zur Sicherung Ihres Unternehmenserfolges, hrsg. v. C&L Deutsche Revision, Frankfurt am Main, 1998. Claassen, U. (Risikomanagement, 1999): Risikomanagement bei mittelständischen Unternehmen am Beispiel der Sartorius AG: Die Bedeutung formaler und qualitativer Komponenten für das Risikomanagement, in: Controlling & Finance, hrsg. v. Horváth, P., Stuttgart, 1999, S. 1-18. Coenenberg, A. (Jahresabschluss, 2000): Jahresabschluß und Jahresabschlußanalyse: Betriebswirtschaftliche, handelsrechtliche, steuerrechtliche und internationale Grundlagen, 17. völlig neu bearb. u. erw. Aufl., Landsberg/Lech, 2000. Coombes, P./Watson, M. (Corporate, 2000): The surveys on corporate governance, in: The McKinsey Quarterly, No. 4, 2000, p. 74-77. Copeland, T./Koller, T./Murrin, J. (Unternehmenswert, 1998): Unternehmenswert – Methoden und Strategien für eine wertorientierte Unternehmensführung, 2. aktual. u. erw. Aufl., Frankfurt/Main, New York, 1998.
Literaturverzeichnis
277
Dembo, R. S./Freeman, A. (Riskmanagement, 1998): Die Revolution des finanziellen Riskmanagements: Gesetze, Regeln, Instrumente, München, 1998. Deppe, H. (Zusammenarbeit, 1987): Möglichkeiten und Grenzen der Zusammenarbeit von Interner Revision und Controlling, in: BFuP, 39. Jg., 1987, S. 127-138. Diederichs, M./Reichmann, T. (Praxis, 2003): Risikomanagement und Risiko-Controlling in der Praxis - Ergebnisse einer empirischen Untersuchung, in: Controlling, 15. Jg., 2003, S. 229-234. Dörner, D. (Logik, 1994): Die Logik des Mißlingens: Strategisches Denken in komplexen Situationen, Reinbek bei Hamburg, 1994. Dörner, D. (Unternehmensberatung, 1998): Von der Wirtschaftsprüfung zur Unternehmensberatung, in: Die Wirtschaftsprüfung, 51. Jg., 1998, S. 302-318. Dörner, D. (KonTraG, 2000): Zusammenarbeit von Aufsichtsrat und Wirtschaftsprüfer im Lichte des KonTraG, in: DB, 53. Jg., 2000, S. 101-105. Dörner, D./Bischof, S. (Berichterstattung, 1999): Zweifelsfragen zur Berichterstattung über die Risiken der künftigen Entwicklung im Lagebericht, in: Die Wirtschaftsprüfung, 52. Jg., 1999, S. 445-455. Dörner, D./Doleczik, G. (Risikomanagement, 2000): Prüfung des Risikomanagements, in: Praxis des Risikomanagements, hrsg. v. Dörner, D./Horváth, P./Kagermann, H., Stuttgart, 2000, S. 193-217. Drygala, T./Drygala, A. (Frühwarnsystem, 2000): Wer braucht ein Frühwarnsystem?, in: Zeitschrift für Wirtschaftsrecht, 21. Jg., 2000, S. 297-305. Eggemann, G./Konradt, T. (Risikomanagement, 2000): Risikomanagement nach KonTraG aus dem Blickwinkel des Wirtschaftsprüfers, in: BB, 55. Jg., 2000, S. 503-509. Eisele, W. (Meinungsspiegel, 2000): Meinungen zum Thema Risikomanagement, in: BFuP, 52. Jg., 2000, S. 273-286. Elfgen, R./Sieler, C. (Beratungsleistung, 2001): Risikomanagement als Beratungsleistung. Der Aufbau von Risikomanagement-Systemen in Industrieunternehmen, in: Risikomanagement nach dem KonTraG: Aufgaben und Chancen aus betriebswirtschaftlicher und juristischer Sicht, hrsg. v. Lange, K.W./Wall, F., München, 2001, S. 375-397.
278
Literaturverzeichnis
Emmerich, G. (Risikomanagement, 1999): Risikomanagement in Industrieunternehmen gesetzliche Anforderungen und Umsetzung nach dem KonTraG, in: zfbf, 51. Jg., 1999, S. 1075-1089. Emmerich, G. /Schaum, W. (Auswirkungen, 2003): Auswirkungen des Sarbanes-Oxley Act auf deutsche Abschlussprüfer - Berufsaufsicht, Registrierung, Unabhängigkeit, in: Die Wirtschaftsprüfung, 56. Jg., 2003, S. 677-691. Erdenberger, C. (Risikomanagement, 2001): Risikomanagement – Möglichkeiten einer pragmatischen Umsetzung in mittelständischen Unternehmen, in: controller magazin, 26. Jg., 2001, S. 13-17. Farny, D. (Grundfragen, 1979): Grundfragen des Risk Management, in: Risk-Management Strategien zur Risikobeherrschung, hrsg. v. Goetzke, W./Sieben, G., Köln, 1979, S. 11-37. Fasse, F.-W. (Risk-Management, 1995): Risk-Management im strategischen internationalen Marketing, Hamburg, 1995. Fischer, M. (Betriebsunterbrechungsrisiken, 2000): Betriebsunterbrechungsrisiken und Betriebsweiterführungsplanung: Worauf müssen Unternehmen im 21. Jahrhundert verstärkt achten?, in: Tagungsband der IIR Jahrestagung "Risiko-Forum", März, 2000. Förschle, G./Peter, M. (Überwachungssysteme, 1999): Beurteilung der Überwachungssysteme bei amtlich notierten AG/KGaA (Abs. 4, § 91 Abs. 2 AktG), in: Beck´scher BilanzKommentar: der Jahresabschluß nach Handels- und Steuerrecht, Konzernabschluß, Prüfung und Offenlegung §§ 238 und 339 HGB, bearb. v. Budde, W.D./Clemm, H./Ellroth, H./Förschle, G./Schnicke, C., 4. Aufl., München, 1999, Rn. 70-96. Forster, K.-H. (KonTraG, 1998): Abschlußprüfung nach dem Regierungsentwurf des KonTraG, in: Die Wirtschaftsprüfung, 51. Jg., 1998, S. 41-56. Franke, A. (Risiko-Controlling, 1997): Risiko-Controlling bei Projekten des Industrieanlagenbaus, in: Controlling, 9. Jg., 1997, S. 170-179. Franz, K.-P. (Corporate, 2000): Corporate Governance, in: Praxis des Risikomanagements, hrsg. v. Dörner, D./Horváth, P./Kagermann, H., Stuttgart, 2000, S. 41-72. Franz, K.-P./Kajüter, P. (Controlling, 2002): Zum Kern des Controlling, in: Controlling als akademische Disziplin - Eine Bestandsaufnahme, hrsg. v. Weber, J./Hirsch, B., Wiesbaden, 2002, S. 123-130.
Literaturverzeichnis
279
Freidank, C.-C. (Prüfungswesen, 2000): Das deutsche Prüfungswesen unter risikoorientierten und internationalen Reformeinflüssen, in: Die deutsche Rechnungslegung und Wirtschaftsprüfung im Umbruch: Festschrift für Wilhelm Theodor Strobel zum 70. Geburtstag, hrsg. v. Freidank, C.-C., München, 2001, S. 245-268. Freiling, C./Lück, W. (Jahresabschlußprüfung, 1986): Interne Überwachung und Jahresabschlussprüfung, für den Arbeitskreis „Externe und Interne Überwachung der Unternehmung“ der Schmalenbach-Gesellschaft/Deutsche Gesellschaft für Betriebswirtschaft e.V., in: zfbf, 38. Jg., 1986, S. 996-1006. Frese, E. (Organisation, 2000): Grundlagen der Organisation - Konzept - Prinzipien - Strukturen, 8. überarb. Aufl., Wiesbaden, 2000. Frese, E./v. Werder, A. (Zentralbereiche, 1993): Zentralbereiche - Organisatorische Formen und Effizienzbeurteilung, in: Zentralbereiche: theoretische Grundlagen und praktische Erfahrungen, hrsg. v. Frese, E./Maly, W./v. Werder, A., Stuttgart, 1993, S. 1-50. Fröhling, O. (KonTraG, 2000): KonTraG und Controlling: Eckpfeiler eines entscheidungsrelevanten und transparenten Segmentcontrolling und –reporting, München, 2000. Fröhling, O. (Reward, 2000): Reward and Risk-Controlling, in: Controlling, 12. Jg., 2000, S. 5-13. Füser, K./Gleißner, W./Meier, G. (Risikomanagement, 1999): Risikomanagement (KonTraG) - Erfahrungen aus der Praxis, in: DB, 52. Jg., 1999, S. 753-758. Gänßlen, S./Meissner, D. (Basel II, 2002): Basel II und Unternehmensrating - Handlungsbedarf für Management und Controlling, in: controller magazin, 27. Jg., 2002, S. 275-282. Gebhardt, G. (Risikocontrolling, 2002): Risikocontrolling, in: Handwörterbuch Unternehmensrechnung und Controlling, hrsg. v. Küpper, H.-U./Wagenhofer, A., 4. völlig neu gest. Aufl., Stuttgart, 2002, Sp. 1713-1726. Gelhausen, H. F. (Reform, 1997): Reform der externen Rechnungslegung und ihrer Prüfung durch den Wirtschaftsprüfer, hrsg. v.: C&L Deutsche Revision, Frankfurt am Main, 1997. Gerke, W. (Pflichtenheft, 2003): Das Pflichtenheft des Risikomanagements, in: FAZ, Montag, 28.April 2003, Nr. 98, S. 26.
280
Literaturverzeichnis
Geschka, H. (Szenariotechnik, 1999): Die Szenariotechnik in der strategischen Unternehmensplanung, in: Strategische Unternehmungsplanung - strategische Unternehmensführung: Stand und Entwicklungstendenzen, hrsg. von Hahn, D./Taylor, B., 8 völlig neu bearb. u. erw. Aufl., Heidelberg, 1999, S. 518-545. Geschka, H./Hammer, R. (Szenario-Technik, 1997): Die Szenario-Technik in der strategischen Unternehmensplanung, in: Strategische Unternehmungsplanung - strategische Unternehmensführung: Stand und Entwicklungstendenzen, hrsg. von Hahn, D./Taylor, B., 7. völlig neu bearb. u. erw. Aufl., Heidelberg, 1997, S. 464-489. Giese, R. (Prüfung, 1998): Die Prüfung des Risikomanagementsystems einer Unternehmung durch den Abschlußprüfer gemäß KonTraG, in: Die Wirtschaftsprüfung, 51. Jg., S. 451-458. Glaum, M. (Risikomanagement, 2000): Finanzwirtschaftliches Risikomanagement deutscher Industrie- und Handelsunternehmen, Industriestudie, hrsg. v. PwC Deutsche Revision, Frankfurt am Main, 2000. Gleason, J.T. (Risikomanagement, 2001): Risikomanagement - Wie Unternehmen finanzielle Risiken messen, steuern und optimieren, Frankfurt, New York, 2001. Gleich, R. (System, 2001): Das System des Performance Measurement: Theoretisches Grundkonzept, Entwicklungs- und Anwendungsstand, München, 2001. Gleißner, W. (Risikopolitik, 2000): Risikopolitik und Strategische Unternehmensführung, in: DB, 53. Jg., 2000, S. 1625-1629. Gleißner, W./Meier, G. (Risikomanagement, 2000): Risikomanagement als integraler Bestandteil der wertorientierten Unternehmensführung, in: DSWR, 29. Jg., 2000, S. 6-10. Göbel, E. (Früherkennung, 1995): Der Stakeholderansatz im Dienste der strategischen Früherkennung, in: Zeitschrift für Planung, 6. Jg., 1995, S. 55-67. Götze, U. (Szenario-Technik, 1993): Szenario-Technik in der strategischen Unternehmensplanung, 2. aktual. Aufl., Wiesbaden, 1993. Götze, U./Glaser, K./Hinkel, D. (Risikocontrolling, 2001): Risikocontrolling aus funktionaler Perspektive - Konzeptionsspezifische Darstellung des Aufgabenspektrums, in: Risikomanagement, hrsg. v. Götze, U./Henselmann, K./Mikus, B. , Heidelberg, 2001, S. 95-126. Götze, U./Mikus, B. (Management, 1999): Strategisches Management, Chemnitz, 1999.
Literaturverzeichnis
281
Götze, U./Mikus, B. (Risikomanagement, 2001): Risikomanagement mit Instrumenten der strategischen Unternehmensführung, in: Risikomanagement, hrsg. v. Götze, U./Henselmann, K./Mikus, B. , Heidelberg, 2001, S. 385-412. Haas, C. (Unsicherheit, 1965): Unsicherheit und Risiko in der Preisbildung, Köln et al., 1965. Hahn, D. (Frühwarnsysteme, 1979): Frühwarnsysteme, Krisenmanagement und Unternehmungsplanung, in: ZfB-Ergänzungsheft 2/79, S. 25-46. Hahn, D. (Risiko-Management, 1987): Risiko-Management. Stand und Entwicklungstendenzen, in: ZfO, 56. Jg., 1987, S. 137-150. Hahn, D. (Unternehmungsführung, 1999): Strategische Unternehmungsführung - Grundkonzept, in: Strategische Unternehmungsplanung - strategische Unternehmensführung: Stand und Entwicklungstendenzen, hrsg. von Hahn, D./Taylor, B., 8 völlig neu bearb. u. erw. Aufl., Heidelberg, 1999, S. 28-50. Hahn, D./Hungenberg, H. (PuK, 2001): PuK. Planung und Kontrolle, Planungs- und Kontrollsysteme, Planungs- und Kontrollrechnung. Wertorientierte Controllingkonzepte, 6. vollst. überarb. u. erw. Aufl., Wiesbaden, 2001. Hahn, D./Krystek, U. (KonTraG, 2000): Früherkennungssysteme und KonTraG, in: Praxis des Risikomanagements, hrsg. v. Dörner, D./Horváth, P./Kagermann, H., Stuttgart, 2000, S. 73-97. Haller, M. (Risiko-Management, 1978): Risiko-Management: neues Element in der Führung, in: Management Zeitschrift io, 47. Jg., 1978, S. 483-487. Haller, M. (Eckpunkte, 1986): Risiko-Management - Eckpunkte eines integrierten Konzepts, in: SzU, Band 33, hrsg. v. Jacob, H., Wiesbaden, 1986, S. 7-43. Hauschildt, J. (Unternehmenskrisen, 2000): Unternehmenskrisen – Herausforderungen an die Bilanzanalyse, in: Krisendiagnose durch Bilanzanalyse, hrsg. v. Hauschildt, J./Leker, J., 2. Aufl., Köln, 2000, S. 1-17. Hauschildt, J. (Anmerkungen, 2002): Anmerkungen zum Umgang der Betriebswirtschaftslehre mit Unternehmenskrisen, Reihe Manuskripte aus den Instituten der Betriebswirtschaftslehre der Universität Kiel, Nr. 572, Kiel, 2002. Heigl, A. (Controlling, 1989): Controlling - interne Revision, 2. neubearb. u. erw. Aufl., Stuttgart, New York, 1989.
282
Literaturverzeichnis
Helmke, S./Risse, R. (Risikomanagement, 1999): Chancen- und Risikomanagement im Konzern Deutsche Post AG, in: krp, 43. Jg., 1999, S. 277-283. Helten, E./Bittl, A./Liebwein, P. (Versicherung, 2000): Versicherung von Risiken, in: Praxis des Risikomanagements, hrsg. v. Dörner, D./Horváth, P./Kagermann, H., Stuttgart, 2000, S. 153-191. Henselmann, K. (KonTraG, 2001): Das KonTraG und seine Anforderungen an das Risikomanagement, in: Risikomanagement, hrsg. v. Götze, U./Henselmann, K./Mikus, B., Heidelberg, 2001, S. 29-46. Henze, H. (Entscheidungen, 2001): Entscheidungen und Kompetenzen der Organe in der AG: Vorgaben der höchstrichterlichen Rechtsprechung, in: BB, 56. Jg., 2001, S. 53-61. Hermann, D.C. (Risikomanagement, 1996): Strategisches Risikomanagement kleiner und mittlerer Unternehmen, Berlin, 1996. Hinshaw & Culbertson (SEC-Rules, 2002): Proposed SEC-Rules: Disclosure Required by Sections 404, 406 and 407 of the Sarbanes-Oxley Act of 2002 (SEC-Release No. 34-46701), Chicago, 2002. Hinterhuber, H. (Risikomanagement, 1998): Anstelle eines Vorworts: Ganzheitliches Risikomanagement. Ein strategischer Ansatz, in: Betriebliches Risikomanagement, hrsg. v. Hinterhuber, H./Sauerwein, E./Fohler-Norek, C., Wien, 1998, S. 11-16. Hoffmann, F. (Revision, 1992): Interne Revision, Organisation, in: Handwörterbuch der Revision, hrsg. v. Coenenberg, A. G./ v. Wysocki, K., 2. neugest. u. erg. Aufl., Stuttgart, 1992, Sp. 869-882. Hoffmann, H. (Kreativitätstechniken, 1987): Kreativitätstechniken für Manager, 2. Aufl., Landsberg am Lech, 1987. Hofmann, R. (Revision, 1972): Interne Revision - Organisation und Aufgaben, Konzernrevision, Opladen, 1972. Hofmann, R. (Unternehmensüberwachung, 1993): Unternehmensüberwachung: ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. neu bearb. u. erw. Aufl., Berlin, 1993. Hölscher, R. (Gestaltungsformen, 2000): Gestaltungsformen und Instrumente des industriellen Risikomanagements, in: Risk-Controlling in der Praxis: rechtliche Rahmenbedingungen und geschäftspolitische Konzeptionen in Banken, Versicherungen und Industrie, hrsg. v. Schierenbeck, H., Stuttgart, 2000, S. 297-363.
Literaturverzeichnis
283
Hölscher, R./Kremers, M./Rücker, U.-C. (Versicherungsmanagement, 1996): Risiko- und Versicherungsmanagement in der deutschen Industrie - Ergebnisse einer empirischen Untersuchung, in: Versicherungswirtschaft, 51. Jg., 1996, S. 1612-1623. Holst, J. (Risikomanagement, 1998): Risikomanagement im Lichte des KonTraG, IFBGStudie, Nr.9, Göttingen, 1998. Holst, J./Holtkamp, W. (Risikoquantifizierung, 2000): Risikoquantifizierung und Frühwarnsystem auf Basis der Value at Risk-Konzeption, in: BB, 55. Jg., 2000, S. 815-820. Holzer, P./Makowski, A. (Corporate, 1997): Corporate Governance, in: DB, 50. Jg., 1997, S. 688-692. Hommelhoff, P./Mattheus, D. (Meinungsspiegel, 1999): Meinungen zum Thema: KonTraG - Mehr Kontrolle und Transparenz?, in: BFuP, 51. Jg., 1999, S. 437-453. Hommelhoff, P./Mattheus, D. (Grundlagen, 2000): Gesetzliche Grundlagen: Deutschland und international, in: Praxis des Risikomanagements, hrsg. v. Dörner, D./Horváth, P./Kagermann, H., Stuttgart, 2000, S. 5-40. Hommelhoff, P./Mattheus, D. (Risikomanagement, 2000): Risikomanagement im Konzernein Problemaufriß, in: BFuP, 52. Jg., 2000, S. 217-230. Hornung, K. (Risikocontrolling, 1999): Risikomanagement &-controlling, in: Controlling & Finance, hrsg. v. Horváth, P., Stuttgart, 1999, S. 65-74. Hornung, K./Reichmann, T./Diederichs, M. (Risikomanagement I, 1999): Risikomanagement – Teil I: Konzeptionelle Ansätze zur pragmatischen Realisierung gesetzlicher Anforderungen, in: Controlling, 11. Jg., 1999, S. 317-325. Horváth, P. (Kontrollsystem, 1992): Internes Kontrollsystem, allgemein, in: Handwörterbuch der Revision, hrsg. v. Coenenberg, A. G./ v. Wysocki, K., 2. neugest. u. erg. Aufl., Stuttgart, 1992, Sp. 882-896. Horváth, P. (Controlling, 2001): Controlling, 8. vollst. überarb. Aufl., München, 2001. Horváth, P./Gleich, R. (Risikomanagement, 2000): Controlling als Teil des Risikomanagements, in: Praxis des Risikomanagements, hrsg. v. Dörner, D./Horváth, P./Kagermann, H., Stuttgart, 2000, S. 99-126. Hüffer, U. (Aktiengesetz, 1999): Aktiengesetz erläutert von U. Hüffer, 4. Aufl., München, 1999.
284
Literaturverzeichnis
IDW (WP-Handbuch, 2000): Wirtschaftsprüfer-Handbuch, Handbuch für Rechnungslegung, Prüfung und Beratung, Band I, hrsg. v. IDW in Deutschland e.V., 12. Aufl., Düsseldorf, 2000. IIR (Risikomanagementsystem, 1999): Konzept für den Aufbau eines Risikomanagementsystems (RMS) unter Berücksichtigung der Anforderungen durch das KonTraG, vorgelegt vom IIR-Arbeitskreis "Interne Revision in der Versicherungswirtschaft", in Zeitschrift Interne Revision, 34. Jg., 1999, S. 185-215. Imboden, C. (Risikohandhabungsverfahren, 1983): Risikohandhabung: Ein entscheidungsbezogenes Verfahren, Bern und Stuttgart, 1983. Janke, G. (Revision, 1997): Gute Chance zur Stärkung der Internen Revision, in: Zeitschrift Interne Revision, 32. Jg., 1997, S. 313-323. Jerschensky, A. (Messung, 1998): Messung des Bonitätsrisikos von Unternehmen: Krisendiagnose mit künstlichen neuronalen Netzen, Düsseldorf, 1998. Jung, M. K. P. (Revision, 2002): Interne Revision, in: Handwörterbuch Unternehmensrechnung und Controlling, hrsg. v. Küpper, H.-U./Wagenhofer, A., 4. völlig neu gest. Aufl., Stuttgart, 2002, Sp. 797-805. Kahneman, D./Tversky, A. (Prospect, 1979): Prospect Theory: an analysis of decision under risk, in: Econometrica, Vol. 47, 1979, S. 263-291. Kajüter, P./Winkler, C. (Risikoberichterstattung, 2003): Die Risikoberichterstattung der DAX 100-Unternehmen im Zeitvergleich - Ergebnisse einer empirische Untersuchung, in: Kapitalmarktorientierte Rechnungslegung, 3. Jg., 2003, S. 217-228. Kaplan, R.S./Norton, D.P. (Balanced, 1997): Balanced Scorecard - Strategien erfolgreich umsetzen, Stuttgart, 1997. Karten, W. (Unsicherheit, 1972): Die Unsicherheit des Risikobegriffes - Zur Terminologie der Versicherungsbetriebslehre, in: Praxis der Versicherungsbetriebslehre, Festgabe für H. L. Müller-Lutz zum 60. Geburtstag, hrsg. v. Braeß, P./Farny, D./Schmidt, R., Karlsruhe, 1972, S. 147-169. Karten, W. (Risk Management, 1978): Aspekte des Risk Managements, in: BFuP, 30. Jg., 1978, S. 308-323. Keitsch, D. (Risikomanagement, 2000): Risikomanagement, Stuttgart, 2000.
Literaturverzeichnis
285
Kindler, P./Pahlke, A.-K. (Aufsichtsrat, 2001): Die Überwachungspflichten des Aufsichtsrates im Hinblick auf das Risikomanagement, in: Risikomanagement nach dem KonTraG: Aufgaben und Chancen aus betriebswirtschaftlicher und juristischer Sicht, hrsg. v. Lange, K.W./Wall, F., München, 2001, S. 60-94. Kirchner, M. (Risikomanagement, 2002): Risikomanagement: Problemaufriss und praktische Erfahrungen unter Einbeziehung eines sich ändernden unternehmerischen Umfeldes, München u. Mering, 2002. Kless, T. (Unternehmensrisiken, 1998): Beherrschung der Unternehmensrisiken: Aufgaben und Prozesse eines Risikomanagements, in: DStR, 36. Jg., 1998, S. 93-96. Knight, F. H. (Risk, 1921): Risk, Uncertainty and Profit, 7. Aufl., Cambridge, 1921, reprint von 1948. Koch, H. (Gewinnvorbehalt, 1996): Theorie des Gewinnvorbehalts: Unternehmenssicherung durch Vorsorge für unerwartete Krisen, Wiesbaden, 1996. Kötzle, A. (Identifikation, 1993): Die Identifikation strategisch gefährdeter Geschäftseinheiten, Berlin, 1993. KPMG (Reformen, 1998): Reformen im Zeichen von Internationalität, Transparenz und Kontrolle, hrsg. v. KPMG, Berlin, 1998. KPMG (Risikomanagement, 1998): Integriertes Risikomanagement, hrsg. v. KPMG, Berlin, 1998. Krämer, G. (Risiko, 2002): Das quantitative materielle Risiko bei betriebswirtschaftlichen Entscheidungen, in: StB, 53. Jg., 2002, S. 307-311. Krampe, G./Müller, G. (Diffusionsfunktion, 1981): Diffusionsfunktionen als theoretisches und praktisches Konzept zur strategischen Frühaufklärung, in: zfbf, 33. Jg., 1981, S. 384-401. Kratzheller, J. B. (Risiko, 1997): Risiko und Risk Management aus organisationswissenschaftlicher Perspektive, Wiesbaden, 1997. Kromschröder, B./Lück, W. (Grundsätze, 1998): Grundsätze risikoorientierter Unternehmensüberwachung, in: DB, 51. Jg., 1998, S. 1573-1576. Krystek, U. (Unternehmungskrisen, 1987): Unternehmungskrisen: Beschreibung, Vermeidung und Bewältigung überlebenskritischer Prozesse in Unternehmungen, Wiesbaden, 1987.
286
Literaturverzeichnis
Krystek, U. (Führung, 1989): Führung in Ausnahmesituationen: Akute Krisen und Chancen als Führungsaufgabe, in: ZfO, 58. Jg., 1989, S. 30-37. Krystek, U. (Frühaufklärung, 1990): Controlling und Frühaufklärung - Stand und Entwicklungstendenzen von Systemen der Frühaufklärung, in: Controlling, 2. Jg., 1990, S. 68-75. Krystek, U. (Gesetze, 1999): Neue Controlling-Aufgaben durch neue Gesetze? KonTraG und InsO als Herausforderung für das Controlling, in: krp, 43. Jg., 1999, S. 145-151. Krystek, U. (Meinungsspiegel, 2000): Meinungen zum Thema Risikomanagement, in: BFuP, 52. Jg., 2000, S. 273-286. Krystek, U. (Unternehmungskrisen, 2002): Unternehmungskrisen: Vermeidung und Bewältigung, in: Risiken des Unternehmens – vorbeugen und meistern, hrsg. von Pastors, P.M./PIKS, München; Mering, 2002, S. 87- 133. Krystek, U. (Früherkennung, 2003): Bedeutung der Früherkennung für Unternehmensplanung und Kontrolle, in: Neugestaltung der Unternehmensplanung - Innovative Konzepte und erfolgreiche Praxislösungen , hrsg. v. Horváth,P./Gleich, R., Stuttgart, 2003, S. 121-148. Krystek, U./Fiege, S. (Risikomanagement, 2004): Risikomanagement, in: Gabler Wirtschafts Lexikon, 16. vollst. überarb. u. aktual. Aufl., 2004, S. 2558-2560. Krystek, U./Müller, M. (Frühaufklärungssysteme, 1999): Frühaufklärungssysteme - Spezielle Informationssysteme zur Erfüllung der Risikokontrollpflicht nach KonTraG, in: Controlling, 11. Jg., 1999, S. 177-183. Krystek, U./Müller-Stewens, G. (Frühaufklärung, 1993): Frühaufklärung für Unternehmen: Identifikation und Handhabung zukünftiger Chancen und Bedrohungen, Stuttgart, 1993. Krystek, U./Zumbrock, S. (Planung, 1993): Planung und Vertrauen - Die Bedeutung von Vertrauen und Mißtrauen für die Qualität von Planungs- und Kontrollsystemen, Stuttgart, 1993. Kuhl, K./Nickel, J.-P. (Risikomanagement, 1999): Risikomanagement im Unternehmen Stellt das KonTraG neue Anforderungen an die Unternehmen?, in: DB, 52. Jg., 1999, S. 133135. Küpper, H.-U. (Controlling, 1997): Controlling: Konzeption, Aufgaben und Instrumente, 2. akt. u. erg. Aufl., Stuttgart, 1997. Kupsch, P. (Risiko, 1973): Das Risiko im Entscheidungsprozeß, Wiesbaden, 1973.
Literaturverzeichnis
287
Kupsch, P. (Risiken, 1975): Risiken als Gegenstand der Unternehmungspolitik, in: WiSt, 4. Jg., 1975, S. 153-159. Kupsch, P. (Risikomanagement, 1995): Risikomanagement, in: Handbuch der Unternehmensführung: Konzepte - Instrumente - Schnittstellen, hrsg. v. Corsten, H./Reiß, M., Wiesbaden, 1995, S. 530-543. Lachnit, L./Müller, S. (KonTraG, 2001): Risikomanagementsystem nach KonTraG und Prüfung des Systems durch den Wirtschaftsprüfer, in: Die deutsche Rechnungslegung und Wirtschaftsprüfung im Umbruch: Festschrift für Wilhelm Theodor Strobel zum 70. Geburtstag, hrsg. v. Freidank, C.-C., München, 2001, S. 363-393. Lanfermann, G. /Maul, S. (Auswirkungen, 2002): Auswirkungen des Sarbanes-Oxley Acts in Deutschland, in: DB, 55. Jg., 2002, S. 1725-1732. Lanfermann, G./Maul, S. (SEC-Ausführungsregelungen, 2003): SEC-Ausführungsregelungen zum Sarbanes-Oxley-Act – Auswirkungen auf Rechnungslegung und Abschlussprüfung europäischer Unternehmen – in: DB, 56. Jg., 2003, S. 349-355. Lange, K.W. (Lagebericht, 2001): Anforderungen an die Berichterstattung über Risiken in Lagebericht und Konzernlagebericht, in: Risikomanagement nach dem KonTraG: Aufgaben und Chancen aus betriebswirtschaftlicher und juristischer Sicht, hrsg. v. Lange, K.W./Wall, F., München, 2001, S. 131-159. Lehner, U./Schmidt, M. (Risikomanagement, 2000): Risikomanagement in Industrieunternehmen, in: BFuP, 52. Jg., 2000, S. 261-272. Leitner, F. (Unternehmungsrisiken, 1915): Die Unternehmungsrisiken, Berlin, 1915. Lenz, H. (Meinungsspiegel, 1999): Meinungen zum Thema: KonTraG - Mehr Kontrolle und Transparenz?, in: BFuP, 51. Jg., 1999, S. 437-453. Liebl, F. (Risiko-Management, 2001): Auf dem Weg zu einem strategischen RisikoManagement, in: Risikomanagement nach dem KonTraG: Aufgaben und Chancen aus betriebswirtschaftlicher und juristischer Sicht, hrsg. v. Lange, K.W./Wall, F., München, 2001, S. 504-528. Lindeiner-Wildau, K. (Risiko-Management, 1986): Risiken und Risiko-Management im Anlagenbau, in: Langfristiges Anlagengeschäft - Risiko-Management und Controlling, hrsg. v. Funk, J./Lassmann, G., zfbf-Sonderheft 20, 1986.
288
Literaturverzeichnis
Lingemann, S./Wasmann, D. (KonTraG, 1998): Mehr Kontrolle und Transparenz im Aktienrecht: Das KonTraG tritt in Kraft, in: BB, 53. Jg., 1998, S. 853-862. Lischke, T./Kirner, H. (Risikomanagementsystem, 2000): Einführung und Organisation eines Risikomanagementsystems, in: controller magazin, 25. Jg., 2000, S. 44-49. Littkemann, J./Krehl, H. (Kennzahlen, 2000): Kennzahlen der klassischen Bilanzanalyse – nicht auf Krisendiagnosen zugeschnitten, in: Krisendiagnose durch Bilanzanalyse, hrsg. .v. Hauschildt, J./Leker, J., 2. Aufl., Köln, 2000, S. 19-32. Löhr, D. (KonTraG, 2000): Implementation eines prüfungsfähigen Risikomanagementsystems - Anforderungen nach KonTraG, in: StB, 51. Jg., 2000, S. 312-318. Löw, E./Roggenbuck, H. E. (Performancemaße, 2002): Risikoorientierte Performancemaße, in: Handwörterbuch Unternehmensrechnung und Controlling, hrsg. v. Küpper, H.U./Wagenhofer, A., 4. völlig neu gest. Aufl., Stuttgart, 2002, Sp. 1395-1404. Lück, W. (Überwachungssystem, 1997): Internes Überwachungssystem (IÜS), in: Stbg, 40. Jg., 1997, S. 424-431. Lück, W. (Elemente, 1998): Elemente eines Risiko-Managementsystems, in: DB, 51. Jg., 1998, S. 8-14. Lück, W. (Risiken, 1998): Der Umgang mit unternehmerischen Risiken durch ein Risikomanagementsystem und durch ein Überwachungssystem, in: DB, 51. Jg., 1998, S. 1925-1930. Lück, W. (Revision, 1999): Die Bedeutung der Internen Revision für die Unternehmensführung, in: FAZ, Nr. 164, 19. Juli 1999, S. 27. Lück, W. (Aspekte, 1999): Betriebswirtschaftliche Aspekte der Einrichtung eines Überwachungssystems und eines Risikomanagementsystems, in: Reform des Aktienrechts, der Rechnungslegung und Prüfung: KonTraG - KapAEG - EuroEG - StückAG, hrsg. v. Dörner, D./Menold, D./ Pfitzer, N., Stuttgart, 1999, S. 139-176. Lück, W./Jung, A. (Outsourcing, 1994): Outsourcing - ein sinnvoller Ersatz für eine eigene Revisionsabteilung im Unternehmen?, in: Zeitschrift Interne Revision, 29. Jg., 1994, S. 173182. Luhmann, N. (Risiko, 1991): Soziologie des Risikos, Berlin, New York, 1991. Macharzina, K. (Unternehmensführung, 1999): Unternehmensführung: das internationale Managementwissen ; Konzepte - Methoden - Praxis, 3. akt. und erw. Aufl., Wiesbaden, 1999.
Literaturverzeichnis
289
Makridakis, S./Wheelwright, S. (Forecasting, 1981): Integrating Forecasting and Planning, in: Planung und Kontrolle: Probleme der strategischen Unternehmensführung, hrsg. v. Steinmann, H., München, 1981, S. 167-189. Marten, K.-U./Quick, R. /Ruhnke, K. (Wirtschaftsprüfung, 2001): Wirtschaftsprüfung: Grundlagen des betriebswirtschaftlichen Prüfungswesens nach nationalen und internationalen Normen, Stuttgart, 2001. Martin, T. A./Bär, T. (Grundzüge, 2002): Grundzüge des Risikomanagements nach KonTraG: das Risikomanagementsystem zur Krisenfrüherkennung nach § 91 Abs. 2 AktG, München, Wien, 2002. Mattheus, D. (Wirtschaftsprüfer, 1999): Die gewandelte Rolle des Wirtschaftsprüfers als Partner des Aufsichtsrats nach dem KonTraG, in: Zeitschrift für Unternehmens- und Gesellschaftsrecht, 28. Jg., 1999, S. 682-714. Meyding, T./Mörsdorf, R. (KonTraG, 1999): Neuregelungen durch das KonTraG und Tendenz in der Rechtssprechung, in: Das Kontroll- und Transparenzgesetz, hrsg. v.: Saitz, B./Braun, F., Wiesbaden, 1999, S. 5-46. Mikus, B. (Risikomanagement, 1996): ZP-Stichwort: Risikomanagement, in: Zeitschrift für Planung, 7. Jg., 1996, S. 105-110. Mikus, B. (Principal, 1998): ZP-Stichwort: Principal-Agent-Theorie, in: Zeitschrift für Planung, 9. Jg., 1998, S. 451-458. Mikus, B. (Integration, 1999): Zur Integration des Risikomanagements in den Führungsprozeß, in: Zeitschrift für Planung, 10. Jg., 1999, S. 85-110. Mikus, B. (Risiken, 2001): Risiken und Risikomanagement - ein Überblick, in: Risikomanagement, hrsg. v. Götze, U./Henselmann, K./Mikus, B. , Heidelberg, 2001, S. 3-28. Möllers, T. (Gesellschaftsrecht, 1999): Kapitalmarkttauglichkeit des deutschen Gesellschaftsrechts, in: Die Aktiengesellschaft, 44. Jg., 1999, S. 433-442. Moorhead, G./Neck, C. P. (Groupthink, 1995): Groupthink und Führung, in: Handwörterbuch der Führung, hrsg. v. Kieser, A., 2. neu gest. und erg. Aufl., Stuttgart, 1995 . Morck, W. (HGB, 1999): Handelsgesetzbuch: Kommentar, hrsg. v.: Koller, I./Roth, W.H./Morck, W., 2. Aufl., München, 1999. Mugler, J. (Organisation, 1979): Organisation des Risk Management, in: Risk-Management - Strategien zur Risikobeherrschung, hrsg. v. Goetzke, W./Sieben, G., Köln, 1979, S. 103-124.
290
Literaturverzeichnis
Müller, W. (Instrumente, 1979): Instrumente des Risk Management - Gestaltungsformen und Konsequenzen, in: Risk-Management - Strategien zur Risikobeherrschung, hrsg. v. Goetzke, W./Sieben, G., Köln, 1979, S. 69-81. Naegeli, P. (Grundlagen, 1978): Organisationstheoretische Grundlagen des Risiko Managements von Unternehmungen, Dissertation, Zürich, 1978. Oberparleiter, K. (Funktionen, 1955): Funktionen und Risiken des Warenhandels, 2. neubearb. u. erw. Aufl., Wien, 1955. Oechsle, E./Wirth, M. (Gegenstand, 1999): Gegenstand und Umfang der Prüfung, in: Reform des Aktienrechts, der Rechhungslegung und Prüfung: KonTraG - KapAEG - EuroEG StückAG, hrsg. v. Dörner, D./Menold, D./ Pfitzer, N., Stuttgart, 1999, S. 539-591. Pape, U. (Unternehmensführung, 1999): Wertorientierte Unternehmensführung und Controlling, 2. überarb. Aufl., Sternenfels, Berlin, 1999. Pellens, B./Hillebrandt, F. /Ulmer, B. (Corporate Governance, 2001): Umsetzung von Corporate-Governance-Richtlinien in der Praxis, in: BB, 56. Jg., 2001, S. 1243-1250. Perridon, L./Steiner, M. (Finanzwirtschaft, 1997): Finanzwirtschaft der Unternehmung, 9. überarb. u. erw. Aufl., München, 1997. Peter, A. (Reportingstrukturen, 2000): Aufbau effizienter Reportingstrukturen im Rahmen des Risikomanagement und Managementinformationssystems, in: Tagungsband der IIR Jahrestagung "Risiko-Forum", März, 2000. Philipp, F. (Risiko, 1984): Risiko und Risikopolitik, in: Handwörterbuch der Betriebswirtschaft, hrsg. v. Grochla. E./Wittmann, W. , 4. völlig neu gest. Aufl., Stuttgart, 1984, Sp. 34533460. Picot, G. (Überblick, 2001): Überblick über die Kontrollmechanismen nach KonTraG, in: Risikomanagement nach dem KonTraG: Aufgaben und Chancen aus betriebswirtschaftlicher und juristischer Sicht, hrsg. v. Lange, K.W./Wall, F., München, 2001, S. 5-37. Pollanz, M. (Einrichtung, 1999): Konzeptionelle Überlegungen zur Einrichtung und Prüfung eines Risikomanagementsystems - Droht eine Mega-Erwartungslücke?, in: DB, 52. Jg., 1999, S. 393-399. Pollanz, M. (Risikomanagement, 1999): Ganzheitliches Risikomanagement im Kontext einer wertorientierten Unternehmensführung (Risk Adjusted Balanced Scorecarding), in: DB, 52. Jg., 1999, S. 1277-1281.
Literaturverzeichnis
291
Pollanz, M. (Prüfung, 2001): Offene Fragen der Prüfung von Risikomanagementsystemen nach KonTraG - Paradigmenwechsel im wirtschaftlichen Prüfungswesen oder vom risikoorientierten zum systemisch-evolutionären Prüfungsansatz?, in: DB, 54. Jg., 2001, S. 1317-1325. Porter, M. E. (Wettbewerbsvorteile, 1996): Wettbewerbsvorteile: Spitzenleistungen erreichen und behaupten, 4. Aufl., Frankfurt, 1996. Porter, M. E. (Wettbewerbsstrategie, 1997): Wettbewerbsstrategie: Methoden zur Analyse von Branchen und Konkurrenten, 9. Aufl., Frankfurt, 1997. Preußner, J./Zimmermann, D. (Risikomanagement, 2002): Risikomanagement als Gesamtaufgabe des Vorstandes - Zugleich Besprechung des Urteils des LG Berlin vom 3.7.2002 - 2 O 358/01, in: Die Aktiengesellschaft, 47. Jg., 2002, S. 657-662. Pritzer, B. (Risikomanagement, 1999): Risikomanagement als betriebliche Notwendigkeit, in: Das Kontroll- und Transparenzgesetz, hrsg. v.: Saitz, B./Braun, F., Wiesbaden, 1999, S. 145-167. Pritzer, B. (Risikomanagement, 2000): Risikomanagement - eine wettbewerbliche Notwendigkeit oder lediglich eine rechtliche Pflichtübung, in: Tagungsband der IIR Jahrestagung "Risiko-Forum", März, 2000. PwC (Entwicklungstrends, 2000): Entwicklungstrends des Risikomanagements von Aktiengesellschaften in Deutschland, Empirische Studie des Instituts der Niedersächsichen Wirtschaft e.V. in Zusammenarbeit mit PwC Deutsche Revision, hrsg. v. PwC Deutsche Revision, Frankfurt am Main, 2000. PwC (Revision, 2000): Interne Revision – eine moderne Dienstleistung, hrsg. v. PwC Deutsche Revision, Frankfurt am Main, 2000. Quick, R. (Abschlussprüfung, 2002): Abschlussprüfung und Beratung - Zur Vereinbarkeit mit der Forderung nach Urteilsfreiheit, in: DBW, 62. Jg., 2002, S. 622-643. Rappaport, A. (Shareholder, 1999): Shareholder Value: Wertsteigerung als Maßstab für die Unternehmensführung, 2. Aufl., Stuttgart, 1999. Rehkugler, H. (Früherkennungsmodelle, 2002): Früherkennungsmodelle, in: Handwörterbuch Unternehmensrechnung und Controlling, hrsg. v. Küpper, H.-U./Wagenhofer, A., 4. völlig neu gest. Aufl., Stuttgart, 2002, Sp. 586-597. Reibnitz, U. von (Szenarien, 1987): Szenarien - Optionen für die Zukunft, Hamburg, New York, 1987.
292
Literaturverzeichnis
Reibnitz, U. von (Szenario-Technik, 1992): Szenario-Technik: Instrumente für die unternehmerische und persönliche Erfolgsplanung, 2. Aufl., Wiesbaden, 1992. Reichmann, T. (Balanced Scorecard, 2001): Die Balance Chance- and Risk-Card. Eine Erweiterung der Balanced Scorecard, in: Risikomanagement nach dem KonTraG: Aufgaben und Chancen aus betriebswirtschaftlicher und juristischer Sicht, hrsg. v. Lange, K.W./Wall, F., München, 2001, S. 282-303. Reichmann, T./Form, S. (Risk-Management, 2000): Balanced Chance- and RiskManagement, in: Controlling, 12. Jg., 2000, S. 189-198. Ringleb, H.-M. (Kommentar, 2003): Kommentar zum Deutschen Corporate Governance Kodex, Kodex-Kommentar, von Ringleb, H.-M./Kremer, T./Lutter, M./v. Werder, A., München, 2003. Rücker, U.-C. (Konzepte, 2000): Finite Risk Konzepte als Beispiele hybrider Instrumente der Risikofinanzierung, in: Risk-Controlling in der Praxis: rechtliche Rahmenbedingungen und geschäftspolitische Konzeptionen in Banken, Versicherungen und Industrie, hrsg. v. Schierenbeck, H., Stuttgart, 2000, S. 365-411. Rückle, D./Gerhards, R. (Berufsbilder I, 1998): Interner Revisor und Controller - zwei Berufsbilder im Vergleich, Teil I, in: Zeitschrift Interne Revision, 33. Jg., 1998, S. 219-226. Ruud, T. F./ Bodenmann, J. M./ Kienast, M. (Revision, 2000): Entwicklungen in der Internen Revision - Interessante Umfrageergebnisse zur Zukunft der Internen Revision, in: Der Schweizer Treuhänder, 74. Jg., 2000, S. 1029-1036. Ruud, T.F./Beer, M. (Revision, 1999): Interne Revision und Strategisches Controlling – Effektive Management Tools, in: Strategie-Controlling, hrsg. v. Fickert, R./Meyer, C., Bern u. a., 1999, S. 97-112. Saitz, B. (Risikomanagement, 1999): Risikomanagement als umfassende Aufgabe der Unternehmensleitung, in: Das Kontroll- und Transparenzgesetz, hrsg. v.: Saitz, B./Braun, F., Wiesbaden, 1999, S. 69-97. Schäfer, J. G. (Überwachungssystem, 2001): Das Überwachungssystem nach § 91 Abs. 2 AktG unter Berücksichtigung der besonderen Pflichten des Vorstands, Lohmar, Köln, 2001.
Literaturverzeichnis
293
Scharpf, P. (Sorgfaltspflichten, 1997): Die Sorgfaltspflichten des Geschäftsführers einer GmbH - Pflicht zur Einrichtung eines Risikomanagement- und Überwachungssystems aufgrund der geplanten Änderung des AktG auch für den GmbH-Geschäftsführer, in: DB, 50. Jg., 1997, S. 737-743. Scharpf, P. (Treasury, 1998): Risikomanagement- und Überwachungssystem im Treasury: Darstellung der Anforderungen nach KonTraG, hrsg. v. Schitag ErnstYoung, Stuttgart, 1998. Scheffler, E. (Aufsichtsräte, 2000): Zum Rollenverständnis der Aufsichtsräte, in: DB, 53. Jg., 2000, S. 433-437. Scheffner, J./Strutz, A. (Lösungsansätze, 2003): Lösungsansätze zur Verbesserung der Corporate Governance, in: controller magazin, 28. Jg., 2003, S. 20-23. Schenk, A. (Bewertung, 1998): Bewertung und Kontrolle von industriellen Sachrisiken, in: Betriebliches Risikomanagement, hrsg. v. Hinterhuber, H./Sauerwein, E./Fohler-Norek, C., Wien, 1998, S. 85-115. Schenk, A. (Risikoidentifikation, 1998): Techniken der Risikoidentifikation, in: Betriebliches Risikomanagement, hrsg. v. Hinterhuber, H./Sauerwein, E./Fohler-Norek, C., Wien, 1998, S. 43-62. Schenker-Wicki, A. (Prüfverfahren, 1999):Moderne Prüfverfahren für komplexe Probleme: Evaluation und Performance Audits im Vergleich, Wiesbaden, 1999. Schewe, G./Littkemann, J./Beckemeier, P.O. (Kontrollsysteme, 1999): Interne Kontrollsysteme – Verhaltenswirkung und organisatorische Gestaltung, in: WISU, 28. Jg., 1999, S. 1483-1488. Schichold, B. (Überwachung, 2001): Die Überwachung des Risikomanagement-Systems durch den Aufsichtsrat einer Aktiengesellschaft, in: Die deutsche Rechnungslegung und Wirtschaftsprüfung im Umbruch: Festschrift für Wilhelm Theodor Strobel zum 70. Geburtstag, hrsg. v. Freidank, C.-C., München, 2001, S. 395-427. Schierenbeck, H. (Konzeption, 1997): Konzeption eines integrierten Risikomanagements, in: Risikomanagement in Kreditinstituten, hrsg. v. Rolfes, B./Schierenbeck, H./Schüller, S., 2. Aufl., Frankfurt am Main, 1997, S. 1-51. Schierenbeck, H. (Risikopolitik, 1998): Risiko-Chancen-Kalkulationen im Rahmen einer ertragsorientierten Risikopolitik von Banken, in: Die Unternehmung, 52. Jg., 1998, S. 309321.
294
Literaturverzeichnis
Schildbach, T. (Rechnungslegungsgremium, 1999): Das private Rechnungslegungsgremium gemäß § 342 HGB und die Zukunft der Rechnungslegung in Deutschland, in: DB, 52. Jg., 1999, S. 645-652. Schindler, J./Rabenhorst, D. (KonTraG, 1998): Auswirkungen es KonTraG auf die Abschlußprüfung (Teil I), in: BB, 53. Jg., 1998, S. 1886-1893. Schindler, J./Rabenhorst, D. (Prüfung, 2001): Prüfung des Risikofrüherkennungssystems im Rahmen der Abschlußprüfung, in: Risikomanagement nach dem KonTraG: Aufgaben und Chancen aus betriebswirtschaftlicher und juristischer Sicht, hrsg. v. Lange, K.W./Wall, F., München, 2001, S. 160-175. Schlicksupp, H. (Innovation, 1992): Innovation, Kreativität und Ideenfindung, 4. Aufl., Würzburg, 1992. Schneider, D. (Investition, 1992): Investition, Finanzierung und Besteuerung, 7. vollst. überarb. u. erw. Aufl., Wiesbaden, 1992. Schneider, D. (Unternehmung, 1997): Betriebswirtschaftslehre, Band 3: Theorie der Unternehmung, München u. Wien, 1997. Schneider, D. (Risk Management, 2001): Risk Management als betriebswirtschaftliches Entscheidungsproblem?, in: Risikomanagement nach dem KonTraG: Aufgaben und Chancen aus betriebswirtschaftlicher und juristischer Sicht, hrsg. v. Lange, K.W./Wall, F., München, 2001, S. 181-206. Schröder, H.-H./Schiffer, G. (Frühinformationssysteme, 2001): Strategische Frühinformationssysteme - Nutzen und Erfolgsvoraussetzungen (I), in: WISU, 30. Jg., 2001, S. 15061511. Schruff, W. (Meinungsspiegel, 1999): Meinungen zum Thema: KonTraG - Mehr Kontrolle und Transparenz?, in: BFuP, 51. Jg., 1999, S. 437-453. Schulte, M. (Risikopolitik, 1997): Bank- Controlling II: Risikopolitik in Kreditinstituten, 2. Aufl., Frankfurt am Main,1997. Schwager, E. (Entwicklungen, 2001): Neueste Entwicklungen in der internen Revision Anmerkungen zum Revisionsstandard des Deutschen Instituts für Interne Revision zum Rahmenwerk des Institute of Internal Audits und zur Innovationsfunktion, in: DB, 54. Jg., 2001, S. 2105-2109.
Literaturverzeichnis
295
Seifert, W. G. (Risikopolitik, 1986): Effizienzsprung durch systematische Risikopolitik, in: SzU, Band 33, hrsg. v. Jacob, H., Wiesbaden, 1986, S. 95-116. Sharpe, W.F. (Capital, 1964): Capital Asset Prices: A theory of market equlibrium under conditions of risk, in: The Journal of Finance, Vol. 19, 1964, S. 425-442. Simon, D. (Signale, 1986): Schwache Signale: Die Früherkennung von strategischen Diskontinuitäten durch Erfassung von "weak signals", Wien, 1986. Spannagl, T./Häßler, A. (Implementierung, 1999): Ein Ansatz zur Implementierung eines Risikomanagement-Prozesses, in: DStR, 44. Jg., 1999, S. 1826-1832. Spremann, K. (Information, 1990): Asymmetrische Information, in: ZfB, 60. Jg., 1990, S. 561-586. Spremann, K./Pfeil, O. P./Weckbach, S. (Value-Management, 2001): Lexikon ValueManagement, München, Wien, 2001. Standop, D. (Prognosemethoden, 2002): Qualitative Prognosemethoden, in: Handwörterbuch Unternehmensrechnung und Controlling, hrsg. v. Küpper, H.-U./Wagenhofer, A., 4. völlig neu gest. Aufl., Stuttgart, 2002, Sp. 1551-1562. Steger, U. (Umweltmanagement, 1993): Umweltmanagement: Erfahrungen und Instrumente einer umweltorientierten Unternehmensstrategie, 2. überarb. u. erw. Aufl., Wiesbaden, 1993. Steinle, C. (Systeme, 1999): Systeme, Objekte und Bestandteile des Controlling, in: Controlling: Kompendium für Controller-innen und ihre Ausbildung, hrsg. v. Steinle, C./Bruch, H., 2. erw. Aufl., Stuttgart, 1999, S. 279-340. Steinle, C. /Thiem, H./Bosch, T. (Chancenmanagement, 1997): Chancen- und Risikenmanagement: Konzeption, Ausgestaltungsformen und Umsetzungshinweise, in: Zeitschrift für Planung, 8. Jg., 1997, S. 359-373. Steinmann, H./Schreyögg, G. (Management, 1991): Management: Grundlagen der Unternehmensführung; Konzepte, Funktionen und Praxisfälle, 2. durchges. Aufl., Wiesbaden, 1991. Streitferdt, L./Schaefer, C. (Prognosemethoden, 2002): Quantitative Prognosemethoden, in: Handwörterbuch Unternehmensrechnung und Controlling, hrsg. v. Küpper, H.U./Wagenhofer, A., 4. völlig neu gest. Aufl., Stuttgart, 2002, Sp.1563-1572. SVIR (Definition, 2003): Begriffsdefinition Interne Revision, http://www.svir.ch/de /iiadef.html, Stand 01.04.03.
296
Literaturverzeichnis
Theisen, M. R. (Überwachung, 1987): Die Überwachung der Unternehmensführung: betriebswirtschaftliche Ansätze zur Entwicklung erster Grundsätze ordnungsmäßiger Überwachung, Stuttgart, 1987. Theisen, M. R. (Überwachung, 1993): Überwachung der Geschäftsführung, in: Handwörterbuch der Betriebswirtschaft, Teilband 3, hrsg. v. Wittmann, W., 5. völlig neu gest. Aufl., Stuttgart, 1993. Theisen, M. R. (Revision, 1999): Interne Revision, Controller und Abschlußprüfer - Gehilfen des Aufsichtsrats und Beirats?, in: Controlling & Finance, hrsg. v. Horváth, P., Stuttgart, 1999, S. 49-63. Theisen, M. R. (Risikomanagement, 2003): Risikomanagement als Herausforderung für die Corporate Governance, in: BB, 58. Jg., 2003, S. 1426-1430. Thom, N./Cantin, F. (Auditing, 1992): Controlling und Auditing, in: Controlling, hrsg. v. Spremann, K./Zur, E., Wiesbaden, 1992, S. 185-203. Thümmel, R. C. (Aufsichtsräte, 1999): Aufsichtsräte in der Pflicht? - Die Aufsichtsratshaftung gewinnt Konturen, in: DB, 52. Jg., 1999, S. 885-888. Töpfer, A. (Unternehmenskrisen, 1999): Plötzliche Unternehmenskrisen - Gefahr oder Chance?: Grundlagen des Krisenmanagement, Praxisfälle, Grundsätze zur Krisenvorsorge, Neuwied, 1999. Ulmke, H.G./Schmale, S. (Value-at-Risk, 1999): Unternehmensweites Value-at-Risk als Möglichkeit, globales Risiko mit einer einzigen Kennzahl zu steuern, in: Das Kontroll- und Transparenzgesetz, hrsg. v.: Saitz, B./Braun, F., Wiesbaden, 1999, S. 209-229. v. Werder, A. (Risk Management, 1992): Risk Management(s), Organisation des, in: Handwörterbuch der Organisation, hrsg. v. Frese, E., 3. völlig neu gest. Aufl., Stuttgart, 1992, Sp. 2212-2224. v. Werder, A. (GCCG, 2000): Der German Code of Corporate Governance im Kontext der internationalen Governance-Debatte: Umfeld, Funktionen und inhaltliche Ausrichtung des GCCG, in: German Code of Corporate Goverance (GCCG), hrsg. v. von Werder, A., Stuttgart, 2000, S. 1-27. v. Werder, A. (Grundlagen, 2002): Der Deutsche Corporate Governance Kodex – Grundlagen und Einzelbestimmungen, in: DB, 55. Jg., 2002, S. 801-810.
Literaturverzeichnis
297
v. Werder, A. (Kommentar, 2003): Kommentar zum Deutschen Corporate Governance Kodex, Kodex-Kommentar, von Ringleb, H.-M./Kremer, T./Lutter, M./v. Werder, A., München, 2003. v. Werder, A. /Minuth, T. (Kodizes, 2000): Internationale Kodizes der Corporate Governance - Bestandsaufnahme und Vergleich mit dem Aktiengesetz - , Diskussionspapier 2000/5, hrsg. v. Wirtschaftswissenschaftliche Dokumentation der TU Berlin, Berlin, 2000. v. Werder, A./Grundei, J. (Organisationsmanagement, 2000): Organisation des Organisationsmanagements: Gestaltungsalternativen und Effizienzbewertung, in: Organisationsmanagement: Neuorientierung der Organisationsarbeit, hrsg. v. Frese, E., Stuttgart, 2000. v. Werder, A./Grundei, J./Talaulicar, T. (Organisation, 2002): Organisation der Unternehmenskommunikation im Internet-Zeitalter, in: E-Organisation - Strategische und organisatorische Herausforderungen des Internet, hrsg. v. Frese, E./Stöber, H., Wiesbaden, 2002, S. 395-423 Vera, A. (Basel II, 2002): Das Basel-II-Abkommen und die Auswirkungen auf die deutsche Kreditlandschaft, in: WiSt, 31. Jg., 2002, S. 28-32. Vogler, M./Gundert, M. (Einführung, 1998): Einführung von Risikomanagementsystemen - Hinweise zur praktischen Ausgestaltung, in: DB, 51. Jg., 1999, S. 2377-2383. Wall, F. (Risikomanagement, 2001): Betriebswirtschaftliches Risikomanagement im Lichte des KonTraG, in: Risikomanagement nach dem KonTraG: Aufgaben und Chancen aus betriebswirtschaftlicher und juristischer Sicht, hrsg. v. Lange, K.W./Wall, F., München, 2001, S. 207-235. Wall, F. (Unterschiede, 2002): Unterschiede und Gemeinsamkeiten von Risikomanagement im Rahmen der Unternehmensplanung versus Risikomanagement nach KonTraG - Eine Gedankensammlung, Wittener Diskussionspapiere, Heft Nr. 95, Witten/Herdecke, 2002. Weber, J. (Entwicklungstendenzen, 1999): Controlling - Entwicklungstendenzen und Zukunftsperspektiven, in: Die Unternehmung, 53. Jg., 1999, S. 465-480. Weber, J. (Perspektiven, 2000): Neue Perspektiven des Controlling, in: BB, 55. Jg., 2000, S. 1931-1935. Weber, J. (Controlling, 2002): Einführung in das Controlling, 9. komplett überarb. Aufl., Stuttgart, 2002.
298
Literaturverzeichnis
Weber, J./Liekweg, A. (Rationalität, 2001): Risiko(management) und Rationalität der Führung in unterschiedlichen Kontexten, in: Risikomanagement nach dem KonTraG: Aufgaben und Chancen aus betriebswirtschaftlicher und juristischer Sicht, hrsg. v. Lange, K.W./Wall, F., München, 2001, S. 459-503. Weber, J./Weißenberger, B./Liekweg, A. (Risikomanagement, 1999): Ausgestaltung eines unternehmerischen Chancen- und Risikomanagements nach dem KonTraG, in: DStR, 37. Jg., 1999, S. 1710-1716. Weber, J./Weißenberger, B./Liekweg, A. (Risk Tracking, 1999): Risk Tracking and Reporting: Unternehmerisches Chancen- und Risikomanagement nach dem KonTraG, Reihe Advanced Controlling, Band 11, Vallendar, 1999. Weidemann, M./Wieben, H.-J. (Zertifizierbarkeit, 2001): Zur Zertifizierbarkeit von Risikomanagement-Systemen, in: DB, 54. Jg., 2001, S. 1789-1795. Weigand, A./Buchner, H. (Früherkennung, 2000): Früherkennung in der Unternehmenssteuerung - Navigation für Unternehmen in turbulenten Zeiten, in: Früherkennung in der Unternehmenssteuerung, hrsg. v. Horváth & Partner, Stuttgart, 2000, S. 1-36. Welge, M.K./Al-Laham, A. (Planung, 1992): Planung: Prozesse - Strategien - Maßnahmen, Wiesbaden, 1992. Welge, M.K./Al-Laham, A. (Management, 1999): Strategisches Management: Grundlagen Prozess - Implementierung, 2. vollst. überarb. u. erw. Aufl., Wiesbaden, 1999. Wiedmann, H. (Bilanzrecht, 1999): Bilanzrecht: Kommentar zu den §§ 238-342a HGB, München, 1999. Wild, J. (Grundlagen, 1982): Grundlagen der Unternehmungsplanung, 4. Aufl., Opladen, 1982. Wilkens, M./Völker, J. (Value-at-Risk, 2001): Value-at-Risk - Eine anwendungsorientierte Darstellung zentraler Methoden und Techniken des modernen Risikomanagements, in: Risikomanagement, hrsg. v. Götze, U./Henselmann, K./Mikus, B. , Heidelberg, 2001, S. 413-442. Wittmann, E. (Organisation, 1999): Organisatorische Einbindung des Risikomanagements, in: Das Kontroll- und Transparenzgesetz, hrsg. v.: Saitz, B./Braun, F., Wiesbaden, 1999, S. 129-143. Wittmann, W. (Information, 1959): Unternehmung und unvollkommene Information, Köln und Opladen, 1959.
Literaturverzeichnis
299
Wolf, K. (Frühaufklärungssysteme, 2002): Frühaufklärungssysteme - Begriff, Aufbau und Vorgehensweise sowie Einbindung in den operativen und strategischen Planunsprozess, in: controller magazin, 27. Jg., 2002, S. 127-132. Wolf, K. /Runzheimer, B. (Risikomanagement, 2000): Risikomanagement und KonTraG Konzeption und Implementierung, 2. Aufl., Wiesbaden, 2000. Wossidlo, P. (Reservierung, 1970): Unternehmenswirtschaftliche Reservierung, Berlin, 1970. Wurl, H.-J. /Mayer, J.H. (Scorecard, 2001): Balanced Scorecards und industrielles Risikomanagement - Möglichkeiten der Integration, in: Performance Measurement und Balanced Scorecard, hrsg. v. Klingebiel, N., München, 2001, S. 179-213. Wurl, H.-J. /Mayer, J.H. (Gestaltungskonzept, 2000): Gestaltungskonzept für Erfolgsfaktoren-basierte Balanced Scorecards, in: Zeitschrift für Planung, 11. Jg., 2000, S. 1-22. Wyss, H.-P. (Risikomanagement, 2000): Integriertes Risikomanagement, in: Der Schweizer Treuhänder, 74. Jg., 2000, S. 179-184. Zellmer, G. (Risiko-Management, 1990): Risiko-Management, Berlin, 1990., S.209-218 Zimmer, D./Sonneborn, M. (Anforderungen, 2001): § 91 Abs. 2 AktG - Anforderungen und gesetzgeberische Absichten, in: Risikomanagement nach dem KonTraG: Aufgaben und Chancen aus betriebswirtschaftlicher und juristischer Sicht, hrsg. v. Lange, K.W./Wall, F., München, 2001, S. 38-59. Zwicker, E. (Balanced Scorecard, 2003): Balanced Scorecard als Führungsinstrument, in: Internationalisierung der Rechnungslegung und Corporate Governance, hrsg. v. von Werder, A./Wiedmann, H., Stuttgart 2003