Prof. Dr. Willia Prof. Dr. William Jórasz - Hochschule für angewandte ...

HAUSARBEIT IM SCHWERPUNKT CONTROLLING
bei
Prof. Dr. William Jórasz
Hochschule für angewandte Wissenschaften Würzburg-Schweinfurt
Thema:
RISIKOMANAGEMENT-/CONTROLLING
Verfasser:
Name
Sebastian Miller
Nikolas Schwind
Christoph Wolter
Lisa Wagner
Robert Spahmann

INHALTSVERZEICHNIS
1 EINLEITUNG S. MILLER 4
1.1 Der Risikobegriff 5
1.1.1 Allgemeine Definition 5
1.1.2 Betriebswirtschaftliche Betrachtung 5
1.1.3 Risikofaktoren für Unternehmen 7
1.2 Definition, Hintergründe und Abgrenzung 9
1.2.1 Risikomanagement 9
1.2.1 Risikocontrolling 13
2 RISIKOMANAGEMENT-PROZESS N.SCHWIND 15
2.1 Risikoidentifikation 16
2.1.1 Grundsätze der Risikoidentifikation 17
2.1.2 Methoden der Risikoidentifikation 18
2.1.2.1 Progressive Methode 19
2.1.2.2 Retrograde Methode 19
2.1.3 Risikokategorien 20
2.1.4 Instrumente der Risikoidentifikation 21
2.2 Risikobeurteilung/-bewertung 23
2.2.1 Instrumente der Risikobeurteilung 23
2.3 Risikosteuerung 24
2.4 Risikoüberwachung/-kontrolle 27
3 BEWERTUNGSMODELLE C. WOLTER 29
3.1. Risk Map 29
3.2 Value at Risk 31
3.3 Cash flow at risk 32
3.4 Szenariotechnik 34
3.5 Dynamic Risk Management 35
4 RISIKOREPORTING L. WAGNER 41
4.1 Grundlagen 41
4.2 Ziele und Funktionen 41
4.2.1 Informationsfunktion 42
4.2.2 Entscheidungsfunktion 42
4.2.3 Dokumentations- und Kontrollfunktion 43
2

4.2.4 Prüfbarkeits- und Rechenschaftsfunktion 43
4.2.5 KonTraG 43
4.3 Gestaltung und Anforderungen 44
4.3.1 Berichtsarten und Berichtsfrequenz 45
4.3.2 Adressaten des Risiko-Reporting 46
4.3.2.1 Interne Adressaten & interne Dimension 46
4.3.2.2 Externe Adressaten & externe Dimension 47
4.4 Risk Engine / RMIS 47
4.5 Risk Map 49
4.6 Risiko-Reporting in der Praxis 51
5 RISIKOMANAGEMENT IM UNTERNEHMEN R. SPAHMANN 52
5.1 Organisation - Zentral vs. Dezentral 52
5.2 Einflussfaktoren - Interne vs. externe Risiken 54
5.3 Eingliederung des Risikomanagement im Unternehmen 56
5.3.1 Risikoidentifikation 56
5.3.2 Risikobewertung 57
5.3.3 Risikosteuerung 59
5.3.4 Risikoüberwachung 62
5.3.5 Risikokommunikation 63
I LITERATURVERZEICHNIS 65
II ABBILDUNGSVERZEICHNIS 69
III ABKÜRZUNGSVERZEICHNIS 70
IV EIDESSTATTLICHE ERKLÄRUNG 71
3

1 EINLEITUNG
“Where there is much to risk, there is much to consider.”
(Anonymus)
Verschiedene Entwicklungen haben die weltweite Wirtschaft in den vergangenen
Jahrzehnten maßgeblich beeinflusst. Die zunehmende Globalisierung und damit der
grenzüberschreitende Handel, eine steigende Inanspruchnahme der Kapitalmärkte,
sowie die Entwicklung vom Verkäufer- zum Käufermarkt ließen die Konkurrenz um
vorhandene Märkte zwischen Unternehmen größer werden. Diese steigende
Dynamik der Wirtschaft erhöhte die Komplexität der Risikoumwelt von Unternehmen
und deren (Investitions-) Entscheidungen. Parallel zu den Fortschritten und den
kontinuierlich wechselnden Umweltbedingungen seitens der Märkte, stiegen auch
Komplexität und Dynamik auf der Risikoseite. Mittlerweile treten neue Risiken immer
schneller auf und die mögliche Reaktionszeit nimmt stetig ab. Es wird für
Unternehmenslenker zunehmend wichtiger, Chancen und Risiken frühzeitig zu
erkennen, zukünftige Entwicklungen zu quantifizieren und entsprechende
Steuerungsmaßnahmen rechtzeitig ergreifen zu können. 1
Vor diesem Hintergrund gewinnt ein gut strukturiertes Risikomanagement für die
Mehrheit von Unternehmen immer weiter an Bedeutung.
Ziel der vorliegenden Hausarbeit ist es daher, einen allgemeinen Überblick über den
Bereich des Risikomanagements zu geben und die Verbindung zum Risikocontrolling
herzustellen. Es wird im Zuge dessen zunächst der Risikobegriff im Allgemeinen
erläutert und anschließend auf die Begriffe Risikomanagement und Risikocontrolling
eingegangen. Desweiteren wird der Prozess des Risikomanagements detailliert
dargelegt, verschiedene Bewertungsmodelle vorgestellt und das Risikoreporting in
Theorie und Praxis veranschaulicht. Abgerundet wird die Arbeit durch die Vorstellung
des Risikocontrollings im Unternehmen.
1 Vgl. Kliebe (2008), S. 1
4

1.1 Der Risikobegriff
1.1.1 Allgemeine Definition
Die meisten Menschen, die das Wort „Risiko“ hören, assoziieren damit zuallererst
etwas Negatives. Im allgemeinen Sprachgebrauch steht es als Synonym für ein
Wagnis oder die Gefahr eines negativen Resultats. 2 Der Terminus wird oft in
Zusammenhang mit dem Eintritt eines möglichen Schadens bzw. eines potenziellen
Verlusts (z.B. einer Vermögensposition) verwendet. Gründe hierfür sind wohl im
Ursprung des Begriffes zu suchen: „riscare“, kommt aus dem Frühitalienischen und
steht für „wagen“. 3 „Risiko“, ist das griechische Wort für „Gefahr“ oder „Klippe“ (die es
zu umschiffen gilt). 4 Diese rein negative Auslegung lässt „Risiko“ zu einem
asymmetrischen Begriff werden. Positive Aspekte, wie beispielsweise ein möglicher
Gewinn oder Chancen im Allgemeinen werden hierbei vollkommen vernachlässigt. 5
1.1.2 Betriebswirtschaftliche Betrachtung
Bei betriebswirtschaftlichen Betrachtungsweisen geht es hingegen um die Kenntnis
von Wahrscheinlichkeiten und Wahrscheinlichkeitsverteilungen in Bezug auf künftige,
unsichere Ereignisse. 6 Unternehmerische Handlungen, gleichwohl Entscheidungen
in Unternehmen, weisen häufig einen Zukunftsbezug auf und bergen dadurch
gewisse Unsicherheiten: „Das unternehmerische Risiko“ oder umgangssprachlich ein
gewisses „Verlust- oder Schadenspotenzial“. 7
Das Risiko wird als eine Streuung des Zukunftserfolgs um einen bestimmten
Erwartungswert gesehen, die sowohl negativ, als auch positiv ausfallen kann. Denkt
man beispielsweise an Dinge wie das Glücksspiel oder Kapitalanlagen in Form von
Aktien, verliert das Wort „Risiko“ einen Teil der mit ihm verknüpften, negativen
Assoziationen. Es wird deutlich, dass Risiken neben Gefahren durchaus auch
Chancen aufweisen können.
Man betrachtet also sowohl Bedrohungen, als auch Opportunitäten. Das lässt den
Risikobegriff symmetrisch werden. 8 Anhand von Rohstoffpreis- oder
Aktienkursentwicklungen, ist diese Symmetrie sofort deutlich erkennbar. Die
2 Vgl. Volkart (2011), S.204, 205
3 Vgl. Wolke (2008), S. 1
4 Vgl. Cottin/Döhler (2011), S. 1
5 Vgl. Volkart (2011), S.204
6 Vgl. Wolke (2008), S. 1
7 Vgl. Burger/Buchhart (2002), S. 1
8 Vgl. Volkart (2011), S.204, 205
5

möglichen Ereignisse (Kursschwankungen) können hier entweder positiver oder
negativer Natur sein. Weniger offensichtlich ist es im Bereich von
unternehmerischen, sogenannten operationellen Risiken. Typische Abweichungen,
wie Maschinenschäden, Betriebsunterbrechungen oder Rechtsstreitigkeiten stellen
zwar zunächst nur negative Änderungen dar, man muss sich hierbei aber vor Augen
führen, dass diese Risiken eben gerade deshalb eingegangen werden, damit die
Chancen auf positive Abweichungen (im finanziellen Bereich) steigen. 9 Demnach
kommen auch in solchen Fällen sowohl negative, als auch positive Aspekte des
Risikobegriffes zum tragen.
Abbildung 1: Sprichwörtliche Begründung der Risikoanalyse 10
Die Kapitalmarkttheorie beschäftigt sich mit der Abgeltung unternehmerischer
Risiken über die Kapitalkosten und stellt somit einen Zusammenhang zwischen
Risiko und Rendite her. In diesem Zusammenhang werden Risiken als positive oder
negative Streuungen des Zukunftserfolgs gesehen, die über die Varianz bzw. die
Standardabweichung berechnet werden. Desweiteren wird hierbei eine strikte
Trennung von Investitions-
und Finanzierungsseite zugrunde gelegt, wodurch die Art
der Finanzierung irrelevant für den Wert des jeweiligen Unternehmens ist. Man
unterscheidet dabei also zwischen leistungswirtschaftlichen Risiken und
finanzwirtschaftlichen Risiken.
9 Vgl. Cottin/Döhler (2011), S. 1,2
10 Cottin/Döhler (2011), S. 2
6

Die Kapitalmarkttheorie gibt zwei wichtige, alternative Voraussetzungen für die
langfristige Existenz von Unternehmen aus der Risikoperspektive vor: 11
Höhere Renditen als andere Unternehmen bei gleichen Investitionsrisiken
Gleiche Rendite bei geringeren Investitionsrisiken als andere Unternehmen
In der Literatur wird der Risikobegriff zwar selten eindeutig verwendet, als Ursache
wird jedoch oft der Informationsstand des Entscheidungsträgers, als Wirkung die
Verfehlung unternehmerischer Ziele gesehen. Die Entscheidungstheorie liefert dazu
einen interessanten Ansatz: Es wird eine Unterscheidung getroffen zwischen einer
Risikosituation, bei der objektive und subjektive Wahrscheinlichkeiten gegeben sind,
und der Unsicherheitssituation, wo entsprechende Wahrscheinlichkeiten nicht
vorliegen. Durch die Anwendung von geschätzten subjektiven
Eintrittswahrscheinlichkeiten kann eine Unsicherheitssituation jedoch in eine
Risikosituation überführt werden. 12
1.1.3 Risikofaktoren für Unternehmen
Nach Klärung der betriebswirtschaftlichen Ansätze, ist es interessant zu betrachten,
wo diese angewandt werden bzw. was die tatsächlichen Risikofaktoren für
Unternehmen sind.
11 Vgl. Burger/ Buchhart (2002), S. 2, 3
12 Vgl. Burger/Buchhart (2002), S. 1,2
7

Abbildung 2: Unterscheidung nach Risikoarten 13
Man kann die Risiken hinsichtlich ihrer Herkunft bzw. Art unterteilen. Risiken, die
Personen oder Institutionen außerhalb des Unternehmens, wie beispielsweise
Kunden, Lieferanten oder Wettbewerber betreffen, lassen sich als externe Risiken
einordnen. Finanzielle Risiken beziehen sich primär auf Risikofaktoren im Kredit- und
Cash-Management, wie z.B. Zins- und Kursschwankungen. Alle Risiken, die die
Bereiche IT oder geistiges Eigentum werden unter Informationsrisiken
zusammengefasst, während sich operative Risiken auf den Faktor Mensch, sowie
Prozesse und physikalische Werte (z.B. Eigentum, Anlagen, Ausrüstung) beziehen.
Strategische Risiken hingegen fokussieren die Unternehmensführung, sowie externe
Verbindungen im Sinne von beispielsweise Kooperationen mit anderen
Marktteilnehmern. Die strategischen Risiken sind gesondert zu betrachten, da sie
sich in einigen markanten Punkten von den übrigen Risikoarten unterscheiden. Sie
resultieren aus der Strategie des Unternehmens und stellen eine Gefahr für dessen
Gesamterfolg und Erfolgspotentiale dar. Desweiteren sind sie sehr komplex und mit
großer Unsicherheit und evtl. weitreichenden Auswirkungen verbunden, zumal sie
sich oft nur sehr schwer quantifizieren und bewerten lassen. Ein Beispiel dafür wäre
eine fehlerhafte Entscheidung bzgl. des Eintritts in neue Geschäftsfelder.
13 http://www.peterjohann-consulting.de/index.php?menu-id=risk
8

Zur Vereinfachung lassen sich die strategischen Risiken noch weiter unterteilen,
wodurch einzelne Subkategorien, wie z.B. Industrie, Technologie, Konkurrenz und
Kunden entstehen. 14
1.2 Definition, Hintergründe und Abgrenzung
„In einer Studie des Fraunhofer-Instituts für Produktionstechnologie (IPT) und der P3
Ingenieurgesellschaft mbH aus dem vergangenen Jahr attestieren zwei Drittel der
Teilnehmer der Umsetzung eines Risikomanagements einen großen Einfluss auf den
Unternehmenserfolg. Auf der anderen Seite allerdings sind rund 40 Prozent davon
überzeugt, dass mit einem Risikomanagement ein zu geringer Nutzen verbunden ist.
Und deutlich mehr als die Hälfte der Befragten (55 Prozent) haben einen zu hohen
Aufwand zur Risikokontrolle festgestellt. So liegt der Schluss nahe, dass die
Potenziale des präventiven Risikomanagements noch nicht effektiv in der Praxis
genutzt werden.“ 15
Um diese Aussagen besser verstehen zu können, ist zunächst eine Klärung, sowie
eine Abgrenzung der Begriffe „Risikomanagement“ und „Risikocontrolling“ wichtig.
1.2.1 Risikomanagement
„Planung ist der Ersatz des Zufalls durch den Irrtum.“ Dieses Bonmot soll manchmal
als Alibi dienen, gar nicht zu planen. Es gibt allerdings einen entscheidenden
Unterschied zwischen Zufall und Irrtum: „Zufällen ist der Betroffene wehrlos
ausgesetzt; als Planender hat er immerhin die Chance, sich vom größeren zum
immer kleineren Irrtum zu entwickeln. […] In logischer Folgerung daraus kann die
Identifikation und Analyse einer Abweichung keinen anderen Bezugspunkt haben als
die Planung.“ 16
Im Allgemeinen bezeichnet der Begriff „Risikomanagement“ eine Gesamtheit
koordinierter Aktivitäten zur Steuerung von Risiken in einem Unternehmen. Dies
erfordert eine Beschäftigung mit gewissen Risikofaktoren, die zunächst einmal
identifiziert und bewertet werden müssen. Anschließend folgen die Erarbeitung von
Maßnahmen, sowie deren Umsetzung in der Praxis. Die Suche nach Maßnahmen,
14 http://www.risknet.de/risknews/verbindung-von-strategischem-management-und-riskmanagement/53691aaaede1ae93663fabea53cf0e96/
15 http://www.risknet.de/risknews/risikomanagement-buerokratie-tiger-oder-baustein-zumunternehmenserfolg/4da26780aff81834d87a1c5c7199e28f/
16 Rohrschneider (2006), S. 22
9

sowie die anschließende Umsetzung dieser erfolgt auf Basis von Art, Quantität und
Qualität der Risiken.
Als Gründe für das Betreiben eines Risikomanagements, kann man verschiedene
Ursachen aufführen, die wiederum Auswirkungen auf Art und Weise der
Ausgestaltung haben. Die Ursachen lassen sich in folgende Kategorien
untergliedern:
Rechtliche Rahmenbedingungen
Volkswirtschaftliche Ursachen
Technologischer Fortschritt
Zum ersten Punkt zählt insbesondere das Gesetz zur Kontrolle und Transparenz in
Unternehmen (KonTraG). Dieses fordert die Einführung eines adäquaten
Risikomanagements von börsennotierten Aktiengesellschaften.
Dabei hat „der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein
Überwachungssystem einzurichten […]“ 17 Eingeführt wurde das Gesetz zum ersten
Mai 1998. Ausschlaggebend dafür waren einerseits spektakuläre
Firmenzusammenbrüche (Metallgesellschaft, Sachsenmilch, Balsam, KHD, Bremer
Vulkan u. a.), andererseits trugen auch die zunehmende Internationalisierung der
Kapitalmärkte und eine steigende Globalisierung der Aktionärsstrukturen zu dieser
Gesetzesinitiative bei. 18
Das KonTraG stellt eine Erweiterung des Aktien- und GmbH-Gesetzes (§91(2) AktG,
§43 GmbHG) dar und betrifft in erster Linie Nichtbanken (Industrie, Handel,
Dienstleistung).
Die Grundlage für die Ausgestaltung eines Risikomanagements im Bankensektor legt
Basel II. Im Mittelpunkt stehen hierbei bestimmte Mindestkapitalanforderungen, die
eine Eigenkapitalunterlegung für Kreditrisiken, Marktrisiken und operationelle Risiken
beinhalten (Säule 1). Die zweite Säule beinhaltet einen aufsichtlichen
Überprüfungsprozess um das Gesamtrisiko eines Instituts und die wesentlichen
17 § 91 Abs. 2 AktG
18 http://glp-gmbh.com/kontrag/kontrag.html
10

Einflussfaktoren auf dessen Risikosituation zu identifizieren. Säule Nummer drei
steht für eine erweiterte Offenlegungspflicht der Institutionen. 19
Abbildung 3: Die Anforderungen von Basel II (und Solvency II entsprechend) 20
Für den Versicherungssektor stellt Solvency II das entsprechende Gegenstück zu
Basel II dar.
Die Corporate Governance, die den rechtlichen und faktischen Ordnungsrahmen für
die Leitung und Überwachung eines Unternehmens festlegt, bietet eine weitere
Rechtsgrundlage für Risikomanagementsysteme.
Unter den Punkt Volkswirtschaftliche Ursachen fallen sämtliche veränderten
Rahmenbedingungen auf den Finanzmärkten. Die Einführung neuartiger
Instrumente, wie z.B. bestimmte Derivate oder auch die Abschaffung fixer
Wechselkurse gaben Anlass einen erhöhten Fokus auf das Risikomanagement zu
legen.
Der technologische Fortschritt äußert sich vor allem durch den Einsatz neuer Medien
und Technologien. Die Globalisierung nimmt stetig Geschwindigkeit auf,
Produktlebenszyklen werden im Zeitverlauf immer kürzer. Im Zuge dessen wachsen
auch die Produktrisiken. 21
19 http://www.bundesbank.de/Navigation/DE/Kerngeschaeftsfelder/Bankenaufsicht/Basel2/basel2.html
20 http://www.noweco.com/risk/riskd14.htm
21 Vgl. Wolke (2008), S. 2-3
11

Oberziel des Risikomanagements ist in erster Linie eine Reduktion auf gewisse
Restrisiken, die in einem akzeptablen Rahmen liegen und bewusst getragen werden.
22 Es wird demnach keine generelle Vermeidung von Risiken angestrebt, da gewisse
Wagnisse eingegangen werden müssen, um so langfristig Erfolgspotenziale sichern
und für das Unternehmen ausbauen zu können.
Allgemein lässt sich sagen, dass durch Risikomanagement-Prozesse die Existenz
von Unternehmen mittels Gewährleistung des Erreichens der Unternehmensziele
nachhaltig gesichert werden kann. 23
Die einzelnen Schritte bzw. Aktivitäten eines Risikomanagements werden im Idealfall
prozessorientiert aufgebaut. Auf diesen Aufbau wird in den folgenden Kapiteln
genauer eingegangen werden.
Abbildung 4: Aktivitäten des Risiko-Managements 24
22 Vgl. Königs (2009), S. 7
23 Keuper/Roesing/Schomann (2005), S. 16
24 Königs (2009), S. 7
12

1.2.1 Risikocontrolling
Das Risikocontrolling sollte fester Bestandteil eines Unternehmens sein, um Zeichen
einer Krise frühzeitig zu erkennen und neue Risiken rechtzeitig zu identifizieren und
mit entsprechenden Maßnahmen zu reagieren. 25
Durch die Erzeugung und Aufbereitung von Informationen stellt das Risikocontrolling
die Voraussetzung für die Wirksamkeit des Risikomanagements dar. 26 Das
Aufgabenfeld des Risikocontrollings leitet sich von dem des allgemeinen Controllings
ab. Dazu zählen neben der ergebnisorientierten Planung und Koordination innerhalb
des Risikomanagementsystems, die Informationsversorgung der
Risikoverantwortlichen im Unternehmen. Auch die Beratung des Managements
hinsichtlich Methoden und Instrumente über alle Phasen hinweg gehört zum
Aufgabenfeld des Risikocontrollings.
Wichtig ist, dass Risikocontrolling nicht nur auf operativer Ebene stattfindet. Eine
kontinuierliche Weiterentwicklung des Risikomanagementinstrumentariums, die
Erfassung operativer Geschäftsrisiken auf Zahlungs- bzw. Liquiditätsebene, sowie
Risikomessung und -abstimmung decken lediglich ein Teilbereich des
Risikocontrollings ab. Die strategische Ausrichtung spielt ebenfalls eine wichtige
Rolle. Das Erkennen von Risikopotentialen auf der Basis von Suche, Aufbau und
Erhaltung von Erfolgspotentialen wurde in der Vergangenheit zwar häufig
vernachlässigt, ist im Rahmen des Risikocontrollings jedoch unabdingbar. Im Zuge
dessen ist es Aufgabe des Risikocontrollings, entsprechende Systeme und
Instrumente zu entwickeln und zu implementieren. Desweiteren müssen ein
entsprechendes Berichtswesen für Management, Verantwortliche und Mitarbeiter
aufgebaut und Grundstrukturen für eine geeignete Datenbasis des
Risikomanagements geschaffen werden. 27
25 http://www.wirtschaftslexikon24.com/d/risikocontrolling/risikocontrolling.htm
26 Vgl. Keuper/Roesing/Schomann (2005), S. 21
27 Vgl. Keuper/Roesing/Schomann (2005), S. 27
13

Abbildung 5: Risikocontrolling als Schnittmenge 28
Die Zielsetzung des ganzen baut auf den Zielen des Risikomanagements auf. Von
besonderer Bedeutung ist dabei die Stärkung des Risikobewusstseins bei
Führungskräften und Mitarbeitern. Gleichzeitig sollte bei Planung, Steuerung,
Kontrolle und Informationsversorgung neben die reine Ergebnisorientierung eine
Risikoorientierung treten. 29
28 Keuper/Roesing/Schomann (2005), S. 25
29 Vgl. Keuper/Roesing/Schomann (2005), S. 23
14

2 RISIKOMANAGEMENT-PROZESS
Der Risikomanagement-Prozess
lässt sich beschreiben als eine systematische und
kontinuierliche Auseinandersetzung mit den unternehmerischen Risikopotentialen,
unter Berücksichtigung der definierten Unternehmensstrategie. Er ist der Kern des
Risikomanagement und lässt sich in vier Phasen einteilen: 30
Risikoidentifikation
Risikoüberwachung
Risikobeurteilung/-
bewertung
Risikosteuerung
In Anlehnung an: Diederichs (2012), S. 14
Abbildung 6: Risikomanagement-Prozess
Diese vier Phasen des Risikomanagement-Prozess stellen die Gesamtheit der
organisatorischen Maßnahmen und Prozesse dar, die auf die Identifikation,
Beurteilung, Steuerung, und Überwachung von Risiken abzielen und somit eine
Gestaltung der Risikolage ermöglichen. 31
Im engeren Sinn kann man den Risikomanagement-Prozess in einen strategischen
und einen operativen Teil wie folgt aufspalten:
Strategisch
•Riskioidentifikation
•Risikobewertung
•Strategien
Operativ
•Risikomessung
•Reporting
•A nalyse
•Steuerung
•Kontrolle
In Anlehnung an: Eller et al. (2010), S. 32
Abbildung 7: Strategischer und Operativer Risikomanagement-Prozess
30 Vgl. Diederichs (2012), S. 49
31 Vgl. Diederichs (2012), S. 13
15

Im Strategischen Prozess werden in zeitlich größeren Abständen die Identifikation
und Bewertung von Risiken sowie die Ableitung und Überprüfung von Strategien
durchgeführt. Der operative Prozess stellt ebenfalls einen Regelkreis dar und basiert
auf den strategischen Zielgrößen. 32
Zusammenfassend kann man die Phasen des strategischen und operativen
Risikomanagement-Prozess den vier in Abb. 6 gezeigten Haupt- und
Ausgangsphasen zuordnen, weshalb im Folgenden auf diese vier Phasen näher
eingegangen wird.
2.1 RISIKOIDENTIFIKATION
Unternehmen sind heute vielen Risiken ausgesetzt, bzw. sind sie gezwungen Risiken
einzugehen um die Wettbewerbsfähigkeit, Finanz-, Vermögens-, und Ertragslage zu
erhalten, zu verbessern und die damit verbundenen Chancen nutzen zu können.
Diese Risiken müssen erkannt und erfasst werden, um ein erfolgreiches
Risikomanagement im Unternehmen zu etablieren. Deshalb steht zu Beginn des
Risikomanagement-Prozess (RmP) 33 die systematische Risikoidentifikation. Deren
Ziel ist es alle Risikopotentiale welche die unternehmerischen Ziele und definierten
Strategien gefährden möglichst strukturiert und detailliert zu erfassen. Sie ist der
wichtigste Teil des RmP, denn ihre Qualität ist ausschlaggebend und
richtungweisend für die darauffolgenden Phasen. Erkennt man Risiken zu spät, oder
im schlimmsten Fall gar nicht, können diese zu ernsthaften Bedrohungen bzw. bis hin
zur Existenzgefährdung eines Unternehmens führen. Dieser ist häufig nicht mehr
rechtzeitig, oder nur noch durch erheblichen Aufwand, nämlich Risiko steuernder
Maßnahmen entgegenzutreten. 34
Des Weiteren ist es von elementarer Bedeutung, auch scheinbar unwesentliche
Risiken zu berücksichtigen, da diese sich kumuliert oder in Wechselwirkung mit
anderen Risiken ebenfalls Bestand gefährdend auswirken können. Auch zukünftig
theoretische Risiken sind neben den aktuell bekannten einzubeziehen. Die
Risikoidentifikation ist regelmäßig durchzuführen da die unternehmensinternen und –
32 Vgl. Eller, Heinrich, Perrot, Reif (2010), S. 32
33 Risikomanagement-Prozess wird im folgenden abgekürzt als RmP
34 Vgl. Diederichs (2012), S. 50
16

externen Gegebenheiten und Rahmenbedingungen ständigen Änderungen
unterliegen. 35
Diese Vorgehensweise der Risikoidentifikation ermöglicht es nicht nur verbleibende
Restrisiken, sondern gesamte Risikopotentiale erkennen zu können. 36
2.1.1 Grundsätze der Risikoidentifikation
Um eine strukturierte und effiziente Ermittlung von Risiken durchführen zu können
müssen bestimme Grundsätze (Postulate) berücksichtigt werden:
Vollständigkeit/Richtigkeit
Aktualität
Wesentlichkeit/ Wirtschaftlichkeit
Systematik/ Flexibilität
Beeinflussbarkeit
Widerstand
Bei dem Grundsatz Vollständigkeit und Richtigkeit muss auf eine möglichst
lückenlose und detaillierte Aufdeckung, sowie auf Genauigkeit (formale Richtigkeit)
und Zuverlässigkeit (inhaltliche Richtigkeit) der Risiken geachtet werden.
Die Aktualität der für die Risiken relevanten Informationen gilt als entscheidendes
Primärziel, da sich wirtschaftliche Rahmenbedingungen und mit diesen
einhergehende Risiken stetig verändern. Dieses Postulat zielt auf eine frühzeitige
Risikoerkennung ab, um rechtzeitig reagieren und handeln zu können.
Das Postulat der Wesentlichkeit gilt auch für die Risikoidentifikation, dabei sollten
hauptsächlich wesentliche Risiken bedacht werden, Risiken mit weniger Gewicht auf
die Unternehmung, sollten zwar dokumentiert werden, aber müssen zunächst nicht
weiter betrachtet werden. Die Wesentlichkeit basiert auf dem Grundsatz der
Wirtschaftlichkeit, das bedeutet, dass Kosten und Ergebnis der Identifikation in
einem rentablen Verhältnis zueinander stehen sollten. 37
In Bezug auf den Grundsatz der Systematik ist es wichtig einen standardisierten
systematischen und kontinuierlichen Prozess zu etablieren. Dabei sind die
35 Vgl. Diederichs (2012), S. 50 f.
36 Vgl. Diederichs (2012), S. 51
37 Vgl. Diederichs (2012), S.51 f.; Ehrmann (2005), S.43 f.
17

Instrumente zur Risikoerkennung flexibel zu gestalten um auch neue Risiken
frühzeitig erkennen zu können. Erfolgt die Risikoidentifikation unstrukturiert und
sporadisch besteht die Gefahr, dass Risiken nicht erkannt werden.
Oft kommt es zu einer Unterschätzung der eigentlichen Risikosituation, da geglaubt
wird man könne ein Risiko kontrollieren und beeinflussen, dies führt wiederum zu
einer falschen Einschätzung von Eintrittswahrscheinlichkeiten und
Schadensausmaßen. Um dies zu vermeiden gilt das Postulat der Beeinflussbarkeit,
welches besagt, dass der analysierte Tatbestand nicht zu dem Ergebnis führen darf,
die Risiken seien nicht von großer Bedeutung und somit im Rahmen der Identifikation
nicht erwähnenswert.
Der letzte Grundsatz, der Widerstand ist psychologisch, räumlich und
organisatorisch bedingt. Er geht von einer Abhängigkeit der Qualität der
Risikoidentifikation vom allgemeinen Risikobewusstsein einer Organisation aus.
Dazu gehört auch der Aspekt der Erfahrung, Intuition und Motivation der Mitarbeiter,
Risiken identifizieren zu können und zu wollen.
Diese sechs Beschriebenen Postulate rivalisieren teilweise miteinander. Somit ist es
nicht möglich allen gleichermaßen gerecht zu werden. In der Praxis sollte deshalb
unter Berücksichtigung der unternehmerischen Rahmenbedingungen nach einer
Kompromisslösung gesucht und ein individuelles Optimum angestrebt werden. 38
2.1.2 Methoden der Risikoidentifikation
Die grundlegenden Methoden der Risikoidentifikation helfen bei unternehmerischen
Identifizierung der Risiken, sie lassen sich einteilen in die Progressive- und die
Retrograde Methode.
Progressive
Methode
Risiko
Retrograde
Methode
In Anlehnung an: Diederichs (2012), S. 53
Abbildung 8: Progressive und retrograde Methode zur Risikoidentifikation
38 Vgl. Diederichs (2012), S. 52
18

2.1.2.1 Progressive Methode
Bei der progressiven Methode werden mögliche Störungszustände erfasst, analysiert
und anschließend mögliche Auswirkungen auf das Zielsystem abgeschätzt. Den
Ursprung hierfür bilden nicht weiter zurück verfolgbare und nicht weiter
unterscheidbare Risikoursachen. Die progressive Methode verfolgt dabei schrittweise
die Entwicklung der Wirkung von der Risikoquelle bis hin zu den definierten
Strategien und Zielen eines Unternehmens. Risikoquellen und Störungszustände
sollten möglichst vollständig erfasst werden, denn diese bilden die Voraussetzungen
für mögliche Ursachen-Wirkungs-Zusammenhänge.
Um ein komplettes Bild zu erhalten ist auch das Unternehmen als Gesamtsystem auf
Risikoursachen zu untersuchen. Dabei muss analysiert werden welche
innerbetrieblichen Strukturen, Funktionsbereiche und Geschäftsprozesse mit Risiken
behaftet sind. Hierfür muss die Risikoidentifikation sowohl operative
Geschäftstätigkeiten, als auch strategische Managemententscheidungen
einbeziehen. 39
Bei der progressiven Methode ist grundsätzlich in folgenden Schritten vorzugehen:
Risikoquellen/-ursachen
1. In welchen Unternehmensbereichen können Risiken entstehen?
2. Welche möglichen Störungszustände gibt es und welche Ursachen haben
diese?
3. Wie wirken diese auf Ziele und Strategien? 40
2.1.2.2 Retrograde Methode
Die Retrograde Methode nimmt Bezug auf die Strategien und Ziele eines
Unternehmens, indem sie versucht die Risiken, welche auf diese wirken direkt zu
identifizieren. Dabei ist es essentiell sich zuerst mit dem Zielsystem des
Unternehmens zu beschäftigen. Hier können die Strategien und Ziele aus
Unternehmensgesamtsicht, Funktionssicht, Prozesssicht usw. als Ausgangspunkt
dienen. Aus der jeweiligen Sichtweise ist nun zu untersuchen, welche Risiken das
jeweilige Untersuchungsobjekt daran hindern können die festgelegten Ziele zu
erreichen. 41
39 Vgl. Diederichs (2012), S. 53
40 Vgl. Diederichs (2012), S. 53
41 Vgl. Diederichs (2012), S. 54
19

Bei der retrograden Methode ist grundsätzlich in folgenden Schritten vorzugehen:
Strategien und Ziele
1. Welche Strategien und Ziele werden von dem Unternehmen verfolgt?
2. Welche Risiken beeinflussen diejenigen Strategien und Ziele?
3. In welchen Unternehmensbereichen ereichen werden diese Risiken verursacht? 42
Zusammenfassend lässt sich sagen, dass beide Methoden zum gleichen Ergebnis
führen, die progressive Methode allerdings deutlich aufwendiger ist. Der Vorteil der
retrograden Methode ist die zielgerichtete Ausführung bei der Risikosuche. Durch die
vom Zielsystem ausgehende Risikozerlegung, ermöglicht diese Methode eine
genauere Transparenz bestehender Zusammenhänge.
Allerdings ist zu sagen, dass sich beide Methoden bei der Risikoidentifikation sinnvoll
ergänzen. Die retrograde Erkennung von Risiken lässt sich durch die
Verfahrensweise der progressiven Methode prüfen. 43
2.1.3 Risikokategorien
Risiken lassen sich in unterschiedliche Arten aufteilen, haben sie gemeinsame
Charakteristika lassen sie sich bestimmten Kategorien zuweisen:
Risikokategorien und Risikofelder
Interne Risiken:
Externe Risiken:
Leistungswirtschaftliche
Risiken
Beschaffung, Logistik,
Produktion,
Absatzsystem
Risiken aus
Management und
Organisation
Informationstechnologie,
Planung ,
Personal,
Organisationsstruktur,
Managementqualität
Finanzwirtschaftliche
Risiken
Überschuldung,
Liquidität,
Kapitalbeschaffung
Risiken höherer
Gewalt,
Technologische Risiken,
Politisch-rechtliche
Risiken,
Soziokulturelle Risiken,
Makroökonomische
Risiken
In Anlehnung an: Diederichs (2012), S. 56
Abbildung 9: Risikokategorisierung
Die Möglichkeiten Risiken zu Gliedern sind nicht begrenzt, sie lassen sich des
Weiteren, beispielsweise nach der Fristigkeit der Managemententscheidungen, nach
42 Vgl. Diederichs (2012), S. 53
43 Vgl. Diederichs (2012), S. 55
20

der Wirkung auf Ziele oder Bereiche des Unternehmens oder nach den
Risikoursachen, bzw., -quellen unterteilen. In Bezug auf die Fristigkeit der
Managemententscheidungen kann man strategische Risiken von operativen
unterscheiden. Strategische Risiken stehen im Zusammenhang mit langfristig
bindenden Handlungen, operative Risiken beziehen sich im Gegenzug dazu auf
einen kurzfristigen Zeithorizont. Hinsichtlich der Wirkung kann man Risiken
beispielsweise in Ertrags-, Liquiditäts-, und Vermögensrisiken unterscheiden. Nach
der Quelle kann man Risiken in interne Risiken, wobei die Quelle innerhalb des
Unternehmens liegt und externe Risiken, die von äußeren Faktoren bestimmt
werden, gliedern. 44
Risiken können meist nicht eindeutig einer Risikokategorie zugeordnet werden, dabei
ist es unabhängig welches Kategorisierungsschema gewählt wurde. Deshalb ist in
der Praxis eine überschneidungsfreie und trennende Abgrenzung kaum möglich.
Eine Abgrenzung nach den Charakteristika eines Unternehmens ist somit nur als
Hilfestellung zu sehen, welche bei der Risikoidentifikation grobe Anhaltspunkte über
Risikobereiche liefert. 45
2.1.4 Instrumente der Risikoidentifikation
Um Risiken umfassend identifizieren zu können, ist der Einsatz geeigneter
Instrumente zur Risikoidentifizierung erforderlich. Im Folgenden werden praktische
Instrumente vorgestellt, mit Hilfe derer die Ermittlung individueller Risikoprofile
stattfinden kann.
• Aufspaltung der Unternehmenswertkette (Wertkettenanalyse)
• Untersuchung der Geschäftsprozesse (Prozesskettenanalyse)
• Strategische Entscheidungen simulieren (Netzwerktechnik)
• Systematische Überwachung externen Risikoquellen (Frühaufklärungssystem)
Durch die Wertkettenanalyse können fürs Erste Unternehmenswertaktivitäten anhand
der Funktion in primär und Sekundärfunktionen aufgeteilt, gegliedert und in Bezug
auf besonders risikobehaftete Bereiche geprüft werden. Des Weiteren können
wichtige Anhaltspunkte über externe und interne Risiken erlangt werden. 46
44 Vgl. Diederichs (2012), S. 55; Ehrmann (2005), S. 47
45 Vgl. Diederichs (2012), S. 55
46 Vgl. Diederichs (2012), S. 59, S. 83
21

Die auf die Wertkettenanalyse aufbauende Prozesskettenanalyse analysiert und
beurteilt als nächstes die hinter den Bereichen liegenden Prozesse und
Prozessschritte. Zur Hilfestellung bei der Erhebung der Prozesse wird häufig ein
Fragebogen eingesetzt. Außerdem können Risiken, welche die operativen
Unternehmensabläufe betreffen, erkannt sowie Ursachen-Wirkungs-
Zusammenhänge deutlich und nachvollziehbar gemacht werden. 47
Im nächsten Schritt können mit Hilfe der Netzwerktechnik Risiken identifiziert werden,
welche aufgrund von strategischen Entscheidungen auftreten. Hier werden die
Effekte und die auf mehreren Ursachen beruhende Ursachen-Wirkungs-Beziehungen
durch Wirkungsnetze veranschaulicht und simuliert. Strategiefehler die bei
unübersichtlichen Situationen auftreten können, lassen sich somit im Vorfeld der
Entscheidung vermeiden. 48
Das Frühaufklärungssystem wird vor allem für externe Risiken genutzt, da diese
durch die anderen drei genannten Instrumente nur bedingt identifiziert werden
können. Dabei können auch risikobehaftete Entwicklungen aufgezeigt werden,
welche aus Diskontinuität im Umfeld des Unternehmens hervorgehen. Durch das
Frühaufklärungssystem lassen sich durch schwache Signale bisher unbekannte
Risiken erkennen und potentielle Szenarien nachspielen. Somit kann man im Idealfall
Risiken durch Indikatoren frühzeitig erkennen. 49
Zur Unterstützung der Vier Instrumente können weitere Methoden und Instrumente
zur Anwendung kommen, wie z.B. Besichtigungen, Brainstorming, Risiko-
Checklisten, Experten und Mitarbeiterbefragungen, Szenario-Techniken usw.. 50
Die Risikoidentifikation ist in der Unternehmenspraxis begrenzt, beispielsweise durch
den Konflikt zwischen einer möglichst vollständigen und zugleich einer wirtschaftlich
sinnvollen Risikoerkennung. Einerseits sollte jedes Unternehmen aus Gründen der
Durchsichtigkeit versuchen seine Risiken möglichst vollständig zu identifizieren,
andererseits ist eine komplett Erfassung aller möglichen Risiken wirtschaftlich
meistens nicht sinnvoll. Je größer ein Unternehmen ist umso komplexer und
47 Vgl. Diederichs (2012), S. 60, S. 62, S. 83
48 Vgl. Diederichs (2012), S. 70, S. 84
49 Vgl. Diederichs (2012), S. 60, S. 84
50 Vgl. Diederichs (2012), S. 84; Gleißner (2008), S. 58 f.
22

aufwendiger gestaltet sich auch die Risikoidentifikation. Deshalb ist der Aufwand,
Risiken zu erkennen auf ein wirtschaftlich sinnvolles Maß zu reduzieren. 51
2.2 Risikobeurteilung/-bewertung
Anschließend an die Risikoidentifikation sind nun die Risiken zu beurteilen und zu
bewerten, dafür ist zu analysieren wie sich Risiken auf Strategien, Ziele und
relevante Kennzahlen und Steuerungsgrößen auswirken. Dabei beinhaltet die
Risikobeurteilung nicht nur die Untersuchung, sondern auch die Bewertung und
Klassifizierung der identifizierten Risiken. Hier werden die Bedeutungen und die
Auswirkungen der Risiken auf das Unternehmen festgelegt. Die Höhe der
Gefährdung (zur) auf die Erreichung der Ziele durch die Risiken soll durch eine
Bewertung veranschaulicht werden. Risiken unterliegen einer gewissen Dynamik, da
sie von einer Vielzahl von Faktoren abhängig sind, somit ist es wichtig die
Risikobeurteilung/-bewertung in regelmäßigen Abständen durchzuführen. 52
2.2.1 Instrumente der Risikobeurteilung
Um einen möglichst genauen Überblick über die Wirkung der identifizierten Risiken
zu erhalten, müssen diese mit aussagekräftigen Instrumenten und Verfahren beurteilt
und bewertet werden. Dabei können die Risiken auf verschiedenen Ebenen beurteilt
werden. Es können Einzelrisiken, Risikoklassen sowie gesamte unternehmerische
Risikosituationen untersucht werden. Einzelrisiken werden dabei meist anhand von
Eintrittswahrscheinlichkeiten und Schadensausmaß bewertet:
Schadenerwatungswert = Eintrittswahrscheinlichkeit*Schadensausmaß
Ordnet man anschließend den Einzelrisiken Eintrittshäufigkeiten und
Schadenshöhen zu, kann man einen Gesamterwartungswert bei Schadenseintritt
berechnen. 53
51 Vgl. Diederichs (2012), S. 86
52 Vgl. Ehrmann (2005), S. 77; Diederichs (2012), S. 87
53 Vgl. Diederichs (2012), S 87 ff.
23

Weiter Instrumente der Risikobeurteilung/-bewertung:
• Risk-Map bzw. Risikoportfolio
• Szenario-Techniken
• Cash Flow at Risk
• Value at Risk
• Dynamic Risk Management
Diese weitern Instrumente der Risikobeurteilung/- bewertung werden im Abschnitt
drei näher erläutert.
Die Risikobeurteilung ist eine wesentliche Grundlage der Risikoidentifikation, deshalb
ist darauf zu achten, dass ihre Instrumente nur unterstützend wirken und keineswegs
die Überlegungen und das Nachdenken ersetzen.
Auch bei der Risikobewertung sind die unternehmerischen Strategien und Ziele zu
beachten. Die Risikobeurteilung ist eine kontinuierlich ablaufende Analyse,
Bewertung und Klassifizierung von Risiken. Auch hier muss darauf geachtet werden,
dass unter Berücksichtigung der Strategien und Ziele die Instrumente sich in ihrer
Ausrichtung unterscheiden. Ein einzelnes Instrument wird nicht dem vollen Umfang
der Beurteilung und Bewertung gerecht. Vielmehr ist es wichtig die verschiedenen
Instrumente, sich ergänzend einzusetzen. 54
2.3 Risikosteuerung
Ziel der Risikosteuerung ist es, unter Berücksichtigung der Unternehmensstrategie
die bereits identifizierten und beurteilten Risiken zu beeinflussen. Dabei sind
geeignete Risikostrategien und strategische Maßnahmen zu konzipieren. Da die
Unternehmensstrategie die Vorgabe für das unternehmerische Handeln darstellt,
müssen sich die Risikostrategien und Maßnahmen in deren Rahmen bewegen. Die
Bildung von Strategien und die Erarbeitung entsprechender Maßnahmen stehen in
wechselseitigen Beziehungen zueinander, deshalb müssen beide zusammen
betrachtet werden. Diese extrahiert voneinander zu betrachten wäre unzweckmäßig,
da diese Trennung zu Wiederholungen zwingen würde. Ergriffene Strategien und
54 Vgl. Diederichs (2012), S. 122 f.; Ehrmann (2005), S 77
24

Maßnahmen müssen einer kontinuierlichen Überprüfung und Kontrolle der Effizienz
und Effektivität unterliegen. 55
Die Risikosteuerungsstrategien lassen sich in ursachen- und wirkungsbezogene
Vorgehensweisen einteilen. Bei der ursachenbezogenen Vorgehensweise wird
versucht die Wahrscheinlichkeit von Risiken zu minimieren, indem man dem
Risikoentstehungsprozess von Anfang an entgegenwirkt. Die wirkungsbezogene
Maßnahme soll dagegen das Schadensausmaß reduzieren, oder alternativ die
Risiken selber tragen. Des Weiteren ist es möglich die Risikosteuerung in aktive und
passive Steuerung zu unterteilen. Bei der aktiven wird darauf abgezielt die
Risikostrukturen zu verändern. Die passive Risikosteuerung lässt die Strukturen
unverändert, sie ist darauf ausgerichtet das Risiko selbst zu tragen bzw. Vorsorge zu
tragen um die Konsequenzen zu mildern. 56
Allgemein lassen sich Risiken in fünf Risikosteuerungsstrategien/-maßnahmen
einteilen:
Gesamtrisiko
vermeiden
vermindern
begrenzen
überwälzen
akzeptieren/
selbst tragen
Restrisiko
In Anlehnung an: Diederichs (2012), S. 124
Abbildung 10: Die fünf Risikosteuerungsstrategien
55 Vgl. Ehrmann (2005), S. 87; Diederichs (2012), S. 123
56 Vgl. Diederichs (2012), S. 124
25

Unter Risikovermeidung versteht man das aktive Umgehen bzw. Vermeiden von
Risikoquellen und Risikofaktoren. Dies bedeutet, Risikobehaftete Geschäfte bzw.
Entscheidungen auszuschließen. Die Strategie der Risikovermeidung ist dann
sinnvoll wenn die damit einhergehenden Risiken existenzgefährdende Wirkung
haben oder wenn diese durch ihre Schadenshöhe, großen negativen Einfluss auf das
Unternehmen nimmt. Die Strategie liefert zwar eine eindeutige Lösung des Problems,
da Risiken gar nicht erst entstehen können, der Strategieplaner sollte sich aber auch
darüber im klaren sein, dass diese Maßnahme nicht nur Risiken vermeidet sonder
auch Chancen verhindert. Somit kann es auch sein, dass teilweise die ursprünglich
geplanten Unternehmensziele durch die Risikovermeidung beeinträchtigt werden. Da
das Vermeiden von Risiken wie beispielsweise der Verzicht auf Investitionen oder
das Ablehnen von Aufträgen zur Existenzgefährdung eines Unternehmens führen
kann, besteht das größte Risiko einer Unternehmung darin gar keine Risiken mehr
einzugehen. 57
Die Risikoverminderung vermeidet Risiken nicht von Grund auf sondern versucht sie
auf ein vernünftiges Ausmaß zu senken, nämlich die Eintrittswahrscheinlichkeit zu
reduzieren und das Schadensausmaß herabzusetzen. Bei dieser Strategie ist es
möglich risikobehaftete Geschäfte einzugehen bzw. risikobehaftete Entscheidungen
zu treffen, aber es müssen gleichzeitig geeignete Steuerungsmaßnahmen ergriffen
werden. Risikovermindernde Maßnahmen sind die Schadensverhütung und die
Schadensherabsetzung. Bei der Schadensverhütung wird, durch eine permanente
Überwachung der Risiken, bereits der Schadenseintritt verhindert. Bei der
Schadensherabsetzung sollen durch, beispielsweise eigeführte Richtlinien über Art
und Höhe tolerierbarer Risiken und über den Umgang mit Risiken, bereits
eingetretenen Schäden möglichst gering gehalten werden. Die Strategie der
Risikoverminderung ist hauptsächlich für Risiken geeignet, die als erfolgsbedrohend
nicht als existenzbedrohend eingestuft werden. 58
Die Risikobegrenzung kann grundsätzlich der Risikoverminderung zugeordnet
werden. Sie teilt sich ein in Risikostreuung und Risikolimitierung. Die Risikostreuung
bewirkt einen Diversifikationseffekt, durch den es möglich ist die Summe der
57 Vgl. Diederichs (2012), S. 125; Ehrmann (2005), S. 87
58 Vgl. Diederich (2012), S. 125, Ehrmann (2005), S. 88
26

Einzelrisiken zu neutralisieren. Sie kann sowohl auf das Gesamtunternehmen wie
auch auf einzelne Geschäftsbereiche angewandt werden. Die Risikolimitierung wird
durch das Management oder verantwortliche Bereiche in einer Organisation
durchgeführt, welche dabei die Limits für das Eingehen von Risiken festlegen. Diese
Akteure setzen dabei auch Verlustobergrenzen, welche bei Risikoeintritt von der
Unternehmung aufgefangen werden können. 59
Die Risikoüberwälzung ist ein vollständiger oder teilweiser Transfer von Risiken auf
Dritte. Dabei wird das Risiko eines Geschäfts oder einer Entscheidung nicht beseitigt,
sonder wechselt durch ein weiteres Geschäft den Risikoträger. Beispiele für die
Überwälzung von Risiken sind Versicherungen, oder Überwälzung auf
Vertragspartner durch Verträge und Geschäftsbedingungen. 60
Da Risiken nicht völlig auszuschließen sind und es auch nicht sinnvoll ist alle Risiken
auszuschließen bzw. zu vermeiden, bleibt immer ein Restrisiko bestehen, welches
vom Unternehmen akzeptiert und übernommen werden muss. Welche Risiken im
Zuge der Risikoakzeptanz bzw. Risikoübernahme selbst getragen werden, ist von der
Größe des Risikos, von der Risikotragfähigkeit und von der Risikoeinstellung des
Managements abhängig. Eine gute Risikoidentifikation und Risikobeurteilung tragen
dazu bei, die richtigen Entscheidungen treffen zu können. 61
2.4 Risikoüberwachung/-kontrolle
Die Risikoüberwachung ist ein fortlaufender Prozess, welcher in allen Phasen des
Risikomanagementprozess enthalten ist. Er wird meist durch das Risikocontrolling
durchgeführt bzw. wird er stark vom Risikocontrolling unterstützt und wird von diesem
aus der Gesamtunternehmensperspektive überwacht. Die wichtigste Aufgabe der
Risikoüberwachung ist es, die Erreichung der im Risikomanagementprozess
festgelegten Planungen, Handlungen und Ziele zu überprüfen. Die
Risikoüberwachung lässt sich in zwei Aufgabenteile gliedern, die laufende Kontrolle
und die Frühwarnung. Eine laufende Kontrolle ist von Nöten, da die Risikosituation
eines Unternehmens ständigen Veränderungen unterworfen ist. Sie bezieht sich
59 Vgl. Diederichs (2012), S. 125 f.
60 Vgl. Ehrmann (2005), S. 88; Diederichs (2012), S. 126 f.
61 Vgl. Diederichs (2012), S. 127; Ehrmann (2005), S. 100
27

meist auf vergangenheitsorientierte Vorgänge und soll auf diese bezogen
Fehlentscheidungen und falsche Maßnahmen aufdecken. Bei dem Konzept der
laufenden Kontrolle sind folgende Bereiche zu berücksichtigen:
Kontrollformen festlegen
Bereits bestehende Systeme berücksichtigen
Verantwortlichkeiten regeln
Die Risiken werden, bei der Festlegung der Kontrollformen, in Hinblick auf ihren
Eintritt und auf die Wirkung der Maßnahmen überprüft. Im Bereich der
Risikoüberwachung sollten auch bereits existierende Systeme berücksichtigt werden
wie beispielsweise interne Kontrollsysteme, Überwachungssysteme oder die interne
Revision. Im letzten Bereich der laufenden Kontrolle geht es um die Regelung der
Verantwortlichen, dabei ist die Unternehmensleitung für einen reibungslosen Ablauf
des Risikomanagementprozesses mit Chancen, Risiken, Strategien und Maßnahmen
verantwortlich. Aber auch den einzelnen Unternehmensbereichen werden neben
einer Reihe von Aufgaben meistens auch Verantwortlichkeiten übertragen.
Der zweite Bereich der Risikoüberwachung, die Frühwarnung nimmt Bezug auf alle
frühzeitig verfügbaren Informationen, welche der Unternehmensleitung Hinweise auf
Gefahren und Schwierigkeiten geben können. Dabei setzt die Frühwarnung
Frühwarnungssysteme ein, welche es ermöglichen Entwicklungen rechtzeitig
erkennen zu können um Gegenmaßnahmen zur Minderung oder Abwehr der
entstehenden Gefahren einzuleiten. 62
Zusammenfassend ist der Risikomanagementprozess als Kreislauf zu sehen, bei
dem ein Prozess in den anderen übergeht und in dem alle Prozesse einander
Informationen und Daten liefern um die Ziele des Risikomanagements zu erreichen
und somit die Unternehmensziele zu sichern.
62 Vgl. Ehrmann (2005), S.157 ff.
28

3 BEWERTUNGSMODELLE
Die Bewertungsmodelle von Risiken lassen sich in Top Down und Bottom Up
Verfahren einteilen. Diese Verfahren werden wiederum in Quantitative und
Qualitative Methoden untergliedert. 63
Im Risikocontrolling werden diese Modelle eingesetzt um Risiken zu analysieren und
zu bewerten. Die Informationen des Controllings bilden dabei die Grundlage des
Risikocontrollings, wobei die Kennzahlen, Kalkulationen und Soll/Ist-Vergleiche des
reinen Controllings ebenfalls Hinweise auf Risiken geben können.
Die bedeutendsten Bewertungsmodelle in der Praxis nennen sich Risk-Map,
Szenario-Technik, Cash Flow at Risk, Value at Risk, und Dynamic Risk
Management. Im Folgenden werden diese genauer erläutert.
3.1 Risk Map
Die erkannten Risiken werden in der Phase der Risikobewertung hinsichtlich ihres
Erwartungswertes quantifiziert. „Der Erwartungswert bestimmt sich aus der
Multiplikation der Eintrittswahrscheinlichkeit mit dem Schadensausmaß
(Risikopotenzial, Tragweite).“ 64 Ziel ist es die Risiken in eine nach
Gefährdungspotenzial geordnete Rangfolge zu bringen, um diese in einer Risk Map
abzubilden. 65
Risk Maps oder Risiko-Portfolios sind in der Praxis weit verbreitete Instrumente und
dienen als visualisierte Kommunikationshilfen für Unternehmensrisiken. „In Ihr wird
das Risiko nach Eintritts und einer damit verbundenen Schadenswahrscheinlichkeit
markiert und erfasst.“ 66 Sie bilden die Grundlage zur Priorisierung und Ableitung von
Risikosteuerungsmaßnahmen. 67 Die Risk Map ist ein Instrument, das die Elemente
der Risikoidentifikation, -bewertung und –steuerung zusammenführt. 68
63 Vgl. Romeike (2005),S.28
64 Romeike (2005), S.27
65 Vgl. Romeike (2005), S.27
66 Keitsch (2007), S. 181
67 Vgl. http://www.weka-finanzen.ch/praxisreport_view.cfm?nr_praxisreport=879&s=Risk-Maps
68 Vgl. Burger/Buchhart (2002), S. 183-188
29

Abbildung 11: Risk Map 69
Dabei wird an der x-Achse die Eintrittswahrscheinlichkeit und an der Y-Achse die
Schwere der Folgen abgebildet. Auf diese Weise gibt die Risk Map die Höhe eines
Risikos an.
Risk Maps können in mehrere Quadranten eingeteilt werden. Die folgende Abbildung
unterteilt die Risiken in vier Bereiche. Risiken, die in den vierten Quadranten
eingeordnet werden, stellen keine große Bedrohung dar. Sie sollten jedoch
regelmäßig durch das Risikocontrolling überprüft werden. Die Risiken des zweiten
Quadranten haben erhebliche Auswirkungen auf das Unternehmen. Trotz der
geringen Eintrittswahrscheinlichkeit müssen sie erkannt und regelmäßig überwacht
werden. Risiken des dritten Quadranten treten mit hoher Wahrscheinlichkeit ein und
müssen daher kontinuierlich überprüft werden. Der erste Quadrant bildet Risiken ab,
welche mit hoher Wahrscheinlichkeit eintreten und zusätzlich schwere Folgen für das
Unternehmen haben können. Diese Risiken müssen schon in der Entstehung
vermieden und durch regelmäßige Kontrolle überwacht werden.
Durch die Risk Map kann ein standardisierter Risikokatalog für ausgewählte
Betrachtungsobjekte ausgearbeitet werden, der dem Risikomanager eine
übersichtliche Darstellung der Gesamtrisikosituation des Unternehmens bietet. Dabei
werden die Gewichtungen der Einzelrisiken addiert und durch die Gesamtanzahl der
Quadranten dividiert. Ein weiterer Vorteil ist die Verwendung als zweidimensionale
69 http://www.weka-finanzen.ch/praxisreport_view.cfm?nr_praxisreport=879&s=Risk-Maps
30

Navigationsstruktur, um einen schnellen Zugriff auf weitere Informationen der Risiken
zu ermöglichen.
Die ordinale Skalierung verhindert jedoch Kumulierungs- und Aufhebungseffekte.
Aus diesem Grund ist die Risk Map nicht zur Steuerung der Gesamtrisikoposition
eines Unternehmens geeignet. 70 Außerdem können Risk Maps durch zu viele
Betrachtungsobjekte schnell unübersichtlich werden und durch Erfassung aller
Risiken einen großen Aufwand darstellen. Aus diesem Grund sollten nur relevante
Einzelrisiken erfasst werden.
3.2 Value at Risk
Das starke Wachstum der Finanzmärkte und die erhöhte Volatilität in Verbindung mit
zunehmender Komplexität der Portfolios erhöht das Risiko von Verlusten. Diese
potenziellen Verluste lassen sich mit dem Value at Risk erfassen. 71 Dabei müssen
Haltedauer der Portfolios und die Abhängigkeiten zwischen den Risiken bekannt und
prognostiziert werden können. Jedes Risiko wird mit einer Eintrittswahrscheinlichkeit
versehen.
„Der Value at Risk (VaR) ist ein verlustorientiertes Risikomaß. Risikomaße, die auf
den Verlustbereich einer möglichen Vermögensänderung abstellen, werden auch als
Shortfall- oder Downside-Risk-Maße bezeichnet.“ 72 Der Value-at Risk wurde 1993
von der Global Derivatives Study Group als Konzept zur Quantifizierung von
Marktrisiken vorgeschlagen und hat sich zum Standard der Risikomessung
entwickelt. 73 In den letzten Jahren ist der Value at Risk auch für Ausfallrisiken
weiterentwickelt worden. Die Berücksichtigung des Zeitraumes, die Messung der
Geldeinheiten und die Risikoeinstellung standen beim Vergleich der
unterschiedlichen Risikoarten jeweils im Fokus. 74
Für die Berechnung dieser mathematisch-statistischen Methode gibt es drei
verschiedene Ansätze. Die historische Simulation, das Varianz-/ Kovarianzmodell
70
Vgl. Kliebe (2008), S. 42-43
71 Vgl. Romeike (2005), S. 57
72 Wolke (2008), S.27
73
Eisele (2004), S. 2
74 Vgl. Wolke (2008), S.27
31

und die Monte Carlo Simulation. 75 Die historische Simulation greift auf historische
Marktdaten zurück und geht davon aus, dass die Kursentwicklung und
Schwankungsintensität der vergangenen Kurse auch für die Zukunft gelten. Das
Varianz-/Kovarianz Modell bezieht sich auf die Gaußsche Normalverteilungskurve
und setzt voraus, dass die Marktentwicklung der Normalverteilung entspricht. Die
Monte Carlo-Simulation ist eine aufwendige und umfangreiche Computersimulation,
welche unterschiedliche Szenarien annimmt und die Wahrscheinlichkeiten formuliert.
Aus diesen Szenarien wird ein Zufallswert ausgewählt und für die Berechnung des
Value at Risk eingesetzt. 76
Der Value at Risk beschreibt den höchsten erwarteten Verlust bei normalen
Marktbedingungen, bezogen auf einen bestimmten Zeitraum und ein
Konfidenzniveau. nzniveau. Dabei ist das Konfidenzniveau die Wahrscheinlichkeit, die ein
bestimmter kritischer Wert nicht unterschreitet.
Der Value at Risk wird mit einem gegebenen Konfidenzniveau von
berechnet und stellt das entsprechende Quantil der Verteilung von X dar:
Bei Erhöhung der Haltedauer und des Konfidenzniveaus steigt der Value at Risk an.
Das Value at Risk Konzept behebt diverse Probleme anderer Risikokennzahlen und
kann daher zur unternehmensweiten Risikomessung und –steuerung
eingesetzt
werden. 77 Kritisch zu beleuchten ist jedoch der Aspekt, dass das Konzept von einer
Normalverteilung ausgeht und von Vergangenheitsdaten auf die Zukunft geschlossen
wird. Des Weiteren bezieht sich der Value at Risk auf kurzzeitige Perioden. 78
3.3 Cash flow at risk
International ausgerichtete Unternehmen sind einer Vielzahl von Risiken ausgesetzt.
Wechselkurs-, Rohstoffpreis-, Zins- und Aktienkursrisiken können im internationalen
Umfeld gravierende Konsequenzen mit sich bringen. Externe wie Investoren,
75 Vgl. Romeike (2005), S. 62
76 Vgl. Romeike (2005), S.62
77 Vgl. Wolke (2008), S. 49
78 Vgl. Wolke (2008), S. 58
32

Lieferanten, Kunden und der Gesetzgeber fokussieren sich hauptsächlich auf die
Auswirkungen der Risiken auf die Ertragslage des Unternehmens. 79
„Operative Cash Flows sind volatil und unsicher. Sie können daher nicht zu einem
Vermögenswert aggregiert werden.“ 80 Aus diesem Grund wurde das Cash Flow at
Risk Modell entwickelt. Es betrachtet einen Planungszeitraum von bis zu 24
Monaten, den Gewinn vor Zinsen und Steuern (EBIT) statt Barwerten und ist ein
dynamisches System. „Mit Hilfe von Zufallsprozessen werden für die Risiko-Faktoren
Kurs- oder Preisentwicklungen für die Zeit vom Tag der Risiko-Analyse bis zum
Prognosehorizont simuliert.“ 81
Der Cash Flow at Risk Ansatz berücksichtigt schwankende Marktpreise sowie
Zahlungen und deren Einflussfaktoren beispielsweise das Verhalten des
Wettbewerbs oder Marktpreisänderungen. Dabei ist das Zusammenspiel der
Bestimmungsgrößen wichtig um die Abhängigkeit zwischen Märkten, Konkurrenten
und Unternehmenserfolg erfassen zu können. 82
„Der Cash Flow at Risk ist die Abweichung vom erwarteten Ergebnis die mit einer
Warscheinlichkeit von 95% nicht unterschritten wird.“ 83
Abbildung 12: Value at Risk versus Cash Flow at Risk 84
79 Vgl. http://www.risknet.de/wissen/grundlagen/methoden/cash-flow-at-risk/
80 Vgl. http://www.risknet.de/uploads/tx_bxelibrary/RISKNEWS-Cash-flow-at-Risk-032004.pdf
81 http://www.risknet.de/uploads/tx_bxelibrary/RISKNEWS-Cash-flow-at-Risk-032004.pdf
82 Vgl. http://www.risknet.de/uploads/tx_bxelibrary/RISKNEWS-Cash-flow-at-Risk-032004.pdf
83 http://www.risknet.de/uploads/tx_bxelibrary/RISKNEWS-Cash-flow-at-Risk-032004.pdf
33

3.4 Szenariotechnik
Die Szenariotechnik ist ein Projektionsverfahren, das die Entwicklung des
Projektionsgegenstandes im Zeitablauf unter alternativen Rahmenbedingungen
beschreibt. 85 „So werden beispielsweise für die Ermittlung der Umsatzerlöse eines
Unternehmens für das folgende Geschäftsjahr verschiedene Szenarien aufgestellt,
die bestimmte Marketingaktionen der Wettbewerber abbilden und alternative
gesamtwirtschaftliche Entwicklungen mit einbeziehen.“ 86
Anwendungsbereiche dieses Modells sind unter anderem Umweltanalysen,
Strategieentwicklung, Trendforschung, Prognoseanalysen und die Bewertung von
Maßnahmen hinsichtlich ihrer Wirkung. 87
In der Regel werden drei bis fünf Szenarien entwickelt, die ein Best-Case- und ein
Worst-Case-Szenario enthalten und somit die Prognosetrompete und das Trend-
Szenario bilden. Hierbei ist das Trend-Szenario der Fall, der am wahrscheinlichsten
eintritt. Weiterhin werden Störereignisse und mögliche Gegenmaßnahmen in die
Szenariotechnik aufgenommen. 88
Die Planung der Szenarien wird in acht Phasen durchgeführt. In der ersten Phase
der Aufgabenanalyse werden Aufgabenstellung und Ziele festgelegt. In der zweiten
Phase werden Einflussfaktoren und Ziele ermittelt. Darauf folgen die Phasen der
Trendprojektion und der Alternativenbündelung, in welchen Deskriptionen
beschrieben und konsistente Annahmebündel erstellt werden. In der fünften Phase
der Szenario-Interpretation werden Umfeldszenarien entwickelt und durch die
sechste Phase der Störfallanalyse auf Auswirkungen untersucht. In der siebten
Phase der Konsequenzanalyse werden Chancen und Risiken dieser Auswirkungen
analysiert, sodass die Szenarien in der letzten Phase entwickelt und implementiert
werden können. 89
84 Vgl. http://www.ccfb.de/corporate-risk-management/corporate-risk/was-ist-cashflow-at-risk.html
85 Vgl. Vahs/Schäfer-Kunz, S.270
86 Vahs/Schäfer-Kunz (2007), S.270
87 Vgl. http://www.sinus-online.com/szenariotechnik-allgemeines.html
88 Vgl. Vahs/Schäfer-Kunz (2007), S.271
89 http://www.sinus-online.com/szenariotechnik-allgemeines.html
34

Abbildung 13: Szenariotechnik 90
Der Vorteil der Szenariotechnik ist die Berücksichtigung qualitativer und quantitativer
Einflussfaktoren im Hinblick auf künftige Entwicklungen. So werden auch schwache
Signale abgebildet und ergeben mehrere Zukunftsszenarios, welche letztendlich die
Grundlage der strategischen Planung bilden können. Auf diese Weise kann auch die
Wirkung von Gegenmaßnahmen getestet und beurteilt werden um Krisen
vorzubeugen. Alle Szenarien, welche unter das Trendszenario fallen, werden als
Risiken identifiziert. Diese Identifikation der Risiken ermöglicht die Planung und
Durchführung von Gegenmaßen, sodass die Szenariotechnik letztendlich der
Krisenprävention dienen kann. 91
3.5 Dynamic Risk Management
Zunehmende Ansprüche der Stakeholder, steigender Kostendruck und die stetig
zunehmende Dynamik und Komplexität des Unternehmensumfelds stellen die
Unternehmensführung vor große Herausforderungen, um den Unternehmenserfolg
sicherzustellen. Ein gut ausgestattetes und effektiv eingesetztes Risikocontrolling
90 Vgl. http://www.risknet.de/risknews/wie-stressig-muss-ein-stresstestsein/a86561cab70da12a5a63171014941ffa/
91 Vgl. Vahs/ Schäfer-Kunz, S.271
35

unterstützt die Unternehmensführung bei der erfolgreichen Steuerung des
Unternehmens. 92
Erfolgreiche Risikomanagementsysteme müssen unternehmensweit ausgestaltet,
integriert, wertorientiert und nachhaltig sein. Dabei bedeutet Nachhaltigkeit, dass das
System effektiv und effizient eingesetzt werden kann. Das bestehende
Risikomanagement wird zu einem ganzheitlichen System umgestaltet um einen
zielorientierten Einsatz zu ermöglichen. Eine unternehmensweite Informationsbasis
erhöht den Einblick in Entscheidungsoptionen und erweitert
Entscheidungsspielräume und damit die unternehmerische Freiheit. 93
Das Dynamic Risk Management betrachtet Risiken aus dem Blickwinkel der Gefahr
sowie der Chance. Es ermöglicht Risiken gezielt zu steuern, auf Veränderungen
rechtzeitig zu reagieren und leistet somit einen wesentlichen Beitrag zum
Unternehmenserfolg. 94
Die Ausgestaltung des Dynamic Risk Management wird in einer Risk Governance
festgelegt. Hierbei werden Risikomanagement-Ziele, die Risikostrategie und die
Risikokultur fokussiert.
Die Vorrausetzung für ein nachhaltiges Risikomanagement ist, dass Rollen und
Verantwortlichkeiten eindeutig definiert und in die organisatorische Struktur des
Unternehmens eingegliedert werden. Grundsätzlich sind drei zentrale
Verantwortlichkeiten empfehlenswert: Zum Einen der Chief Risk Officer, welcher in
der Unternehmensleitung integriert ist und zum Anderen die Risikomanager, welche
als Bindeglieder zwischen dem Chief Risk Officer und den Geschäftsbereichen
agieren. Zusätzlich dienen Risikoverantwortliche in den Geschäftsbereichen der
Identifizierung, Überwachung und Steuerung der Risiken.
Auch der Einsatz moderner Technologien ist ein wesentlicher Bestandteil der
effizienten und erfolgreichen Ausgestaltung des Dynamic Risk Managements. Die
Aufbereitung sowie die Analyse großer Datenmengen schaffen eine aktuelle
92 PricewaterhouseCoopers (2010), S. 7
93 PricewaterhouseCoopers (2010), S.7
94 PricewaterhouseCoopers (2010), S.7
36

Informationsbasis und bilden eine essentielle Grundlage für die Qualität und
Verfügbarkeit entscheidungsrelevanter Informationen. 95
Auch in einem dynamischen Umfeld bietet das Dynamic Risk Management
Transparenz über die Chancen und Gefahren, welche sich durch die
unterschiedlichen Risiken im Unternehmensumfeld ergeben. Dadurch lassen sich
Risiken effektiver steuern und die Unternehmensziele erfolgreich umzusetzen.
Vorrausetzung für den Erfolg dieses Systems ist die unternehmensweite Integration
sowie die wertorientierte und nachhaltige Ausgestaltung. Sämtliche Risiken müssen
auf horizontaler und vertikaler Ebene im gesamten Unternehmen identifiziert,
bewertet und gesteuert werden. Das Risikomanagement wird in alle relevanten
Geschäftsprozesse, Strukturen und Systeme integriert und auf die Erreichung der
Unternehmensziele, Stärkung der Unternehmenswerte sowie auf die
Unternehmenskultur ausgerichtet. Dabei stehen Effektivität und Effizienz im
Vordergrund um den größtmöglichen Nutzen bei möglichst niedrigen Kosten zu
erreichen. Das Dynamic Risk Management ist flexibel und kann an die sich stetig
veränderte Unternehmensumwelt angepasst werden, da die Strategie, die
Organisation und die Prozesse des Dynamic Risk Management modular ausgestaltet
sind. Die unternehmerische Freiheit und Flexibilität, geringe Kosten und die
Nachhaltigkeit sind wesentliche Vorteile dieses Systems. Es gibt einen Überblick
über die sich stetig ändernden Rahmen- und Umweltbedingungen des
Unternehmens und ermöglicht Risiken frühzeitig zu erkennen. Der daraus
entstehende Zeitvorsprung und die Entscheidungssicherheit ergeben dabei einen
deutlichen Wettbewerbsvorteil. Durch die Integration bestehender
Risikomanagementsysteme, lassen sich unter anderem Kosten reduzieren. Dies
unterstützt ein Unternehmen folglich in seinem wirtschaftlichen Denken und Handeln.
Das Dynamic Risk Management fördert den bewussten Umgang mit Risiken. Dieses
Bewusstsein ermöglicht eine Abwägung von Risiken, welche eingegangen werden
müssen, um daraus entstehende Chancen nutzen zu können. Durch den Dynamic-
Risk-Management-Ansatz lässt sich das Risikobewusstsein in der
Unternehmenskultur nachhaltig verankern. 96
95 PricewaterhouseCoopers (2010), S.8
96 Vgl. PricewatehouseCoopers (2010), S.11
37

In den vergangen Jahren wurden einzelne Risikomanagement-Teilsysteme
entwickelt, die sich meist auf Risiko Teilbereiche konzentrieren. Die Abhängigkeiten
der Risiken untereinander bleiben oft unbeachtet. Die Integration der vorhandenen
Teilsysteme des Risikomanagements durch das Dynamic Risk Management
ermöglicht eine Gesamtlösung mit unternehmensweiter Sicht auf Risiken und deren
Zusammenhänge.
Abbildung 14 : Überführung von Risikomanagement-Teilsystemen 97
Die wesentlichen Elemente eines Dynamic Risk Managements sind die Risk
Governance mit Risikostrategie und der Risikokultur sowie die Risikomanagement-
Prozesse. Weiterhin bilden die Risikomanagement Organisation sowie die
Risikomanagement-Technologie einen Teilbereich des Dynamic Risk Managements
ab. 98
97 Vgl.PricewaterhouseCoopers (2010), S.12
98 Vgl. PricewaterhouseCoopers (2010), S. 14
38

Abbildung 15: Elemente zur Ausgestaltung von Dynamic Risk Management 99
Die Risk Governance bildet den Rahmen für den Inhalt und die Organisation des
Dynamic Risk Managements. In Ihr werden die Ziele des Risikomanagements, die
Risikostrategie und Risikokultur festgelegt. Aus diesen Grundsätzen werden die
Vorgaben für Organisations-, Prozess- und Technologieebene abgeleitet. Mit Hilfe
der Risk Governance wird sichergestellt, dass die Ziele und Strategie regelmäßig
überprüft und angepasst werden. 100
Klar definierte Rollen und Verantwortlichkeiten sowie deren Verankerung in der
organisatorischen Struktur des Unternehmens sind Vorrausetzung für eine
erfolgreiche Umsetzung des Dynamic Risk Managements. Bei der Ausgestaltung der
Organisation wird das Ziel verfolgt, die mit dem Risikomanagement verbundenen
Rollen und Funktionen in die bestehende Unternehmensstruktur zu integrieren. So
lässt sich eine Isolierung der Risikomanagement-Organisation neben bestehenden
Strukturen verhindern. Dies wiederum fördert die Sensibilisierung der Mitarbeiter für
das Risikobewusstsein und die Erzielung von Synergieeffekten. Trotz der Integration
in die bestehenden Strukturen des Unternehmens wird eine zentrale
Risikomanagement-Funktion benötigt, um die unternehmensweite Koordination und
Überwachung der operativen Bereiche sicherzustellen. Dabei ist, wie bereits
erwähnt, die Aufteilung in drei zentrale Rollen sinnvoll. Der Chief Risk Officer trägt
die Verantwortung der Risikomanagement-Funktion und setzt die Steuerung des
Dynamic Risk Managements im Unternehmen um. Die Risikomanger beraten die
99 Vgl. PricewaterhouseCoopers (2010), S.14
100 Vgl. PricewaterhouseCoopers (2010), S.18
39

operativen Bereiche und stellen eine Verbindung zur der Risikomanagement-
Abteilung her. Die Risikoverantwortlichen aus den operativen Bereichen identifizieren
und steuern die Risiken. Neben diesen drei zentralen Rollen sieht der Dynamic-Risk-
Management-Ansatz auch Gremien vor, die sich aus den bestehenden Funktionen
zusammensetzen. 101
Der Risikomanagement-Prozess besteht aus den Phasen der Risikoidentifikation,
Risikobeurteilung, Risikosteuerung und dem Risikoreporting. Ziel der
Risikoidentifikation ist es im ersten Schritt alle relevanten Gefahren und Chancen zu
erkennen, die für den Erfolg eines Unternehmens entscheidend sind. Hierbei ist die
Fachkompetenz der Mitarbeiter ausschlaggebend. Im zweiten Schritt werden die
Risiken durch die Risikoverantwortlichen anhand von einheitlich und zentral
vorgegebenen Kriterien bewertet. Dabei werden sie vom Risikomanager bei der
Beurteilung unterstützt. Die Risikosteuerung hat zum Ziel das richtige Maß zwischen
Chancen und Gefahren zu finden, um Präventivmaßnahmen ergreifen zu können.
Den Maßnahmen werden Indikatoren zugeordnet, sodass frühzeitig Rückschlüsse
über die Wirksamkeit gezogen werden können. Das Risikoreporting sorgt für die
gezielte Steuerung von Informationsflüssen. Dabei werden Informationen über die
Risikosituation, den Risikoverantwortlichen, die Risikobewertung, die
Frühindikatoren, den aktuellen Status und die Maßnahmen zur Risikosteuerung
erfasst. 102
Die Risikomanagement-Technologie zielt auf die Bildung einer sicheren
Informationsbasis für Unternehmensentscheidungen ab. Sie ermöglicht die
Erfassung von Informationen, die Aktualität der Daten und das Aufbereiten von
entscheidungsrelevanten Informationen. 103
Der Erfolg eines Unternehmens, in einem sich ständig ändernden und komplexen
Umfeld, bei wachsenden Anforderungen der Stakeholder und zunehmendem
Kostendruck erfordert moderne und flexible Steuerungsinstrumente der
Unternehmensleitung.
Zusammenfassend dient das Dynamic Risk Management also der Bildung einer
verbesserten Informationsgrundlage. Mit Hilfe dieser neugewonnenen
101 Vgl.PricewaterhouseCoopers (2010), S. 20
102 Vgl. PricewaterhouseCoopers (2010), S.28
103 Vgl. PricewatehouseCoopers (2010), S.29
40

Informationsbasis lassen sich der Handlungsspielraum und die Transparenz für
Entscheidungen der Unternehmensleitung deutlich erweitern. Weiterhin ist die
Verminderung von Risiken und die Realisierung von Chancen ein grundlegender
Aspekt, der aus der erfolgreichen Umsetzung des Dynamic Risk Managements
hervorgeht. 104
4 RISIKO-REPORTING
4.1 Grundlagen
Man charakterisiert als Risiko „die Möglichkeit einer negativen Zielabweichung“. 105
Deshalb sind aktuelle und zuverlässige Informationen für Manager von großer
Bedeutung. Aufgrund andauernder und unvorhergesehener Veränderungen, sind
Unternehmen gezwungen sich ständig anzupassen und eine Vielzahl von
Einflussgrößen zu beachten. 106
Diese Informationen bilden die Basis für zielgerichtete Entscheidungen und können
das Risiko einer Fehlentscheidung und der daraus resultierenden Zielabweichung
reduzieren.
Um den Zielen und Aufgaben des Risikomanagements gerecht zu werden, ist eine
umfassende Berichtserstattung auf allen Ebenen des Unternehmens durchzuführen
und in das Standardberichtswesen zu integrieren. Die Erfassung von Risikoberichten
und Informationen zur Verbesserung des Risikomanagementsystems stellen
wesentliche Inhalte des Risiko-Reporting dar. Ein zuverlässiges Reporting und die
damit einhergehende Transparenz über bestehende Risiken sind für die Existenzund
Erfolgssicherung eines Unternehmens von primärer Bedeutung. 107
4.2 Ziele und Funktionen
Das Risiko-Reporting besitzt die zentrale Aufgabe Risiko- und Chancenrelevante
Informationen an die betreffenden Personen und Stellen zu übermitteln. 108 Dies
beinhaltet die Erstellung, Ermittlung und Vermittlung von unternehmens- und
umweltbezogenen Informationen über Tatsachen, Ereignissen, Zusammenhängen
104 Vgl. PricewaterhouseCoopers (2010), S. 34
105 Erben/Romeike (2002), S.3
106 Vgl. Erben/Romeike (2002), S. 4
107 Vgl. Diedrichs (2012), S.163
108 Vgl. Denk (2005), S. 125
41

und Vorgängen. Informationen zur Identifizierung und Bewertung von Risiken, sowie
eingeleitete Maßnahmen zur Gegenwirkung werden in Form von Berichten
dokumentiert. 109
Dabei dienen die Risikoberichte unterschiedlichen Zwecken. Hierzu zählen die
hierarchieübergreifende Informationsversorgung von bestehenden Risiken und von
risikorelevanten Prozessen, die Funktion der Entscheidungsunterstützung, der
Dokumentation und Kontrolle, der Prüfbarkeit und der Rechenschaft. 110
Das Risiko-Reporting soll Entscheidungsträgern eine Überwachung der Risikolage
ermöglichen und ein frühzeitiges Entgegenwirken risikorelevanter Situationen
gewährleisten. Primäres Ziel ist die Steigerung des Risikobewusstseins und das
Schaffen einer Transparenz der Risikosituation auf allen Ebenen des
Unternehmens. 111
4.2.1 Informationsfunktion
Die Art der Risiken, die Einflussfaktoren, der zeitliche Verlauf, das
Gefährdungspotenzial der Einzelrisiken, das Zusammenwirken von Einzelrisiken und
das daraus resultierende Gefährdungspotenzial der kumulierten Risiken sind wichtige
Informationen, die zur Entscheidungsfindung benötigt werden. Die Dokumentation ist
zwingend genau und zeitnah zu erstellen um eine konstante
Informationsbeschaffung sicher zu stellen, die ein risikogerechtes Beurteilen von
basisgebenden Daten zur Entscheidungsfindung ermöglicht. 112
4.2.2 Entscheidungsfunktion
Zur Entscheidungsfindung werden die Risikopositionen der operativen Teileinheiten
ständig erfasst und dann für die Entscheidungsträger und die Unternehmensleitung
transparent aufbereitet. „Dieser Informationsfluss ist auf den individuellen
Informationsbedarf der einzelnen Adressaten auszurichten.“ 113
Ein Informationsaustausch kann in die vertikale oder in die horizontale Richtung
erfolgen. Entscheidungsträger der mittleren und unteren Führungsebene erhalten
ein Feedback über ihre Risikopositionen und eine Evaluierung ihrer Entscheidungen,
109 Vgl. Diedrichs (2012), S.163
110 Vgl. Burger/Buchhart (2002), S. 175 f.
111 Vgl. Diedrichs (2012), S.163
112 Vgl. Burger/Buchhart (2002), S. 175
113 Burger/Buchhart (2002), S.175
42

so liegt ein Informationsfluss auf vertikaler Ebene vor. Ein horizontaler
Informationsausaustausch ist hingegen durch den Informationsaustausch aller
risikobetroffenen Stellen und Instanzen gekennzeichnet. Ziel des Risiko-Reporting
ist das Verknüpfen und Koordinieren beider Formen.
4.2.3 Dokumentations- und Kontrollfunktion
Die Dokumentation und Kontrolle stellt wie bereits erwähnt eine wichtige Funktion
des Risiko-Reporting dar. Verwendete Instrumente zur Steuerung von Risiken und
deren Wirkung werden dokumentiert. Man spricht von einer Sicherungsfunktion im
Rahmen des Risikomanagement-Prozess, da die Unternehmensführung bei Kenntnis
über Risiken, Maßnahmen und eingesetzten Instrumenten, gegebenenfalls
Gegenmaßnahmen einleiten kann und die Risiken im Rahmen der KonTraG
Vorgaben überwachen kann.
4.2.4 Prüfbarkeits- und Rechenschaftsfunktion
Um dokumentierte Risikosituationen prüfbar zu machen, bietet es sich an ein
Risikohandbuch zu führen. Kontrollinstanzen wird dadurch ein leichteres Ausüben
ihrer Funktionen gewährleistet. Des Weiteren wird die Vorgabe des KonTraG erfüllt,
welche die Dokumentation der Risikostruktur für den Lagebericht des
Jahresabschlusses darstellt. Im Krisenfall übernimmt das Risiko-Reporting auch die
Funktion der Rechenschaft. Die adäquate Dokumentation der Risiken dient als
Beweisfunktion für den Vorstand. 114
4.2.5 KonTraG
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
wurde 1998 in Deutschland erlassen. Laut § 91 Abs. 2 sind alle Aktiengesellschaften
angehalten über die Entwicklung der Risiken innerhalb des Unternehmens zu
berichten. Diese Forderung wird jedoch auch in Kaptialgesellschaften und Nicht-
Kapitalgesellschaften durchgeführt. Bei der Gestaltung lässt die gesetzliche Vorgabe
große Spielräume, da Träger, Inhalt und Ausgestaltung nicht vorgegeben sind.
Jedoch ist ein Frühwarnsystem laut § 91 Abs. 2 einzurichten. 115
114 Vgl. Burger/Buchhart (2002), S.175 ff.
115 Vgl. Burger/Buchhart (2002), S. 7 f.
43

4.3 Gestaltung und Anforderungen
Bei der Gestaltung des Reporting sind funktionale, inhaltliche, formale, zeitliche und
personale Berichtsmerkmale zu beachten. Die Abbildung 16 zeigt, welche Fragen zu
beantworten sind um die Ziele und Aufgaben des Risiko-Reporting erfüllen zu
können.
Was (inhaltlich)?
- Berichtsinhalt
- Aussageart
- Verdichtungsgrad &
Genauigkeit
- Anzahl & Berichtsquelle
Wann (zeitlich)?
- Termin
- Bearbeitungszeit
- Berichtszeitraum
Wozu (funktional)?
- Berichtszweck
Wie (formal)?
- Datenerfassung
- Datenaufbereitung
- Darstellung
- Übermittlungsmedium
- Berichtsart
Wer (personal)?
- Ersteller (Sender)
- Empfänger (Adressat)
Abbildung 66 Parameter bei der Gestaltung der Berichtserstattung 116
In der Praxis ist nach einer Kompromisslösung zu suchen, da nicht alle Aspekte
getrennt voneinander betrachtet werden und konkurrierende Aspekte nicht
gleichermaßen abgedeckt werden können. 117
Neben den Berichtsmerkmalen muss das Risiko-Reporting noch weitere
Anforderungen erfüllen:
116 Vgl. Diederichs (2012), S.164
117 Vgl. Diederichs (2012), S.164
44

Wesentlichkeit: Der Umfang und Detaillierungsgrad des Risiko-
Reporting ist an das Informationsbedürfnis der jeweiligen Ebenen und
Teilbereiche anzupassen.
Rechtzeitigkeit: Das Risiko-Reporting soll so angelegt sein, dass ein
frühzeitiges Handeln gewährleistet wird. Lücken zwischen einzelnen
Teilbereichen und der Gesamtunternehmensebene sollen durch den
raschen Einsatz von Maßnahmen geschlossen werden.
Genauigkeit: Risiken werden nach qualitativer und quantitativer Art
beschrieben. Dabei sind quantitative Risiken nach Genauigkeitsgrad in
Bandbreiten und Punktwerten zu unterteilen.
Vollständigkeit: Die Vollständigkeit des Risiko-Reporting ist von Ebene
zu Ebene verschieden. Die Teilbereichsebene sollte alle
teilbereichsbezogenen Maßnahmen in das Reporting integrieren, die
Gesamtunternehmensebene hingegen alle Informationen aus
Gesamtsicht.
Einheitlichkeit: Die Berichtsform ist einheitlich zu gestalten um eine
Vergleichbarkeit der Risiken unterschiedlicher Ebenen sicher zu stellen
und eine einfache Weiterverarbeitung auf der nächsthöheren Ebene zu
gewährleisten. 118
4.3.1 Berichtsarten und Berichtsfrequenz
Bei der Gestaltung des Risiko-Reporting ist nach Standardrisikobericht,
Spezialbericht und Ad-hoc-Bericht zu unterscheiden. Der Standardrisikobericht bildet
die Grundlage der Informationsversorgung und ist durch einen festgelegten Inhalt,
eine festgelegte Form und einen festgelegten Zeitpunkt gekennzeichnet. Der
kontinuierliche Informationsfluss ist auf die Berichtsempfänger abgestimmt und liefert
risikorelevante Informationen regelmäßig in gleicher Art und Weise. Die
Berichtsfrequenz ist neben der Art und Entwicklung der Risiken, auch von der
Branche des jeweiligen Unternehmens abhängig. Die Standardrisikoberichterstattung
kann also täglich, wöchentlich, monatlich, quartalsweise, halbjährlich oder
ganzjährlich erfolgen. Jedoch sollte sie an die Dynamik des Unternehmens
angepasst sein und bei schnell veränderbaren Risiken zeitnah und in kurzen
Intervallen erfolgen. Eine Berichterstattung verliert an Bedeutung wenn sie zeitlich
118 Vgl. Burger/Buchhart (2002), S. 179
45

zu spät oder zu selten durchgeführt wird. Deshalb empfiehlt es sich, die Häufigkeit
der Berichterstattung an die Relevanz der Risiken anzupassen. 119
Um einer individuellen Informationsversorgung gerecht zu werden, sind bei Bedarf
Spezialberichte anzufertigen. Sachverhalte werden hier im Gegensatz zur
Standardrisikoberichterstattung sehr ausführlich und detailreich beschrieben. 120
Bei aprupt eintretenden Risiken ist die Ad-hoc-Berichterstattung einzusetzen. Hierbei
werden die Informationen direkt an die Unternehmensführung übermittelt und nicht in
das Standard-Reporting integriert. Es handelt sich um eine unregelmäßige Erfassung
die nur bei sehr hohen bzw. existenzdrohenden Risiken erfolgt. 121
4.3.2 Adressaten des Risiko-Reporting
Für interne sowohl als auch für externe Adressaten ist es von großer Bedeutung,
dass Daten richtig gesammelt, analysiert und verdichtet werden. Eine Integration
dieser Schritte in die Unternehmenskultur ist notwendig um eine Grundlage für
operationelle und strategische Entscheidungen zu schaffen.
4.3.2.1 Interne Adressaten & interne Dimension
Bereichsleiter, Corporate Risk Management bzw. zentrales Risikomanagement, Risk
Committee, Vorstand und Aufsichtsrat stellen mögliche interne Adressaten des
Risiko-Reporting dar. Die Informationsbedürfnisse und Anforderungen sind von
Empfänger zu Empfänger verschieden. Das zentrale Risikomanagement ist
beispielsweise über sämtliche Risiken auf allen Ebenen in ausführlicher Art und
Weise zu informieren. Einen Bericht über wesentliche Risiken inklusive einer
Abstufung nach Relevanz der Risiken ist hingegen für den Vorstand zur Verfügung
zu stellen. 122 Das Reporting ist daher auf mehreren Dimensionen mit spezifischen
Informationen zu gestalten.
Das Anfertigen einer „Top-10 Risiken“ Übersicht für die Unternehmensführung stellt
eine denkbare Dimension dar. Hierbei sollten wichtige Einzelrisiken die in
Kombination mit Ereignissen geschäftsgefährdend sein können, explizit erklärt
119 Vgl. Diederichs (2012), S. 170
120 Vgl. Diederichs (2012), S. 170 f.
121 Vgl. Burger/Buchhart (2002), S. 178
122 Vgl. Denk (2005), S. 125 f.
46

werden. Genauso sollte auch mit Risiken verfahren werden, die auf verschiedenen
Geschäftsebenen auftreten und durch ihre Potenzierung eine Gefahr darstellen.
Des Weiteren ist auch eine Systematisierung nach Geschäftsfeldern gut umsetzbar.
Strategische Entscheidungen können hierbei leichter getroffen werden. Zudem ist auf
dieser Ebene ein größerer Detaillierungsgrad in der Darstellung möglich und die
Interaktion der einzelnen Geschäftsbereiche leichter zu konkretisieren.
Um eine Tendenz häufig auftretender Risikoarten erkennen zu können, bietet sich
eine Aufgliederung nach Risikoarten an. Hilfreiche Aspekte zu Erfassungs- und
Bewertungsmethoden werden hierbei ersichtlich.
Eine Berichterstattung mit dem Schwerpunkt auf die unternehmensindividuellen
Gegebenheiten ist ebenfalls von Interesse. Aktuelle Schwerpunktthemen der Risiken,
signifikante Entwicklungen der Unternehmenswelt oder strategische Veränderungen
stellen mögliche Inhalte dar. 123
4.3.2.2 Externe Adressaten & externe Dimension
Wirtschaftsprüfer, Shareholder, Debtholder, Analysten und Rating- Agentur zeichnen
sich als externe Adressaten des Risiko-Reporting aus. Anhand des
Geschäftsberichts (d.h. Lagebericht und Anhang) ist eine zutreffende Beurteilung der
Risikolage des Unternehmens möglich. 124 Im externen Bereich übernimmt das
Reporting ebenfalls eine Dokumentationsfunktion, da Kapitalgesellschaften nach
§289 Abs. 1 HGB angehalten sind, im Lagebericht auf die Entstehung und
Entwicklung bestehender Risiken einzugehen. Der Risikobericht ist in Verbindung mit
dem Prognosebericht, der voraussichtliche Entwicklungen und Chancen umfasst, zu
betrachten. Beide Berichte verfügen über den gleichen Bezugszeitraum von 12
Monaten und weisen die gleichen Systeme und Instrumente des Risikomanagements
auf. Vor allem bei Kapitalgesellschaften besteht gegenüber den Anlegern eine
Verpflichtung, künftige Risiken zu kommunizieren und quantitativ zu bewerten. 125
4.4 Risk Engine / RMIS
Das Risk-Management-Informationssystem (RMIS) oder auch Risk Engine
bezeichnet, hat die Aufgabe eine rechtzeitige Versorgung der Entscheidungsträger
123 Vgl. Burger/Buchhart (2002), S. 188 f.
124 Vgl. Denk (2005), S. 126
125 Vgl. Burger/Buchhart (2002), S.188 f.
47

mit notwendigen und relevanten Informationen zu gewährleisten. Daher bezeichnet
man das RMIS auch als Entscheidungsunterstützungssystem. Mit Hilfe dieses
Informationssystems sollen Informationen zum richtigen Zeitpunkt, am richtigen Ort
und in richtiger Form bereit gestellt werden. Dazu werden interne sowohl als auch
externe Daten erfasst, gespeichert, verarbeitet und zur Verfügung gestellt.
Durch ein RMIS sollen Schwachstellen des Risk Managements auf ein geringes Maß
reduziert werden. Zu den Schwachstellen zählen u.a.:
ein fehlendes oder unvollständiges Risikoinventar
fehlender Überblick der Risikolage
Inkonsistenz bei der Erfassung und Speicherung von Daten
fehlende bzw. gestörte Informations- und Kommunikationswege
unzureichend informierte Unternehmensleitung
verzögerte Entscheidungsfindung 126
In vielen Fällen verfügt das Risk Management bereits über die erforderlichen Daten,
kann jedoch die Erfassung, Speicherung, Verarbeitung und Bereitstellung der Daten
nur unzureichend ausführen. Aufgrund dieser genannten Schwachstellen ist eine
wesentliche Anforderung an ein RMIS einen reibungslosen und koordinierten
Informationsfluss auf allen Ebenen des Unternehmens zu gewährleisten. Um aus
gewonnen Informationen repräsentative Analysen erstellen zu können, muss vorab
eine ordnungsgemäße Integration der Daten in ein eventuell bereits im Einsatz
befindliches Datawarehouse oder wenn nicht in anderer
strukturierter Form, einer beliebigen relationalen Datenbank erfolgen.
126 Vgl. Erben/Romeike (2003), S. 281 f.
48

Abbildung 17: Von Daten zu relevanten Managementinformationen 127
Die Anforderungen an ein RMIS sind aufgrund der unterschiedlichen individuellen
Bedürfnisse der einzelnen Unternehmen sehr unterschiedlich. Jedoch lassen sich
einige grundlegenden Anforderungen definieren. Zum einen ist die Verfügbarkeit
eines integrierten Datenbestandes und geeigneter Schnittstellen sicher zu stellen, da
nicht nur risikobezogene sondern auch betriebswirtschaftliche Daten berücksichtigt
werden müssen. Zum anderen ist auch die Integration eines Frühwarnsystems zu
beachten, um künftige Entwicklungen zu antizipieren. Ein flexibler Aufbau des RMIS,
eine benutzerfreundliche Gestaltung, die Verfügbarkeit von aktuellen Daten zu jedem
Zeitpunkt, eine individuelle Gestaltung von Berichten und die Möglichkeit von
flexiblen Simulationen stellen weitere Anforderungen an ein RMIS dar. Des Weiteren
sollte die Wirtschaftlichkeit, Schnelligkeit, Konsistenz und Aktualität der Daten im
Vordergrund stehen. 128
4.5 Risk Map
Nachdem die Risiken über den Risk Engine erfasst und erkannt wurden sind diese zu
kategorisieren. Die Quantifizierung erfolgt hinsichtlich ihrer
Eintrittswahrscheinlichkeit. Hierbei wird der Erwartungswert durch Multiplikation von
Eintrittswahrscheinlichkeit und Schadensausmaß bestimmt. Ein Beispiel wäre, ein
Risiko tritt mit einer Wahrscheinlichkeit von 30% ein und verursacht im Falle des
127 In Anlehnung an Erben/Romeike (2003), S.283
128 Vgl. Erben/Romeike (2003), S.283 f.
49

Eintritts einen Schaden von 10.000 €. Höhe der finanziellen Risikorückstellung = 0,3
x 10.000 € = 3.000 €. 129
Anhand der Risikobewertung können die Risiken hinsichtlich ihres
Gefährdungspotenzials in eine Rangfolge gebracht werden. 130 Um die bewerteten
Risiken zu visualisieren und zu dokumentieren verwendet man eine Risk Map oder
auch Risk Matrix genannt. Es handelt sich hierbei um eine Übersicht über die mit den
einzelnen Risiken verbundenen Sachverhalte. Die Risk Map führt Elemente der
Risikoidentifikation, -bewertung und -steuerung zusammen und kann sowohl für das
gesamte Unternehmen angefertigt werden, als auch für Teilbereiche oder einzelne
Geschäftsfelder. 131 Zur qualitativen und quantitativen Bewertung der Risiken werden
verschiedene Analysemethoden eingesetzt, die bereits in Punkt
„Bewertungsmodelle“ näher erläutert wurden.
In der Risk Map werden die bewerteten Risiken dann in Form von Punkten in eine
Matrix übertragen. Die vorher festgelegte Akzeptanzlinie zeigt ab wann eine
Maßnahmenergreifung nötig ist.
Abbildung 18: Riskportfolio 132
129 Vgl. Organisationshandbuch - Bundesministerium
130 Vgl. Romeike (2003), S. 157 f.
131 Vgl. Burger/Buchhart (2002), S. 183
132 In Anlehnung an Romeike (2003), S.158
50

Die Risk Map wird im Rahmen des Risiko-Reporting vor allem im internen Sektor
genutzt. Sie liefert der Unternehmensführung einen schellen und kompakten
Überblick über die wichtigsten Risiken innerhalb des Unternehmens. Eine abgeleitete
Version der Risk Map kann auch für eine risikoorientierte Steuerung des operativen
Tagesgeschäfts eingesetzt werden. Der Nutzen dieses Instruments liegt in der
übersichtlichen Darstellung und Einordnung der Risiken.
Demnach muss eine Risk Map – Struktur aus folgendem bestehen:
Informationsquelle
Unternehmensebene bzw. – bereich
Risikoart
Einflussfaktoren
Quantitative und qualitative Einschätzungen
Soll- / Ist- Vergleiche
Steuerungsmaßnahmen die geplant oder durchgeführt wurden
Definierte Risikoverantwortlichkeiten 133
Dieses Grundgerüst ist je nach Unternehmen auszubauen oder zu minimieren jedoch
sollte man den „ Konflikt zwischen zunehmenden Detaillierungsgrad und
abnehmender Übersichtlichkeit“ nicht außer Acht lassen. 134
4.6 Risiko-Reporting in der Praxis
Das Risiko-Reporting nimmt im Rahmen des Risikomanagements einen wichtigen
Stellenwert ein. In der Praxis, so zeigt es eine Studie, liegen jedoch sowohl im
internen als auch im externen Bereich große Defizite vor. Im internen Sektor erfolgt
die Kommunikation des Risikoberichts oftmals nur direkt an die
Unternehmensführung. Schnittstellen und Zuständigkeiten werden hierbei
übergangen. Im externen Bereich werden gesetzliche Anforderungen nicht erfüllt.
Allgemeine Risikogrundsätze und -definitionen stellen die Ursachen für die Mängel
dar.
133 Vgl. Burger/Buchhart (2002), S. 184
134 Burger/Buchhart (2002), S. 184
51

Deshalb ist es enorm wichtig eine ausgeprägte Risikokultur zu schaffen, die durch
das Verständnis des Managements und der Sicherstellung von Kompetenzen
gekennzeichnet ist. Des Weiteren müssen die Informationen an den jeweiligen
Adressaten angepasst werden. Art, Form und Menge sind nach den Bedürfnissen
und Interessen des Empfängers abzustimmen. Die Mindestbestandteile des externen
Risiko-Reporting sind einzuhalten. Hierzu zählen die Darstellung des
Risikomanagementsystems, die Beschreibung und Kategorisierung der Risiken, die
Darstellung von Risikokonzentrationen und bestandsgefährdenden Risiken, Angaben
von Veränderungen gegenüber dem Vorjahr und eine Gesamteinschätzung der
Risikolage. 135
5 RISIKOMANAGEMENT IM UNTERNEHMEN
In diesem Teil, welcher die Arbeit mit einem Beispiel abrundet, wird auf die
Eingliederung des Risikomanagements innerhalb der Unternehmen eingegangen.
Wer braucht ein Risikomanagement? Das Gesetz zur Kontrolle und Transparenz im
Unternehmensbereich sieht seit 1.Mai 1998 vor, dass Vorstände börsennotierter
Aktiengesellschaften rechtlich verpflichtet sind ein Risikomanagement zu
installieren. 136 Wie dieses Risikomanagement allerdings auszusehen hat, wird nicht
definiert. Durch die heterogenen Unternehmensumfelder und die daraus
resultierenden individuellen Risiken, muss jedes Unternehmen eine für sich ideale
Strategie zur Analyse entwickeln. 137 Im weiteren Verlauf wir auf die Beeinflussung
der organisatorischen Gestaltung des Risikomanagements eingegangen. Es wird
anhand eines produzierenden Unternehmens gezeigt, wie eine Eingliederung des
Prozesses aussehen könnte.
5.1 Organisation - Zentral vs. Dezentral
Im vorherigen Abschnitt wurde erläutert welche möglichen Risikoarten und
Kategorien innerhalb eines Unternehmens lauern könnten. Auch hier gilt
selbstverständlich, dass es nur ein möglicher und nicht allgemeingültiger Ansatz ist.
135 Vgl. http://www.perspektive-mittelstand.de/Risikomanagement-Teil-4-Internes-und-externes-
Risikoreporting/management-wissen/1520.html
136 Vgl. http://www.juraforum.de/lexikon/kontrag
137
Vgl. Burger/Buchhart, S.36
52

Nun wird aufgezeigt, welche Möglichkeiten der Organisation es für das
Risikomanagement gibt.
Dazu werden allgemein zwei Ansätze verglichen. Das Risikomanagement System
kann zentral oder dezentral organisiert werden. Bei der zentralen Lösung wird das
Risikomanagement System in die bereits bestehenden Abteilungen integriert,
hingegen wird für die dezentrale Organisation eine neue Einheit aufgebaut.
Zentrale Lösungen werden typischerweise gekennzeichnet durch Vorteile bei der
Koordination bereichsübergreifender Risiken, sowie der Konzentration auf die
Einheitlichkeit der Risikoerkennung und Risikoerfassung. Alle gesammelten Daten
werden von einer Einheit ermittelt, analysiert und zur Verfügung gestellt. Nachteile
weißt das System bei der Entwicklung des Risikobewusstseins auf, da sich keine
Abteilung für das Risikomanagement richtig zuständig fühlt. So ist ein Schutz vor
Risiken, wie es ein Risikomanagement System vorsieht, nicht gegeben. 138
Die Dezentrale Lösung setzt sich aus mehreren Risikogremien an verschiedenen
Standorten zusammen. 139 Für eine dezentrale Lösung sprechen die Nähe zum Markt
und die Chancen der Umsetzbarkeit. Ein Kritikpunkt wäre gegebenenfalls der
gestörte Bezug zum Gesamtkonzept sowie mangelnde Professionalität in
Einzelfällen.
Gründe für ein zentrales Risikomanagement
Vergleichbarkeit bei der Risikomessung durch einheitliche
Modelle und Verfahren und konsistente Vorgehensweise auf
der Basis einheitlicher Richtlinien für das
Gesamtunternehmen
Unternehmensweite Risikoperspektive: Konzentrations- und
Diversifikationseffekte lassen sich nur auf zentraler Ebene
berücksichtigen.
Einheitliche und umfassende Sichtweise aus der
Gesamtunternehmensperspektive
Notwendigkeit des Einsatzes von Spezialkenntnissen hoch
qualifizierter Mitarbeiter
Unabhängigkeit und Schaffung einer „kritischen Masse“ durch
Aufgaben- und Informationsbündelung
Gründe für ein dezentrales Risikomanagement
Nähe zum Geschäft: Informationsqualität durch die
Marktnähe der Mitarbeiter in den dezentralen Einheiten und
individuelles Bewusstsein für zu verantwortende Risiken bei
den jeweiligen Entscheidungsträgern
Verfügbarkeit und Verständnis von Daten in dezentralen
Einheiten als Grundlage des besseren Verständnisses der
Situation von Ort und Möglichkeit einer schnelleren Erfassung
und Reaktion auf veränderte Bedingungen
Verringerung der Gefahr von Interpretationsschwierigkeiten
hinsichtlich der Aussagekraft von Daten.
138 Vgl. http://www.fhkiel.de/fileadmin/data/wirtschaft/Dozenten/Lorenzen__Klaus_Dieter/LERM_Leitfaden_RisikomanagRis
ik.pdf
139 Vgl. Burger/Buchhart (2002), S.262
53

Abbildung 19: Vor- und Nachteile zentrales und dezentrales Risikomanagement 140
Festzustellen ist, dass sich die Gestaltung weitgehend als offen erweist, d.h. keine
allgemeingültige Lösung der inhaltlichen Ausrichtung, Umsetzung und Organisation
zu erkennen ist. Setzt man Vor und Nachteile ins Verhältnis so ist für die Praxis eine
Kombination aus zentral und dezentral nicht nur denkbar, sondern gilt als ein
bewährtes Mittel. 141
5.2 Einflussfaktoren - Interne vs. externe Risiken
Jedes Unternehmen hat das Ziel möglichst alle Chancen und die damit verbundenen
Potenziale zu nutzen um möglichst effizient zu sein. Aber jedes Projekt bringt auch
gewisse Risiken mit sich. Deshalb ist es wichtig zu klären, durch welche Faktoren
diese Effektivität beeinflusst werden kann. Je nach Branche, Rechtsform und Größe
des Unternehmens ergibt sich eine Vielzahl verschiedener Risiken. Es gibt keine
Musterlösung, für die jeweilige Unternehmung muss individuell entschieden werden
welche Risiken relevant sind. Es empfiehlt sich deshalb für jedes Unternehmen eine
abgestimmte Risikokategorisierung vorzunehmen. Mit Hilfe der übergeordneten
Kategorisierung lassen sich Risikoquellen im Vorfeld systematisieren und
analysieren, zudem ermöglicht diese Art der Einordnung eine strukturierte und
einfache Darstellung der Risikofelder.
Auf diese Risikofelder und deren Kategorien möchte ich nun näher eingehen. Die
Risiken können sowohl in den Unternehmen selbst, als auch von außen auf die
Prozesse einwirken. Im weiteren Verlauf werden diese Gefahren als externe und
interne bezeichnet und näher beschrieben. Anschließend werden die möglichen
Risikokategorien näher behandelt.
Externe Risiken umfassen alle Risiken, die von außen auf das Unternehmen
einwirken. Dies sind in vielen Fällen Umweltstörungen oder andere Einflüsse die
häufig nicht im Einflussbereich des Unternehmens liegen. Im Falle des hier
betrachteten Beispiels können als externe Risiken beispielsweise
140 Eigene Darstellung: in Anlehnung an Hoffmann (2012), S.152
141 Vgl. Hoffmann (2012), (S.152)
54

Technologiesprünge betrachtet werden, deren Auftreten nicht früh genug erkannt
wurde oder Risiken durch Lieferanten wie z. B. der Ausfall eines solchen.
Mögliche Risikokategorien für die Risikoart der externen Beeinflussung wären zum
Beispiel Risiken durch höhere Gewalt oder der Politik.
Im Verlauf werden einige Beispiele für höhere Gewalt aufgezeigt. Erdbeben,
Überschwemmungen und Lawinen könnten folgen von höherer Gewalt sein. Erinnern
wir uns an die Ereignisse vor ca. 2 Jahren: „Ein Vulkan in Island spuckte Asche über
Europa, mit desaströsen Folgen. Die Einstellung des Luftverkehrs brachte
empfindliche Einschnitte. Fluggesellschaften, und mit Fortgang des Flugverbots auch
immer mehr andere Wirtschaftsunternehmen, waren empfindlich betroffen.“ 142 ,
anhand dieses Beispiels lässt sich gut zeigen, dass Unternehmen Risiken ausgesetzt
sind, auf welche sie keinen Einfluss nehmen können. Diese Risiken sind sowohl
volkswirtschaftlich als auch aus Unternehmenssicht von großer Bedeutung, da sie
häufig zu verhältnismäßig hohen Schäden führen. Für alle Risiken höherer Gewalt
gilt, dass sie sich grundsätzlich durch Notfallplanungen und Versicherungen steuern
lassen.
Neben den Risiken der höheren Gewalt werden politische Risiken als eine weitere
Risikokategorie angesehen und werden durch Einflussnahme des Staates
verursacht. Dabei kann es sich sowohl um den Staat handeln in dem ein Lieferant
sitzt, als auch um den Heimatstaat des eigenen Unternehmens. Die Ursachen für das
Risiko liegen nicht im eigenen Handeln oder dem des Lieferanten, sondern
ausschließlich auf Seiten des Staates. In gleicher Weise wie die Risiken höherer
Gewalt lassen sich politische Risiken kaum Beeinflussen.
Im Gegensatz zum externen Risiko liegen die Gefahren bei internen Risiken
innerhalb eines Unternehmens. Die Ursache liegt somit im Unternehmen oder geht
zumindest von diesem aus. So kann ein internes Risiko in der Nutzung einer
Technologie liegen, deren Grundlagen nicht ausreichend beherrscht werden oder
deren Prozessstabilität nicht gewährleistet ist. Hier wird aus Gründen der
Übersichtlichkeit auf eine Kategorisierung der internen Risiken verzichtet. Interne
Risiken werden im weiteren Verlauf als Unternehmensrisiken bezeichnet.
142 http://www.controllingportal.de/Fachinfo/Risikomanagement/Risikosteuerung.html
55

Hinter dem Unternehmensrisiko verbergen sich alle Risiken, die unmittelbar auf das
Unternehmen wirken und somit sowohl das Unternehmen im Ganzen als auch den
Produktionsprozess im Besonderen beeinflussen. Im Gegensatz zu den oben
genannten Risiken, sind diese Risiken im Grundsatz durch das Unternehmen
beeinflussbar. Dieser Risikobereich mit seinem direkten Einfluss auf das
Produktionssystem produzierender Unternehmen stellt den zentralen
Betrachtungsbereich für unser Beispiel dar.
5.3 Eingliederung des Risikomanagement im Unternehmen
Wie sie bereits im Verlauf der Arbeit gesehen haben, ist das Risikomanagement
unterteilt in die Teilprozesse der Risikoidentifikation, -beurteilung, -besteuerung, -
überwachung und -kontrolle. Das Risikocontrolling wird dabei als Bestandteil des
Risikomanagements gesehen. Wie in diversen Literaturen beschrieben wird, hat das
Controlling die allgemeinen Funktionen der Unterstützung des Managements durch
Planung, Kontrolle und Informationen. Die Koordinierungsfunktion ist speziell für das
Risikocontrolling von besonderer Bedeutung. 143
Die Grundlage für die Risikoplanung besteht aus der Analyse von
Unternehmensrisiken. Dabei versucht man die künftigen Unternehmensziele mit der
Risikoplanung zu harmonisieren. Anhand dieser Analyse wird das
Risikomanagement mit Hilfe der Risikopräferenzen Entscheidungen treffen. Beim Ex
post gilt es, die Kontrolle über diese Risiken nicht aus dem Auge zu verlieren. Diesen
Prozess gilt es kontinuierlich zu aktualisieren und zu überwachen.
5.3.1 Risikoidentifikation
Im ersten Schritt des Risikomanagements geht es um die Identifikation von
möglichen Gefahren. Dazu benötigen wir wie bereits erwähnt die gespeicherten
Informationen über mögliche Risiken sowohl intern als auch extern. „Aufgrund der
sich ständig ändernden Unternehmenssituation ist die Risikoidentifikation eine
kontinuierliche Aufgabe, die in die geschäftsüblichen Arbeitsabläufe integriert werden
muss.“ 144 Zur Erfassung dieser Risiken wurden im Verlauf schon einige Instrumente
vorgestellt.
143 Vgl. Wolke (2008), S.239
144 http://www.teialehrbuch.de/Kostenlose-Kurse/Unternehmensfuehrung/23183-
Risikoidentifikation.html
56

“Lieber ein Risiko zu viel identifizieren, als eines zu wenig!” 145
Für unser Beispiel eines Produzierenden Unternehmens wird das Augenmerk auf die
Einführung eines technischen Produktes gelegt. Basierend auf den bereits
Vorgestellten Risikokategorien wird eine erste Risikoliste erstellt.
höhere Gewalt Politische Risiken Unternehmensrisiko
Beeinträchtigung
durch
Neue Richtlinien Nichteinhaltung von
Terminen
Entwicklungskosten
schwer Abschätzbar
Naturkatastrophen
Ausbruch eines
Krieges in
Kundenverhalten
ändert sich
Hohe Ausfallquote
neuer Technologie
Zulieferländern
ähnliche
Produktinnovation von
zeitaufwändige
Fehlerbehebung
Mitbewerber
Abbildung 20:Risikoidentifikation mithilfe einer Checkliste 146
Diese Darstellung ist nur ein Auszug einer Checkliste. Zuvor wurden durch eine
gewählte Kreativitätstechnik (z.B. Brainstorming) ausnahmslos nach möglichen
Risiken gesucht. Auf der Basis dieses Brainstorming wurden die Risiken nicht nur
diskutiert sondern auch Priorisiert.
Für diese Ausarbeitung wird die Priorität aus Gründen der Anschaulichkeit auf ein
geringes Maß reduziert. Diese Darstellung dient als Grundlage für den weiteren
Prozess, welcher nur eine Möglichkeiten für die Implementierung eines
Risikomanagement ist. Wie bereits erläutert bedarf es Unternehmensspezifisch
individuelle Lösungen.
5.3.2 Risikobewertung
Im ersten Schritt haben wir lediglich eine beliebige Kreativitätstechnik angewandt und
eine Priorisierte Risikoliste erstellt. Um diese Informationen weiter zu nutzen wird ein
Bewertungssystem für jedes Risiko eingeführt. In zwei Dimensionen wird die
Bewertung sowohl in die Wahrscheinlichkeit des Eintritts als auch in die Tragweite
145 https://axel-schroeder.de/2010/10/31/risikomanagementprozess-risikouberwachung/
146 Eigene Darstellung: in Anlehnung an: http://www.orgportal.org/index.php?id=12&tx_ttnews%5Bpointer%5D=5&tx_ttnews%5Btt_news%5D=100&tx_ttnett%
5BbackPid%5D=6&cHash=2c7e6041803998a08ecfc2062fcea513
57

des Risikos bei Eintritt klassifiziert. In unserem Beispiel wird eine subjektive Skala mit
einem Punktesystem verwendet die von 1 (höchst unwahrscheinlich) bis 10
(höchstwahrscheinlich) für die Dimension der Wahrscheinlichkeit steht, sowie
1(trivial) bis 10 (sehr gravierend) für die Tragweite 147 .Um die Übersichtlichkeit zu
gewährleisten, hat es sich in der Praxis bewährt, die Ergebnisse in einer Tabelle
darzustellen. Die Ergebnisse ergeben sich durch das multiplizieren der beiden
Punkte. Zusätzlich kann außerdem eine grafische Darstellung erstellt werden. 148
Natürlich gibt es auch Risiken denen genau Zahlen gegenüber gestellt werden
können. In unserem Beispiel könnte man wahrscheinlich die nicht Einhaltung von
Terminen genauer Definieren. Man könnte den eintreffenden Mehraufwand die
eventuell entstehenden Strafen genauer definieren und den nötigen Zeitpuffer
einplanen und die daraus resultierenden Kosten genauer kalkulieren. In unserer
Darstellung wird die Risikobewertung ausschließlich auf subjektiver Bewertung
basieren.
147 Vgl. Heche (S.111)
148 Vgl. http://www.vertrieb-strategie.de/risikomanagement-im-vertrieb.pdf
58

Risiko WS TW WS*TW Risikoklasse
Entwicklungskosten schwer
5 5 25 B
Abschätzbar
Hohe Ausfallquote neuer Technologie 6 4 24 B
zeitaufwändige Fehlerbehebung 2 5 10 C
Nichteinhaltung von Terminen 4 6 24 B
Kundenverhalten ändert sich 5 6 30 B
ähnliche Produktinnovation von
6 9 54 A
Mitbewerber
Neue Richtlinien 1 4 4 C
Abbildung 21: Quantifizierung der Risiken 149
Wie in der oberen Abbildung gesehen wird zusätzlich in drei Risikoklassen ABC
unterschieden. Diese ergeben sich aus der nachstehenden Tabelle.
Risikoklasse Stellenwert (WS*TS) Maßnahme
A mehr als 50 Punkte Reagieren notwendig
B 21-50 Punkte Beobachten, Frühwarnsystem einrichten
C bis 20 Punkte Lediglich wahrnehmen
Abbildung 22: Einteilung der Risiken nach Risikoklassen 150
5.3.3 Risikosteuerung
Für die Risikosteuerung werden die vorangegangenen Ergebnisse als Input
herangezogen. Dabei definiert die Risikosteuerung Leitlinien und Instrumente des
Risikomanagements, um die gemessenen und analysierten Risiken zu steuern. Die
folgende Abbildung zeigt eine grundsätzliche, branchenunabhängige Funktionsweise
der allgemeinen Risikostrategien.
149 Eigene Darstellung: in Anlehnung an http://www.orgportal.org/index.php?id=12&tx_ttnews%5Bpointer%5D=5&tx_ttnews%5Btt_news%5D=100&tx_ttnett%
5BbackPid%5D=6&cHash=2c7e6041803998a08ecfc2062fcea513
150 Eigene Darstellung: in Anlehnung an http://www.orgportal.org/index.php?id=12&tx_ttnews%5Bpointer%5D=5&tx_ttnews%5Btt_news%5D=100&tx_ttnett%
5BbackPid%5D=6&cHash=2c7e6041803998a08ecfc2062fcea513
59

Risikosteuerung
Risikovermeidung
Risikoverminderung
bzw. Kompensation
Risikoüberwälzung
Akzeptanz
Abbildung 23: Eigene Darstellung
Jede unternehmerische Tätigkeit geht per se mit einem Risiko einher. Bei der
Risikovermeidung wird darauf abgezielt, dass das Gesamtrisiko des Unternehmens
begrenzt oder gar gesenkt wird. Das Risiko ähnliche Produktinnovation vom
Wettbewerber erber erscheint bei einem technischen Produkt nicht außergewöhnlich. Setzt
man hier auf die Vermeidungsstrategie und arbeitet mit alten Technologien weiter, so
kann man denn Schritt in ein neues technisches Zeitalter verpassen. Wie ein Zitat
von Rudolf von Bennigsen-Foerder „Stillstand ist Rückschritt.“ 151 zeigt, würde man
hier im Wettbewerb zurückfallen. Deshalb ist es wichtig, die Entwicklung voran zu
treiben und nebenbei das bestehende Risiko trotzdem zu beachten.
Bei der Risikoverminderung sollen Wahrscheinliche Risiken mit bedeutenden
Schadenspotenzial beeinflusst werden. So soll durch die Risikosteuerung die
Wahrscheinlichkeit und/oder die Höhe des Ausmaßes auf ein für das Unternehmen
erträgliches Maß herabgesetzt werden. 152
In unserem Beispiel könnte man zum
Beispiel das Risiko „Kundenverhalten ändert sich“ heranziehen. Durch Umfragen der
Zielgruppen kann man hier abschätzen, in welche Richtung sich das
Kundenverhalten entwickelt. So lässt sich abschätzen ob die geplanten
Entwicklungskosten richtig eingeschätzt wurden oder ob von der künftigen
Technologie weitere futures verlangt werden, und somit die Kosten steigen. Um
diese Kosten zu decken sollten im Unternehmen ausreichend finanzielle Rücklagen
vorhanden sein. Somit wäre auch eine weniger erfolgreiche Entwicklung nicht sofort
existenzbedrohend.
151 http://www.zitate.de/kategorie/Risiko/
152 Burger/Buchhart (2002), S.50
60

Bei der Risikoüberwälzung werden die Risiken auf Vertragspartner übertragen. Dies
kann auf verschiedenste Art und Weisen passieren. In unserem Beispiel könnte man
sich zum Beispiel durch Versicherungen gegen Naturkatstrophen gegen
entsprechende Risikoprämien absichern. Eine weitere Möglichkeit bittet das
Outsourcing, dabei werden gewissen Teilbereiche auf andere Unternehmen
überwälzt und somit auch die damit verbundenen Risiken.
Keine Steuerungsmaßnahme hingegen benötigen Risiken die unwahrscheinlich
eintreten und deren Schadenspotenzial von geringer Bedeutung ist. Weiter werden
Risiken Akzeptiert wenn deren Steuerung ineffizient scheint, sprich ein Kosten-
Nutzen Verhältnis aufweist, welches ungünstig erscheint. Da hier keinerlei
Gegenmaßnahmen entwickelt werden und als Akzeptierte Risiken anerkannt werden,
ist es umso wichtiger dies unter regelmäßiger Beobachtung zu halten.
„Gute Risikosteuerung ist gekennzeichnet durch proaktives Handeln.“ 153
Risiko Risikoklassifikation Steuerungsvariante
Entwicklungskosten schwer
B
Risikominderung
Abschätzbar
Hohe Ausfallquote neuer
B
Risikominderung
Technologie
zeitaufwändige
C
Risikovermeidung
Fehlerbehebung
Nichteinhaltung von
B
Risikominderung
Terminen
Kundenverhalten ändert sich B Risikoüberwälzung
ähnliche Produktinnovation
A
Risikoüberwälzung
von Mitbewerber
Neue Richtlinien C Akzeptanz
Abbildung 24: Einteilung der Risiken in Steuerungsvarianten 154
153 https://axel-schroeder.de/2010/10/31/risikomanagementprozess-risikouberwachung/
154 Eigene Darstellung: in Anlehnung an http://www.orgportal.org/index.php?id=12&tx_ttnews%5Bpointer%5D=5&tx_ttnews%5Btt_news%5D=100&tx_ttnett%
5BbackPid%5D=6&cHash=2c7e6041803998a08ecfc2062fcea513
61

5.3.4 Risikoüberwachung
Zentral geht es bei der Überwachung von Risiken darum, zu erkennen ob sich ein
identifiziertes Risiko im Projektverlauf verändert bzw. ob ein Risiko eintritt. Tritt diese
Situation ein, ist es zwingend erforderlich diese Veränderung / den Eintritt umgehend
den verantwortlichen Entscheidern mitzuteilen. 155 Im Prinzip wir kontrolliert ob alle
möglichen Risiken identifiziert wurden und entsprechend der Prognosen eingetreten
sind. 156 Ergeben sich anhand dieser Überprüfung Soll-Ist-Abweichungen so wird der
Prozess von vorne aufgerollt.
Zunächst wird ein klassischer Soll-Ist-Vergleich der bereits identifizierten Risiken
durchgeführt. Aus den draus resultierenden Ergebnisse werden in einer
Abweichungsanalyse die jeweiligen Differenzen der Einzelrisiken betrachtet und
nach der Ursachen dafür geforscht. Als nächstes wird auf Risiken geprüft, welche
noch nicht identifiziert wurden. Dies geht einher mit der Überprüfung der bereits
erkannten Risiken, welche aber als nicht relevant zum damaligen Zeitpunkt
angesehen wurden. Aufgrund der Dynamik und der Veränderungen der Risiken ist
ihre Relevanz für das Unternehmen zu hinterfragen.
Ein weiterer Ursachenbereich, welcher Untersucht werden muss, ist die Wirkung der
Instrumente und Methoden in den einzelnen Phasen. Dabei werden die ermittelten
Risiken auf die Bewertung und die dafür analysierten Steuerungsmaßnahmen
überprüft. Denn auch daraus können sich Soll-Ist-Abweichungen ergeben. 157
155
https://axel-schroeder.de/2010/10/31/risikomanagementprozess-risikouberwachung/
156 Vgl. Nguyen (2008), S.879
157 Vgl. Burger/Buchhart (2002), S.52
62

5.3.5 Risikokommunikation
Auch die Risikokommunikation ist Voraussetzung für ein funktionierendes
Risikomanagementsystem. Wie oben bereits angeschnitten, ist das Reporting ein
wichtiger Baustein des Risikomanagements im Unternehmen. Oft werden für
bestimmte Risiken Schwellenwerte festgelegt. Werden diese überschritten, muss
eine umgehende Meldung an die jeweils verantwortliche Stelle weitergeleitet werden.
Dies wird oftmals mithilfe von Reporting-Vorlagen gemacht, da hiermit Kennzahlen
optimal veranschaulicht werden können. Hält man die zuvor vereinbarten Richtwerte
dauerhaft ein, kann der jeweils verantwortlichen Stelle nichts vorgeworfen werden.
Das dient zur Absicherung gegenüber internen sowie externen Revisionen. Daher ist
eine langfristige und sorgfältige Dokumentation der Arbeitsergebnisse
unvermeidlich. 158
Die folgende Abbildung zeigt die Anforderungen an die Dokumentation innerhalb des
Risikomanagements:
Funktionen der Dokumentation im Risikomanagementprozess
Anforderungen an die Dokumentation
schriftlich
angemessen
lückenlos
Erfüllte Funktion der Dokumentation
Rechenschaftsfunktion
Sicherungsfunktion
Prüfbarkeitsfunktion
Abbildung 26: Anforderungen an die Dokumentation 159
Der Kreislauf des Risikomanagements basiert auf den vorgestellten Teilbereichen,
welche wie aus der Arbeit hervorgegangen ist, aufeinander Aufbauen. Diesen
Kreislauf gilt es proaktiv zu begleiten um auf entstehende Risiken bestmöglichst
vorbereitet zu sein.
„Manchmal muss man einfach ein Risiko eingehen - und seine Fehler unterwegs
korrigieren.“ 160
158 Vgl. Nguyen (2008), S. 880
159 Vgl. Nguyen (2008), S.880
160 http://www.zitate.de/kategorie/Risiko/
63

Mit diesem Sprichwort von Lee Iacocca (*1924), amerik. Topmanager, 1979-92
Vorstandsvors. Chrysler Corp. lässt sich die Aufgabe das Risikomanagement gut
definieren. Denn wer kein Risiko eingeht kann auch keine Chancen wahrnehmen.
Wichtig ist dabei nur dass man auf den Fehler vorbereitet ist und die nötigen
Methoden und Instrumente zur Hand hat.
64

I
LITERATURVERZEICHNIS
Gedruckte Quellen
Aktiengesetz
Burger/Buchhart (2002)
Cottin/Döhler (2011)
Denk (2005)
Diederichs (2012)
Ehrmann (2005)
Eisele (2004)
Eller et al. (2010)
Erben/Romeike (2002)
Gleißner (2008)
Heche (2004)
Hoffmann (2012)
Keitsch (2007)
43., überarbeitete Auflage, Beck-Texte im dtv, Deutscher
Taschenbuchverlag, München, 2010
Burger, Univ.-Prof. Dr. Anton; Buchhart, Dr. Anton: Risiko-
Controlling, Oldenbourg, München / Wien, 2002
Cottin, Prof. Dr. Claudia / Döhler Prof. Dr. Sebastian:
Risikoanalyse, Vieweg+Teubner, Wiesbaden, 2009
Denk, Robert; Exner-Merkelt, Karin
Corporate Risk Management, Gabler, Wiesbaden, 2003
Diederichs, Marc: Risikomanagement und
Risikocontrolling, 3. vollständig überarbeitete Auflage,
Franz Vahlen Verlag, München, 2012
Ehrmann, Harald; Olfert Klaus (Hrsg.): Kompakt-Training
Risikomanagement Rating-Basel II, Friedrich Kiehl Verlag,
Ludwigshafen, 2005
Eisele, Burkhard: Value-at-Risk-basiertes
Risikomanagement in Banken, Deutscher
Universitätsverlag/GWV Fachverlage GmbH, Wiesbaden,
2004
Eller, Roland; Heinrich, Markus; Perrot, René; Reif Markus
(Hrsg.): Kompaktwissen Risikomanagement, Gabler
Verlag, Wiesbaden, 2010
Erben, Roland F.; Romeike, Frank: Erfolgsfaktor Risiko-
Management, Gabler, Wiesbaden, 2003
Gleißner , Werner: Grundlagen des Risikomanagements
im Unternehmen, Franz Vahlen Verlag, München, 2008
Heche, Dirk: Praxis des Projektmanagements, Springer
Verlag Berlin, Heidelberg 2004
Hoffmann, Jürgen: Risikomanagement für mittelständische
Unternehmen, Books on Demand, Norderstedt 2012
Keitsch, Detlef: Risikomanagement, Schäffer-Poeschel
Verlag, Stuttgart, 2004
65

Keuper et al. (2005)
Kliebe (2008)
Königs (2009)
Nguyen (2008)
Keuper, Frank; Roesing, Dirk; Schomann, Marc:
Integriertes Risiko- und Ertragsmanagement, Gabler,
Ilmenau, 2005
Kliebe, Holger: Die Bedeutung des Risiko-Controlling im
Rahmen des Risiko-Management in international
agierenden Unternehmen, GRIN, Norderstedt, 2004
Königs, Hans-Peter: IT-Risiko-Management mit System,
Vieweg+Teubner, Wiesbaden, 2009
Nguyen, Prof. Dr. Tristan: Rechnungslegung von
Versicherungsunternehmen, Verlag
Versicherungswirtschaft, Karlsruhe, 2008
PricewaterhouseCoopers Tüllner, Jörg: Dynamic Risk Management, Ein Leitfaden,
PwC, 2010
Rohrschneider (2006)
Romeike (2005)
Vahs/Schäfer-Kunz
Rohrschneider, Uwe: Risikomanagement in Projekten,
Haufe, München, 2006
Romeike, Frank: Modernes Risikomanagement, Die
Markt-,Kredit- und operationellen Risiken
zukunftsorientiert steuern, WILEY-VCH Verlag, 2005
(2007) Vahs, Dietmar; Schäfer-Kunz, Jan: Einführung in
die Betriebswirtschaftslehre, Schäffer Poeschel Verlag,
Stuttgart, 2007
Volkart (2011) Volkart, Rudolf: Corporate Finance, Versus, Zürich, 2011
Wolke (2008)
Wolke, Prof. Dr. Thomas: Risikomanagement,
Oldenbourg, München, 2008
Internet-Quellen
Controllingportal
http://www.controllingportal.de/Fachinfo/Risikomanagement/Risikosteuerung.html
( 01.05.2013)
http://www.controllingportal.de/Fachinfo/Risikomanagement/Lehren-fuer-das-
Risikomanagement-aus-dem-Vulkanausbruch-in-Island.html ,
(26.04.2013)
Deutsche Bundesbank
http://www.bundesbank.de/Navigation/DE/Kerngeschaeftsfelder/Bankenaufsicht/Bas
el2/basel2.html
(05.05.2013)
66

FH Kiel
http://www.fhkiel.de/fileadmin/data/wirtschaft/Dozenten/Lorenzen__Klaus_Dieter/LERM_Leitfaden
_RisikomanagRisik.pdf
(27.04.2013)
GLP - Der Spezialist für Risikomanagement und WIrtschaftsprüfungssysteme
http://glp-gmbh.com/kontrag/kontrag.html
(03.05.2013)
Juraforum
http://www.juraforum.de/lexikon/kontrag
(01.05.2013)
NOWECO - Northwest Consulting Corporation Ltd.
http://www.noweco.com/risk/riskd14.htm
(05.05.2013)
Org-Portal
http://www.orgportal.org/index.php?id=12&tx_ttnews%5Bpointer%5D=5&tx_ttnews%5Btt_news%5
D=100&tx_ttnett%5BbackPid%5D=6&cHash=2c7e6041803998a08ecfc2062fcea513
( 28.04.2013)
Organistationshandbuch - Bundesministerium
http://www.orghandbuch.de/nn_414202/OrganisationsHandbuch/DE/7__Managemen
t/72__Risikomanagement/risikomanagement-node.html?__nnn=true
(03.05.2013)
Peterjohann Consulting
http://www.peterjohann-consulting.de/index.php?menu-id=risk
(05.05.2013)
Prozessmanagement und BPM, Risikomanagement so geht´s!
https://axel-schroeder.de/2010/10/31/risikomanagementprozess-risikouberwachung/,
(02.05.2013)
Risk NET - The Risk Management Network
http://www.risknet.de/risknews/verbindung-von-strategischem-management-und-riskmanagement/53691aaaede1ae93663fabea53cf0e96/
(05.05.2013)
http://hans-markus.de/finance/131/hauptstudium_eins/value_at_risk/
(04.05.2013)
http://www.risknet.de/risknews/risikomanagement-buerokratie-tiger-oder-bausteinzum-unternehmenserfolg/4da26780aff81834d87a1c5c7199e28f/
http://glp-gmbh.com/kontrag/kontrag.html
(05.05.2013)
67

Sinus Online
http://www.sinus-online.com/szenariotechnik-allgemeines.htm
(04.05.2013)
Studie - Perspektive Mittelstand
http://www.perspektive-mittelstand.de/Risikomanagement-Teil-4-Internes-undexternes-Risikoreporting/management-wissen/1520.html
(01.05.2013)
TEIA AG
http://www.teialehrbuch.de/Kostenlose-Kurse/Unternehmensfuehrung/23183-
Risikoidentifikation.html
(30.04.2013)
Vertriebs-Strategie
http://www.vertrieb-strategie.de/risikomanagement-im-vertrieb.pdf, Zugriff am
(29.04.2013)
Weka Finanzen
http://www.weka-finanzen.ch/praxisreport_view.cfm?nr_praxisreport=879&s=Risk-
Maps
(04.05.2013)
Wirtschaftslexikon24
http://www.wirtschaftslexikon24.com/d/risikocontrolling/risikocontrolling.htm
(05.05.2013)
Zitate.de
http://www.zitate.de/kategorie/Risiko/
(30.04.2013)
68

II
ABBILDUNGSVERZEICHNIS
Abbildung 7: Sprichwörtliche Begründung der Risikoanalyse
Abbildung 8: Unterscheidung nach Risikoarten
Abbildung 9: Die Anforderungen von Basel II (und Solvency II entsprechend)
Abbildung 10: Aktivitäten des Risiko-Managements
Abbildung 11: Risikocontrolling als Schnittmenge
Abbildung 6: Risikomanagement-Prozess
Abbildung 7: Strategischer und Operativer Risikomanagement-Prozess
Abbildung 8: Progressive und Retrograde Methode zur Risikoidentifikation
Abbildung 9: Risikokategorisierung
Abbildung 10: Die fünf Risikostrategien
Abbildung 11: Risk Map
Abbildung 12: Value at Risk versus Cash Flow at Risk
Abbildung 13: Szenariotechnik
Abbildung 14 : Überführung von Risikomanagement-Teilsystemen
Abbildung 15: Elemente zur Ausgestaltung von Dynamic Risk Management
Abbildung 126 Parameter bei der Gestaltung der Berichtserstattung
Abbildung 17: Von Daten zu relevanten Managementinformationen
Abbildung 18: Riskportfolio
Abbildung 19: Vor- und Nachteile zentrales und dezentrales Risikomanagement
Abbildung 20:Risikoidentifikation mithilfe einer Checkliste
Abbildung 21: Quantifizierung der Risiken
Abbildung 22: Einteilung der Risiken nach Risikoklassen
Abbildung 23: Eigene Darstellung
Abbildung 24: Einteilung der Risiken in Steuerungsvariante
69

III
ABKÜRZUNGSVERZEICHNIS
RmP Risikomanagement-Prozess
70

IV
EIDESSTATTLICHE ERKLÄRUNG
Hiermit versicheren wir, dass wir die Hausarbeit selbstständig verfasst und keine
anderen als die angegebenen Quellen und Hilfsmittel benutzt haben, alle
Ausführungen, die anderen Schriften wörtlich oder sinngemäß entnommen wurden,
kenntlich gemacht sind und die Arbeit in gleicher oder ähnlicher Fassung noch nicht
Bestandteil einer Studien- oder Prüfungsleistung war.
Würzburg, den 06.05.2013
Sebastian Miller
Nikolas Schwind
Christoph Wolter
Lisa Wagner
Robert Spahmann
71