Content

4.2 Allgemeine Gestaltungsansätze in:

Marc Diederichs

Risikomanagement und Risikocontrolling, page 156 - 160

3. Edition 2012, ISBN print: 978-3-8006-4222-9, ISBN online: 978-3-8006-4223-6, https://doi.org/10.15358/9783800642236_156

Series: Finance Competence

Bibliographic information
4. Risikomanagement-Organisation136 4.2 Allgemeine Gestaltungsansätze Will man im Unternehmen eine Risikomanagement-Organisation etablieren, die den Risikomanagement-Prozess und die Anwendung des entsprechenden Instrumentariums sicherstellt, sind zunächst allgemeine Gestaltungsansätze zu diskutieren. Hierzu sind in der Unternehmenspraxis folgende Aspekte unternehmensindividuell zu berücksichtigen:305 • Sollen die Aufgaben des Risikomanagements durch eine zentrale Stelle oder dezentral in den Linienfunktionen erfüllt werden? • Soll eine zentrale Risikomanagement-Instanz als Stabs- oder als Linienfunktion etabliert werden und welche Aufgaben nimmt sie wahr? • Auf welcher Hierarchiestufe ist die zentrale Risikomanagement-Instanz zu etablieren? 4.2.1 Zentralisation versus Dezentralisation Zunächst ist zu erörtern, ob die Aufgaben des Risikomanagements durch eine zentrale Stelle oder dezentral in den Linienfunktionen erfüllt werden sollen. Es ist zu prüfen, ob eine Trennung oder Verbindung von Sach- und Risikoentscheidungen sinnvoll ist, also ob das Risikomanagement in die Unternehmensorganisation zu integrieren oder davon zu separieren ist.306 Bei der Separation werden separate Stellen implementiert, die von den vorhandenen Institutionen und Planungs-, Kontroll- und Informationsprozessen getrennt sind. Risiken entstehen meist dort, wo Entscheidungen getroffen oder Handlungen vollzogen werden. Damit liegt es nahe, Sach- und Risikoentscheidungen nicht voneinander zu trennen. So sind die Risikomanagement-Aufgaben dezentral, das heißt durch die bestehende Organisation wahrzunehmen. Durch das Verständnis für den eigenen Aufgabenbereich, das spezifische Know-how und das Vorliegen der zur Risikohandhabung benötigten Informationen kann jeder Stelleninhaber die Risiken besser abschätzen und schneller reagieren, als es eine zentrale Stelle vermag. So ist die Risikobewältigung von den Instanzen und Personen, die für die risikobehafteten Entscheidungen oder Ausführungen verantwortlich sind, dezentral wahrzunehmen, um ein effizientes Management der Risiken am Ort ihres Entstehens zu gewährleisten.307 Damit kann jeder Mitarbeiter als Risikomanager bezeichnet werden, womit die Verantwortung aller Organisationsmitglieder für risikobewusstes Verhalten unterstrichen wird. Letztlich muss sich jeder Mitarbeiter wie ein Unternehmer im Unternehmen verhalten. Damit betont die organisatorische Integration auf allen Hierarchieebenen die Risikoverantwortung jedes einzelnen Mitarbeiters und leistet somit einen Beitrag zur Förderung einer unternehmensweiten Risikokultur. Während der Stelleninhaber die Risiken und die Auswirkungen an seinem Arbeitsplatz oder in seinem Bereich abschätzen kann, wird er prozess- oder funktionsübergreifende Risiken meist nicht ganzheitlich erkennen und beurteilen können.308 Fehlt eine Instanz, die auf über- 305 Vgl. Fasse (1995), S. 353 f.; Gutmannsthal-Krizanits (1994), S. 468 ff. 306 Vgl. Braun (1984), S. 286 f.; Fasse (1995), S. 354; Burger/Buchhart (2002), S. 267 ff. 307 Vgl. Braun (1984), S. 279;Wittmann (1999), S. 135;Wittmann (2000a), S. 789 ff. 308 Vgl. Mugler (1979), S. 229 f.; Brühwiler (1980), S. 130. 4.2 Allgemeine Gestaltungsansätze 137 geordneter Ebene über einen ganzheitlichen und interdisziplinären Überblick verfügt, läuft ein Unternehmen Gefahr, den Risiken nur punktuell zu begegnen. So können aufgrund der fehlenden Koordination ineffiziente Überschneidungen oder sogar folgenschwere Lücken bei den Risikosteuerungsmaßnahmen nicht identifiziert werden oder entstehen. Außerdem ist zu berücksichtigen, dass ein Stelleninhaber in der Linie zwei meist gegenläufige Ziele – Sicherheit und Wirtschaftlichkeit – gleichzeitig zu verfolgen hat. Da dem nur indirekten Nutzen der Sicherheit sichtbare und quantifizierbare Aufwendungen gegenüberstehen, besteht die Gefahr der einseitigen Entscheidung zugunsten der Wirtschaftlichkeit.309 Damit bedarf es unabhängiger Kontrollstellen, die ein ausgewogenes Verhältnis gewährleisten. Insofern ist eine rein dezentrale Lösung nicht geeignet. Eine andere Möglichkeit besteht darin, die Aufgaben auf einen Mitarbeiter oder eine Abteilung zu übertragen und Sach- und Risikoentscheidungen konsequent voneinander zu trennen. Die Einrichtung einer zentralen Instanz empfiehlt sich insbesondere aus Koordinationsgründen. So eröffnet die Zentralisation die Möglichkeit, Risiken aus unterschiedlichen Unternehmensteilen mit interdependenten Beziehungen zu erkennen, die Wirkungen auf das Gesamtunternehmen zu beurteilen und risikobewältigende Maßnahmen unternehmensweit zu hinterfragen, abzustimmen, zu koordinieren und unabhängig zu überwachen. So kann zum Beispiel überprüft werden, ob unterschiedliche Risiken die unternehmerische Existenz bedrohen können oder ob Organisationseinheiten eine ausreichende Risikovorsorge getroffen haben. Außerdem kann durch einen innerbetrieblichen Ausgleich das Gesamtrisiko auf ein akzeptables Niveau reduziert werden.310 Zudem kann aus der Bündelung der Nachfrage nach risikosteuernden Instrumenten (wie zum Beispiel im Bereich der Versicherungsleistungen) eine verbesserte Verhandlungsposition und damit Einsparungen erzielt werden.311 Letztlich ist zu erwähnen, dass eine von der Primärorganisation getrennte Instanz durch die Konzentration auf Risikomanagement-Aufgaben im Laufe der Zeit Spezialwissen und weitreichende methodische Kenntnisse aufbaut. So kann eine derartige Funktion als unternehmensinterner Berater andere Funktionen beispielsweise bei der Etablierung spezifischer Risikomanagement-Systeme oder zielgerichteter Risikobewältigungsmaßnahmen unterstützen. Eine Trennung von Sach- und Risikoentscheidungen hat allerdings auch Nachteile. Da eine zentrale Stelle mit den Arbeitsabläufen und -inhalten weniger vertraut ist als der jeweils verantwortliche dezentrale Funktionsträger, besteht generell die Gefahr einer verspäteten Erkennung von Risiken und damit einer verringerten Reaktionsfähigkeit.312 Eine ganzheitliche Risikobewältigung erfordert daher immer die Mitwirkung aller Mitarbeiter. Außerdem erscheint eine Abspaltung der Risikogestaltung von den übrigen Aufgaben nicht möglich, da bei jedem Mitarbeiter ein Entscheidungsspielraum und eine nicht delegierbare Verantwortung verbleibt.313 309 Vgl. Brühwiler (1980), S. 132; Burger/Buchhart (2002), S. 268. 310 Vgl. Braun (1984), S. 280; Fasse (1995), S. 354;Wolf/Runzheimer (2003), S. 104. 311 Vgl. Mugler (1979), S. 231 ff.; Fasse (1995), S. 354 f. 312 Vgl. Fasse (1995), S. 355. 313 Vgl. Mugler (1979), S. 210. 4. Risikomanagement-Organisation138 Außerdem können sich aufgrund von Informationsasymmetrien oder unterschiedlichen Präferenzen Schnittstellenprobleme bei Sach- und Risikoentscheidungen bei der Kooperation von primärorganisatorischen Stellen mit den separierten Risikomanagement-Stellen ergeben. So kann die Separation zu Inkonsistenzen, Konflikten und einer Beschränkung der Entscheidungsflexibilität führen. Zudem verursacht die organisatorische Trennung durch die Mehrfachbildung von Stellen einen erhöhten Koordinationsbedarf, was administrativen Aufwand nach sich zieht.314 Das Risikomanagement verliert seine Berechtigung, wenn es zwar zur Risikobewältigung beiträgt, aber aufgrund der damit einhergehenden Kosten die Erreichung des Gewinnziels gefährdet.315 Damit greift auch ein ausschließlich zentralistischer Ansatz zu kurz. Es ist zu resümieren, dass in der Unternehmenspraxis sowohl eine reine Zentralisation als auch eine reine Dezentralisation nicht sinnvoll sind, sondern kombiniert zur Anwendung kommen müssen. Neben den Risikomanagement-Aufgaben, die durch die gesamte Organisation wahrzunehmen sind, ist eine zentrale Risikomanagement-Instanz zu etablieren. Auf diese Aspekte wird später noch einmal näher eingegangen. 4.2.2 Stabsfunktion versus Linienfunktion Neben der Frage, ob die Aufgaben des Risikomanagements zentral oder dezentral erfüllt werden sollen, ist zu klären, ob die Instanz als Stabs- oder Linienfunktion in der Organisationsstruktur zu etablieren ist und mit welchen Kompetenzen sie ausgestattet werden sollte. Linienstellen zeichnen sich dadurch aus, dass sie mit der Erfüllung der Hauptaufgabe einer Organisation unmittelbar befasst sind. Stäbe dagegen sollen die Linieninstanzen bei ihren Entscheidungen und der Erfüllung ihrer Leitungsfunktionen unterstützen. Ihnen obliegen Planungs-, Informationsversorgungs- und Kontrollaufgaben. Von den Linienstellen unterscheiden sie sich dadurch, dass sie keine Entscheidungs- und Weisungsbefugnisse sowie Durchsetzungskompetenzen besitzen. Die Entscheidung und Entscheidungsverantwortung verbleiben bei der Linieninstanz.316 Vor dem Hintergrund der im Rahmen des Risikomanagements erforderlichen Koordinationsaufgaben, die eine Sammlung und Verarbeitung risikorelevanter Informationen aus allen Unternehmensteilen erfordern, ist in der Unternehmenspraxis die Risikomanagement- Instanz als Stabsstelle zu etablieren.317 Außerdem ist eine Stabsstelle besonders geeignet, um die Risikokommunikation durch eine geeignete Risikoberichterstattung zu unterstützen und bei bereichsübergreifenden Entscheidungen der Linieninstanzen an den Schnittstellen zu beraten. Allerdings stößt eine Stabsstelle immer dann an Kompetenzgrenzen, wenn Entscheidungen zu treffen sind, mit welchen Instrumenten und Maßnahmen Risiken bewältigt werden sol- 314 Vgl. Burger/Buchhart (2002), S. 269 f. 315 Vgl. Braun (1984), S. 287. 316 Vgl. hierzu und f.Welge (1987), S. 494 ff.; Schulte-Zurhausen (2002), S. 281 ff. 317 Vgl. Farny (1979), S. 34; Braun (1984), S. 282; Schuy (1989), S. 248 ff. 4.2 Allgemeine Gestaltungsansätze 139 len.318 Über diese Kompetenz verfügen grundsätzlich nur die entsprechenden Linienstellen. Die Aufgaben- und Kompetenzverteilung zwischen der Risikomanagement-Instanz und den anderen Instanzen sind in der Unternehmenspraxis bei der organisatorischen Integration festzulegen. 4.2.3 Hierarchische Einbindung Abschließend ist zu prüfen, auf welcher Hierarchiestufe die zentrale Risikomanagement- Instanz zu integrieren ist. So kann man sie unmittelbar als Stab der Geschäftsführung oder auf hierarchisch niedrigerer Ebene etablieren.319 Etabliert man sie als Stabsstelle der Geschäftsführung auf oberster Ebene, verdeutlicht das Management seine Haltung zu diesem Thema. Durch die sichtbare Positionierung zeigt die Geschäftsführung der Organisation die Wichtigkeit und Verantwortung der Funktion. Damit unterstreicht das Management zudem, dass es seinen Sorgfaltspflichten in adäquater Weise nachkommt.320 Als weiterer Vorteil ist hervorzuheben, dass die Instanz durch ihre hierdurch gewährleistete Unabhängigkeit das Management und die Unternehmensfunktionen beraten und anstehende Entscheidungen aus Risikomanagement-Perspektive kritisch hinterfragen kann. Zudem sichert eine direkte Anbindung an das Management eine objektive Berichterstattung über bestehende Risiken. Außerdem kann die Funktion unabhängig prüfen, ob die Risikomanagement-Vorgaben der Geschäftsführung − wie zum Beispiel Risikolimits oder risikopolitische Grundsätze − flächendeckend eingehalten werden. Die Etablierung auf einer hierarchisch niedrigeren Ebene und somit die Zuordnung zu einem bestimmten Ressort kann dagegen die Handlungsfähigkeit der Risikomanagement-Instanz einschränken. So wird es eine Organisation in einer Vielzahl von Fällen nicht zulassen, dass die Risikomanagement-Funktion Entscheidungen oder Aktivitäten hinterfragt oder gar beeinflusst. Außerdem können notwendige Kontroll- und Koordinationsaufgaben erschwert oder blockiert werden, da die Organisation die Funktion möglicherweise nicht als unabhängig wahrnimmt, wenn sie einem bestimmten Ressort zugeordnet ist. Es ist zu resümieren, dass die Risikomanagement-Instanz ihre Aufgaben am ehesten wahrnehmen kann, wenn sie als Stab direkt an die Geschäftsführung berichtet. Dabei ist in der Unternehmenspraxis darauf zu achten, dass sie aufgrund der größeren Distanz zum operativen Geschäft in die Standardberichtsflüsse aus den operativen Bereichen mit eingebunden wird. Vor allem ist eine enge Schnittstelle zur Controlling-Funktion zu schaffen. 318 Vgl. Mugler (1979), S. 233; Seifert (1980), S. 158. 319 Vgl. hierzu und ff. Mugler (1979), S. 268 ff.; Seifert (1980), S. 157; Brühwiler (1980), S. 133; Zellmer (1990), S. 23; Fasse (1995), S. 356. 320 Vgl. Saitz (1999), S. 87. 4. Risikomanagement-Organisation140 4.2.4 Kritische Würdigung der allgemeinen Gestaltungsansätze Es ist festzuhalten, dass das Risikomanagement nicht den Anspruch erheben kann, allein aufgrund seiner Aufgaben und Ziele bestehende Organisationsstrukturen, die sich bereits als wesentliche Faktoren der Unternehmenssicherheit etabliert haben, gänzlich neu zu strukturieren.321 Auch sollte keine isolierte Parallel-Organisation im Unternehmen geschaffen werden. Das Risikomanagement ist vielmehr in die vorhandenen Organisations- und Führungsstrukturen zu integrieren und mit den Geschäftsprozessen zu verknüpfen. Außerdem wurde gezeigt, dass nicht zuletzt aufgrund fehlender Koordinationsmöglichkeiten von Linieninstanzen ein rein dezentraler Ansatz zu kurz greift. Die Aufgaben des Risikomanagements müssen vielmehr zwischen der bestehenden Organisation und der zu etablierenden, zentralen Risikomanagement-Instanz aufgeteilt werden. So liegt die Verantwortung für die Erkennung, Beurteilung und Steuerung der Risiken vornehmlich in den Linienfunktionen. Der zentralen Instanz obliegen in erster Linie Koordinations- und Beratungsaufgaben. Damit nimmt sie dem Management und den Linienfunktionen die Entscheidungen über zu treffende Risikobewältigungsmaßnahmen nicht ab, trägt aber dazu bei, widersprüchliche oder zielbedrohende Entscheidungen zu vermeiden.322 Außerdem muss sie die unternehmensweite Risikokommunikation durch ein einheitliches Risikoberichtswesen unterstützen. Hierzu gehört auch die zusammenfassende Risikoberichterstattung an die Geschäftsführung. Die zentrale Instanz stellt damit das koordinierende Bindeglied zwischen Geschäftsführung und den Linienfunktionen dar. Da die Aufgaben der zentralen Instanz überwiegend koordinierenden Charakter haben, ist sie als Stabsstelle zu etablieren. Allerdings sind auch spezielle Entscheidungs- und Weisungsbefugnisse zu übertragen, da die Koordinationsaufgaben auch die Überwachung der Maßnahmen zur Risikobewältigung beinhalten sollten und bei Bedarf korrigierende Eingriffe notwendig sind. Die Instanz sollte zudem dazu ermächtigt sein, gegen bestimmte Entscheidungen der Linie Einspruch erheben zu können oder gegebenenfalls die Einschaltung des Managements anzuordnen.323 Auch hierzu sollten die Stäbe über bestimmte Befugnisse gegenüber anderen Instanzen verfügen, ohne die eine Ausübung der Überwachungsfunktion nur bedingt möglich ist. Damit die Instanz ihren Aufgaben gerecht werden kann, sollte sie hierarchisch auf der obersten Führungsebene, also in direkter Berichtslinie zur Geschäftsführung angesiedelt werden. 4.3 Praxisorientierte Gestaltungsempfehlungen Eine Möglichkeit, den allgemeinen Gestaltungsansätzen in der Unternehmenspraxis gerecht zu werden, besteht in der Installierung eines Risikomanagers und in der Bildung eines Risikoausschusses. 321 Vgl. Braun (1984), S. 278 ff.; Haller (1986a), S. 33 ff.;Wittmann (1999), S. 130, 141. 322 Vgl. Damary (1978), S. 281. 323 Vgl. Braun (1984), S. 282; Fasse (1995), S. 356 und S. 358.

Chapter Preview

References

Zusammenfassung

Risikomanagement und Risikocontrolling

Dieses Standardwerk beschäftigt sich mit Herausforderungen und Lösungsmöglichkeiten bei der Einrichtung und Weiterentwicklung von Risikomanagement- und Risikocontrolling-Systemen. Es bietet sowohl für den lösungssuchenden Praktiker als auch für den Wissenschaftler einen großen Fundus an wertvollem Wissen und liefert zahlreiche Anregungen und Hilfestellungen sowie in der Unternehmenspraxis erprobte Lösungen und Instrumente.

Aus dem Inhalt:

- Grundlagen des Risikomanagements und Risikocontrollings

- Anforderungskatalog an das Risikomanagement und die risikoorientierte Lageberichterstattung seitens des Gesetzgebers und des Wirtschaftsprüfers

- Internes Kontrollsystem (IKS), COSO und Internes Kontroll- und Risikomanagementsystem bezogen auf den Rechnungslegungsprozess

- Prozessschritte des Risikomanagements und Vorstellung praxiserprobter Instrumente zu deren Unterstützung

- Gestaltung einer Risikomanagement-Organisation, Abgrenzung von Risikomanagement und Interner Revision sowie Anforderungen an den Risikomanager

- Empfehlungen zum Aufbau einer chancen- und risikoorientierten Berichterstattung (Balanced Chance und Risk Card)

- Risikomanagement im DAX30

Der Autor:

Dr. Marc Diederichs leitet das Konzernrisikomanagement der Aurubis AG, Hamburg. Davor war er verantwortlich für das Corporate Risk & Insurance Management der Beiersdorf AG, Hamburg. Neben seiner beruflichen Laufbahn veröffentlicht der Autor Beiträge in Fachzeitschriften und Fachbüchern, leitet Seminare und hält Vorträge zu den Themen Risikomanagement und Risikocontrolling.

"Dr. Diederichs gelingt es auf konstruktive und anschauliche Weise, die Herausforderungen und Lösungsmöglichkeiten des Risikomanagements sowie des Risikocontrollings herauszustellen. Er bietet damit Praktikern und Wissenschaftlern ein Standardwerk, welches durch seine anschauliche Struktur sowie seine unkomplizierte Ausdrucksweise besticht. Mit zahlreichen Abbildungen und präzisen Begriffserklärungen ist es eine verständliche Lektüre, die einen breiten Überblick über das Themenfeld liefert."

Antonia Köhler, ZfCM - Zeitschrift Controlling & Management, 6/2012, S.450

"Diederichs Ansatz des Risikomanagements und des Risikocontrollings, vor allem die hier vorgeschlagenen Aufgaben und Instrumente, können in verschiedenen Branchen angewandt werden. Selbstverständlich müssen Aufgaben und Instrumente hier entsprechend konkretisiert und angepasst werden, aber auch hierzu gibt das Buch Hinweise... Das Buch kann daher jedem empfohlen werden, der sich in Theorie und Praxis mit Risikomanagement und Risikocontrolling beschäftigt."

Peter Bömelburg, Zeitschrift Die Wirtschaftsprüfung, 15-2011, zur Vorauflage