Prof. Dr. Willia Prof. Dr. William Jórasz - Hochschule für angewandte ...
Prof. Dr. Willia Prof. Dr. William Jórasz - Hochschule für angewandte ... Prof. Dr. Willia Prof. Dr. William Jórasz - Hochschule für angewandte ...
HAUSARBEIT IM SCHWERPUNKT CONTROLLING bei Prof. Dr. William Jórasz Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt Thema: RISIKOMANAGEMENT-/CONTROLLING Verfasser: Name Sebastian Miller Nikolas Schwind Christoph Wolter Lisa Wagner Robert Spahmann
- Seite 2 und 3: INHALTSVERZEICHNIS 1 EINLEITUNG S.
- Seite 4 und 5: 1 EINLEITUNG “Where there is much
- Seite 6 und 7: möglichen Ereignisse (Kursschwanku
- Seite 8 und 9: Abbildung 2: Unterscheidung nach Ri
- Seite 10 und 11: sowie die anschließende Umsetzung
- Seite 12 und 13: Oberziel des Risikomanagements ist
- Seite 14 und 15: Abbildung 5: Risikocontrolling als
- Seite 16 und 17: Im Strategischen Prozess werden in
- Seite 18 und 19: Instrumente zur Risikoerkennung fle
- Seite 20 und 21: Bei der retrograden Methode ist gru
- Seite 22 und 23: Die auf die Wertkettenanalyse aufba
- Seite 24 und 25: Weiter Instrumente der Risikobeurte
- Seite 26 und 27: Unter Risikovermeidung versteht man
- Seite 28 und 29: meist auf vergangenheitsorientierte
- Seite 30 und 31: Abbildung 11: Risk Map 69 Dabei wir
- Seite 32 und 33: und die Monte Carlo Simulation. 75
- Seite 34 und 35: 3.4 Szenariotechnik Die Szenariotec
- Seite 36 und 37: unterstützt die Unternehmensführu
- Seite 38 und 39: In den vergangen Jahren wurden einz
- Seite 40 und 41: operativen Bereiche und stellen ein
- Seite 42 und 43: und Vorgängen. Informationen zur I
- Seite 44 und 45: 4.3 Gestaltung und Anforderungen Be
- Seite 46 und 47: zu spät oder zu selten durchgefüh
- Seite 48 und 49: mit notwendigen und relevanten Info
- Seite 50 und 51: Eintritts einen Schaden von 10.000
HAUSARBEIT IM SCHWERPUNKT CONTROLLING<br />
bei<br />
<strong>Prof</strong>. <strong>Dr</strong>. <strong>Willia</strong>m <strong>Jórasz</strong><br />
<strong>Hochschule</strong> <strong>für</strong> <strong>angewandte</strong> Wissenschaften Würzburg-Schweinfurt<br />
Thema:<br />
RISIKOMANAGEMENT-/CONTROLLING<br />
Verfasser:<br />
Name<br />
Sebastian Miller<br />
Nikolas Schwind<br />
Christoph Wolter<br />
Lisa Wagner<br />
Robert Spahmann
INHALTSVERZEICHNIS<br />
1 EINLEITUNG S. MILLER 4<br />
1.1 Der Risikobegriff 5<br />
1.1.1 Allgemeine Definition 5<br />
1.1.2 Betriebswirtschaftliche Betrachtung 5<br />
1.1.3 Risikofaktoren <strong>für</strong> Unternehmen 7<br />
1.2 Definition, Hintergründe und Abgrenzung 9<br />
1.2.1 Risikomanagement 9<br />
1.2.1 Risikocontrolling 13<br />
2 RISIKOMANAGEMENT-PROZESS N.SCHWIND 15<br />
2.1 Risikoidentifikation 16<br />
2.1.1 Grundsätze der Risikoidentifikation 17<br />
2.1.2 Methoden der Risikoidentifikation 18<br />
2.1.2.1 Progressive Methode 19<br />
2.1.2.2 Retrograde Methode 19<br />
2.1.3 Risikokategorien 20<br />
2.1.4 Instrumente der Risikoidentifikation 21<br />
2.2 Risikobeurteilung/-bewertung 23<br />
2.2.1 Instrumente der Risikobeurteilung 23<br />
2.3 Risikosteuerung 24<br />
2.4 Risikoüberwachung/-kontrolle 27<br />
3 BEWERTUNGSMODELLE C. WOLTER 29<br />
3.1. Risk Map 29<br />
3.2 Value at Risk 31<br />
3.3 Cash flow at risk 32<br />
3.4 Szenariotechnik 34<br />
3.5 Dynamic Risk Management 35<br />
4 RISIKOREPORTING L. WAGNER 41<br />
4.1 Grundlagen 41<br />
4.2 Ziele und Funktionen 41<br />
4.2.1 Informationsfunktion 42<br />
4.2.2 Entscheidungsfunktion 42<br />
4.2.3 Dokumentations- und Kontrollfunktion 43<br />
2
4.2.4 Prüfbarkeits- und Rechenschaftsfunktion 43<br />
4.2.5 KonTraG 43<br />
4.3 Gestaltung und Anforderungen 44<br />
4.3.1 Berichtsarten und Berichtsfrequenz 45<br />
4.3.2 Adressaten des Risiko-Reporting 46<br />
4.3.2.1 Interne Adressaten & interne Dimension 46<br />
4.3.2.2 Externe Adressaten & externe Dimension 47<br />
4.4 Risk Engine / RMIS 47<br />
4.5 Risk Map 49<br />
4.6 Risiko-Reporting in der Praxis 51<br />
5 RISIKOMANAGEMENT IM UNTERNEHMEN R. SPAHMANN 52<br />
5.1 Organisation - Zentral vs. Dezentral 52<br />
5.2 Einflussfaktoren - Interne vs. externe Risiken 54<br />
5.3 Eingliederung des Risikomanagement im Unternehmen 56<br />
5.3.1 Risikoidentifikation 56<br />
5.3.2 Risikobewertung 57<br />
5.3.3 Risikosteuerung 59<br />
5.3.4 Risikoüberwachung 62<br />
5.3.5 Risikokommunikation 63<br />
I LITERATURVERZEICHNIS 65<br />
II ABBILDUNGSVERZEICHNIS 69<br />
III ABKÜRZUNGSVERZEICHNIS 70<br />
IV EIDESSTATTLICHE ERKLÄRUNG 71<br />
3
1 EINLEITUNG<br />
“Where there is much to risk, there is much to consider.”<br />
(Anonymus)<br />
Verschiedene Entwicklungen haben die weltweite Wirtschaft in den vergangenen<br />
Jahrzehnten maßgeblich beeinflusst. Die zunehmende Globalisierung und damit der<br />
grenzüberschreitende Handel, eine steigende Inanspruchnahme der Kapitalmärkte,<br />
sowie die Entwicklung vom Verkäufer- zum Käufermarkt ließen die Konkurrenz um<br />
vorhandene Märkte zwischen Unternehmen größer werden. Diese steigende<br />
Dynamik der Wirtschaft erhöhte die Komplexität der Risikoumwelt von Unternehmen<br />
und deren (Investitions-) Entscheidungen. Parallel zu den Fortschritten und den<br />
kontinuierlich wechselnden Umweltbedingungen seitens der Märkte, stiegen auch<br />
Komplexität und Dynamik auf der Risikoseite. Mittlerweile treten neue Risiken immer<br />
schneller auf und die mögliche Reaktionszeit nimmt stetig ab. Es wird <strong>für</strong><br />
Unternehmenslenker zunehmend wichtiger, Chancen und Risiken frühzeitig zu<br />
erkennen, zukünftige Entwicklungen zu quantifizieren und entsprechende<br />
Steuerungsmaßnahmen rechtzeitig ergreifen zu können. 1<br />
Vor diesem Hintergrund gewinnt ein gut strukturiertes Risikomanagement <strong>für</strong> die<br />
Mehrheit von Unternehmen immer weiter an Bedeutung.<br />
Ziel der vorliegenden Hausarbeit ist es daher, einen allgemeinen Überblick über den<br />
Bereich des Risikomanagements zu geben und die Verbindung zum Risikocontrolling<br />
herzustellen. Es wird im Zuge dessen zunächst der Risikobegriff im Allgemeinen<br />
erläutert und anschließend auf die Begriffe Risikomanagement und Risikocontrolling<br />
eingegangen. Desweiteren wird der Prozess des Risikomanagements detailliert<br />
dargelegt, verschiedene Bewertungsmodelle vorgestellt und das Risikoreporting in<br />
Theorie und Praxis veranschaulicht. Abgerundet wird die Arbeit durch die Vorstellung<br />
des Risikocontrollings im Unternehmen.<br />
1 Vgl. Kliebe (2008), S. 1<br />
4
1.1 Der Risikobegriff<br />
1.1.1 Allgemeine Definition<br />
Die meisten Menschen, die das Wort „Risiko“ hören, assoziieren damit zuallererst<br />
etwas Negatives. Im allgemeinen Sprachgebrauch steht es als Synonym <strong>für</strong> ein<br />
Wagnis oder die Gefahr eines negativen Resultats. 2 Der Terminus wird oft in<br />
Zusammenhang mit dem Eintritt eines möglichen Schadens bzw. eines potenziellen<br />
Verlusts (z.B. einer Vermögensposition) verwendet. Gründe hier<strong>für</strong> sind wohl im<br />
Ursprung des Begriffes zu suchen: „riscare“, kommt aus dem Frühitalienischen und<br />
steht <strong>für</strong> „wagen“. 3 „Risiko“, ist das griechische Wort <strong>für</strong> „Gefahr“ oder „Klippe“ (die es<br />
zu umschiffen gilt). 4 Diese rein negative Auslegung lässt „Risiko“ zu einem<br />
asymmetrischen Begriff werden. Positive Aspekte, wie beispielsweise ein möglicher<br />
Gewinn oder Chancen im Allgemeinen werden hierbei vollkommen vernachlässigt. 5<br />
1.1.2 Betriebswirtschaftliche Betrachtung<br />
Bei betriebswirtschaftlichen Betrachtungsweisen geht es hingegen um die Kenntnis<br />
von Wahrscheinlichkeiten und Wahrscheinlichkeitsverteilungen in Bezug auf künftige,<br />
unsichere Ereignisse. 6 Unternehmerische Handlungen, gleichwohl Entscheidungen<br />
in Unternehmen, weisen häufig einen Zukunftsbezug auf und bergen dadurch<br />
gewisse Unsicherheiten: „Das unternehmerische Risiko“ oder umgangssprachlich ein<br />
gewisses „Verlust- oder Schadenspotenzial“. 7<br />
Das Risiko wird als eine Streuung des Zukunftserfolgs um einen bestimmten<br />
Erwartungswert gesehen, die sowohl negativ, als auch positiv ausfallen kann. Denkt<br />
man beispielsweise an Dinge wie das Glücksspiel oder Kapitalanlagen in Form von<br />
Aktien, verliert das Wort „Risiko“ einen Teil der mit ihm verknüpften, negativen<br />
Assoziationen. Es wird deutlich, dass Risiken neben Gefahren durchaus auch<br />
Chancen aufweisen können.<br />
Man betrachtet also sowohl Bedrohungen, als auch Opportunitäten. Das lässt den<br />
Risikobegriff symmetrisch werden. 8 Anhand von Rohstoffpreis- oder<br />
Aktienkursentwicklungen, ist diese Symmetrie sofort deutlich erkennbar. Die<br />
2 Vgl. Volkart (2011), S.204, 205<br />
3 Vgl. Wolke (2008), S. 1<br />
4 Vgl. Cottin/Döhler (2011), S. 1<br />
5 Vgl. Volkart (2011), S.204<br />
6 Vgl. Wolke (2008), S. 1<br />
7 Vgl. Burger/Buchhart (2002), S. 1<br />
8 Vgl. Volkart (2011), S.204, 205<br />
5
möglichen Ereignisse (Kursschwankungen) können hier entweder positiver oder<br />
negativer Natur sein. Weniger offensichtlich ist es im Bereich von<br />
unternehmerischen, sogenannten operationellen Risiken. Typische Abweichungen,<br />
wie Maschinenschäden, Betriebsunterbrechungen oder Rechtsstreitigkeiten stellen<br />
zwar zunächst nur negative Änderungen dar, man muss sich hierbei aber vor Augen<br />
führen, dass diese Risiken eben gerade deshalb eingegangen werden, damit die<br />
Chancen auf positive Abweichungen (im finanziellen Bereich) steigen. 9 Demnach<br />
kommen auch in solchen Fällen sowohl negative, als auch positive Aspekte des<br />
Risikobegriffes zum tragen.<br />
Abbildung 1: Sprichwörtliche Begründung der Risikoanalyse 10<br />
Die Kapitalmarkttheorie beschäftigt sich mit der Abgeltung unternehmerischer<br />
Risiken über die Kapitalkosten und stellt somit einen Zusammenhang zwischen<br />
Risiko und Rendite her. In diesem Zusammenhang werden Risiken als positive oder<br />
negative Streuungen des Zukunftserfolgs gesehen, die über die Varianz bzw. die<br />
Standardabweichung berechnet werden. Desweiteren wird hierbei eine strikte<br />
Trennung von Investitions-<br />
und Finanzierungsseite zugrunde gelegt, wodurch die Art<br />
der Finanzierung irrelevant <strong>für</strong> den Wert des jeweiligen Unternehmens ist. Man<br />
unterscheidet dabei also zwischen leistungswirtschaftlichen Risiken und<br />
finanzwirtschaftlichen Risiken.<br />
9 Vgl. Cottin/Döhler (2011), S. 1,2<br />
10 Cottin/Döhler (2011), S. 2<br />
6
Die Kapitalmarkttheorie gibt zwei wichtige, alternative Voraussetzungen <strong>für</strong> die<br />
langfristige Existenz von Unternehmen aus der Risikoperspektive vor: 11<br />
Höhere Renditen als andere Unternehmen bei gleichen Investitionsrisiken<br />
Gleiche Rendite bei geringeren Investitionsrisiken als andere Unternehmen<br />
In der Literatur wird der Risikobegriff zwar selten eindeutig verwendet, als Ursache<br />
wird jedoch oft der Informationsstand des Entscheidungsträgers, als Wirkung die<br />
Verfehlung unternehmerischer Ziele gesehen. Die Entscheidungstheorie liefert dazu<br />
einen interessanten Ansatz: Es wird eine Unterscheidung getroffen zwischen einer<br />
Risikosituation, bei der objektive und subjektive Wahrscheinlichkeiten gegeben sind,<br />
und der Unsicherheitssituation, wo entsprechende Wahrscheinlichkeiten nicht<br />
vorliegen. Durch die Anwendung von geschätzten subjektiven<br />
Eintrittswahrscheinlichkeiten kann eine Unsicherheitssituation jedoch in eine<br />
Risikosituation überführt werden. 12<br />
1.1.3 Risikofaktoren <strong>für</strong> Unternehmen<br />
Nach Klärung der betriebswirtschaftlichen Ansätze, ist es interessant zu betrachten,<br />
wo diese angewandt werden bzw. was die tatsächlichen Risikofaktoren <strong>für</strong><br />
Unternehmen sind.<br />
11 Vgl. Burger/ Buchhart (2002), S. 2, 3<br />
12 Vgl. Burger/Buchhart (2002), S. 1,2<br />
7
Abbildung 2: Unterscheidung nach Risikoarten 13<br />
Man kann die Risiken hinsichtlich ihrer Herkunft bzw. Art unterteilen. Risiken, die<br />
Personen oder Institutionen außerhalb des Unternehmens, wie beispielsweise<br />
Kunden, Lieferanten oder Wettbewerber betreffen, lassen sich als externe Risiken<br />
einordnen. Finanzielle Risiken beziehen sich primär auf Risikofaktoren im Kredit- und<br />
Cash-Management, wie z.B. Zins- und Kursschwankungen. Alle Risiken, die die<br />
Bereiche IT oder geistiges Eigentum werden unter Informationsrisiken<br />
zusammengefasst, während sich operative Risiken auf den Faktor Mensch, sowie<br />
Prozesse und physikalische Werte (z.B. Eigentum, Anlagen, Ausrüstung) beziehen.<br />
Strategische Risiken hingegen fokussieren die Unternehmensführung, sowie externe<br />
Verbindungen im Sinne von beispielsweise Kooperationen mit anderen<br />
Marktteilnehmern. Die strategischen Risiken sind gesondert zu betrachten, da sie<br />
sich in einigen markanten Punkten von den übrigen Risikoarten unterscheiden. Sie<br />
resultieren aus der Strategie des Unternehmens und stellen eine Gefahr <strong>für</strong> dessen<br />
Gesamterfolg und Erfolgspotentiale dar. Desweiteren sind sie sehr komplex und mit<br />
großer Unsicherheit und evtl. weitreichenden Auswirkungen verbunden, zumal sie<br />
sich oft nur sehr schwer quantifizieren und bewerten lassen. Ein Beispiel da<strong>für</strong> wäre<br />
eine fehlerhafte Entscheidung bzgl. des Eintritts in neue Geschäftsfelder.<br />
13 http://www.peterjohann-consulting.de/index.php?menu-id=risk<br />
8
Zur Vereinfachung lassen sich die strategischen Risiken noch weiter unterteilen,<br />
wodurch einzelne Subkategorien, wie z.B. Industrie, Technologie, Konkurrenz und<br />
Kunden entstehen. 14<br />
1.2 Definition, Hintergründe und Abgrenzung<br />
„In einer Studie des Fraunhofer-Instituts <strong>für</strong> Produktionstechnologie (IPT) und der P3<br />
Ingenieurgesellschaft mbH aus dem vergangenen Jahr attestieren zwei <strong>Dr</strong>ittel der<br />
Teilnehmer der Umsetzung eines Risikomanagements einen großen Einfluss auf den<br />
Unternehmenserfolg. Auf der anderen Seite allerdings sind rund 40 Prozent davon<br />
überzeugt, dass mit einem Risikomanagement ein zu geringer Nutzen verbunden ist.<br />
Und deutlich mehr als die Hälfte der Befragten (55 Prozent) haben einen zu hohen<br />
Aufwand zur Risikokontrolle festgestellt. So liegt der Schluss nahe, dass die<br />
Potenziale des präventiven Risikomanagements noch nicht effektiv in der Praxis<br />
genutzt werden.“ 15<br />
Um diese Aussagen besser verstehen zu können, ist zunächst eine Klärung, sowie<br />
eine Abgrenzung der Begriffe „Risikomanagement“ und „Risikocontrolling“ wichtig.<br />
1.2.1 Risikomanagement<br />
„Planung ist der Ersatz des Zufalls durch den Irrtum.“ Dieses Bonmot soll manchmal<br />
als Alibi dienen, gar nicht zu planen. Es gibt allerdings einen entscheidenden<br />
Unterschied zwischen Zufall und Irrtum: „Zufällen ist der Betroffene wehrlos<br />
ausgesetzt; als Planender hat er immerhin die Chance, sich vom größeren zum<br />
immer kleineren Irrtum zu entwickeln. […] In logischer Folgerung daraus kann die<br />
Identifikation und Analyse einer Abweichung keinen anderen Bezugspunkt haben als<br />
die Planung.“ 16<br />
Im Allgemeinen bezeichnet der Begriff „Risikomanagement“ eine Gesamtheit<br />
koordinierter Aktivitäten zur Steuerung von Risiken in einem Unternehmen. Dies<br />
erfordert eine Beschäftigung mit gewissen Risikofaktoren, die zunächst einmal<br />
identifiziert und bewertet werden müssen. Anschließend folgen die Erarbeitung von<br />
Maßnahmen, sowie deren Umsetzung in der Praxis. Die Suche nach Maßnahmen,<br />
14 http://www.risknet.de/risknews/verbindung-von-strategischem-management-und-riskmanagement/53691aaaede1ae93663fabea53cf0e96/<br />
15 http://www.risknet.de/risknews/risikomanagement-buerokratie-tiger-oder-baustein-zumunternehmenserfolg/4da26780aff81834d87a1c5c7199e28f/<br />
16 Rohrschneider (2006), S. 22<br />
9
sowie die anschließende Umsetzung dieser erfolgt auf Basis von Art, Quantität und<br />
Qualität der Risiken.<br />
Als Gründe <strong>für</strong> das Betreiben eines Risikomanagements, kann man verschiedene<br />
Ursachen aufführen, die wiederum Auswirkungen auf Art und Weise der<br />
Ausgestaltung haben. Die Ursachen lassen sich in folgende Kategorien<br />
untergliedern:<br />
Rechtliche Rahmenbedingungen<br />
Volkswirtschaftliche Ursachen<br />
Technologischer Fortschritt<br />
Zum ersten Punkt zählt insbesondere das Gesetz zur Kontrolle und Transparenz in<br />
Unternehmen (KonTraG). Dieses fordert die Einführung eines adäquaten<br />
Risikomanagements von börsennotierten Aktiengesellschaften.<br />
Dabei hat „der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein<br />
Überwachungssystem einzurichten […]“ 17 Eingeführt wurde das Gesetz zum ersten<br />
Mai 1998. Ausschlaggebend da<strong>für</strong> waren einerseits spektakuläre<br />
Firmenzusammenbrüche (Metallgesellschaft, Sachsenmilch, Balsam, KHD, Bremer<br />
Vulkan u. a.), andererseits trugen auch die zunehmende Internationalisierung der<br />
Kapitalmärkte und eine steigende Globalisierung der Aktionärsstrukturen zu dieser<br />
Gesetzesinitiative bei. 18<br />
Das KonTraG stellt eine Erweiterung des Aktien- und GmbH-Gesetzes (§91(2) AktG,<br />
§43 GmbHG) dar und betrifft in erster Linie Nichtbanken (Industrie, Handel,<br />
Dienstleistung).<br />
Die Grundlage <strong>für</strong> die Ausgestaltung eines Risikomanagements im Bankensektor legt<br />
Basel II. Im Mittelpunkt stehen hierbei bestimmte Mindestkapitalanforderungen, die<br />
eine Eigenkapitalunterlegung <strong>für</strong> Kreditrisiken, Marktrisiken und operationelle Risiken<br />
beinhalten (Säule 1). Die zweite Säule beinhaltet einen aufsichtlichen<br />
Überprüfungsprozess um das Gesamtrisiko eines Instituts und die wesentlichen<br />
17 § 91 Abs. 2 AktG<br />
18 http://glp-gmbh.com/kontrag/kontrag.html<br />
10
Einflussfaktoren auf dessen Risikosituation zu identifizieren. Säule Nummer drei<br />
steht <strong>für</strong> eine erweiterte Offenlegungspflicht der Institutionen. 19<br />
Abbildung 3: Die Anforderungen von Basel II (und Solvency II entsprechend) 20<br />
Für den Versicherungssektor stellt Solvency II das entsprechende Gegenstück zu<br />
Basel II dar.<br />
Die Corporate Governance, die den rechtlichen und faktischen Ordnungsrahmen <strong>für</strong><br />
die Leitung und Überwachung eines Unternehmens festlegt, bietet eine weitere<br />
Rechtsgrundlage <strong>für</strong> Risikomanagementsysteme.<br />
Unter den Punkt Volkswirtschaftliche Ursachen fallen sämtliche veränderten<br />
Rahmenbedingungen auf den Finanzmärkten. Die Einführung neuartiger<br />
Instrumente, wie z.B. bestimmte Derivate oder auch die Abschaffung fixer<br />
Wechselkurse gaben Anlass einen erhöhten Fokus auf das Risikomanagement zu<br />
legen.<br />
Der technologische Fortschritt äußert sich vor allem durch den Einsatz neuer Medien<br />
und Technologien. Die Globalisierung nimmt stetig Geschwindigkeit auf,<br />
Produktlebenszyklen werden im Zeitverlauf immer kürzer. Im Zuge dessen wachsen<br />
auch die Produktrisiken. 21<br />
19 http://www.bundesbank.de/Navigation/DE/Kerngeschaeftsfelder/Bankenaufsicht/Basel2/basel2.html<br />
20 http://www.noweco.com/risk/riskd14.htm<br />
21 Vgl. Wolke (2008), S. 2-3<br />
11
Oberziel des Risikomanagements ist in erster Linie eine Reduktion auf gewisse<br />
Restrisiken, die in einem akzeptablen Rahmen liegen und bewusst getragen werden.<br />
22 Es wird demnach keine generelle Vermeidung von Risiken angestrebt, da gewisse<br />
Wagnisse eingegangen werden müssen, um so langfristig Erfolgspotenziale sichern<br />
und <strong>für</strong> das Unternehmen ausbauen zu können.<br />
Allgemein lässt sich sagen, dass durch Risikomanagement-Prozesse die Existenz<br />
von Unternehmen mittels Gewährleistung des Erreichens der Unternehmensziele<br />
nachhaltig gesichert werden kann. 23<br />
Die einzelnen Schritte bzw. Aktivitäten eines Risikomanagements werden im Idealfall<br />
prozessorientiert aufgebaut. Auf diesen Aufbau wird in den folgenden Kapiteln<br />
genauer eingegangen werden.<br />
Abbildung 4: Aktivitäten des Risiko-Managements 24<br />
22 Vgl. Königs (2009), S. 7<br />
23 Keuper/Roesing/Schomann (2005), S. 16<br />
24 Königs (2009), S. 7<br />
12
1.2.1 Risikocontrolling<br />
Das Risikocontrolling sollte fester Bestandteil eines Unternehmens sein, um Zeichen<br />
einer Krise frühzeitig zu erkennen und neue Risiken rechtzeitig zu identifizieren und<br />
mit entsprechenden Maßnahmen zu reagieren. 25<br />
Durch die Erzeugung und Aufbereitung von Informationen stellt das Risikocontrolling<br />
die Voraussetzung <strong>für</strong> die Wirksamkeit des Risikomanagements dar. 26 Das<br />
Aufgabenfeld des Risikocontrollings leitet sich von dem des allgemeinen Controllings<br />
ab. Dazu zählen neben der ergebnisorientierten Planung und Koordination innerhalb<br />
des Risikomanagementsystems, die Informationsversorgung der<br />
Risikoverantwortlichen im Unternehmen. Auch die Beratung des Managements<br />
hinsichtlich Methoden und Instrumente über alle Phasen hinweg gehört zum<br />
Aufgabenfeld des Risikocontrollings.<br />
Wichtig ist, dass Risikocontrolling nicht nur auf operativer Ebene stattfindet. Eine<br />
kontinuierliche Weiterentwicklung des Risikomanagementinstrumentariums, die<br />
Erfassung operativer Geschäftsrisiken auf Zahlungs- bzw. Liquiditätsebene, sowie<br />
Risikomessung und -abstimmung decken lediglich ein Teilbereich des<br />
Risikocontrollings ab. Die strategische Ausrichtung spielt ebenfalls eine wichtige<br />
Rolle. Das Erkennen von Risikopotentialen auf der Basis von Suche, Aufbau und<br />
Erhaltung von Erfolgspotentialen wurde in der Vergangenheit zwar häufig<br />
vernachlässigt, ist im Rahmen des Risikocontrollings jedoch unabdingbar. Im Zuge<br />
dessen ist es Aufgabe des Risikocontrollings, entsprechende Systeme und<br />
Instrumente zu entwickeln und zu implementieren. Desweiteren müssen ein<br />
entsprechendes Berichtswesen <strong>für</strong> Management, Verantwortliche und Mitarbeiter<br />
aufgebaut und Grundstrukturen <strong>für</strong> eine geeignete Datenbasis des<br />
Risikomanagements geschaffen werden. 27<br />
25 http://www.wirtschaftslexikon24.com/d/risikocontrolling/risikocontrolling.htm<br />
26 Vgl. Keuper/Roesing/Schomann (2005), S. 21<br />
27 Vgl. Keuper/Roesing/Schomann (2005), S. 27<br />
13
Abbildung 5: Risikocontrolling als Schnittmenge 28<br />
Die Zielsetzung des ganzen baut auf den Zielen des Risikomanagements auf. Von<br />
besonderer Bedeutung ist dabei die Stärkung des Risikobewusstseins bei<br />
Führungskräften und Mitarbeitern. Gleichzeitig sollte bei Planung, Steuerung,<br />
Kontrolle und Informationsversorgung neben die reine Ergebnisorientierung eine<br />
Risikoorientierung treten. 29<br />
28 Keuper/Roesing/Schomann (2005), S. 25<br />
29 Vgl. Keuper/Roesing/Schomann (2005), S. 23<br />
14
2 RISIKOMANAGEMENT-PROZESS<br />
Der Risikomanagement-Prozess<br />
lässt sich beschreiben als eine systematische und<br />
kontinuierliche Auseinandersetzung mit den unternehmerischen Risikopotentialen,<br />
unter Berücksichtigung der definierten Unternehmensstrategie. Er ist der Kern des<br />
Risikomanagement und lässt sich in vier Phasen einteilen: 30<br />
Risikoidentifikation<br />
Risikoüberwachung<br />
Risikobeurteilung/-<br />
bewertung<br />
Risikosteuerung<br />
In Anlehnung an: Diederichs (2012), S. 14<br />
Abbildung 6: Risikomanagement-Prozess<br />
Diese vier Phasen des Risikomanagement-Prozess stellen die Gesamtheit der<br />
organisatorischen Maßnahmen und Prozesse dar, die auf die Identifikation,<br />
Beurteilung, Steuerung, und Überwachung von Risiken abzielen und somit eine<br />
Gestaltung der Risikolage ermöglichen. 31<br />
Im engeren Sinn kann man den Risikomanagement-Prozess in einen strategischen<br />
und einen operativen Teil wie folgt aufspalten:<br />
Strategisch<br />
•Riskioidentifikation<br />
•Risikobewertung<br />
•Strategien<br />
Operativ<br />
•Risikomessung<br />
•Reporting<br />
•A nalyse<br />
•Steuerung<br />
•Kontrolle<br />
In Anlehnung an: Eller et al. (2010), S. 32<br />
Abbildung 7: Strategischer und Operativer Risikomanagement-Prozess<br />
30 Vgl. Diederichs (2012), S. 49<br />
31 Vgl. Diederichs (2012), S. 13<br />
15
Im Strategischen Prozess werden in zeitlich größeren Abständen die Identifikation<br />
und Bewertung von Risiken sowie die Ableitung und Überprüfung von Strategien<br />
durchgeführt. Der operative Prozess stellt ebenfalls einen Regelkreis dar und basiert<br />
auf den strategischen Zielgrößen. 32<br />
Zusammenfassend kann man die Phasen des strategischen und operativen<br />
Risikomanagement-Prozess den vier in Abb. 6 gezeigten Haupt- und<br />
Ausgangsphasen zuordnen, weshalb im Folgenden auf diese vier Phasen näher<br />
eingegangen wird.<br />
2.1 RISIKOIDENTIFIKATION<br />
Unternehmen sind heute vielen Risiken ausgesetzt, bzw. sind sie gezwungen Risiken<br />
einzugehen um die Wettbewerbsfähigkeit, Finanz-, Vermögens-, und Ertragslage zu<br />
erhalten, zu verbessern und die damit verbundenen Chancen nutzen zu können.<br />
Diese Risiken müssen erkannt und erfasst werden, um ein erfolgreiches<br />
Risikomanagement im Unternehmen zu etablieren. Deshalb steht zu Beginn des<br />
Risikomanagement-Prozess (RmP) 33 die systematische Risikoidentifikation. Deren<br />
Ziel ist es alle Risikopotentiale welche die unternehmerischen Ziele und definierten<br />
Strategien gefährden möglichst strukturiert und detailliert zu erfassen. Sie ist der<br />
wichtigste Teil des RmP, denn ihre Qualität ist ausschlaggebend und<br />
richtungweisend <strong>für</strong> die darauffolgenden Phasen. Erkennt man Risiken zu spät, oder<br />
im schlimmsten Fall gar nicht, können diese zu ernsthaften Bedrohungen bzw. bis hin<br />
zur Existenzgefährdung eines Unternehmens führen. Dieser ist häufig nicht mehr<br />
rechtzeitig, oder nur noch durch erheblichen Aufwand, nämlich Risiko steuernder<br />
Maßnahmen entgegenzutreten. 34<br />
Des Weiteren ist es von elementarer Bedeutung, auch scheinbar unwesentliche<br />
Risiken zu berücksichtigen, da diese sich kumuliert oder in Wechselwirkung mit<br />
anderen Risiken ebenfalls Bestand gefährdend auswirken können. Auch zukünftig<br />
theoretische Risiken sind neben den aktuell bekannten einzubeziehen. Die<br />
Risikoidentifikation ist regelmäßig durchzuführen da die unternehmensinternen und –<br />
32 Vgl. Eller, Heinrich, Perrot, Reif (2010), S. 32<br />
33 Risikomanagement-Prozess wird im folgenden abgekürzt als RmP<br />
34 Vgl. Diederichs (2012), S. 50<br />
16
externen Gegebenheiten und Rahmenbedingungen ständigen Änderungen<br />
unterliegen. 35<br />
Diese Vorgehensweise der Risikoidentifikation ermöglicht es nicht nur verbleibende<br />
Restrisiken, sondern gesamte Risikopotentiale erkennen zu können. 36<br />
2.1.1 Grundsätze der Risikoidentifikation<br />
Um eine strukturierte und effiziente Ermittlung von Risiken durchführen zu können<br />
müssen bestimme Grundsätze (Postulate) berücksichtigt werden:<br />
Vollständigkeit/Richtigkeit<br />
Aktualität<br />
Wesentlichkeit/ Wirtschaftlichkeit<br />
Systematik/ Flexibilität<br />
Beeinflussbarkeit<br />
Widerstand<br />
Bei dem Grundsatz Vollständigkeit und Richtigkeit muss auf eine möglichst<br />
lückenlose und detaillierte Aufdeckung, sowie auf Genauigkeit (formale Richtigkeit)<br />
und Zuverlässigkeit (inhaltliche Richtigkeit) der Risiken geachtet werden.<br />
Die Aktualität der <strong>für</strong> die Risiken relevanten Informationen gilt als entscheidendes<br />
Primärziel, da sich wirtschaftliche Rahmenbedingungen und mit diesen<br />
einhergehende Risiken stetig verändern. Dieses Postulat zielt auf eine frühzeitige<br />
Risikoerkennung ab, um rechtzeitig reagieren und handeln zu können.<br />
Das Postulat der Wesentlichkeit gilt auch <strong>für</strong> die Risikoidentifikation, dabei sollten<br />
hauptsächlich wesentliche Risiken bedacht werden, Risiken mit weniger Gewicht auf<br />
die Unternehmung, sollten zwar dokumentiert werden, aber müssen zunächst nicht<br />
weiter betrachtet werden. Die Wesentlichkeit basiert auf dem Grundsatz der<br />
Wirtschaftlichkeit, das bedeutet, dass Kosten und Ergebnis der Identifikation in<br />
einem rentablen Verhältnis zueinander stehen sollten. 37<br />
In Bezug auf den Grundsatz der Systematik ist es wichtig einen standardisierten<br />
systematischen und kontinuierlichen Prozess zu etablieren. Dabei sind die<br />
35 Vgl. Diederichs (2012), S. 50 f.<br />
36 Vgl. Diederichs (2012), S. 51<br />
37 Vgl. Diederichs (2012), S.51 f.; Ehrmann (2005), S.43 f.<br />
17
Instrumente zur Risikoerkennung flexibel zu gestalten um auch neue Risiken<br />
frühzeitig erkennen zu können. Erfolgt die Risikoidentifikation unstrukturiert und<br />
sporadisch besteht die Gefahr, dass Risiken nicht erkannt werden.<br />
Oft kommt es zu einer Unterschätzung der eigentlichen Risikosituation, da geglaubt<br />
wird man könne ein Risiko kontrollieren und beeinflussen, dies führt wiederum zu<br />
einer falschen Einschätzung von Eintrittswahrscheinlichkeiten und<br />
Schadensausmaßen. Um dies zu vermeiden gilt das Postulat der Beeinflussbarkeit,<br />
welches besagt, dass der analysierte Tatbestand nicht zu dem Ergebnis führen darf,<br />
die Risiken seien nicht von großer Bedeutung und somit im Rahmen der Identifikation<br />
nicht erwähnenswert.<br />
Der letzte Grundsatz, der Widerstand ist psychologisch, räumlich und<br />
organisatorisch bedingt. Er geht von einer Abhängigkeit der Qualität der<br />
Risikoidentifikation vom allgemeinen Risikobewusstsein einer Organisation aus.<br />
Dazu gehört auch der Aspekt der Erfahrung, Intuition und Motivation der Mitarbeiter,<br />
Risiken identifizieren zu können und zu wollen.<br />
Diese sechs Beschriebenen Postulate rivalisieren teilweise miteinander. Somit ist es<br />
nicht möglich allen gleichermaßen gerecht zu werden. In der Praxis sollte deshalb<br />
unter Berücksichtigung der unternehmerischen Rahmenbedingungen nach einer<br />
Kompromisslösung gesucht und ein individuelles Optimum angestrebt werden. 38<br />
2.1.2 Methoden der Risikoidentifikation<br />
Die grundlegenden Methoden der Risikoidentifikation helfen bei unternehmerischen<br />
Identifizierung der Risiken, sie lassen sich einteilen in die Progressive- und die<br />
Retrograde Methode.<br />
Progressive<br />
Methode<br />
Risiko<br />
Retrograde<br />
Methode<br />
In Anlehnung an: Diederichs (2012), S. 53<br />
Abbildung 8: Progressive und retrograde Methode zur Risikoidentifikation<br />
38 Vgl. Diederichs (2012), S. 52<br />
18
2.1.2.1 Progressive Methode<br />
Bei der progressiven Methode werden mögliche Störungszustände erfasst, analysiert<br />
und anschließend mögliche Auswirkungen auf das Zielsystem abgeschätzt. Den<br />
Ursprung hier<strong>für</strong> bilden nicht weiter zurück verfolgbare und nicht weiter<br />
unterscheidbare Risikoursachen. Die progressive Methode verfolgt dabei schrittweise<br />
die Entwicklung der Wirkung von der Risikoquelle bis hin zu den definierten<br />
Strategien und Zielen eines Unternehmens. Risikoquellen und Störungszustände<br />
sollten möglichst vollständig erfasst werden, denn diese bilden die Voraussetzungen<br />
<strong>für</strong> mögliche Ursachen-Wirkungs-Zusammenhänge.<br />
Um ein komplettes Bild zu erhalten ist auch das Unternehmen als Gesamtsystem auf<br />
Risikoursachen zu untersuchen. Dabei muss analysiert werden welche<br />
innerbetrieblichen Strukturen, Funktionsbereiche und Geschäftsprozesse mit Risiken<br />
behaftet sind. Hier<strong>für</strong> muss die Risikoidentifikation sowohl operative<br />
Geschäftstätigkeiten, als auch strategische Managemententscheidungen<br />
einbeziehen. 39<br />
Bei der progressiven Methode ist grundsätzlich in folgenden Schritten vorzugehen:<br />
Risikoquellen/-ursachen<br />
1. In welchen Unternehmensbereichen können Risiken entstehen?<br />
2. Welche möglichen Störungszustände gibt es und welche Ursachen haben<br />
diese?<br />
3. Wie wirken diese auf Ziele und Strategien? 40<br />
2.1.2.2 Retrograde Methode<br />
Die Retrograde Methode nimmt Bezug auf die Strategien und Ziele eines<br />
Unternehmens, indem sie versucht die Risiken, welche auf diese wirken direkt zu<br />
identifizieren. Dabei ist es essentiell sich zuerst mit dem Zielsystem des<br />
Unternehmens zu beschäftigen. Hier können die Strategien und Ziele aus<br />
Unternehmensgesamtsicht, Funktionssicht, Prozesssicht usw. als Ausgangspunkt<br />
dienen. Aus der jeweiligen Sichtweise ist nun zu untersuchen, welche Risiken das<br />
jeweilige Untersuchungsobjekt daran hindern können die festgelegten Ziele zu<br />
erreichen. 41<br />
39 Vgl. Diederichs (2012), S. 53<br />
40 Vgl. Diederichs (2012), S. 53<br />
41 Vgl. Diederichs (2012), S. 54<br />
19
Bei der retrograden Methode ist grundsätzlich in folgenden Schritten vorzugehen:<br />
Strategien und Ziele<br />
1. Welche Strategien und Ziele werden von dem Unternehmen verfolgt?<br />
2. Welche Risiken beeinflussen diejenigen Strategien und Ziele?<br />
3. In welchen Unternehmensbereichen ereichen werden diese Risiken verursacht? 42<br />
Zusammenfassend lässt sich sagen, dass beide Methoden zum gleichen Ergebnis<br />
führen, die progressive Methode allerdings deutlich aufwendiger ist. Der Vorteil der<br />
retrograden Methode ist die zielgerichtete Ausführung bei der Risikosuche. Durch die<br />
vom Zielsystem ausgehende Risikozerlegung, ermöglicht diese Methode eine<br />
genauere Transparenz bestehender Zusammenhänge.<br />
Allerdings ist zu sagen, dass sich beide Methoden bei der Risikoidentifikation sinnvoll<br />
ergänzen. Die retrograde Erkennung von Risiken lässt sich durch die<br />
Verfahrensweise der progressiven Methode prüfen. 43<br />
2.1.3 Risikokategorien<br />
Risiken lassen sich in unterschiedliche Arten aufteilen, haben sie gemeinsame<br />
Charakteristika lassen sie sich bestimmten Kategorien zuweisen:<br />
Risikokategorien und Risikofelder<br />
Interne Risiken:<br />
Externe Risiken:<br />
Leistungswirtschaftliche<br />
Risiken<br />
Beschaffung, Logistik,<br />
Produktion,<br />
Absatzsystem<br />
Risiken aus<br />
Management und<br />
Organisation<br />
Informationstechnologie,<br />
Planung ,<br />
Personal,<br />
Organisationsstruktur,<br />
Managementqualität<br />
Finanzwirtschaftliche<br />
Risiken<br />
Überschuldung,<br />
Liquidität,<br />
Kapitalbeschaffung<br />
Risiken höherer<br />
Gewalt,<br />
Technologische Risiken,<br />
Politisch-rechtliche<br />
Risiken,<br />
Soziokulturelle Risiken,<br />
Makroökonomische<br />
Risiken<br />
In Anlehnung an: Diederichs (2012), S. 56<br />
Abbildung 9: Risikokategorisierung<br />
Die Möglichkeiten Risiken zu Gliedern sind nicht begrenzt, sie lassen sich des<br />
Weiteren, beispielsweise nach der Fristigkeit der Managemententscheidungen, nach<br />
42 Vgl. Diederichs (2012), S. 53<br />
43 Vgl. Diederichs (2012), S. 55<br />
20
der Wirkung auf Ziele oder Bereiche des Unternehmens oder nach den<br />
Risikoursachen, bzw., -quellen unterteilen. In Bezug auf die Fristigkeit der<br />
Managemententscheidungen kann man strategische Risiken von operativen<br />
unterscheiden. Strategische Risiken stehen im Zusammenhang mit langfristig<br />
bindenden Handlungen, operative Risiken beziehen sich im Gegenzug dazu auf<br />
einen kurzfristigen Zeithorizont. Hinsichtlich der Wirkung kann man Risiken<br />
beispielsweise in Ertrags-, Liquiditäts-, und Vermögensrisiken unterscheiden. Nach<br />
der Quelle kann man Risiken in interne Risiken, wobei die Quelle innerhalb des<br />
Unternehmens liegt und externe Risiken, die von äußeren Faktoren bestimmt<br />
werden, gliedern. 44<br />
Risiken können meist nicht eindeutig einer Risikokategorie zugeordnet werden, dabei<br />
ist es unabhängig welches Kategorisierungsschema gewählt wurde. Deshalb ist in<br />
der Praxis eine überschneidungsfreie und trennende Abgrenzung kaum möglich.<br />
Eine Abgrenzung nach den Charakteristika eines Unternehmens ist somit nur als<br />
Hilfestellung zu sehen, welche bei der Risikoidentifikation grobe Anhaltspunkte über<br />
Risikobereiche liefert. 45<br />
2.1.4 Instrumente der Risikoidentifikation<br />
Um Risiken umfassend identifizieren zu können, ist der Einsatz geeigneter<br />
Instrumente zur Risikoidentifizierung erforderlich. Im Folgenden werden praktische<br />
Instrumente vorgestellt, mit Hilfe derer die Ermittlung individueller Risikoprofile<br />
stattfinden kann.<br />
• Aufspaltung der Unternehmenswertkette (Wertkettenanalyse)<br />
• Untersuchung der Geschäftsprozesse (Prozesskettenanalyse)<br />
• Strategische Entscheidungen simulieren (Netzwerktechnik)<br />
• Systematische Überwachung externen Risikoquellen (Frühaufklärungssystem)<br />
Durch die Wertkettenanalyse können <strong>für</strong>s Erste Unternehmenswertaktivitäten anhand<br />
der Funktion in primär und Sekundärfunktionen aufgeteilt, gegliedert und in Bezug<br />
auf besonders risikobehaftete Bereiche geprüft werden. Des Weiteren können<br />
wichtige Anhaltspunkte über externe und interne Risiken erlangt werden. 46<br />
44 Vgl. Diederichs (2012), S. 55; Ehrmann (2005), S. 47<br />
45 Vgl. Diederichs (2012), S. 55<br />
46 Vgl. Diederichs (2012), S. 59, S. 83<br />
21
Die auf die Wertkettenanalyse aufbauende Prozesskettenanalyse analysiert und<br />
beurteilt als nächstes die hinter den Bereichen liegenden Prozesse und<br />
Prozessschritte. Zur Hilfestellung bei der Erhebung der Prozesse wird häufig ein<br />
Fragebogen eingesetzt. Außerdem können Risiken, welche die operativen<br />
Unternehmensabläufe betreffen, erkannt sowie Ursachen-Wirkungs-<br />
Zusammenhänge deutlich und nachvollziehbar gemacht werden. 47<br />
Im nächsten Schritt können mit Hilfe der Netzwerktechnik Risiken identifiziert werden,<br />
welche aufgrund von strategischen Entscheidungen auftreten. Hier werden die<br />
Effekte und die auf mehreren Ursachen beruhende Ursachen-Wirkungs-Beziehungen<br />
durch Wirkungsnetze veranschaulicht und simuliert. Strategiefehler die bei<br />
unübersichtlichen Situationen auftreten können, lassen sich somit im Vorfeld der<br />
Entscheidung vermeiden. 48<br />
Das Frühaufklärungssystem wird vor allem <strong>für</strong> externe Risiken genutzt, da diese<br />
durch die anderen drei genannten Instrumente nur bedingt identifiziert werden<br />
können. Dabei können auch risikobehaftete Entwicklungen aufgezeigt werden,<br />
welche aus Diskontinuität im Umfeld des Unternehmens hervorgehen. Durch das<br />
Frühaufklärungssystem lassen sich durch schwache Signale bisher unbekannte<br />
Risiken erkennen und potentielle Szenarien nachspielen. Somit kann man im Idealfall<br />
Risiken durch Indikatoren frühzeitig erkennen. 49<br />
Zur Unterstützung der Vier Instrumente können weitere Methoden und Instrumente<br />
zur Anwendung kommen, wie z.B. Besichtigungen, Brainstorming, Risiko-<br />
Checklisten, Experten und Mitarbeiterbefragungen, Szenario-Techniken usw.. 50<br />
Die Risikoidentifikation ist in der Unternehmenspraxis begrenzt, beispielsweise durch<br />
den Konflikt zwischen einer möglichst vollständigen und zugleich einer wirtschaftlich<br />
sinnvollen Risikoerkennung. Einerseits sollte jedes Unternehmen aus Gründen der<br />
Durchsichtigkeit versuchen seine Risiken möglichst vollständig zu identifizieren,<br />
andererseits ist eine komplett Erfassung aller möglichen Risiken wirtschaftlich<br />
meistens nicht sinnvoll. Je größer ein Unternehmen ist umso komplexer und<br />
47 Vgl. Diederichs (2012), S. 60, S. 62, S. 83<br />
48 Vgl. Diederichs (2012), S. 70, S. 84<br />
49 Vgl. Diederichs (2012), S. 60, S. 84<br />
50 Vgl. Diederichs (2012), S. 84; Gleißner (2008), S. 58 f.<br />
22
aufwendiger gestaltet sich auch die Risikoidentifikation. Deshalb ist der Aufwand,<br />
Risiken zu erkennen auf ein wirtschaftlich sinnvolles Maß zu reduzieren. 51<br />
2.2 Risikobeurteilung/-bewertung<br />
Anschließend an die Risikoidentifikation sind nun die Risiken zu beurteilen und zu<br />
bewerten, da<strong>für</strong> ist zu analysieren wie sich Risiken auf Strategien, Ziele und<br />
relevante Kennzahlen und Steuerungsgrößen auswirken. Dabei beinhaltet die<br />
Risikobeurteilung nicht nur die Untersuchung, sondern auch die Bewertung und<br />
Klassifizierung der identifizierten Risiken. Hier werden die Bedeutungen und die<br />
Auswirkungen der Risiken auf das Unternehmen festgelegt. Die Höhe der<br />
Gefährdung (zur) auf die Erreichung der Ziele durch die Risiken soll durch eine<br />
Bewertung veranschaulicht werden. Risiken unterliegen einer gewissen Dynamik, da<br />
sie von einer Vielzahl von Faktoren abhängig sind, somit ist es wichtig die<br />
Risikobeurteilung/-bewertung in regelmäßigen Abständen durchzuführen. 52<br />
2.2.1 Instrumente der Risikobeurteilung<br />
Um einen möglichst genauen Überblick über die Wirkung der identifizierten Risiken<br />
zu erhalten, müssen diese mit aussagekräftigen Instrumenten und Verfahren beurteilt<br />
und bewertet werden. Dabei können die Risiken auf verschiedenen Ebenen beurteilt<br />
werden. Es können Einzelrisiken, Risikoklassen sowie gesamte unternehmerische<br />
Risikosituationen untersucht werden. Einzelrisiken werden dabei meist anhand von<br />
Eintrittswahrscheinlichkeiten und Schadensausmaß bewertet:<br />
Schadenerwatungswert = Eintrittswahrscheinlichkeit*Schadensausmaß<br />
Ordnet man anschließend den Einzelrisiken Eintrittshäufigkeiten und<br />
Schadenshöhen zu, kann man einen Gesamterwartungswert bei Schadenseintritt<br />
berechnen. 53<br />
51 Vgl. Diederichs (2012), S. 86<br />
52 Vgl. Ehrmann (2005), S. 77; Diederichs (2012), S. 87<br />
53 Vgl. Diederichs (2012), S 87 ff.<br />
23
Weiter Instrumente der Risikobeurteilung/-bewertung:<br />
• Risk-Map bzw. Risikoportfolio<br />
• Szenario-Techniken<br />
• Cash Flow at Risk<br />
• Value at Risk<br />
• Dynamic Risk Management<br />
Diese weitern Instrumente der Risikobeurteilung/- bewertung werden im Abschnitt<br />
drei näher erläutert.<br />
Die Risikobeurteilung ist eine wesentliche Grundlage der Risikoidentifikation, deshalb<br />
ist darauf zu achten, dass ihre Instrumente nur unterstützend wirken und keineswegs<br />
die Überlegungen und das Nachdenken ersetzen.<br />
Auch bei der Risikobewertung sind die unternehmerischen Strategien und Ziele zu<br />
beachten. Die Risikobeurteilung ist eine kontinuierlich ablaufende Analyse,<br />
Bewertung und Klassifizierung von Risiken. Auch hier muss darauf geachtet werden,<br />
dass unter Berücksichtigung der Strategien und Ziele die Instrumente sich in ihrer<br />
Ausrichtung unterscheiden. Ein einzelnes Instrument wird nicht dem vollen Umfang<br />
der Beurteilung und Bewertung gerecht. Vielmehr ist es wichtig die verschiedenen<br />
Instrumente, sich ergänzend einzusetzen. 54<br />
2.3 Risikosteuerung<br />
Ziel der Risikosteuerung ist es, unter Berücksichtigung der Unternehmensstrategie<br />
die bereits identifizierten und beurteilten Risiken zu beeinflussen. Dabei sind<br />
geeignete Risikostrategien und strategische Maßnahmen zu konzipieren. Da die<br />
Unternehmensstrategie die Vorgabe <strong>für</strong> das unternehmerische Handeln darstellt,<br />
müssen sich die Risikostrategien und Maßnahmen in deren Rahmen bewegen. Die<br />
Bildung von Strategien und die Erarbeitung entsprechender Maßnahmen stehen in<br />
wechselseitigen Beziehungen zueinander, deshalb müssen beide zusammen<br />
betrachtet werden. Diese extrahiert voneinander zu betrachten wäre unzweckmäßig,<br />
da diese Trennung zu Wiederholungen zwingen würde. Ergriffene Strategien und<br />
54 Vgl. Diederichs (2012), S. 122 f.; Ehrmann (2005), S 77<br />
24
Maßnahmen müssen einer kontinuierlichen Überprüfung und Kontrolle der Effizienz<br />
und Effektivität unterliegen. 55<br />
Die Risikosteuerungsstrategien lassen sich in ursachen- und wirkungsbezogene<br />
Vorgehensweisen einteilen. Bei der ursachenbezogenen Vorgehensweise wird<br />
versucht die Wahrscheinlichkeit von Risiken zu minimieren, indem man dem<br />
Risikoentstehungsprozess von Anfang an entgegenwirkt. Die wirkungsbezogene<br />
Maßnahme soll dagegen das Schadensausmaß reduzieren, oder alternativ die<br />
Risiken selber tragen. Des Weiteren ist es möglich die Risikosteuerung in aktive und<br />
passive Steuerung zu unterteilen. Bei der aktiven wird darauf abgezielt die<br />
Risikostrukturen zu verändern. Die passive Risikosteuerung lässt die Strukturen<br />
unverändert, sie ist darauf ausgerichtet das Risiko selbst zu tragen bzw. Vorsorge zu<br />
tragen um die Konsequenzen zu mildern. 56<br />
Allgemein lassen sich Risiken in fünf Risikosteuerungsstrategien/-maßnahmen<br />
einteilen:<br />
Gesamtrisiko<br />
vermeiden<br />
vermindern<br />
begrenzen<br />
überwälzen<br />
akzeptieren/<br />
selbst tragen<br />
Restrisiko<br />
In Anlehnung an: Diederichs (2012), S. 124<br />
Abbildung 10: Die fünf Risikosteuerungsstrategien<br />
55 Vgl. Ehrmann (2005), S. 87; Diederichs (2012), S. 123<br />
56 Vgl. Diederichs (2012), S. 124<br />
25
Unter Risikovermeidung versteht man das aktive Umgehen bzw. Vermeiden von<br />
Risikoquellen und Risikofaktoren. Dies bedeutet, Risikobehaftete Geschäfte bzw.<br />
Entscheidungen auszuschließen. Die Strategie der Risikovermeidung ist dann<br />
sinnvoll wenn die damit einhergehenden Risiken existenzgefährdende Wirkung<br />
haben oder wenn diese durch ihre Schadenshöhe, großen negativen Einfluss auf das<br />
Unternehmen nimmt. Die Strategie liefert zwar eine eindeutige Lösung des Problems,<br />
da Risiken gar nicht erst entstehen können, der Strategieplaner sollte sich aber auch<br />
darüber im klaren sein, dass diese Maßnahme nicht nur Risiken vermeidet sonder<br />
auch Chancen verhindert. Somit kann es auch sein, dass teilweise die ursprünglich<br />
geplanten Unternehmensziele durch die Risikovermeidung beeinträchtigt werden. Da<br />
das Vermeiden von Risiken wie beispielsweise der Verzicht auf Investitionen oder<br />
das Ablehnen von Aufträgen zur Existenzgefährdung eines Unternehmens führen<br />
kann, besteht das größte Risiko einer Unternehmung darin gar keine Risiken mehr<br />
einzugehen. 57<br />
Die Risikoverminderung vermeidet Risiken nicht von Grund auf sondern versucht sie<br />
auf ein vernünftiges Ausmaß zu senken, nämlich die Eintrittswahrscheinlichkeit zu<br />
reduzieren und das Schadensausmaß herabzusetzen. Bei dieser Strategie ist es<br />
möglich risikobehaftete Geschäfte einzugehen bzw. risikobehaftete Entscheidungen<br />
zu treffen, aber es müssen gleichzeitig geeignete Steuerungsmaßnahmen ergriffen<br />
werden. Risikovermindernde Maßnahmen sind die Schadensverhütung und die<br />
Schadensherabsetzung. Bei der Schadensverhütung wird, durch eine permanente<br />
Überwachung der Risiken, bereits der Schadenseintritt verhindert. Bei der<br />
Schadensherabsetzung sollen durch, beispielsweise eigeführte Richtlinien über Art<br />
und Höhe tolerierbarer Risiken und über den Umgang mit Risiken, bereits<br />
eingetretenen Schäden möglichst gering gehalten werden. Die Strategie der<br />
Risikoverminderung ist hauptsächlich <strong>für</strong> Risiken geeignet, die als erfolgsbedrohend<br />
nicht als existenzbedrohend eingestuft werden. 58<br />
Die Risikobegrenzung kann grundsätzlich der Risikoverminderung zugeordnet<br />
werden. Sie teilt sich ein in Risikostreuung und Risikolimitierung. Die Risikostreuung<br />
bewirkt einen Diversifikationseffekt, durch den es möglich ist die Summe der<br />
57 Vgl. Diederichs (2012), S. 125; Ehrmann (2005), S. 87<br />
58 Vgl. Diederich (2012), S. 125, Ehrmann (2005), S. 88<br />
26
Einzelrisiken zu neutralisieren. Sie kann sowohl auf das Gesamtunternehmen wie<br />
auch auf einzelne Geschäftsbereiche angewandt werden. Die Risikolimitierung wird<br />
durch das Management oder verantwortliche Bereiche in einer Organisation<br />
durchgeführt, welche dabei die Limits <strong>für</strong> das Eingehen von Risiken festlegen. Diese<br />
Akteure setzen dabei auch Verlustobergrenzen, welche bei Risikoeintritt von der<br />
Unternehmung aufgefangen werden können. 59<br />
Die Risikoüberwälzung ist ein vollständiger oder teilweiser Transfer von Risiken auf<br />
<strong>Dr</strong>itte. Dabei wird das Risiko eines Geschäfts oder einer Entscheidung nicht beseitigt,<br />
sonder wechselt durch ein weiteres Geschäft den Risikoträger. Beispiele <strong>für</strong> die<br />
Überwälzung von Risiken sind Versicherungen, oder Überwälzung auf<br />
Vertragspartner durch Verträge und Geschäftsbedingungen. 60<br />
Da Risiken nicht völlig auszuschließen sind und es auch nicht sinnvoll ist alle Risiken<br />
auszuschließen bzw. zu vermeiden, bleibt immer ein Restrisiko bestehen, welches<br />
vom Unternehmen akzeptiert und übernommen werden muss. Welche Risiken im<br />
Zuge der Risikoakzeptanz bzw. Risikoübernahme selbst getragen werden, ist von der<br />
Größe des Risikos, von der Risikotragfähigkeit und von der Risikoeinstellung des<br />
Managements abhängig. Eine gute Risikoidentifikation und Risikobeurteilung tragen<br />
dazu bei, die richtigen Entscheidungen treffen zu können. 61<br />
2.4 Risikoüberwachung/-kontrolle<br />
Die Risikoüberwachung ist ein fortlaufender Prozess, welcher in allen Phasen des<br />
Risikomanagementprozess enthalten ist. Er wird meist durch das Risikocontrolling<br />
durchgeführt bzw. wird er stark vom Risikocontrolling unterstützt und wird von diesem<br />
aus der Gesamtunternehmensperspektive überwacht. Die wichtigste Aufgabe der<br />
Risikoüberwachung ist es, die Erreichung der im Risikomanagementprozess<br />
festgelegten Planungen, Handlungen und Ziele zu überprüfen. Die<br />
Risikoüberwachung lässt sich in zwei Aufgabenteile gliedern, die laufende Kontrolle<br />
und die Frühwarnung. Eine laufende Kontrolle ist von Nöten, da die Risikosituation<br />
eines Unternehmens ständigen Veränderungen unterworfen ist. Sie bezieht sich<br />
59 Vgl. Diederichs (2012), S. 125 f.<br />
60 Vgl. Ehrmann (2005), S. 88; Diederichs (2012), S. 126 f.<br />
61 Vgl. Diederichs (2012), S. 127; Ehrmann (2005), S. 100<br />
27
meist auf vergangenheitsorientierte Vorgänge und soll auf diese bezogen<br />
Fehlentscheidungen und falsche Maßnahmen aufdecken. Bei dem Konzept der<br />
laufenden Kontrolle sind folgende Bereiche zu berücksichtigen:<br />
Kontrollformen festlegen<br />
Bereits bestehende Systeme berücksichtigen<br />
Verantwortlichkeiten regeln<br />
Die Risiken werden, bei der Festlegung der Kontrollformen, in Hinblick auf ihren<br />
Eintritt und auf die Wirkung der Maßnahmen überprüft. Im Bereich der<br />
Risikoüberwachung sollten auch bereits existierende Systeme berücksichtigt werden<br />
wie beispielsweise interne Kontrollsysteme, Überwachungssysteme oder die interne<br />
Revision. Im letzten Bereich der laufenden Kontrolle geht es um die Regelung der<br />
Verantwortlichen, dabei ist die Unternehmensleitung <strong>für</strong> einen reibungslosen Ablauf<br />
des Risikomanagementprozesses mit Chancen, Risiken, Strategien und Maßnahmen<br />
verantwortlich. Aber auch den einzelnen Unternehmensbereichen werden neben<br />
einer Reihe von Aufgaben meistens auch Verantwortlichkeiten übertragen.<br />
Der zweite Bereich der Risikoüberwachung, die Frühwarnung nimmt Bezug auf alle<br />
frühzeitig verfügbaren Informationen, welche der Unternehmensleitung Hinweise auf<br />
Gefahren und Schwierigkeiten geben können. Dabei setzt die Frühwarnung<br />
Frühwarnungssysteme ein, welche es ermöglichen Entwicklungen rechtzeitig<br />
erkennen zu können um Gegenmaßnahmen zur Minderung oder Abwehr der<br />
entstehenden Gefahren einzuleiten. 62<br />
Zusammenfassend ist der Risikomanagementprozess als Kreislauf zu sehen, bei<br />
dem ein Prozess in den anderen übergeht und in dem alle Prozesse einander<br />
Informationen und Daten liefern um die Ziele des Risikomanagements zu erreichen<br />
und somit die Unternehmensziele zu sichern.<br />
62 Vgl. Ehrmann (2005), S.157 ff.<br />
28
3 BEWERTUNGSMODELLE<br />
Die Bewertungsmodelle von Risiken lassen sich in Top Down und Bottom Up<br />
Verfahren einteilen. Diese Verfahren werden wiederum in Quantitative und<br />
Qualitative Methoden untergliedert. 63<br />
Im Risikocontrolling werden diese Modelle eingesetzt um Risiken zu analysieren und<br />
zu bewerten. Die Informationen des Controllings bilden dabei die Grundlage des<br />
Risikocontrollings, wobei die Kennzahlen, Kalkulationen und Soll/Ist-Vergleiche des<br />
reinen Controllings ebenfalls Hinweise auf Risiken geben können.<br />
Die bedeutendsten Bewertungsmodelle in der Praxis nennen sich Risk-Map,<br />
Szenario-Technik, Cash Flow at Risk, Value at Risk, und Dynamic Risk<br />
Management. Im Folgenden werden diese genauer erläutert.<br />
3.1 Risk Map<br />
Die erkannten Risiken werden in der Phase der Risikobewertung hinsichtlich ihres<br />
Erwartungswertes quantifiziert. „Der Erwartungswert bestimmt sich aus der<br />
Multiplikation der Eintrittswahrscheinlichkeit mit dem Schadensausmaß<br />
(Risikopotenzial, Tragweite).“ 64 Ziel ist es die Risiken in eine nach<br />
Gefährdungspotenzial geordnete Rangfolge zu bringen, um diese in einer Risk Map<br />
abzubilden. 65<br />
Risk Maps oder Risiko-Portfolios sind in der Praxis weit verbreitete Instrumente und<br />
dienen als visualisierte Kommunikationshilfen <strong>für</strong> Unternehmensrisiken. „In Ihr wird<br />
das Risiko nach Eintritts und einer damit verbundenen Schadenswahrscheinlichkeit<br />
markiert und erfasst.“ 66 Sie bilden die Grundlage zur Priorisierung und Ableitung von<br />
Risikosteuerungsmaßnahmen. 67 Die Risk Map ist ein Instrument, das die Elemente<br />
der Risikoidentifikation, -bewertung und –steuerung zusammenführt. 68<br />
63 Vgl. Romeike (2005),S.28<br />
64 Romeike (2005), S.27<br />
65 Vgl. Romeike (2005), S.27<br />
66 Keitsch (2007), S. 181<br />
67 Vgl. http://www.weka-finanzen.ch/praxisreport_view.cfm?nr_praxisreport=879&s=Risk-Maps<br />
68 Vgl. Burger/Buchhart (2002), S. 183-188<br />
29
Abbildung 11: Risk Map 69<br />
Dabei wird an der x-Achse die Eintrittswahrscheinlichkeit und an der Y-Achse die<br />
Schwere der Folgen abgebildet. Auf diese Weise gibt die Risk Map die Höhe eines<br />
Risikos an.<br />
Risk Maps können in mehrere Quadranten eingeteilt werden. Die folgende Abbildung<br />
unterteilt die Risiken in vier Bereiche. Risiken, die in den vierten Quadranten<br />
eingeordnet werden, stellen keine große Bedrohung dar. Sie sollten jedoch<br />
regelmäßig durch das Risikocontrolling überprüft werden. Die Risiken des zweiten<br />
Quadranten haben erhebliche Auswirkungen auf das Unternehmen. Trotz der<br />
geringen Eintrittswahrscheinlichkeit müssen sie erkannt und regelmäßig überwacht<br />
werden. Risiken des dritten Quadranten treten mit hoher Wahrscheinlichkeit ein und<br />
müssen daher kontinuierlich überprüft werden. Der erste Quadrant bildet Risiken ab,<br />
welche mit hoher Wahrscheinlichkeit eintreten und zusätzlich schwere Folgen <strong>für</strong> das<br />
Unternehmen haben können. Diese Risiken müssen schon in der Entstehung<br />
vermieden und durch regelmäßige Kontrolle überwacht werden.<br />
Durch die Risk Map kann ein standardisierter Risikokatalog <strong>für</strong> ausgewählte<br />
Betrachtungsobjekte ausgearbeitet werden, der dem Risikomanager eine<br />
übersichtliche Darstellung der Gesamtrisikosituation des Unternehmens bietet. Dabei<br />
werden die Gewichtungen der Einzelrisiken addiert und durch die Gesamtanzahl der<br />
Quadranten dividiert. Ein weiterer Vorteil ist die Verwendung als zweidimensionale<br />
69 http://www.weka-finanzen.ch/praxisreport_view.cfm?nr_praxisreport=879&s=Risk-Maps<br />
30
Navigationsstruktur, um einen schnellen Zugriff auf weitere Informationen der Risiken<br />
zu ermöglichen.<br />
Die ordinale Skalierung verhindert jedoch Kumulierungs- und Aufhebungseffekte.<br />
Aus diesem Grund ist die Risk Map nicht zur Steuerung der Gesamtrisikoposition<br />
eines Unternehmens geeignet. 70 Außerdem können Risk Maps durch zu viele<br />
Betrachtungsobjekte schnell unübersichtlich werden und durch Erfassung aller<br />
Risiken einen großen Aufwand darstellen. Aus diesem Grund sollten nur relevante<br />
Einzelrisiken erfasst werden.<br />
3.2 Value at Risk<br />
Das starke Wachstum der Finanzmärkte und die erhöhte Volatilität in Verbindung mit<br />
zunehmender Komplexität der Portfolios erhöht das Risiko von Verlusten. Diese<br />
potenziellen Verluste lassen sich mit dem Value at Risk erfassen. 71 Dabei müssen<br />
Haltedauer der Portfolios und die Abhängigkeiten zwischen den Risiken bekannt und<br />
prognostiziert werden können. Jedes Risiko wird mit einer Eintrittswahrscheinlichkeit<br />
versehen.<br />
„Der Value at Risk (VaR) ist ein verlustorientiertes Risikomaß. Risikomaße, die auf<br />
den Verlustbereich einer möglichen Vermögensänderung abstellen, werden auch als<br />
Shortfall- oder Downside-Risk-Maße bezeichnet.“ 72 Der Value-at Risk wurde 1993<br />
von der Global Derivatives Study Group als Konzept zur Quantifizierung von<br />
Marktrisiken vorgeschlagen und hat sich zum Standard der Risikomessung<br />
entwickelt. 73 In den letzten Jahren ist der Value at Risk auch <strong>für</strong> Ausfallrisiken<br />
weiterentwickelt worden. Die Berücksichtigung des Zeitraumes, die Messung der<br />
Geldeinheiten und die Risikoeinstellung standen beim Vergleich der<br />
unterschiedlichen Risikoarten jeweils im Fokus. 74<br />
Für die Berechnung dieser mathematisch-statistischen Methode gibt es drei<br />
verschiedene Ansätze. Die historische Simulation, das Varianz-/ Kovarianzmodell<br />
70<br />
Vgl. Kliebe (2008), S. 42-43<br />
71 Vgl. Romeike (2005), S. 57<br />
72 Wolke (2008), S.27<br />
73<br />
Eisele (2004), S. 2<br />
74 Vgl. Wolke (2008), S.27<br />
31
und die Monte Carlo Simulation. 75 Die historische Simulation greift auf historische<br />
Marktdaten zurück und geht davon aus, dass die Kursentwicklung und<br />
Schwankungsintensität der vergangenen Kurse auch <strong>für</strong> die Zukunft gelten. Das<br />
Varianz-/Kovarianz Modell bezieht sich auf die Gaußsche Normalverteilungskurve<br />
und setzt voraus, dass die Marktentwicklung der Normalverteilung entspricht. Die<br />
Monte Carlo-Simulation ist eine aufwendige und umfangreiche Computersimulation,<br />
welche unterschiedliche Szenarien annimmt und die Wahrscheinlichkeiten formuliert.<br />
Aus diesen Szenarien wird ein Zufallswert ausgewählt und <strong>für</strong> die Berechnung des<br />
Value at Risk eingesetzt. 76<br />
Der Value at Risk beschreibt den höchsten erwarteten Verlust bei normalen<br />
Marktbedingungen, bezogen auf einen bestimmten Zeitraum und ein<br />
Konfidenzniveau. nzniveau. Dabei ist das Konfidenzniveau die Wahrscheinlichkeit, die ein<br />
bestimmter kritischer Wert nicht unterschreitet.<br />
Der Value at Risk wird mit einem gegebenen Konfidenzniveau von<br />
berechnet und stellt das entsprechende Quantil der Verteilung von X dar:<br />
Bei Erhöhung der Haltedauer und des Konfidenzniveaus steigt der Value at Risk an.<br />
Das Value at Risk Konzept behebt diverse Probleme anderer Risikokennzahlen und<br />
kann daher zur unternehmensweiten Risikomessung und –steuerung<br />
eingesetzt<br />
werden. 77 Kritisch zu beleuchten ist jedoch der Aspekt, dass das Konzept von einer<br />
Normalverteilung ausgeht und von Vergangenheitsdaten auf die Zukunft geschlossen<br />
wird. Des Weiteren bezieht sich der Value at Risk auf kurzzeitige Perioden. 78<br />
3.3 Cash flow at risk<br />
International ausgerichtete Unternehmen sind einer Vielzahl von Risiken ausgesetzt.<br />
Wechselkurs-, Rohstoffpreis-, Zins- und Aktienkursrisiken können im internationalen<br />
Umfeld gravierende Konsequenzen mit sich bringen. Externe wie Investoren,<br />
75 Vgl. Romeike (2005), S. 62<br />
76 Vgl. Romeike (2005), S.62<br />
77 Vgl. Wolke (2008), S. 49<br />
78 Vgl. Wolke (2008), S. 58<br />
32
Lieferanten, Kunden und der Gesetzgeber fokussieren sich hauptsächlich auf die<br />
Auswirkungen der Risiken auf die Ertragslage des Unternehmens. 79<br />
„Operative Cash Flows sind volatil und unsicher. Sie können daher nicht zu einem<br />
Vermögenswert aggregiert werden.“ 80 Aus diesem Grund wurde das Cash Flow at<br />
Risk Modell entwickelt. Es betrachtet einen Planungszeitraum von bis zu 24<br />
Monaten, den Gewinn vor Zinsen und Steuern (EBIT) statt Barwerten und ist ein<br />
dynamisches System. „Mit Hilfe von Zufallsprozessen werden <strong>für</strong> die Risiko-Faktoren<br />
Kurs- oder Preisentwicklungen <strong>für</strong> die Zeit vom Tag der Risiko-Analyse bis zum<br />
Prognosehorizont simuliert.“ 81<br />
Der Cash Flow at Risk Ansatz berücksichtigt schwankende Marktpreise sowie<br />
Zahlungen und deren Einflussfaktoren beispielsweise das Verhalten des<br />
Wettbewerbs oder Marktpreisänderungen. Dabei ist das Zusammenspiel der<br />
Bestimmungsgrößen wichtig um die Abhängigkeit zwischen Märkten, Konkurrenten<br />
und Unternehmenserfolg erfassen zu können. 82<br />
„Der Cash Flow at Risk ist die Abweichung vom erwarteten Ergebnis die mit einer<br />
Warscheinlichkeit von 95% nicht unterschritten wird.“ 83<br />
Abbildung 12: Value at Risk versus Cash Flow at Risk 84<br />
79 Vgl. http://www.risknet.de/wissen/grundlagen/methoden/cash-flow-at-risk/<br />
80 Vgl. http://www.risknet.de/uploads/tx_bxelibrary/RISKNEWS-Cash-flow-at-Risk-032004.pdf<br />
81 http://www.risknet.de/uploads/tx_bxelibrary/RISKNEWS-Cash-flow-at-Risk-032004.pdf<br />
82 Vgl. http://www.risknet.de/uploads/tx_bxelibrary/RISKNEWS-Cash-flow-at-Risk-032004.pdf<br />
83 http://www.risknet.de/uploads/tx_bxelibrary/RISKNEWS-Cash-flow-at-Risk-032004.pdf<br />
33
3.4 Szenariotechnik<br />
Die Szenariotechnik ist ein Projektionsverfahren, das die Entwicklung des<br />
Projektionsgegenstandes im Zeitablauf unter alternativen Rahmenbedingungen<br />
beschreibt. 85 „So werden beispielsweise <strong>für</strong> die Ermittlung der Umsatzerlöse eines<br />
Unternehmens <strong>für</strong> das folgende Geschäftsjahr verschiedene Szenarien aufgestellt,<br />
die bestimmte Marketingaktionen der Wettbewerber abbilden und alternative<br />
gesamtwirtschaftliche Entwicklungen mit einbeziehen.“ 86<br />
Anwendungsbereiche dieses Modells sind unter anderem Umweltanalysen,<br />
Strategieentwicklung, Trendforschung, Prognoseanalysen und die Bewertung von<br />
Maßnahmen hinsichtlich ihrer Wirkung. 87<br />
In der Regel werden drei bis fünf Szenarien entwickelt, die ein Best-Case- und ein<br />
Worst-Case-Szenario enthalten und somit die Prognosetrompete und das Trend-<br />
Szenario bilden. Hierbei ist das Trend-Szenario der Fall, der am wahrscheinlichsten<br />
eintritt. Weiterhin werden Störereignisse und mögliche Gegenmaßnahmen in die<br />
Szenariotechnik aufgenommen. 88<br />
Die Planung der Szenarien wird in acht Phasen durchgeführt. In der ersten Phase<br />
der Aufgabenanalyse werden Aufgabenstellung und Ziele festgelegt. In der zweiten<br />
Phase werden Einflussfaktoren und Ziele ermittelt. Darauf folgen die Phasen der<br />
Trendprojektion und der Alternativenbündelung, in welchen Deskriptionen<br />
beschrieben und konsistente Annahmebündel erstellt werden. In der fünften Phase<br />
der Szenario-Interpretation werden Umfeldszenarien entwickelt und durch die<br />
sechste Phase der Störfallanalyse auf Auswirkungen untersucht. In der siebten<br />
Phase der Konsequenzanalyse werden Chancen und Risiken dieser Auswirkungen<br />
analysiert, sodass die Szenarien in der letzten Phase entwickelt und implementiert<br />
werden können. 89<br />
84 Vgl. http://www.ccfb.de/corporate-risk-management/corporate-risk/was-ist-cashflow-at-risk.html<br />
85 Vgl. Vahs/Schäfer-Kunz, S.270<br />
86 Vahs/Schäfer-Kunz (2007), S.270<br />
87 Vgl. http://www.sinus-online.com/szenariotechnik-allgemeines.html<br />
88 Vgl. Vahs/Schäfer-Kunz (2007), S.271<br />
89 http://www.sinus-online.com/szenariotechnik-allgemeines.html<br />
34
Abbildung 13: Szenariotechnik 90<br />
Der Vorteil der Szenariotechnik ist die Berücksichtigung qualitativer und quantitativer<br />
Einflussfaktoren im Hinblick auf künftige Entwicklungen. So werden auch schwache<br />
Signale abgebildet und ergeben mehrere Zukunftsszenarios, welche letztendlich die<br />
Grundlage der strategischen Planung bilden können. Auf diese Weise kann auch die<br />
Wirkung von Gegenmaßnahmen getestet und beurteilt werden um Krisen<br />
vorzubeugen. Alle Szenarien, welche unter das Trendszenario fallen, werden als<br />
Risiken identifiziert. Diese Identifikation der Risiken ermöglicht die Planung und<br />
Durchführung von Gegenmaßen, sodass die Szenariotechnik letztendlich der<br />
Krisenprävention dienen kann. 91<br />
3.5 Dynamic Risk Management<br />
Zunehmende Ansprüche der Stakeholder, steigender Kostendruck und die stetig<br />
zunehmende Dynamik und Komplexität des Unternehmensumfelds stellen die<br />
Unternehmensführung vor große Herausforderungen, um den Unternehmenserfolg<br />
sicherzustellen. Ein gut ausgestattetes und effektiv eingesetztes Risikocontrolling<br />
90 Vgl. http://www.risknet.de/risknews/wie-stressig-muss-ein-stresstestsein/a86561cab70da12a5a63171014941ffa/<br />
91 Vgl. Vahs/ Schäfer-Kunz, S.271<br />
35
unterstützt die Unternehmensführung bei der erfolgreichen Steuerung des<br />
Unternehmens. 92<br />
Erfolgreiche Risikomanagementsysteme müssen unternehmensweit ausgestaltet,<br />
integriert, wertorientiert und nachhaltig sein. Dabei bedeutet Nachhaltigkeit, dass das<br />
System effektiv und effizient eingesetzt werden kann. Das bestehende<br />
Risikomanagement wird zu einem ganzheitlichen System umgestaltet um einen<br />
zielorientierten Einsatz zu ermöglichen. Eine unternehmensweite Informationsbasis<br />
erhöht den Einblick in Entscheidungsoptionen und erweitert<br />
Entscheidungsspielräume und damit die unternehmerische Freiheit. 93<br />
Das Dynamic Risk Management betrachtet Risiken aus dem Blickwinkel der Gefahr<br />
sowie der Chance. Es ermöglicht Risiken gezielt zu steuern, auf Veränderungen<br />
rechtzeitig zu reagieren und leistet somit einen wesentlichen Beitrag zum<br />
Unternehmenserfolg. 94<br />
Die Ausgestaltung des Dynamic Risk Management wird in einer Risk Governance<br />
festgelegt. Hierbei werden Risikomanagement-Ziele, die Risikostrategie und die<br />
Risikokultur fokussiert.<br />
Die Vorrausetzung <strong>für</strong> ein nachhaltiges Risikomanagement ist, dass Rollen und<br />
Verantwortlichkeiten eindeutig definiert und in die organisatorische Struktur des<br />
Unternehmens eingegliedert werden. Grundsätzlich sind drei zentrale<br />
Verantwortlichkeiten empfehlenswert: Zum Einen der Chief Risk Officer, welcher in<br />
der Unternehmensleitung integriert ist und zum Anderen die Risikomanager, welche<br />
als Bindeglieder zwischen dem Chief Risk Officer und den Geschäftsbereichen<br />
agieren. Zusätzlich dienen Risikoverantwortliche in den Geschäftsbereichen der<br />
Identifizierung, Überwachung und Steuerung der Risiken.<br />
Auch der Einsatz moderner Technologien ist ein wesentlicher Bestandteil der<br />
effizienten und erfolgreichen Ausgestaltung des Dynamic Risk Managements. Die<br />
Aufbereitung sowie die Analyse großer Datenmengen schaffen eine aktuelle<br />
92 PricewaterhouseCoopers (2010), S. 7<br />
93 PricewaterhouseCoopers (2010), S.7<br />
94 PricewaterhouseCoopers (2010), S.7<br />
36
Informationsbasis und bilden eine essentielle Grundlage <strong>für</strong> die Qualität und<br />
Verfügbarkeit entscheidungsrelevanter Informationen. 95<br />
Auch in einem dynamischen Umfeld bietet das Dynamic Risk Management<br />
Transparenz über die Chancen und Gefahren, welche sich durch die<br />
unterschiedlichen Risiken im Unternehmensumfeld ergeben. Dadurch lassen sich<br />
Risiken effektiver steuern und die Unternehmensziele erfolgreich umzusetzen.<br />
Vorrausetzung <strong>für</strong> den Erfolg dieses Systems ist die unternehmensweite Integration<br />
sowie die wertorientierte und nachhaltige Ausgestaltung. Sämtliche Risiken müssen<br />
auf horizontaler und vertikaler Ebene im gesamten Unternehmen identifiziert,<br />
bewertet und gesteuert werden. Das Risikomanagement wird in alle relevanten<br />
Geschäftsprozesse, Strukturen und Systeme integriert und auf die Erreichung der<br />
Unternehmensziele, Stärkung der Unternehmenswerte sowie auf die<br />
Unternehmenskultur ausgerichtet. Dabei stehen Effektivität und Effizienz im<br />
Vordergrund um den größtmöglichen Nutzen bei möglichst niedrigen Kosten zu<br />
erreichen. Das Dynamic Risk Management ist flexibel und kann an die sich stetig<br />
veränderte Unternehmensumwelt angepasst werden, da die Strategie, die<br />
Organisation und die Prozesse des Dynamic Risk Management modular ausgestaltet<br />
sind. Die unternehmerische Freiheit und Flexibilität, geringe Kosten und die<br />
Nachhaltigkeit sind wesentliche Vorteile dieses Systems. Es gibt einen Überblick<br />
über die sich stetig ändernden Rahmen- und Umweltbedingungen des<br />
Unternehmens und ermöglicht Risiken frühzeitig zu erkennen. Der daraus<br />
entstehende Zeitvorsprung und die Entscheidungssicherheit ergeben dabei einen<br />
deutlichen Wettbewerbsvorteil. Durch die Integration bestehender<br />
Risikomanagementsysteme, lassen sich unter anderem Kosten reduzieren. Dies<br />
unterstützt ein Unternehmen folglich in seinem wirtschaftlichen Denken und Handeln.<br />
Das Dynamic Risk Management fördert den bewussten Umgang mit Risiken. Dieses<br />
Bewusstsein ermöglicht eine Abwägung von Risiken, welche eingegangen werden<br />
müssen, um daraus entstehende Chancen nutzen zu können. Durch den Dynamic-<br />
Risk-Management-Ansatz lässt sich das Risikobewusstsein in der<br />
Unternehmenskultur nachhaltig verankern. 96<br />
95 PricewaterhouseCoopers (2010), S.8<br />
96 Vgl. PricewatehouseCoopers (2010), S.11<br />
37
In den vergangen Jahren wurden einzelne Risikomanagement-Teilsysteme<br />
entwickelt, die sich meist auf Risiko Teilbereiche konzentrieren. Die Abhängigkeiten<br />
der Risiken untereinander bleiben oft unbeachtet. Die Integration der vorhandenen<br />
Teilsysteme des Risikomanagements durch das Dynamic Risk Management<br />
ermöglicht eine Gesamtlösung mit unternehmensweiter Sicht auf Risiken und deren<br />
Zusammenhänge.<br />
Abbildung 14 : Überführung von Risikomanagement-Teilsystemen 97<br />
Die wesentlichen Elemente eines Dynamic Risk Managements sind die Risk<br />
Governance mit Risikostrategie und der Risikokultur sowie die Risikomanagement-<br />
Prozesse. Weiterhin bilden die Risikomanagement Organisation sowie die<br />
Risikomanagement-Technologie einen Teilbereich des Dynamic Risk Managements<br />
ab. 98<br />
97 Vgl.PricewaterhouseCoopers (2010), S.12<br />
98 Vgl. PricewaterhouseCoopers (2010), S. 14<br />
38
Abbildung 15: Elemente zur Ausgestaltung von Dynamic Risk Management 99<br />
Die Risk Governance bildet den Rahmen <strong>für</strong> den Inhalt und die Organisation des<br />
Dynamic Risk Managements. In Ihr werden die Ziele des Risikomanagements, die<br />
Risikostrategie und Risikokultur festgelegt. Aus diesen Grundsätzen werden die<br />
Vorgaben <strong>für</strong> Organisations-, Prozess- und Technologieebene abgeleitet. Mit Hilfe<br />
der Risk Governance wird sichergestellt, dass die Ziele und Strategie regelmäßig<br />
überprüft und angepasst werden. 100<br />
Klar definierte Rollen und Verantwortlichkeiten sowie deren Verankerung in der<br />
organisatorischen Struktur des Unternehmens sind Vorrausetzung <strong>für</strong> eine<br />
erfolgreiche Umsetzung des Dynamic Risk Managements. Bei der Ausgestaltung der<br />
Organisation wird das Ziel verfolgt, die mit dem Risikomanagement verbundenen<br />
Rollen und Funktionen in die bestehende Unternehmensstruktur zu integrieren. So<br />
lässt sich eine Isolierung der Risikomanagement-Organisation neben bestehenden<br />
Strukturen verhindern. Dies wiederum fördert die Sensibilisierung der Mitarbeiter <strong>für</strong><br />
das Risikobewusstsein und die Erzielung von Synergieeffekten. Trotz der Integration<br />
in die bestehenden Strukturen des Unternehmens wird eine zentrale<br />
Risikomanagement-Funktion benötigt, um die unternehmensweite Koordination und<br />
Überwachung der operativen Bereiche sicherzustellen. Dabei ist, wie bereits<br />
erwähnt, die Aufteilung in drei zentrale Rollen sinnvoll. Der Chief Risk Officer trägt<br />
die Verantwortung der Risikomanagement-Funktion und setzt die Steuerung des<br />
Dynamic Risk Managements im Unternehmen um. Die Risikomanger beraten die<br />
99 Vgl. PricewaterhouseCoopers (2010), S.14<br />
100 Vgl. PricewaterhouseCoopers (2010), S.18<br />
39
operativen Bereiche und stellen eine Verbindung zur der Risikomanagement-<br />
Abteilung her. Die Risikoverantwortlichen aus den operativen Bereichen identifizieren<br />
und steuern die Risiken. Neben diesen drei zentralen Rollen sieht der Dynamic-Risk-<br />
Management-Ansatz auch Gremien vor, die sich aus den bestehenden Funktionen<br />
zusammensetzen. 101<br />
Der Risikomanagement-Prozess besteht aus den Phasen der Risikoidentifikation,<br />
Risikobeurteilung, Risikosteuerung und dem Risikoreporting. Ziel der<br />
Risikoidentifikation ist es im ersten Schritt alle relevanten Gefahren und Chancen zu<br />
erkennen, die <strong>für</strong> den Erfolg eines Unternehmens entscheidend sind. Hierbei ist die<br />
Fachkompetenz der Mitarbeiter ausschlaggebend. Im zweiten Schritt werden die<br />
Risiken durch die Risikoverantwortlichen anhand von einheitlich und zentral<br />
vorgegebenen Kriterien bewertet. Dabei werden sie vom Risikomanager bei der<br />
Beurteilung unterstützt. Die Risikosteuerung hat zum Ziel das richtige Maß zwischen<br />
Chancen und Gefahren zu finden, um Präventivmaßnahmen ergreifen zu können.<br />
Den Maßnahmen werden Indikatoren zugeordnet, sodass frühzeitig Rückschlüsse<br />
über die Wirksamkeit gezogen werden können. Das Risikoreporting sorgt <strong>für</strong> die<br />
gezielte Steuerung von Informationsflüssen. Dabei werden Informationen über die<br />
Risikosituation, den Risikoverantwortlichen, die Risikobewertung, die<br />
Frühindikatoren, den aktuellen Status und die Maßnahmen zur Risikosteuerung<br />
erfasst. 102<br />
Die Risikomanagement-Technologie zielt auf die Bildung einer sicheren<br />
Informationsbasis <strong>für</strong> Unternehmensentscheidungen ab. Sie ermöglicht die<br />
Erfassung von Informationen, die Aktualität der Daten und das Aufbereiten von<br />
entscheidungsrelevanten Informationen. 103<br />
Der Erfolg eines Unternehmens, in einem sich ständig ändernden und komplexen<br />
Umfeld, bei wachsenden Anforderungen der Stakeholder und zunehmendem<br />
Kostendruck erfordert moderne und flexible Steuerungsinstrumente der<br />
Unternehmensleitung.<br />
Zusammenfassend dient das Dynamic Risk Management also der Bildung einer<br />
verbesserten Informationsgrundlage. Mit Hilfe dieser neugewonnenen<br />
101 Vgl.PricewaterhouseCoopers (2010), S. 20<br />
102 Vgl. PricewaterhouseCoopers (2010), S.28<br />
103 Vgl. PricewatehouseCoopers (2010), S.29<br />
40
Informationsbasis lassen sich der Handlungsspielraum und die Transparenz <strong>für</strong><br />
Entscheidungen der Unternehmensleitung deutlich erweitern. Weiterhin ist die<br />
Verminderung von Risiken und die Realisierung von Chancen ein grundlegender<br />
Aspekt, der aus der erfolgreichen Umsetzung des Dynamic Risk Managements<br />
hervorgeht. 104<br />
4 RISIKO-REPORTING<br />
4.1 Grundlagen<br />
Man charakterisiert als Risiko „die Möglichkeit einer negativen Zielabweichung“. 105<br />
Deshalb sind aktuelle und zuverlässige Informationen <strong>für</strong> Manager von großer<br />
Bedeutung. Aufgrund andauernder und unvorhergesehener Veränderungen, sind<br />
Unternehmen gezwungen sich ständig anzupassen und eine Vielzahl von<br />
Einflussgrößen zu beachten. 106<br />
Diese Informationen bilden die Basis <strong>für</strong> zielgerichtete Entscheidungen und können<br />
das Risiko einer Fehlentscheidung und der daraus resultierenden Zielabweichung<br />
reduzieren.<br />
Um den Zielen und Aufgaben des Risikomanagements gerecht zu werden, ist eine<br />
umfassende Berichtserstattung auf allen Ebenen des Unternehmens durchzuführen<br />
und in das Standardberichtswesen zu integrieren. Die Erfassung von Risikoberichten<br />
und Informationen zur Verbesserung des Risikomanagementsystems stellen<br />
wesentliche Inhalte des Risiko-Reporting dar. Ein zuverlässiges Reporting und die<br />
damit einhergehende Transparenz über bestehende Risiken sind <strong>für</strong> die Existenzund<br />
Erfolgssicherung eines Unternehmens von primärer Bedeutung. 107<br />
4.2 Ziele und Funktionen<br />
Das Risiko-Reporting besitzt die zentrale Aufgabe Risiko- und Chancenrelevante<br />
Informationen an die betreffenden Personen und Stellen zu übermitteln. 108 Dies<br />
beinhaltet die Erstellung, Ermittlung und Vermittlung von unternehmens- und<br />
umweltbezogenen Informationen über Tatsachen, Ereignissen, Zusammenhängen<br />
104 Vgl. PricewaterhouseCoopers (2010), S. 34<br />
105 Erben/Romeike (2002), S.3<br />
106 Vgl. Erben/Romeike (2002), S. 4<br />
107 Vgl. Diedrichs (2012), S.163<br />
108 Vgl. Denk (2005), S. 125<br />
41
und Vorgängen. Informationen zur Identifizierung und Bewertung von Risiken, sowie<br />
eingeleitete Maßnahmen zur Gegenwirkung werden in Form von Berichten<br />
dokumentiert. 109<br />
Dabei dienen die Risikoberichte unterschiedlichen Zwecken. Hierzu zählen die<br />
hierarchieübergreifende Informationsversorgung von bestehenden Risiken und von<br />
risikorelevanten Prozessen, die Funktion der Entscheidungsunterstützung, der<br />
Dokumentation und Kontrolle, der Prüfbarkeit und der Rechenschaft. 110<br />
Das Risiko-Reporting soll Entscheidungsträgern eine Überwachung der Risikolage<br />
ermöglichen und ein frühzeitiges Entgegenwirken risikorelevanter Situationen<br />
gewährleisten. Primäres Ziel ist die Steigerung des Risikobewusstseins und das<br />
Schaffen einer Transparenz der Risikosituation auf allen Ebenen des<br />
Unternehmens. 111<br />
4.2.1 Informationsfunktion<br />
Die Art der Risiken, die Einflussfaktoren, der zeitliche Verlauf, das<br />
Gefährdungspotenzial der Einzelrisiken, das Zusammenwirken von Einzelrisiken und<br />
das daraus resultierende Gefährdungspotenzial der kumulierten Risiken sind wichtige<br />
Informationen, die zur Entscheidungsfindung benötigt werden. Die Dokumentation ist<br />
zwingend genau und zeitnah zu erstellen um eine konstante<br />
Informationsbeschaffung sicher zu stellen, die ein risikogerechtes Beurteilen von<br />
basisgebenden Daten zur Entscheidungsfindung ermöglicht. 112<br />
4.2.2 Entscheidungsfunktion<br />
Zur Entscheidungsfindung werden die Risikopositionen der operativen Teileinheiten<br />
ständig erfasst und dann <strong>für</strong> die Entscheidungsträger und die Unternehmensleitung<br />
transparent aufbereitet. „Dieser Informationsfluss ist auf den individuellen<br />
Informationsbedarf der einzelnen Adressaten auszurichten.“ 113<br />
Ein Informationsaustausch kann in die vertikale oder in die horizontale Richtung<br />
erfolgen. Entscheidungsträger der mittleren und unteren Führungsebene erhalten<br />
ein Feedback über ihre Risikopositionen und eine Evaluierung ihrer Entscheidungen,<br />
109 Vgl. Diedrichs (2012), S.163<br />
110 Vgl. Burger/Buchhart (2002), S. 175 f.<br />
111 Vgl. Diedrichs (2012), S.163<br />
112 Vgl. Burger/Buchhart (2002), S. 175<br />
113 Burger/Buchhart (2002), S.175<br />
42
so liegt ein Informationsfluss auf vertikaler Ebene vor. Ein horizontaler<br />
Informationsausaustausch ist hingegen durch den Informationsaustausch aller<br />
risikobetroffenen Stellen und Instanzen gekennzeichnet. Ziel des Risiko-Reporting<br />
ist das Verknüpfen und Koordinieren beider Formen.<br />
4.2.3 Dokumentations- und Kontrollfunktion<br />
Die Dokumentation und Kontrolle stellt wie bereits erwähnt eine wichtige Funktion<br />
des Risiko-Reporting dar. Verwendete Instrumente zur Steuerung von Risiken und<br />
deren Wirkung werden dokumentiert. Man spricht von einer Sicherungsfunktion im<br />
Rahmen des Risikomanagement-Prozess, da die Unternehmensführung bei Kenntnis<br />
über Risiken, Maßnahmen und eingesetzten Instrumenten, gegebenenfalls<br />
Gegenmaßnahmen einleiten kann und die Risiken im Rahmen der KonTraG<br />
Vorgaben überwachen kann.<br />
4.2.4 Prüfbarkeits- und Rechenschaftsfunktion<br />
Um dokumentierte Risikosituationen prüfbar zu machen, bietet es sich an ein<br />
Risikohandbuch zu führen. Kontrollinstanzen wird dadurch ein leichteres Ausüben<br />
ihrer Funktionen gewährleistet. Des Weiteren wird die Vorgabe des KonTraG erfüllt,<br />
welche die Dokumentation der Risikostruktur <strong>für</strong> den Lagebericht des<br />
Jahresabschlusses darstellt. Im Krisenfall übernimmt das Risiko-Reporting auch die<br />
Funktion der Rechenschaft. Die adäquate Dokumentation der Risiken dient als<br />
Beweisfunktion <strong>für</strong> den Vorstand. 114<br />
4.2.5 KonTraG<br />
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)<br />
wurde 1998 in Deutschland erlassen. Laut § 91 Abs. 2 sind alle Aktiengesellschaften<br />
angehalten über die Entwicklung der Risiken innerhalb des Unternehmens zu<br />
berichten. Diese Forderung wird jedoch auch in Kaptialgesellschaften und Nicht-<br />
Kapitalgesellschaften durchgeführt. Bei der Gestaltung lässt die gesetzliche Vorgabe<br />
große Spielräume, da Träger, Inhalt und Ausgestaltung nicht vorgegeben sind.<br />
Jedoch ist ein Frühwarnsystem laut § 91 Abs. 2 einzurichten. 115<br />
114 Vgl. Burger/Buchhart (2002), S.175 ff.<br />
115 Vgl. Burger/Buchhart (2002), S. 7 f.<br />
43
4.3 Gestaltung und Anforderungen<br />
Bei der Gestaltung des Reporting sind funktionale, inhaltliche, formale, zeitliche und<br />
personale Berichtsmerkmale zu beachten. Die Abbildung 16 zeigt, welche Fragen zu<br />
beantworten sind um die Ziele und Aufgaben des Risiko-Reporting erfüllen zu<br />
können.<br />
Was (inhaltlich)?<br />
- Berichtsinhalt<br />
- Aussageart<br />
- Verdichtungsgrad &<br />
Genauigkeit<br />
- Anzahl & Berichtsquelle<br />
Wann (zeitlich)?<br />
- Termin<br />
- Bearbeitungszeit<br />
- Berichtszeitraum<br />
Wozu (funktional)?<br />
- Berichtszweck<br />
Wie (formal)?<br />
- Datenerfassung<br />
- Datenaufbereitung<br />
- Darstellung<br />
- Übermittlungsmedium<br />
- Berichtsart<br />
Wer (personal)?<br />
- Ersteller (Sender)<br />
- Empfänger (Adressat)<br />
Abbildung 66 Parameter bei der Gestaltung der Berichtserstattung 116<br />
In der Praxis ist nach einer Kompromisslösung zu suchen, da nicht alle Aspekte<br />
getrennt voneinander betrachtet werden und konkurrierende Aspekte nicht<br />
gleichermaßen abgedeckt werden können. 117<br />
Neben den Berichtsmerkmalen muss das Risiko-Reporting noch weitere<br />
Anforderungen erfüllen:<br />
116 Vgl. Diederichs (2012), S.164<br />
117 Vgl. Diederichs (2012), S.164<br />
44
Wesentlichkeit: Der Umfang und Detaillierungsgrad des Risiko-<br />
Reporting ist an das Informationsbedürfnis der jeweiligen Ebenen und<br />
Teilbereiche anzupassen.<br />
Rechtzeitigkeit: Das Risiko-Reporting soll so angelegt sein, dass ein<br />
frühzeitiges Handeln gewährleistet wird. Lücken zwischen einzelnen<br />
Teilbereichen und der Gesamtunternehmensebene sollen durch den<br />
raschen Einsatz von Maßnahmen geschlossen werden.<br />
Genauigkeit: Risiken werden nach qualitativer und quantitativer Art<br />
beschrieben. Dabei sind quantitative Risiken nach Genauigkeitsgrad in<br />
Bandbreiten und Punktwerten zu unterteilen.<br />
Vollständigkeit: Die Vollständigkeit des Risiko-Reporting ist von Ebene<br />
zu Ebene verschieden. Die Teilbereichsebene sollte alle<br />
teilbereichsbezogenen Maßnahmen in das Reporting integrieren, die<br />
Gesamtunternehmensebene hingegen alle Informationen aus<br />
Gesamtsicht.<br />
Einheitlichkeit: Die Berichtsform ist einheitlich zu gestalten um eine<br />
Vergleichbarkeit der Risiken unterschiedlicher Ebenen sicher zu stellen<br />
und eine einfache Weiterverarbeitung auf der nächsthöheren Ebene zu<br />
gewährleisten. 118<br />
4.3.1 Berichtsarten und Berichtsfrequenz<br />
Bei der Gestaltung des Risiko-Reporting ist nach Standardrisikobericht,<br />
Spezialbericht und Ad-hoc-Bericht zu unterscheiden. Der Standardrisikobericht bildet<br />
die Grundlage der Informationsversorgung und ist durch einen festgelegten Inhalt,<br />
eine festgelegte Form und einen festgelegten Zeitpunkt gekennzeichnet. Der<br />
kontinuierliche Informationsfluss ist auf die Berichtsempfänger abgestimmt und liefert<br />
risikorelevante Informationen regelmäßig in gleicher Art und Weise. Die<br />
Berichtsfrequenz ist neben der Art und Entwicklung der Risiken, auch von der<br />
Branche des jeweiligen Unternehmens abhängig. Die Standardrisikoberichterstattung<br />
kann also täglich, wöchentlich, monatlich, quartalsweise, halbjährlich oder<br />
ganzjährlich erfolgen. Jedoch sollte sie an die Dynamik des Unternehmens<br />
angepasst sein und bei schnell veränderbaren Risiken zeitnah und in kurzen<br />
Intervallen erfolgen. Eine Berichterstattung verliert an Bedeutung wenn sie zeitlich<br />
118 Vgl. Burger/Buchhart (2002), S. 179<br />
45
zu spät oder zu selten durchgeführt wird. Deshalb empfiehlt es sich, die Häufigkeit<br />
der Berichterstattung an die Relevanz der Risiken anzupassen. 119<br />
Um einer individuellen Informationsversorgung gerecht zu werden, sind bei Bedarf<br />
Spezialberichte anzufertigen. Sachverhalte werden hier im Gegensatz zur<br />
Standardrisikoberichterstattung sehr ausführlich und detailreich beschrieben. 120<br />
Bei aprupt eintretenden Risiken ist die Ad-hoc-Berichterstattung einzusetzen. Hierbei<br />
werden die Informationen direkt an die Unternehmensführung übermittelt und nicht in<br />
das Standard-Reporting integriert. Es handelt sich um eine unregelmäßige Erfassung<br />
die nur bei sehr hohen bzw. existenzdrohenden Risiken erfolgt. 121<br />
4.3.2 Adressaten des Risiko-Reporting<br />
Für interne sowohl als auch <strong>für</strong> externe Adressaten ist es von großer Bedeutung,<br />
dass Daten richtig gesammelt, analysiert und verdichtet werden. Eine Integration<br />
dieser Schritte in die Unternehmenskultur ist notwendig um eine Grundlage <strong>für</strong><br />
operationelle und strategische Entscheidungen zu schaffen.<br />
4.3.2.1 Interne Adressaten & interne Dimension<br />
Bereichsleiter, Corporate Risk Management bzw. zentrales Risikomanagement, Risk<br />
Committee, Vorstand und Aufsichtsrat stellen mögliche interne Adressaten des<br />
Risiko-Reporting dar. Die Informationsbedürfnisse und Anforderungen sind von<br />
Empfänger zu Empfänger verschieden. Das zentrale Risikomanagement ist<br />
beispielsweise über sämtliche Risiken auf allen Ebenen in ausführlicher Art und<br />
Weise zu informieren. Einen Bericht über wesentliche Risiken inklusive einer<br />
Abstufung nach Relevanz der Risiken ist hingegen <strong>für</strong> den Vorstand zur Verfügung<br />
zu stellen. 122 Das Reporting ist daher auf mehreren Dimensionen mit spezifischen<br />
Informationen zu gestalten.<br />
Das Anfertigen einer „Top-10 Risiken“ Übersicht <strong>für</strong> die Unternehmensführung stellt<br />
eine denkbare Dimension dar. Hierbei sollten wichtige Einzelrisiken die in<br />
Kombination mit Ereignissen geschäftsgefährdend sein können, explizit erklärt<br />
119 Vgl. Diederichs (2012), S. 170<br />
120 Vgl. Diederichs (2012), S. 170 f.<br />
121 Vgl. Burger/Buchhart (2002), S. 178<br />
122 Vgl. Denk (2005), S. 125 f.<br />
46
werden. Genauso sollte auch mit Risiken verfahren werden, die auf verschiedenen<br />
Geschäftsebenen auftreten und durch ihre Potenzierung eine Gefahr darstellen.<br />
Des Weiteren ist auch eine Systematisierung nach Geschäftsfeldern gut umsetzbar.<br />
Strategische Entscheidungen können hierbei leichter getroffen werden. Zudem ist auf<br />
dieser Ebene ein größerer Detaillierungsgrad in der Darstellung möglich und die<br />
Interaktion der einzelnen Geschäftsbereiche leichter zu konkretisieren.<br />
Um eine Tendenz häufig auftretender Risikoarten erkennen zu können, bietet sich<br />
eine Aufgliederung nach Risikoarten an. Hilfreiche Aspekte zu Erfassungs- und<br />
Bewertungsmethoden werden hierbei ersichtlich.<br />
Eine Berichterstattung mit dem Schwerpunkt auf die unternehmensindividuellen<br />
Gegebenheiten ist ebenfalls von Interesse. Aktuelle Schwerpunktthemen der Risiken,<br />
signifikante Entwicklungen der Unternehmenswelt oder strategische Veränderungen<br />
stellen mögliche Inhalte dar. 123<br />
4.3.2.2 Externe Adressaten & externe Dimension<br />
Wirtschaftsprüfer, Shareholder, Debtholder, Analysten und Rating- Agentur zeichnen<br />
sich als externe Adressaten des Risiko-Reporting aus. Anhand des<br />
Geschäftsberichts (d.h. Lagebericht und Anhang) ist eine zutreffende Beurteilung der<br />
Risikolage des Unternehmens möglich. 124 Im externen Bereich übernimmt das<br />
Reporting ebenfalls eine Dokumentationsfunktion, da Kapitalgesellschaften nach<br />
§289 Abs. 1 HGB angehalten sind, im Lagebericht auf die Entstehung und<br />
Entwicklung bestehender Risiken einzugehen. Der Risikobericht ist in Verbindung mit<br />
dem Prognosebericht, der voraussichtliche Entwicklungen und Chancen umfasst, zu<br />
betrachten. Beide Berichte verfügen über den gleichen Bezugszeitraum von 12<br />
Monaten und weisen die gleichen Systeme und Instrumente des Risikomanagements<br />
auf. Vor allem bei Kapitalgesellschaften besteht gegenüber den Anlegern eine<br />
Verpflichtung, künftige Risiken zu kommunizieren und quantitativ zu bewerten. 125<br />
4.4 Risk Engine / RMIS<br />
Das Risk-Management-Informationssystem (RMIS) oder auch Risk Engine<br />
bezeichnet, hat die Aufgabe eine rechtzeitige Versorgung der Entscheidungsträger<br />
123 Vgl. Burger/Buchhart (2002), S. 188 f.<br />
124 Vgl. Denk (2005), S. 126<br />
125 Vgl. Burger/Buchhart (2002), S.188 f.<br />
47
mit notwendigen und relevanten Informationen zu gewährleisten. Daher bezeichnet<br />
man das RMIS auch als Entscheidungsunterstützungssystem. Mit Hilfe dieses<br />
Informationssystems sollen Informationen zum richtigen Zeitpunkt, am richtigen Ort<br />
und in richtiger Form bereit gestellt werden. Dazu werden interne sowohl als auch<br />
externe Daten erfasst, gespeichert, verarbeitet und zur Verfügung gestellt.<br />
Durch ein RMIS sollen Schwachstellen des Risk Managements auf ein geringes Maß<br />
reduziert werden. Zu den Schwachstellen zählen u.a.:<br />
ein fehlendes oder unvollständiges Risikoinventar<br />
fehlender Überblick der Risikolage<br />
Inkonsistenz bei der Erfassung und Speicherung von Daten<br />
fehlende bzw. gestörte Informations- und Kommunikationswege<br />
unzureichend informierte Unternehmensleitung<br />
verzögerte Entscheidungsfindung 126<br />
In vielen Fällen verfügt das Risk Management bereits über die erforderlichen Daten,<br />
kann jedoch die Erfassung, Speicherung, Verarbeitung und Bereitstellung der Daten<br />
nur unzureichend ausführen. Aufgrund dieser genannten Schwachstellen ist eine<br />
wesentliche Anforderung an ein RMIS einen reibungslosen und koordinierten<br />
Informationsfluss auf allen Ebenen des Unternehmens zu gewährleisten. Um aus<br />
gewonnen Informationen repräsentative Analysen erstellen zu können, muss vorab<br />
eine ordnungsgemäße Integration der Daten in ein eventuell bereits im Einsatz<br />
befindliches Datawarehouse oder wenn nicht in anderer<br />
strukturierter Form, einer beliebigen relationalen Datenbank erfolgen.<br />
126 Vgl. Erben/Romeike (2003), S. 281 f.<br />
48
Abbildung 17: Von Daten zu relevanten Managementinformationen 127<br />
Die Anforderungen an ein RMIS sind aufgrund der unterschiedlichen individuellen<br />
Bedürfnisse der einzelnen Unternehmen sehr unterschiedlich. Jedoch lassen sich<br />
einige grundlegenden Anforderungen definieren. Zum einen ist die Verfügbarkeit<br />
eines integrierten Datenbestandes und geeigneter Schnittstellen sicher zu stellen, da<br />
nicht nur risikobezogene sondern auch betriebswirtschaftliche Daten berücksichtigt<br />
werden müssen. Zum anderen ist auch die Integration eines Frühwarnsystems zu<br />
beachten, um künftige Entwicklungen zu antizipieren. Ein flexibler Aufbau des RMIS,<br />
eine benutzerfreundliche Gestaltung, die Verfügbarkeit von aktuellen Daten zu jedem<br />
Zeitpunkt, eine individuelle Gestaltung von Berichten und die Möglichkeit von<br />
flexiblen Simulationen stellen weitere Anforderungen an ein RMIS dar. Des Weiteren<br />
sollte die Wirtschaftlichkeit, Schnelligkeit, Konsistenz und Aktualität der Daten im<br />
Vordergrund stehen. 128<br />
4.5 Risk Map<br />
Nachdem die Risiken über den Risk Engine erfasst und erkannt wurden sind diese zu<br />
kategorisieren. Die Quantifizierung erfolgt hinsichtlich ihrer<br />
Eintrittswahrscheinlichkeit. Hierbei wird der Erwartungswert durch Multiplikation von<br />
Eintrittswahrscheinlichkeit und Schadensausmaß bestimmt. Ein Beispiel wäre, ein<br />
Risiko tritt mit einer Wahrscheinlichkeit von 30% ein und verursacht im Falle des<br />
127 In Anlehnung an Erben/Romeike (2003), S.283<br />
128 Vgl. Erben/Romeike (2003), S.283 f.<br />
49
Eintritts einen Schaden von 10.000 €. Höhe der finanziellen Risikorückstellung = 0,3<br />
x 10.000 € = 3.000 €. 129<br />
Anhand der Risikobewertung können die Risiken hinsichtlich ihres<br />
Gefährdungspotenzials in eine Rangfolge gebracht werden. 130 Um die bewerteten<br />
Risiken zu visualisieren und zu dokumentieren verwendet man eine Risk Map oder<br />
auch Risk Matrix genannt. Es handelt sich hierbei um eine Übersicht über die mit den<br />
einzelnen Risiken verbundenen Sachverhalte. Die Risk Map führt Elemente der<br />
Risikoidentifikation, -bewertung und -steuerung zusammen und kann sowohl <strong>für</strong> das<br />
gesamte Unternehmen angefertigt werden, als auch <strong>für</strong> Teilbereiche oder einzelne<br />
Geschäftsfelder. 131 Zur qualitativen und quantitativen Bewertung der Risiken werden<br />
verschiedene Analysemethoden eingesetzt, die bereits in Punkt<br />
„Bewertungsmodelle“ näher erläutert wurden.<br />
In der Risk Map werden die bewerteten Risiken dann in Form von Punkten in eine<br />
Matrix übertragen. Die vorher festgelegte Akzeptanzlinie zeigt ab wann eine<br />
Maßnahmenergreifung nötig ist.<br />
Abbildung 18: Riskportfolio 132<br />
129 Vgl. Organisationshandbuch - Bundesministerium<br />
130 Vgl. Romeike (2003), S. 157 f.<br />
131 Vgl. Burger/Buchhart (2002), S. 183<br />
132 In Anlehnung an Romeike (2003), S.158<br />
50
Die Risk Map wird im Rahmen des Risiko-Reporting vor allem im internen Sektor<br />
genutzt. Sie liefert der Unternehmensführung einen schellen und kompakten<br />
Überblick über die wichtigsten Risiken innerhalb des Unternehmens. Eine abgeleitete<br />
Version der Risk Map kann auch <strong>für</strong> eine risikoorientierte Steuerung des operativen<br />
Tagesgeschäfts eingesetzt werden. Der Nutzen dieses Instruments liegt in der<br />
übersichtlichen Darstellung und Einordnung der Risiken.<br />
Demnach muss eine Risk Map – Struktur aus folgendem bestehen:<br />
Informationsquelle<br />
Unternehmensebene bzw. – bereich<br />
Risikoart<br />
Einflussfaktoren<br />
Quantitative und qualitative Einschätzungen<br />
Soll- / Ist- Vergleiche<br />
Steuerungsmaßnahmen die geplant oder durchgeführt wurden<br />
Definierte Risikoverantwortlichkeiten 133<br />
Dieses Grundgerüst ist je nach Unternehmen auszubauen oder zu minimieren jedoch<br />
sollte man den „ Konflikt zwischen zunehmenden Detaillierungsgrad und<br />
abnehmender Übersichtlichkeit“ nicht außer Acht lassen. 134<br />
4.6 Risiko-Reporting in der Praxis<br />
Das Risiko-Reporting nimmt im Rahmen des Risikomanagements einen wichtigen<br />
Stellenwert ein. In der Praxis, so zeigt es eine Studie, liegen jedoch sowohl im<br />
internen als auch im externen Bereich große Defizite vor. Im internen Sektor erfolgt<br />
die Kommunikation des Risikoberichts oftmals nur direkt an die<br />
Unternehmensführung. Schnittstellen und Zuständigkeiten werden hierbei<br />
übergangen. Im externen Bereich werden gesetzliche Anforderungen nicht erfüllt.<br />
Allgemeine Risikogrundsätze und -definitionen stellen die Ursachen <strong>für</strong> die Mängel<br />
dar.<br />
133 Vgl. Burger/Buchhart (2002), S. 184<br />
134 Burger/Buchhart (2002), S. 184<br />
51
Deshalb ist es enorm wichtig eine ausgeprägte Risikokultur zu schaffen, die durch<br />
das Verständnis des Managements und der Sicherstellung von Kompetenzen<br />
gekennzeichnet ist. Des Weiteren müssen die Informationen an den jeweiligen<br />
Adressaten angepasst werden. Art, Form und Menge sind nach den Bedürfnissen<br />
und Interessen des Empfängers abzustimmen. Die Mindestbestandteile des externen<br />
Risiko-Reporting sind einzuhalten. Hierzu zählen die Darstellung des<br />
Risikomanagementsystems, die Beschreibung und Kategorisierung der Risiken, die<br />
Darstellung von Risikokonzentrationen und bestandsgefährdenden Risiken, Angaben<br />
von Veränderungen gegenüber dem Vorjahr und eine Gesamteinschätzung der<br />
Risikolage. 135<br />
5 RISIKOMANAGEMENT IM UNTERNEHMEN<br />
In diesem Teil, welcher die Arbeit mit einem Beispiel abrundet, wird auf die<br />
Eingliederung des Risikomanagements innerhalb der Unternehmen eingegangen.<br />
Wer braucht ein Risikomanagement? Das Gesetz zur Kontrolle und Transparenz im<br />
Unternehmensbereich sieht seit 1.Mai 1998 vor, dass Vorstände börsennotierter<br />
Aktiengesellschaften rechtlich verpflichtet sind ein Risikomanagement zu<br />
installieren. 136 Wie dieses Risikomanagement allerdings auszusehen hat, wird nicht<br />
definiert. Durch die heterogenen Unternehmensumfelder und die daraus<br />
resultierenden individuellen Risiken, muss jedes Unternehmen eine <strong>für</strong> sich ideale<br />
Strategie zur Analyse entwickeln. 137 Im weiteren Verlauf wir auf die Beeinflussung<br />
der organisatorischen Gestaltung des Risikomanagements eingegangen. Es wird<br />
anhand eines produzierenden Unternehmens gezeigt, wie eine Eingliederung des<br />
Prozesses aussehen könnte.<br />
5.1 Organisation - Zentral vs. Dezentral<br />
Im vorherigen Abschnitt wurde erläutert welche möglichen Risikoarten und<br />
Kategorien innerhalb eines Unternehmens lauern könnten. Auch hier gilt<br />
selbstverständlich, dass es nur ein möglicher und nicht allgemeingültiger Ansatz ist.<br />
135 Vgl. http://www.perspektive-mittelstand.de/Risikomanagement-Teil-4-Internes-und-externes-<br />
Risikoreporting/management-wissen/1520.html<br />
136 Vgl. http://www.juraforum.de/lexikon/kontrag<br />
137<br />
Vgl. Burger/Buchhart, S.36<br />
52
Nun wird aufgezeigt, welche Möglichkeiten der Organisation es <strong>für</strong> das<br />
Risikomanagement gibt.<br />
Dazu werden allgemein zwei Ansätze verglichen. Das Risikomanagement System<br />
kann zentral oder dezentral organisiert werden. Bei der zentralen Lösung wird das<br />
Risikomanagement System in die bereits bestehenden Abteilungen integriert,<br />
hingegen wird <strong>für</strong> die dezentrale Organisation eine neue Einheit aufgebaut.<br />
Zentrale Lösungen werden typischerweise gekennzeichnet durch Vorteile bei der<br />
Koordination bereichsübergreifender Risiken, sowie der Konzentration auf die<br />
Einheitlichkeit der Risikoerkennung und Risikoerfassung. Alle gesammelten Daten<br />
werden von einer Einheit ermittelt, analysiert und zur Verfügung gestellt. Nachteile<br />
weißt das System bei der Entwicklung des Risikobewusstseins auf, da sich keine<br />
Abteilung <strong>für</strong> das Risikomanagement richtig zuständig fühlt. So ist ein Schutz vor<br />
Risiken, wie es ein Risikomanagement System vorsieht, nicht gegeben. 138<br />
Die Dezentrale Lösung setzt sich aus mehreren Risikogremien an verschiedenen<br />
Standorten zusammen. 139 Für eine dezentrale Lösung sprechen die Nähe zum Markt<br />
und die Chancen der Umsetzbarkeit. Ein Kritikpunkt wäre gegebenenfalls der<br />
gestörte Bezug zum Gesamtkonzept sowie mangelnde <strong>Prof</strong>essionalität in<br />
Einzelfällen.<br />
Gründe <strong>für</strong> ein zentrales Risikomanagement<br />
Vergleichbarkeit bei der Risikomessung durch einheitliche<br />
Modelle und Verfahren und konsistente Vorgehensweise auf<br />
der Basis einheitlicher Richtlinien <strong>für</strong> das<br />
Gesamtunternehmen<br />
Unternehmensweite Risikoperspektive: Konzentrations- und<br />
Diversifikationseffekte lassen sich nur auf zentraler Ebene<br />
berücksichtigen.<br />
Einheitliche und umfassende Sichtweise aus der<br />
Gesamtunternehmensperspektive<br />
Notwendigkeit des Einsatzes von Spezialkenntnissen hoch<br />
qualifizierter Mitarbeiter<br />
Unabhängigkeit und Schaffung einer „kritischen Masse“ durch<br />
Aufgaben- und Informationsbündelung<br />
Gründe <strong>für</strong> ein dezentrales Risikomanagement<br />
Nähe zum Geschäft: Informationsqualität durch die<br />
Marktnähe der Mitarbeiter in den dezentralen Einheiten und<br />
individuelles Bewusstsein <strong>für</strong> zu verantwortende Risiken bei<br />
den jeweiligen Entscheidungsträgern<br />
Verfügbarkeit und Verständnis von Daten in dezentralen<br />
Einheiten als Grundlage des besseren Verständnisses der<br />
Situation von Ort und Möglichkeit einer schnelleren Erfassung<br />
und Reaktion auf veränderte Bedingungen<br />
Verringerung der Gefahr von Interpretationsschwierigkeiten<br />
hinsichtlich der Aussagekraft von Daten.<br />
138 Vgl. http://www.fhkiel.de/fileadmin/data/wirtschaft/Dozenten/Lorenzen__Klaus_Dieter/LERM_Leitfaden_RisikomanagRis<br />
ik.pdf<br />
139 Vgl. Burger/Buchhart (2002), S.262<br />
53
Abbildung 19: Vor- und Nachteile zentrales und dezentrales Risikomanagement 140<br />
Festzustellen ist, dass sich die Gestaltung weitgehend als offen erweist, d.h. keine<br />
allgemeingültige Lösung der inhaltlichen Ausrichtung, Umsetzung und Organisation<br />
zu erkennen ist. Setzt man Vor und Nachteile ins Verhältnis so ist <strong>für</strong> die Praxis eine<br />
Kombination aus zentral und dezentral nicht nur denkbar, sondern gilt als ein<br />
bewährtes Mittel. 141<br />
5.2 Einflussfaktoren - Interne vs. externe Risiken<br />
Jedes Unternehmen hat das Ziel möglichst alle Chancen und die damit verbundenen<br />
Potenziale zu nutzen um möglichst effizient zu sein. Aber jedes Projekt bringt auch<br />
gewisse Risiken mit sich. Deshalb ist es wichtig zu klären, durch welche Faktoren<br />
diese Effektivität beeinflusst werden kann. Je nach Branche, Rechtsform und Größe<br />
des Unternehmens ergibt sich eine Vielzahl verschiedener Risiken. Es gibt keine<br />
Musterlösung, <strong>für</strong> die jeweilige Unternehmung muss individuell entschieden werden<br />
welche Risiken relevant sind. Es empfiehlt sich deshalb <strong>für</strong> jedes Unternehmen eine<br />
abgestimmte Risikokategorisierung vorzunehmen. Mit Hilfe der übergeordneten<br />
Kategorisierung lassen sich Risikoquellen im Vorfeld systematisieren und<br />
analysieren, zudem ermöglicht diese Art der Einordnung eine strukturierte und<br />
einfache Darstellung der Risikofelder.<br />
Auf diese Risikofelder und deren Kategorien möchte ich nun näher eingehen. Die<br />
Risiken können sowohl in den Unternehmen selbst, als auch von außen auf die<br />
Prozesse einwirken. Im weiteren Verlauf werden diese Gefahren als externe und<br />
interne bezeichnet und näher beschrieben. Anschließend werden die möglichen<br />
Risikokategorien näher behandelt.<br />
Externe Risiken umfassen alle Risiken, die von außen auf das Unternehmen<br />
einwirken. Dies sind in vielen Fällen Umweltstörungen oder andere Einflüsse die<br />
häufig nicht im Einflussbereich des Unternehmens liegen. Im Falle des hier<br />
betrachteten Beispiels können als externe Risiken beispielsweise<br />
140 Eigene Darstellung: in Anlehnung an Hoffmann (2012), S.152<br />
141 Vgl. Hoffmann (2012), (S.152)<br />
54
Technologiesprünge betrachtet werden, deren Auftreten nicht früh genug erkannt<br />
wurde oder Risiken durch Lieferanten wie z. B. der Ausfall eines solchen.<br />
Mögliche Risikokategorien <strong>für</strong> die Risikoart der externen Beeinflussung wären zum<br />
Beispiel Risiken durch höhere Gewalt oder der Politik.<br />
Im Verlauf werden einige Beispiele <strong>für</strong> höhere Gewalt aufgezeigt. Erdbeben,<br />
Überschwemmungen und Lawinen könnten folgen von höherer Gewalt sein. Erinnern<br />
wir uns an die Ereignisse vor ca. 2 Jahren: „Ein Vulkan in Island spuckte Asche über<br />
Europa, mit desaströsen Folgen. Die Einstellung des Luftverkehrs brachte<br />
empfindliche Einschnitte. Fluggesellschaften, und mit Fortgang des Flugverbots auch<br />
immer mehr andere Wirtschaftsunternehmen, waren empfindlich betroffen.“ 142 ,<br />
anhand dieses Beispiels lässt sich gut zeigen, dass Unternehmen Risiken ausgesetzt<br />
sind, auf welche sie keinen Einfluss nehmen können. Diese Risiken sind sowohl<br />
volkswirtschaftlich als auch aus Unternehmenssicht von großer Bedeutung, da sie<br />
häufig zu verhältnismäßig hohen Schäden führen. Für alle Risiken höherer Gewalt<br />
gilt, dass sie sich grundsätzlich durch Notfallplanungen und Versicherungen steuern<br />
lassen.<br />
Neben den Risiken der höheren Gewalt werden politische Risiken als eine weitere<br />
Risikokategorie angesehen und werden durch Einflussnahme des Staates<br />
verursacht. Dabei kann es sich sowohl um den Staat handeln in dem ein Lieferant<br />
sitzt, als auch um den Heimatstaat des eigenen Unternehmens. Die Ursachen <strong>für</strong> das<br />
Risiko liegen nicht im eigenen Handeln oder dem des Lieferanten, sondern<br />
ausschließlich auf Seiten des Staates. In gleicher Weise wie die Risiken höherer<br />
Gewalt lassen sich politische Risiken kaum Beeinflussen.<br />
Im Gegensatz zum externen Risiko liegen die Gefahren bei internen Risiken<br />
innerhalb eines Unternehmens. Die Ursache liegt somit im Unternehmen oder geht<br />
zumindest von diesem aus. So kann ein internes Risiko in der Nutzung einer<br />
Technologie liegen, deren Grundlagen nicht ausreichend beherrscht werden oder<br />
deren Prozessstabilität nicht gewährleistet ist. Hier wird aus Gründen der<br />
Übersichtlichkeit auf eine Kategorisierung der internen Risiken verzichtet. Interne<br />
Risiken werden im weiteren Verlauf als Unternehmensrisiken bezeichnet.<br />
142 http://www.controllingportal.de/Fachinfo/Risikomanagement/Risikosteuerung.html<br />
55
Hinter dem Unternehmensrisiko verbergen sich alle Risiken, die unmittelbar auf das<br />
Unternehmen wirken und somit sowohl das Unternehmen im Ganzen als auch den<br />
Produktionsprozess im Besonderen beeinflussen. Im Gegensatz zu den oben<br />
genannten Risiken, sind diese Risiken im Grundsatz durch das Unternehmen<br />
beeinflussbar. Dieser Risikobereich mit seinem direkten Einfluss auf das<br />
Produktionssystem produzierender Unternehmen stellt den zentralen<br />
Betrachtungsbereich <strong>für</strong> unser Beispiel dar.<br />
5.3 Eingliederung des Risikomanagement im Unternehmen<br />
Wie sie bereits im Verlauf der Arbeit gesehen haben, ist das Risikomanagement<br />
unterteilt in die Teilprozesse der Risikoidentifikation, -beurteilung, -besteuerung, -<br />
überwachung und -kontrolle. Das Risikocontrolling wird dabei als Bestandteil des<br />
Risikomanagements gesehen. Wie in diversen Literaturen beschrieben wird, hat das<br />
Controlling die allgemeinen Funktionen der Unterstützung des Managements durch<br />
Planung, Kontrolle und Informationen. Die Koordinierungsfunktion ist speziell <strong>für</strong> das<br />
Risikocontrolling von besonderer Bedeutung. 143<br />
Die Grundlage <strong>für</strong> die Risikoplanung besteht aus der Analyse von<br />
Unternehmensrisiken. Dabei versucht man die künftigen Unternehmensziele mit der<br />
Risikoplanung zu harmonisieren. Anhand dieser Analyse wird das<br />
Risikomanagement mit Hilfe der Risikopräferenzen Entscheidungen treffen. Beim Ex<br />
post gilt es, die Kontrolle über diese Risiken nicht aus dem Auge zu verlieren. Diesen<br />
Prozess gilt es kontinuierlich zu aktualisieren und zu überwachen.<br />
5.3.1 Risikoidentifikation<br />
Im ersten Schritt des Risikomanagements geht es um die Identifikation von<br />
möglichen Gefahren. Dazu benötigen wir wie bereits erwähnt die gespeicherten<br />
Informationen über mögliche Risiken sowohl intern als auch extern. „Aufgrund der<br />
sich ständig ändernden Unternehmenssituation ist die Risikoidentifikation eine<br />
kontinuierliche Aufgabe, die in die geschäftsüblichen Arbeitsabläufe integriert werden<br />
muss.“ 144 Zur Erfassung dieser Risiken wurden im Verlauf schon einige Instrumente<br />
vorgestellt.<br />
143 Vgl. Wolke (2008), S.239<br />
144 http://www.teialehrbuch.de/Kostenlose-Kurse/Unternehmensfuehrung/23183-<br />
Risikoidentifikation.html<br />
56
“Lieber ein Risiko zu viel identifizieren, als eines zu wenig!” 145<br />
Für unser Beispiel eines Produzierenden Unternehmens wird das Augenmerk auf die<br />
Einführung eines technischen Produktes gelegt. Basierend auf den bereits<br />
Vorgestellten Risikokategorien wird eine erste Risikoliste erstellt.<br />
höhere Gewalt Politische Risiken Unternehmensrisiko<br />
Beeinträchtigung<br />
durch<br />
Neue Richtlinien Nichteinhaltung von<br />
Terminen<br />
Entwicklungskosten<br />
schwer Abschätzbar<br />
Naturkatastrophen<br />
Ausbruch eines<br />
Krieges in<br />
Kundenverhalten<br />
ändert sich<br />
Hohe Ausfallquote<br />
neuer Technologie<br />
Zulieferländern<br />
ähnliche<br />
Produktinnovation von<br />
zeitaufwändige<br />
Fehlerbehebung<br />
Mitbewerber<br />
Abbildung 20:Risikoidentifikation mithilfe einer Checkliste 146<br />
Diese Darstellung ist nur ein Auszug einer Checkliste. Zuvor wurden durch eine<br />
gewählte Kreativitätstechnik (z.B. Brainstorming) ausnahmslos nach möglichen<br />
Risiken gesucht. Auf der Basis dieses Brainstorming wurden die Risiken nicht nur<br />
diskutiert sondern auch Priorisiert.<br />
Für diese Ausarbeitung wird die Priorität aus Gründen der Anschaulichkeit auf ein<br />
geringes Maß reduziert. Diese Darstellung dient als Grundlage <strong>für</strong> den weiteren<br />
Prozess, welcher nur eine Möglichkeiten <strong>für</strong> die Implementierung eines<br />
Risikomanagement ist. Wie bereits erläutert bedarf es Unternehmensspezifisch<br />
individuelle Lösungen.<br />
5.3.2 Risikobewertung<br />
Im ersten Schritt haben wir lediglich eine beliebige Kreativitätstechnik angewandt und<br />
eine Priorisierte Risikoliste erstellt. Um diese Informationen weiter zu nutzen wird ein<br />
Bewertungssystem <strong>für</strong> jedes Risiko eingeführt. In zwei Dimensionen wird die<br />
Bewertung sowohl in die Wahrscheinlichkeit des Eintritts als auch in die Tragweite<br />
145 https://axel-schroeder.de/2010/10/31/risikomanagementprozess-risikouberwachung/<br />
146 Eigene Darstellung: in Anlehnung an: http://www.orgportal.org/index.php?id=12&tx_ttnews%5Bpointer%5D=5&tx_ttnews%5Btt_news%5D=100&tx_ttnett%<br />
5BbackPid%5D=6&cHash=2c7e6041803998a08ecfc2062fcea513<br />
57
des Risikos bei Eintritt klassifiziert. In unserem Beispiel wird eine subjektive Skala mit<br />
einem Punktesystem verwendet die von 1 (höchst unwahrscheinlich) bis 10<br />
(höchstwahrscheinlich) <strong>für</strong> die Dimension der Wahrscheinlichkeit steht, sowie<br />
1(trivial) bis 10 (sehr gravierend) <strong>für</strong> die Tragweite 147 .Um die Übersichtlichkeit zu<br />
gewährleisten, hat es sich in der Praxis bewährt, die Ergebnisse in einer Tabelle<br />
darzustellen. Die Ergebnisse ergeben sich durch das multiplizieren der beiden<br />
Punkte. Zusätzlich kann außerdem eine grafische Darstellung erstellt werden. 148<br />
Natürlich gibt es auch Risiken denen genau Zahlen gegenüber gestellt werden<br />
können. In unserem Beispiel könnte man wahrscheinlich die nicht Einhaltung von<br />
Terminen genauer Definieren. Man könnte den eintreffenden Mehraufwand die<br />
eventuell entstehenden Strafen genauer definieren und den nötigen Zeitpuffer<br />
einplanen und die daraus resultierenden Kosten genauer kalkulieren. In unserer<br />
Darstellung wird die Risikobewertung ausschließlich auf subjektiver Bewertung<br />
basieren.<br />
147 Vgl. Heche (S.111)<br />
148 Vgl. http://www.vertrieb-strategie.de/risikomanagement-im-vertrieb.pdf<br />
58
Risiko WS TW WS*TW Risikoklasse<br />
Entwicklungskosten schwer<br />
5 5 25 B<br />
Abschätzbar<br />
Hohe Ausfallquote neuer Technologie 6 4 24 B<br />
zeitaufwändige Fehlerbehebung 2 5 10 C<br />
Nichteinhaltung von Terminen 4 6 24 B<br />
Kundenverhalten ändert sich 5 6 30 B<br />
ähnliche Produktinnovation von<br />
6 9 54 A<br />
Mitbewerber<br />
Neue Richtlinien 1 4 4 C<br />
Abbildung 21: Quantifizierung der Risiken 149<br />
Wie in der oberen Abbildung gesehen wird zusätzlich in drei Risikoklassen ABC<br />
unterschieden. Diese ergeben sich aus der nachstehenden Tabelle.<br />
Risikoklasse Stellenwert (WS*TS) Maßnahme<br />
A mehr als 50 Punkte Reagieren notwendig<br />
B 21-50 Punkte Beobachten, Frühwarnsystem einrichten<br />
C bis 20 Punkte Lediglich wahrnehmen<br />
Abbildung 22: Einteilung der Risiken nach Risikoklassen 150<br />
5.3.3 Risikosteuerung<br />
Für die Risikosteuerung werden die vorangegangenen Ergebnisse als Input<br />
herangezogen. Dabei definiert die Risikosteuerung Leitlinien und Instrumente des<br />
Risikomanagements, um die gemessenen und analysierten Risiken zu steuern. Die<br />
folgende Abbildung zeigt eine grundsätzliche, branchenunabhängige Funktionsweise<br />
der allgemeinen Risikostrategien.<br />
149 Eigene Darstellung: in Anlehnung an http://www.orgportal.org/index.php?id=12&tx_ttnews%5Bpointer%5D=5&tx_ttnews%5Btt_news%5D=100&tx_ttnett%<br />
5BbackPid%5D=6&cHash=2c7e6041803998a08ecfc2062fcea513<br />
150 Eigene Darstellung: in Anlehnung an http://www.orgportal.org/index.php?id=12&tx_ttnews%5Bpointer%5D=5&tx_ttnews%5Btt_news%5D=100&tx_ttnett%<br />
5BbackPid%5D=6&cHash=2c7e6041803998a08ecfc2062fcea513<br />
59
Risikosteuerung<br />
Risikovermeidung<br />
Risikoverminderung<br />
bzw. Kompensation<br />
Risikoüberwälzung<br />
Akzeptanz<br />
Abbildung 23: Eigene Darstellung<br />
Jede unternehmerische Tätigkeit geht per se mit einem Risiko einher. Bei der<br />
Risikovermeidung wird darauf abgezielt, dass das Gesamtrisiko des Unternehmens<br />
begrenzt oder gar gesenkt wird. Das Risiko ähnliche Produktinnovation vom<br />
Wettbewerber erber erscheint bei einem technischen Produkt nicht außergewöhnlich. Setzt<br />
man hier auf die Vermeidungsstrategie und arbeitet mit alten Technologien weiter, so<br />
kann man denn Schritt in ein neues technisches Zeitalter verpassen. Wie ein Zitat<br />
von Rudolf von Bennigsen-Foerder „Stillstand ist Rückschritt.“ 151 zeigt, würde man<br />
hier im Wettbewerb zurückfallen. Deshalb ist es wichtig, die Entwicklung voran zu<br />
treiben und nebenbei das bestehende Risiko trotzdem zu beachten.<br />
Bei der Risikoverminderung sollen Wahrscheinliche Risiken mit bedeutenden<br />
Schadenspotenzial beeinflusst werden. So soll durch die Risikosteuerung die<br />
Wahrscheinlichkeit und/oder die Höhe des Ausmaßes auf ein <strong>für</strong> das Unternehmen<br />
erträgliches Maß herabgesetzt werden. 152<br />
In unserem Beispiel könnte man zum<br />
Beispiel das Risiko „Kundenverhalten ändert sich“ heranziehen. Durch Umfragen der<br />
Zielgruppen kann man hier abschätzen, in welche Richtung sich das<br />
Kundenverhalten entwickelt. So lässt sich abschätzen ob die geplanten<br />
Entwicklungskosten richtig eingeschätzt wurden oder ob von der künftigen<br />
Technologie weitere futures verlangt werden, und somit die Kosten steigen. Um<br />
diese Kosten zu decken sollten im Unternehmen ausreichend finanzielle Rücklagen<br />
vorhanden sein. Somit wäre auch eine weniger erfolgreiche Entwicklung nicht sofort<br />
existenzbedrohend.<br />
151 http://www.zitate.de/kategorie/Risiko/<br />
152 Burger/Buchhart (2002), S.50<br />
60
Bei der Risikoüberwälzung werden die Risiken auf Vertragspartner übertragen. Dies<br />
kann auf verschiedenste Art und Weisen passieren. In unserem Beispiel könnte man<br />
sich zum Beispiel durch Versicherungen gegen Naturkatstrophen gegen<br />
entsprechende Risikoprämien absichern. Eine weitere Möglichkeit bittet das<br />
Outsourcing, dabei werden gewissen Teilbereiche auf andere Unternehmen<br />
überwälzt und somit auch die damit verbundenen Risiken.<br />
Keine Steuerungsmaßnahme hingegen benötigen Risiken die unwahrscheinlich<br />
eintreten und deren Schadenspotenzial von geringer Bedeutung ist. Weiter werden<br />
Risiken Akzeptiert wenn deren Steuerung ineffizient scheint, sprich ein Kosten-<br />
Nutzen Verhältnis aufweist, welches ungünstig erscheint. Da hier keinerlei<br />
Gegenmaßnahmen entwickelt werden und als Akzeptierte Risiken anerkannt werden,<br />
ist es umso wichtiger dies unter regelmäßiger Beobachtung zu halten.<br />
„Gute Risikosteuerung ist gekennzeichnet durch proaktives Handeln.“ 153<br />
Risiko Risikoklassifikation Steuerungsvariante<br />
Entwicklungskosten schwer<br />
B<br />
Risikominderung<br />
Abschätzbar<br />
Hohe Ausfallquote neuer<br />
B<br />
Risikominderung<br />
Technologie<br />
zeitaufwändige<br />
C<br />
Risikovermeidung<br />
Fehlerbehebung<br />
Nichteinhaltung von<br />
B<br />
Risikominderung<br />
Terminen<br />
Kundenverhalten ändert sich B Risikoüberwälzung<br />
ähnliche Produktinnovation<br />
A<br />
Risikoüberwälzung<br />
von Mitbewerber<br />
Neue Richtlinien C Akzeptanz<br />
Abbildung 24: Einteilung der Risiken in Steuerungsvarianten 154<br />
153 https://axel-schroeder.de/2010/10/31/risikomanagementprozess-risikouberwachung/<br />
154 Eigene Darstellung: in Anlehnung an http://www.orgportal.org/index.php?id=12&tx_ttnews%5Bpointer%5D=5&tx_ttnews%5Btt_news%5D=100&tx_ttnett%<br />
5BbackPid%5D=6&cHash=2c7e6041803998a08ecfc2062fcea513<br />
61
5.3.4 Risikoüberwachung<br />
Zentral geht es bei der Überwachung von Risiken darum, zu erkennen ob sich ein<br />
identifiziertes Risiko im Projektverlauf verändert bzw. ob ein Risiko eintritt. Tritt diese<br />
Situation ein, ist es zwingend erforderlich diese Veränderung / den Eintritt umgehend<br />
den verantwortlichen Entscheidern mitzuteilen. 155 Im Prinzip wir kontrolliert ob alle<br />
möglichen Risiken identifiziert wurden und entsprechend der Prognosen eingetreten<br />
sind. 156 Ergeben sich anhand dieser Überprüfung Soll-Ist-Abweichungen so wird der<br />
Prozess von vorne aufgerollt.<br />
Zunächst wird ein klassischer Soll-Ist-Vergleich der bereits identifizierten Risiken<br />
durchgeführt. Aus den draus resultierenden Ergebnisse werden in einer<br />
Abweichungsanalyse die jeweiligen Differenzen der Einzelrisiken betrachtet und<br />
nach der Ursachen da<strong>für</strong> geforscht. Als nächstes wird auf Risiken geprüft, welche<br />
noch nicht identifiziert wurden. Dies geht einher mit der Überprüfung der bereits<br />
erkannten Risiken, welche aber als nicht relevant zum damaligen Zeitpunkt<br />
angesehen wurden. Aufgrund der Dynamik und der Veränderungen der Risiken ist<br />
ihre Relevanz <strong>für</strong> das Unternehmen zu hinterfragen.<br />
Ein weiterer Ursachenbereich, welcher Untersucht werden muss, ist die Wirkung der<br />
Instrumente und Methoden in den einzelnen Phasen. Dabei werden die ermittelten<br />
Risiken auf die Bewertung und die da<strong>für</strong> analysierten Steuerungsmaßnahmen<br />
überprüft. Denn auch daraus können sich Soll-Ist-Abweichungen ergeben. 157<br />
155<br />
https://axel-schroeder.de/2010/10/31/risikomanagementprozess-risikouberwachung/<br />
156 Vgl. Nguyen (2008), S.879<br />
157 Vgl. Burger/Buchhart (2002), S.52<br />
62
5.3.5 Risikokommunikation<br />
Auch die Risikokommunikation ist Voraussetzung <strong>für</strong> ein funktionierendes<br />
Risikomanagementsystem. Wie oben bereits angeschnitten, ist das Reporting ein<br />
wichtiger Baustein des Risikomanagements im Unternehmen. Oft werden <strong>für</strong><br />
bestimmte Risiken Schwellenwerte festgelegt. Werden diese überschritten, muss<br />
eine umgehende Meldung an die jeweils verantwortliche Stelle weitergeleitet werden.<br />
Dies wird oftmals mithilfe von Reporting-Vorlagen gemacht, da hiermit Kennzahlen<br />
optimal veranschaulicht werden können. Hält man die zuvor vereinbarten Richtwerte<br />
dauerhaft ein, kann der jeweils verantwortlichen Stelle nichts vorgeworfen werden.<br />
Das dient zur Absicherung gegenüber internen sowie externen Revisionen. Daher ist<br />
eine langfristige und sorgfältige Dokumentation der Arbeitsergebnisse<br />
unvermeidlich. 158<br />
Die folgende Abbildung zeigt die Anforderungen an die Dokumentation innerhalb des<br />
Risikomanagements:<br />
Funktionen der Dokumentation im Risikomanagementprozess<br />
Anforderungen an die Dokumentation<br />
schriftlich<br />
angemessen<br />
lückenlos<br />
Erfüllte Funktion der Dokumentation<br />
Rechenschaftsfunktion<br />
Sicherungsfunktion<br />
Prüfbarkeitsfunktion<br />
Abbildung 26: Anforderungen an die Dokumentation 159<br />
Der Kreislauf des Risikomanagements basiert auf den vorgestellten Teilbereichen,<br />
welche wie aus der Arbeit hervorgegangen ist, aufeinander Aufbauen. Diesen<br />
Kreislauf gilt es proaktiv zu begleiten um auf entstehende Risiken bestmöglichst<br />
vorbereitet zu sein.<br />
„Manchmal muss man einfach ein Risiko eingehen - und seine Fehler unterwegs<br />
korrigieren.“ 160<br />
158 Vgl. Nguyen (2008), S. 880<br />
159 Vgl. Nguyen (2008), S.880<br />
160 http://www.zitate.de/kategorie/Risiko/<br />
63
Mit diesem Sprichwort von Lee Iacocca (*1924), amerik. Topmanager, 1979-92<br />
Vorstandsvors. Chrysler Corp. lässt sich die Aufgabe das Risikomanagement gut<br />
definieren. Denn wer kein Risiko eingeht kann auch keine Chancen wahrnehmen.<br />
Wichtig ist dabei nur dass man auf den Fehler vorbereitet ist und die nötigen<br />
Methoden und Instrumente zur Hand hat.<br />
64
I<br />
LITERATURVERZEICHNIS<br />
Gedruckte Quellen<br />
Aktiengesetz<br />
Burger/Buchhart (2002)<br />
Cottin/Döhler (2011)<br />
Denk (2005)<br />
Diederichs (2012)<br />
Ehrmann (2005)<br />
Eisele (2004)<br />
Eller et al. (2010)<br />
Erben/Romeike (2002)<br />
Gleißner (2008)<br />
Heche (2004)<br />
Hoffmann (2012)<br />
Keitsch (2007)<br />
43., überarbeitete Auflage, Beck-Texte im dtv, Deutscher<br />
Taschenbuchverlag, München, 2010<br />
Burger, Univ.-<strong>Prof</strong>. <strong>Dr</strong>. Anton; Buchhart, <strong>Dr</strong>. Anton: Risiko-<br />
Controlling, Oldenbourg, München / Wien, 2002<br />
Cottin, <strong>Prof</strong>. <strong>Dr</strong>. Claudia / Döhler <strong>Prof</strong>. <strong>Dr</strong>. Sebastian:<br />
Risikoanalyse, Vieweg+Teubner, Wiesbaden, 2009<br />
Denk, Robert; Exner-Merkelt, Karin<br />
Corporate Risk Management, Gabler, Wiesbaden, 2003<br />
Diederichs, Marc: Risikomanagement und<br />
Risikocontrolling, 3. vollständig überarbeitete Auflage,<br />
Franz Vahlen Verlag, München, 2012<br />
Ehrmann, Harald; Olfert Klaus (Hrsg.): Kompakt-Training<br />
Risikomanagement Rating-Basel II, Friedrich Kiehl Verlag,<br />
Ludwigshafen, 2005<br />
Eisele, Burkhard: Value-at-Risk-basiertes<br />
Risikomanagement in Banken, Deutscher<br />
Universitätsverlag/GWV Fachverlage GmbH, Wiesbaden,<br />
2004<br />
Eller, Roland; Heinrich, Markus; Perrot, René; Reif Markus<br />
(Hrsg.): Kompaktwissen Risikomanagement, Gabler<br />
Verlag, Wiesbaden, 2010<br />
Erben, Roland F.; Romeike, Frank: Erfolgsfaktor Risiko-<br />
Management, Gabler, Wiesbaden, 2003<br />
Gleißner , Werner: Grundlagen des Risikomanagements<br />
im Unternehmen, Franz Vahlen Verlag, München, 2008<br />
Heche, Dirk: Praxis des Projektmanagements, Springer<br />
Verlag Berlin, Heidelberg 2004<br />
Hoffmann, Jürgen: Risikomanagement <strong>für</strong> mittelständische<br />
Unternehmen, Books on Demand, Norderstedt 2012<br />
Keitsch, Detlef: Risikomanagement, Schäffer-Poeschel<br />
Verlag, Stuttgart, 2004<br />
65
Keuper et al. (2005)<br />
Kliebe (2008)<br />
Königs (2009)<br />
Nguyen (2008)<br />
Keuper, Frank; Roesing, Dirk; Schomann, Marc:<br />
Integriertes Risiko- und Ertragsmanagement, Gabler,<br />
Ilmenau, 2005<br />
Kliebe, Holger: Die Bedeutung des Risiko-Controlling im<br />
Rahmen des Risiko-Management in international<br />
agierenden Unternehmen, GRIN, Norderstedt, 2004<br />
Königs, Hans-Peter: IT-Risiko-Management mit System,<br />
Vieweg+Teubner, Wiesbaden, 2009<br />
Nguyen, <strong>Prof</strong>. <strong>Dr</strong>. Tristan: Rechnungslegung von<br />
Versicherungsunternehmen, Verlag<br />
Versicherungswirtschaft, Karlsruhe, 2008<br />
PricewaterhouseCoopers Tüllner, Jörg: Dynamic Risk Management, Ein Leitfaden,<br />
PwC, 2010<br />
Rohrschneider (2006)<br />
Romeike (2005)<br />
Vahs/Schäfer-Kunz<br />
Rohrschneider, Uwe: Risikomanagement in Projekten,<br />
Haufe, München, 2006<br />
Romeike, Frank: Modernes Risikomanagement, Die<br />
Markt-,Kredit- und operationellen Risiken<br />
zukunftsorientiert steuern, WILEY-VCH Verlag, 2005<br />
(2007) Vahs, Dietmar; Schäfer-Kunz, Jan: Einführung in<br />
die Betriebswirtschaftslehre, Schäffer Poeschel Verlag,<br />
Stuttgart, 2007<br />
Volkart (2011) Volkart, Rudolf: Corporate Finance, Versus, Zürich, 2011<br />
Wolke (2008)<br />
Wolke, <strong>Prof</strong>. <strong>Dr</strong>. Thomas: Risikomanagement,<br />
Oldenbourg, München, 2008<br />
Internet-Quellen<br />
Controllingportal<br />
http://www.controllingportal.de/Fachinfo/Risikomanagement/Risikosteuerung.html<br />
( 01.05.2013)<br />
http://www.controllingportal.de/Fachinfo/Risikomanagement/Lehren-fuer-das-<br />
Risikomanagement-aus-dem-Vulkanausbruch-in-Island.html ,<br />
(26.04.2013)<br />
Deutsche Bundesbank<br />
http://www.bundesbank.de/Navigation/DE/Kerngeschaeftsfelder/Bankenaufsicht/Bas<br />
el2/basel2.html<br />
(05.05.2013)<br />
66
FH Kiel<br />
http://www.fhkiel.de/fileadmin/data/wirtschaft/Dozenten/Lorenzen__Klaus_Dieter/LERM_Leitfaden<br />
_RisikomanagRisik.pdf<br />
(27.04.2013)<br />
GLP - Der Spezialist <strong>für</strong> Risikomanagement und WIrtschaftsprüfungssysteme<br />
http://glp-gmbh.com/kontrag/kontrag.html<br />
(03.05.2013)<br />
Juraforum<br />
http://www.juraforum.de/lexikon/kontrag<br />
(01.05.2013)<br />
NOWECO - Northwest Consulting Corporation Ltd.<br />
http://www.noweco.com/risk/riskd14.htm<br />
(05.05.2013)<br />
Org-Portal<br />
http://www.orgportal.org/index.php?id=12&tx_ttnews%5Bpointer%5D=5&tx_ttnews%5Btt_news%5<br />
D=100&tx_ttnett%5BbackPid%5D=6&cHash=2c7e6041803998a08ecfc2062fcea513<br />
( 28.04.2013)<br />
Organistationshandbuch - Bundesministerium<br />
http://www.orghandbuch.de/nn_414202/OrganisationsHandbuch/DE/7__Managemen<br />
t/72__Risikomanagement/risikomanagement-node.html?__nnn=true<br />
(03.05.2013)<br />
Peterjohann Consulting<br />
http://www.peterjohann-consulting.de/index.php?menu-id=risk<br />
(05.05.2013)<br />
Prozessmanagement und BPM, Risikomanagement so geht´s!<br />
https://axel-schroeder.de/2010/10/31/risikomanagementprozess-risikouberwachung/,<br />
(02.05.2013)<br />
Risk NET - The Risk Management Network<br />
http://www.risknet.de/risknews/verbindung-von-strategischem-management-und-riskmanagement/53691aaaede1ae93663fabea53cf0e96/<br />
(05.05.2013)<br />
http://hans-markus.de/finance/131/hauptstudium_eins/value_at_risk/<br />
(04.05.2013)<br />
http://www.risknet.de/risknews/risikomanagement-buerokratie-tiger-oder-bausteinzum-unternehmenserfolg/4da26780aff81834d87a1c5c7199e28f/<br />
http://glp-gmbh.com/kontrag/kontrag.html<br />
(05.05.2013)<br />
67
Sinus Online<br />
http://www.sinus-online.com/szenariotechnik-allgemeines.htm<br />
(04.05.2013)<br />
Studie - Perspektive Mittelstand<br />
http://www.perspektive-mittelstand.de/Risikomanagement-Teil-4-Internes-undexternes-Risikoreporting/management-wissen/1520.html<br />
(01.05.2013)<br />
TEIA AG<br />
http://www.teialehrbuch.de/Kostenlose-Kurse/Unternehmensfuehrung/23183-<br />
Risikoidentifikation.html<br />
(30.04.2013)<br />
Vertriebs-Strategie<br />
http://www.vertrieb-strategie.de/risikomanagement-im-vertrieb.pdf, Zugriff am<br />
(29.04.2013)<br />
Weka Finanzen<br />
http://www.weka-finanzen.ch/praxisreport_view.cfm?nr_praxisreport=879&s=Risk-<br />
Maps<br />
(04.05.2013)<br />
Wirtschaftslexikon24<br />
http://www.wirtschaftslexikon24.com/d/risikocontrolling/risikocontrolling.htm<br />
(05.05.2013)<br />
Zitate.de<br />
http://www.zitate.de/kategorie/Risiko/<br />
(30.04.2013)<br />
68
II<br />
ABBILDUNGSVERZEICHNIS<br />
Abbildung 7: Sprichwörtliche Begründung der Risikoanalyse<br />
Abbildung 8: Unterscheidung nach Risikoarten<br />
Abbildung 9: Die Anforderungen von Basel II (und Solvency II entsprechend)<br />
Abbildung 10: Aktivitäten des Risiko-Managements<br />
Abbildung 11: Risikocontrolling als Schnittmenge<br />
Abbildung 6: Risikomanagement-Prozess<br />
Abbildung 7: Strategischer und Operativer Risikomanagement-Prozess<br />
Abbildung 8: Progressive und Retrograde Methode zur Risikoidentifikation<br />
Abbildung 9: Risikokategorisierung<br />
Abbildung 10: Die fünf Risikostrategien<br />
Abbildung 11: Risk Map<br />
Abbildung 12: Value at Risk versus Cash Flow at Risk<br />
Abbildung 13: Szenariotechnik<br />
Abbildung 14 : Überführung von Risikomanagement-Teilsystemen<br />
Abbildung 15: Elemente zur Ausgestaltung von Dynamic Risk Management<br />
Abbildung 126 Parameter bei der Gestaltung der Berichtserstattung<br />
Abbildung 17: Von Daten zu relevanten Managementinformationen<br />
Abbildung 18: Riskportfolio<br />
Abbildung 19: Vor- und Nachteile zentrales und dezentrales Risikomanagement<br />
Abbildung 20:Risikoidentifikation mithilfe einer Checkliste<br />
Abbildung 21: Quantifizierung der Risiken<br />
Abbildung 22: Einteilung der Risiken nach Risikoklassen<br />
Abbildung 23: Eigene Darstellung<br />
Abbildung 24: Einteilung der Risiken in Steuerungsvariante<br />
69
III<br />
ABKÜRZUNGSVERZEICHNIS<br />
RmP Risikomanagement-Prozess<br />
70
IV<br />
EIDESSTATTLICHE ERKLÄRUNG<br />
Hiermit versicheren wir, dass wir die Hausarbeit selbstständig verfasst und keine<br />
anderen als die angegebenen Quellen und Hilfsmittel benutzt haben, alle<br />
Ausführungen, die anderen Schriften wörtlich oder sinngemäß entnommen wurden,<br />
kenntlich gemacht sind und die Arbeit in gleicher oder ähnlicher Fassung noch nicht<br />
Bestandteil einer Studien- oder Prüfungsleistung war.<br />
Würzburg, den 06.05.2013<br />
Sebastian Miller<br />
Nikolas Schwind<br />
Christoph Wolter<br />
Lisa Wagner<br />
Robert Spahmann<br />
71