Content

4.3 Praxisorientierte Gestaltungsempfehlungen in:

Marc Diederichs

Risikomanagement und Risikocontrolling, page 160 - 172

3. Edition 2012, ISBN print: 978-3-8006-4222-9, ISBN online: 978-3-8006-4223-6, https://doi.org/10.15358/9783800642236_160

Series: Finance Competence

Bibliographic information
4. Risikomanagement-Organisation140 4.2.4 Kritische Würdigung der allgemeinen Gestaltungsansätze Es ist festzuhalten, dass das Risikomanagement nicht den Anspruch erheben kann, allein aufgrund seiner Aufgaben und Ziele bestehende Organisationsstrukturen, die sich bereits als wesentliche Faktoren der Unternehmenssicherheit etabliert haben, gänzlich neu zu strukturieren.321 Auch sollte keine isolierte Parallel-Organisation im Unternehmen geschaffen werden. Das Risikomanagement ist vielmehr in die vorhandenen Organisations- und Führungsstrukturen zu integrieren und mit den Geschäftsprozessen zu verknüpfen. Außerdem wurde gezeigt, dass nicht zuletzt aufgrund fehlender Koordinationsmöglichkeiten von Linieninstanzen ein rein dezentraler Ansatz zu kurz greift. Die Aufgaben des Risikomanagements müssen vielmehr zwischen der bestehenden Organisation und der zu etablierenden, zentralen Risikomanagement-Instanz aufgeteilt werden. So liegt die Verantwortung für die Erkennung, Beurteilung und Steuerung der Risiken vornehmlich in den Linienfunktionen. Der zentralen Instanz obliegen in erster Linie Koordinations- und Beratungsaufgaben. Damit nimmt sie dem Management und den Linienfunktionen die Entscheidungen über zu treffende Risikobewältigungsmaßnahmen nicht ab, trägt aber dazu bei, widersprüchliche oder zielbedrohende Entscheidungen zu vermeiden.322 Außerdem muss sie die unternehmensweite Risikokommunikation durch ein einheitliches Risikoberichtswesen unterstützen. Hierzu gehört auch die zusammenfassende Risikoberichterstattung an die Geschäftsführung. Die zentrale Instanz stellt damit das koordinierende Bindeglied zwischen Geschäftsführung und den Linienfunktionen dar. Da die Aufgaben der zentralen Instanz überwiegend koordinierenden Charakter haben, ist sie als Stabsstelle zu etablieren. Allerdings sind auch spezielle Entscheidungs- und Weisungsbefugnisse zu übertragen, da die Koordinationsaufgaben auch die Überwachung der Maßnahmen zur Risikobewältigung beinhalten sollten und bei Bedarf korrigierende Eingriffe notwendig sind. Die Instanz sollte zudem dazu ermächtigt sein, gegen bestimmte Entscheidungen der Linie Einspruch erheben zu können oder gegebenenfalls die Einschaltung des Managements anzuordnen.323 Auch hierzu sollten die Stäbe über bestimmte Befugnisse gegenüber anderen Instanzen verfügen, ohne die eine Ausübung der Überwachungsfunktion nur bedingt möglich ist. Damit die Instanz ihren Aufgaben gerecht werden kann, sollte sie hierarchisch auf der obersten Führungsebene, also in direkter Berichtslinie zur Geschäftsführung angesiedelt werden. 4.3 Praxisorientierte Gestaltungsempfehlungen Eine Möglichkeit, den allgemeinen Gestaltungsansätzen in der Unternehmenspraxis gerecht zu werden, besteht in der Installierung eines Risikomanagers und in der Bildung eines Risikoausschusses. 321 Vgl. Braun (1984), S. 278 ff.; Haller (1986a), S. 33 ff.;Wittmann (1999), S. 130, 141. 322 Vgl. Damary (1978), S. 281. 323 Vgl. Braun (1984), S. 282; Fasse (1995), S. 356 und S. 358. 4.3 Praxisorientierte Gestaltungsempfehlungen 141 4.3.1 Risikomanager Jede Organisation benötigt eine koordinierende Stelle, die sie bei ihren Risikomanagement- Aufgaben unterstützt und die unternehmensweite Risikoberichterstattung begleitet und sicherstellt.324 Die Aufgaben können in Abhängigkeit von Größe, Branche und Struktur des Unternehmens in Personalunion (wie zum Beispiel durch das Controlling), durch eine Person oder durch eine Funktion mit mehreren Mitarbeitern wahrgenommen werden (Risikomanagement-Abteilung). In den folgenden Ausführungen wird − stellvertretend für alle drei Optionen − nur von einem Risikomanager gesprochen. 4.3.1.1 Aufgaben des Risikomanagers Der Risikomanager ist im Auftrag der Geschäftsführung verantwortlich für das Vorhandensein, die Eignung und die unternehmensweite Funktionsfähigkeit des gesetzlich geforderten Risikomanagements. Durch die Beobachtung der Anforderungen seitens der Gesetzgebung und Rechtsprechung sowie die etwaige Anpassung des Risikomanagement-Systems gewährleistet er, dass Aufbau- und Ablauforganisation der herrschenden Meinung entsprechen. Damit nimmt er in der Risikomanagement-Organisation eine zentrale Rolle ein. Außerdem sollte der Risikomanager die Geschäftsführung bei der Aufrechterhaltung des unternehmensweiten Risikobewusstseins unterstützen. So kann er durch Informationsprogramme, Schulungs- und Fortbildungsmaßnahmen sowie Workshops die Risikokultur und Risikophilosophie fördern. Zudem sollte der Risikomanager die Organisation durch Bereitstellung von Methoden und Instrumenten unterstützen. Bei Sonderthemen kann er eine beratende Funktion einnehmen. Der Risikomanager trägt damit zur Akzeptanz und Qualität des Risikomanagements im Unternehmen wesentlich bei. Der Risikomanager ist verantwortlich für die Risikoberichterstattung. Er hat die Risiken zu erheben, analysieren und aggregieren und anhand von Berichten an die Entscheidungsträger zu kommunizieren. So sollte er zum Beispiel einen komprimierten und kommentierten Risikobericht für die Geschäftsführung erstellen, der alle wesentlichen Risiken einschließlich der Beurteilungen und eingesetzten Risikosteuerungsmaßnahmen enthält. Daneben erstellt der Risikomanager den Risikobericht im Lagebericht. Er gewährleistet, dass das Risikomanagement-System, die wesentlichen Risiken und eingesetzten risikosteuernden Maßnahmen sachgerecht und angemessen dargestellt werden. Er stimmt sich bezüglich der Inhalte mit den Verantwortlichen der entsprechenden Linieninstanzen oder den anderen operativen Organisationseinheiten sowie der Geschäftsführung und dem Wirtschaftsprüfer ab. Zudem kann der Risikomanager das Unternehmen gegenüber dem Abschlussprüfer vertreten und den Prüfer bei der Planung und Durchführung der Prüfung des Risikofrüherkennungsund Überwachungssystems begleiten. Außerdem kann er das Prüfungsergebnis in Abstimmung mit der Geschäftsführung und den verantwortlichen Mitarbeitern der geprüften Bereiche gegenüber dem Prüfer abnehmen. 324 Vgl. Diederichs/Form/Reichmann (2004), S. 195. 4. Risikomanagement-Organisation142 Der Risikomanager ist verantwortlich für die Erstellung und Weiterentwicklung der Risikomanagement-Richtlinie des Unternehmens, auf die später näher eingegangen wird. Neben der internen Revision überwacht er die Einhaltung der Richtlinie. Damit unterstützt er die Sicherstellung der Compliance in diesem Bereich. Schließlich ist er verantwortlich für die Koordination und Organisation des Risikoausschusses. In dem ressortübergreifenden Gremium werden die Risikosituation und risikorelevante Themen von unternehmensweiter Bedeutung analysiert, diskutiert sowie Empfehlungen für die Geschäftsführung erarbeitet. Als festes Mitglied unterstützt der Risikomanager damit die Geschäftsführung bei der Risikosteuerung und der Formulierung der Risikomanagement- Strategie. DerRisikomanager ist verantwortlich für das Vorhandensein, die Eignung und Funktionsfähigkeit des Risikomanagements die Unterstützung derGeschäftsführung bei der Formulierung der Risikomanagement-Strategie, Risikosteuerung und Aufrechterhaltung des Risikobewusstseins die interne Risikoberichterstattung und die Erstellung des Risikoberichts im Lagebericht die Koordination und Organisation des Risikoausschusses als festes Mitglied die Unterstützung derOrganisation durch Bereitstellung von Methoden und Instrumenten die Erstellung und Weiterentwicklung der Risikomanagement-Richtlinie und deren Einhaltung die Begleitung des Abschlussprüfers bei der Planung und Durchführung der Prüfung Abb. 4-1: Aufgaben des Risikomanagers Auf die Aufgaben des Risikoausschusses sowie die Aufgaben des Risikomanagers innerhalb dieses Gremiums wird nach einer Beschreibung der an die Stelle des Risikomanagers zu stellenden Anforderungen eingegangen. 4.3.1.2 Stellenanforderung Als zentraler Ansprechpartner für das Risikomanagement bewegt sich der Risikomanager an der Schnittstelle zwischen der Geschäftsführung, den Linienfunktionen oder anderen operativen Organisationseinheiten, der internen Revision, dem Wirtschaftsprüfer und möglicherweise auch dem Aufsichtsrat. Dementsprechend sind an die Person, die die Stelle des Risikomanagers bekleidet, hohe Anforderungen zu stellen. So sollte sie sowohl ein betriebs- und volkswirtschaftliches Verständnis haben als auch über umfangreiche Spezialkenntnisse in den Bereichen Risikomanagement, Controlling und Corporate Governance verfügen. Zudem ist ein juristisches Grundverständnis förderlich. In einer Vielzahl der Fälle wird eine entsprechende Hochschulausbildung und eine sich anschließende langjährige Berufserfahrung die Grundvoraussetzung bilden. 4.3 Praxisorientierte Gestaltungsempfehlungen 143 Die Person sollte über ausgeprägte analytische und konzeptionelle Fähigkeiten verfügen und ein Verständnis für Gesamtzusammenhänge haben. Zudem muss sie sehr gute Kommunikations- und Präsentationsfähigkeiten besitzen. Da sie in ihrem Aufgabenbereich mit einer Vielzahl von Mitarbeitern zusammenarbeitet, sollte sie über eine große Teamkompetenz und ein hohes Integrationspotential verfügen. Außerdem sollte die Person eine große Überzeugungskraft und eine ausgeprägte Beratungs- und Schulungskompetenz mit sich bringen. 4.3.2 Risikoausschuss Je nach definierter Rolle und Aufgabenzuschnitt kann der Risikomanager an kapazitative Grenzen oder an Kompetenzgrenzen stoßen. Deshalb kann es sinnvoll sein, einen Risikoausschuss als ergänzende und unterstützende Kontroll-, Überwachungs- und Steuerungsinstanz innerhalb der Risikomanagement-Organisation zu installieren.325 Wie bereits erwähnt, sollte der Risikomanager dann Mitglied des Risikoausschusses sein. Bevor auf die Aufgaben, Zusammensetzung und Geschäftsordnung eingegangen wird, sollen zunächst die allgemeinen Charakteristika und die besondere Eignung eines Ausschusses für das Risikomanagement erörtert werden. 4.3.2.1 Charakteristika und Eignung Als Teil der Sekundärorganisation stellt ein Ausschuss ein hierarchieübergreifendes Gremium dar, dessen Mitglieder der Primärorganisation entstammen. Ein Ausschuss kann zeitlich unbefristet zur Bewältigung von Daueraufgaben oder zeitlich befristet zur Bearbeitung von Sonderaufgaben eingerichtet werden. Im Vordergrund steht nicht die arbeitsteilige Aufgabenbewältigung, sondern die ganzheitliche und gemeinsame Bearbeitung von Themen. Der Vorteil ist, Mitarbeiter mit einem entsprechendem Wissen und Erfahrungen zusammenzubringen, um Problemlösungs- und Koordinationsaufgaben wahrzunehmen. Die Zusammenführung komplementärer Fähigkeiten und unterschiedlicher Standpunkte verbessert den Informationsstand der Mitglieder und schafft eine Grundlage, um Entscheidungen auf eine breite Informationsbasis zu stellen und Fehler zu vermeiden.326 Da ein Ausschuss nach den situativen Erfordernissen zusammengesetzt werden kann, stellt er eine flexible Organisationsform dar. Außerdem lässt er sich unabhängig von spezifischen Gegebenheiten mit verhältnismäßig wenig Aufwand einsetzen. Charakteristisch für einen Ausschuss ist, dass die Mitglieder nur zu bestimmten Terminen zusammenarbeiten. Zudem ist die fehlende hierarchische Struktur im Ausschuss zu nennen, die eine gleichberechtigte Zusammenarbeit gewährleistet. Allerdings sei erwähnt, dass die Beteiligung von Mitarbeitern unterschiedlicher hierarchischer Ebenen und Ressorts ein hohes Konfliktpotential in sich birgt. Die Entscheidungsfindung kann beeinträchtigt oder verzögert werden. Daneben kann sich in der Unternehmenspraxis die Überwindung hierarchischer Strukturen innerhalb des Gremiums als schwierig erweisen, so dass eine offene Kommunikation erschwert wird. Damit sind hohe Anforde- 325 Vgl. hierzu und ff. Mugler (1979), S. 210; Gutmannsthal-Krizanits (1994), S. 468 f.; Kendall (1998), S. 49 ff.; Vahs (1999), S. 78 ff. Schulte-Zurhausen (2002), S. 279 ff. 326 Vgl. Grochla (1995), S. 270; Fasse (1995), S. 358; Vahs (1999), S. 79. 4. Risikomanagement-Organisation144 rungen an die Kommunikations- und Kooperationsfähigkeit der Mitglieder zu stellen. Zudem ist darauf zu achten, dass durch die Gruppenentscheidung kein Risikoschub eintritt. Mitglieder können aufgrund der scheinbar fehlenden unmittelbaren Verantwortung im Ausschuss unter Umständen eine riskantere Alternative präferieren, als sie aus eigenverantwortlichem Ermessen heraus eingehen würden.327 Es sei vorab angemerkt, dass der Risikoausschuss für seine Aufgabenerfüllung angemessene Informationen benötigt. Auf Gestaltungsempfehlungen, wie sich eine Risikoberichterstattung im Unternehmen etablieren lässt, wird später ausführlich eingegangen. An dieser Stelle sei vorausgesetzt, dass dem Ausschuss alle zur Aufgabenerfüllung notwendigen Informationen vorliegen. 4.3.2.2 Aufgaben und Kompetenzen Neben dem Risikomanager stellt der Risikoausschuss die zentrale Kontroll-, Überwachungsund Steuerungsinstanz innerhalb der Risikomanagement-Organisation dar.328 Die Hauptaufgabe des Risikoausschusses besteht darin, Risiken aus Gesamtunternehmensperspektive unabhängig zu analysieren. Dies kann zum Beispiel auf Basis eines durch den Risikomanager vorbereiteten Risikogesamtberichts erfolgen. Dabei hat der Ausschuss auch zu prüfen, ob alle wesentlichen Risiken identifiziert wurden und ob er zu den gleichen Risikobeurteilungen wie die operativen Organisationseinheiten gelangt, die die Risiken im Rahmen der Risikoberichterstattung dokumentiert haben. Der Ausschuss hat zudem die bestehenden Bewältigungsmaßnahmen der Risiken kritisch zu hinterfragen, die funktionsübergreifend wirken oder einen wesentlichen Einfluss auf die Vermögens-, Finanz- und Ertragslage oder die Reputation des Unternehmens haben können. Damit wird vorgebeugt, dass sich der Ausschuss nicht mit jeder Maßnahme und jedem Risiko beschäftigt. Sollten Lücken bei den Bewältigungsmaßnahmen identifiziert werden, kann er risikobewältigende Programme und Maßnahmen in Abstimmung mit der jeweils betroffenen Organisationseinheit aufsetzen und koordinieren. Die Verantwortung für die Umsetzung liegt in den Linienfunktionen. Der Risikoausschuss kann anstehende Entscheidungen der Geschäftsführung aus Risikomanagement-Perspektive kritisch analysieren und Empfehlungen aussprechen. Außerdem hat er sich mit Themen auseinanderzusetzen, die durch die Organisation an das Gremium herangetragen werden. Zudem kann er die Unternehmensbereiche bei der Risikoidentifikation, -beurteilung und -steuerung beraten. Außerdem hat er zu überwachen, ob Beschlüsse und Risikolimits durch die Organisation eingehalten werden und ob Maßnahmen im gewünschten Sinne greifen. Daneben kann er den Risikomanager bei der Gestaltung und Entwicklung des Risikomanagement-Systems unterstützen. So kann der Risikomanager Vorschläge zu neuen Instrumenten, Verfahren und Abläufen in das Gremium einbringen, die sodann − eine Entschei- 327 Vgl. Fasse (1995), S. 358; Seifert (1980), S. 162. 328 Vgl. Braun (1984), S. 278; Gutmannsthal-Krizanits (1994), S. 468 f.; Hornung/Reichmann/Diederichs (1999), S. 322; Diederichs/Eberenz/Eickmann (2009), S. 270. 4.3 Praxisorientierte Gestaltungsempfehlungen 145 dung vorausgesetzt − entsprechend umzusetzen sind. Schließlich kann der Risikoausschuss den durch den Risikomanager erstellten Risikobericht, der auch Aussagen zu den zuvor genannten Aspekten enthalten sollte, für die Geschäftsführung freigeben. DerRisikoausschuss analysiert die wesentlichen Risiken aus Gesamtunternehmensperspektive hinterfragt die bestehenden Bewältigungsmaßnahmen analysiert anstehende Entscheidungen der Geschäftsführung aus Risikomanagement-Perspektive und spricht Empfehlungen aus unterstützt Unternehmensbereiche bei der Risikoidentifikation, -beurteilung und -steuerung setzt bei Bedarf Programme und Maßnahmen zur Risikobewältigung auf und koordiniert sie überwacht, ob Beschlüsse und Limits eingehalten werden und ob Maßnahmen greifen unterstützt den Risikomanager bei der Entwicklung des Risikomanagement-Systems Abb. 4-2: Aufgaben des Risikoausschusses Um die Aufgaben wahrnehmen zu können und eine Reduzierung auf eine Beraterrolle zu vermeiden, sollte der Risikoausschuss an die Geschäftsführung berichten, entsprechend besetzt und mit Entscheidungs- und Weisungsbefugnissen ausgestattet sein. Allerdings sind den Befugnissen Grenzen zu setzten.329 So wird der Ausschuss in der Unternehmenspraxis nicht über weitreichende, risikopolitische Maßnahmen wie zum Beispiel eine Unternehmensverlagerung, Akquisition oder Desinvestition entscheiden können. Folglich soll und kann der Ausschuss nicht die Verantwortung der Geschäftsführung oder von Überwachungsgremien wie dem Aufsichtsrat übernehmen. Allerdings lässt sich das Problem dadurch teilweise lösen, indem man Mitglieder der Geschäftsführung in den Risikoausschuss integriert. So wird von vornherein eine Informationsrückkopplung gewährleistet. 4.3.2.3 Besetzung Um die Aufgaben adäquat wahrnehmen zu können, sollten Mitglieder des Risikoausschusses auch über eine individuelle Weisungsbefugnis verfügen.330 Deshalb bietet es sich an, Hauptverantwortliche aus den Primär- und Sekundärfunktionen in den Ausschuss zu berufen. Dabei sollten vornehmlich die Hauptverantwortlichen nominiert werden, die in ihrer Linienfunktion mit den Themen Risikomanagement oder Risikocontrolling täglich konfrontiert sind. So kann es zum Beispiel sinnvoll sein, Führungskräfte aus den Bereichen Control- 329 Vgl. Kendall (1998), S. 60 ff. 330 Vgl. hierzu und ff. Braun (1984), S. 281; Gutmannsthal-Krizanits (1994), S. 468 ff.; Fasse (1995), S. 354; Kendall (1998), S. 63 ff.; Cleemann/Kreutzer (1998), S. 67; Hornung/Reichmann/Diederichs (1999), S. 322. 4. Risikomanagement-Organisation146 ling, Strategie, Treasury, Recht, Qualitätsmanagement oder Arbeits-, Umwelt-, IT- und Unternehmenssicherheit einzubeziehen. Zudem kann es auch sinnvoll sein, Personen aus den markt- und produktnahen Bereichen wie dem Vertrieb, Marketing oder der Forschungund Entwicklung einzubinden. Wie bereits erwähnt sollten zudem Vertreter der Geschäftsführung und der Risikomanager feste Mitglieder des Risikoausschusses sein. Durch die Besetzung wird ein interdisziplinäres Wissen sichergestellt. Abhängig von den aktuellen Herausforderungen und der Tagesordnung sollten weitere Personen zu den Ausschusssitzungen hinzugezogen werden. Die Einladung wird immer dann notwendig sein, wenn es sich um spezielle Themen oder Risikobereiche handelt, welche das Fachwissen eines oder mehrerer Spezialisten auf diesem Gebiet erfordern. Zum Beispiel können die interne Revision, der Abschlussprüfer, operative Verantwortliche aus der Linie oder auch unabhängige Unternehmensberater als Know-how-Träger zur Darstellung und Beurteilung spezieller Sachverhalte herangezogen werden. Schließlich ist die Zusammensetzung des Risikoausschusses abhängig von der Branche, Größe und Struktur des Unternehmens. Die optimale Anzahl von Mitgliedern kann unternehmensindividuell stark variieren.331 Deshalb kann auch keine allgemeingültige Aussage getroffen werden, welche Anzahl von Personen zweckmäßig ist. Da im Allgemeinen die Kommunikationsintensität mit steigender Gruppengröße abnimmt und ein zu großer Ausschuss die notwendige Handlungsflexibilität einschränken kann, ist die Mitgliederanzahl tendenziell eher klein zu halten.332 Die Mitglieder des Risikoausschusses sollten durch die Geschäftsführung nominiert werden. Auch lässt sich nicht abschließend festlegen, ob Entscheidungen durch Mehrheitsbeschluss oder einstimmig zu treffen sind. Entsprechendes gilt auch für die Frage, welche Aufgaben und Kompetenzen dem Risikoausschuss letztlich zuteilwerden. Sie sind von jeder Geschäftsführung unternehmensindividuell festzulegen. 4.3.2.4 Geschäftsordnung Neben Aufgaben, Kompetenzen und Besetzung ist der Sitzungszyklus festzulegen.333 Um einen kontinuierlichen Erfahrungs- und Informationsaustausch sicherzustellen und den Aufgaben zeitgerecht nachzukommen, sollten sich die Ausschussmitglieder regelmäßig − persönlich, via Video- oder Telefonkonferenz − treffen. Bei einem unregelmäßigen Sitzungszyklus oder zu großen Zeitabständen zwischen den Sitzungen besteht die Gefahr, dass die Tragweite unternehmensübergreifender Risiken oder die Auswirkungen verfehlter Maßnahmen nicht rechtzeitig erkannt und keine korrigierenden Aktionen eingeleitet werden. Zwar lässt sich keine allgemeingültige Aussage über einen optimalen Sitzungszyklus machen, da dieser abhängig von der Branche, der Dynamik der Unternehmensrisiken sowie des Aufgabenspektrums des Ausschusses ist. Allerdings sollte sich das Gremium mindestens in einem Drei-Monats-Rhythmus treffen. 331 Vgl. Kendall (1998), S. 63. 332 Vgl. Vahs (1999), S. 78 ff. 333 Vgl. Gutmannsthal-Krizanits (1994), S. 468. 4.3 Praxisorientierte Gestaltungsempfehlungen 147 Sollte es die Situation erfordern, sind außerplanmäßige Sitzungen einzuberufen. Damit ist der Risikoausschuss in der Lage, schnell reagieren und die neue Situation kurzfristig bewältigen zu können.334 Während der Sitzungen sollte einer festen Tagesordnung gefolgt werden. Folgende Punkte sollten mindestens berücksichtigt werden: • Bewertung der aktuellen Risikosituation, • Abgleich mit den gemeldeten Risiken und Risikobeurteilungen, • Prüfung der bestehenden Maßnahmen zur Risikobewältigung und etwaiger Korrekturen, • Bearbeitung von Themen, die die Geschäftsführung oder Organisation adressieren, • Erarbeitung von Empfehlungen an die Geschäftsführung oder Organisation. Die Ergebnisse der Sitzung sind aus Rechenschafts- und Informationsgründen anhand von Protokollen festzuhalten. Sie können in Anlehnung an die Tagesordnung aufgebaut werden, um Ermessensspielräume auszuschließen und eine Einheitlichkeit im Zeitablauf zu gewährleisten. Die Aufgaben, Kompetenzen und ablauforganisatorischen Regeln des Risikoausschusses sind in einer Geschäftsordnung zu kodifizieren. Als organisierendes Mitglied sollte der Risikomanager darauf achten, dass die Geschäftsordnung eingehalten wird. So hat er die Koordination der Sitzungstermine sowie die Erstellung, Übermittlung und Archivierung der Sitzungsprotokolle sicherzustellen. Außerdem kann er die Sitzungen des Risikoausschusses moderieren. 4.3.2.5 Risikoausschuss-System Je nach Komplexität und Größe eines Unternehmens wird die Einrichtung eines Risikoausschusses nicht ausreichen, so dass mehrere Risikoausschüsse in der Organisation zu implementieren und zu vernetzen sind. Der Aufbau eines unternehmensweiten Netzes von Risikoausschüssen ist abhängig von den vorhandenen Organisations- und Führungsstrukturen. Zum Beispiel können in einem Konzern, mit mehreren Teilkonzernen und entsprechenden Tochtergesellschaften den jeweiligen Geschäftsführungen Risikoausschüsse zur Seite gestellt werden. Im Fallbeispiel in der Abb. 4-3 lässt sich der Risikoausschuss, der an den Konzernvorstand berichtet, von den Risikoausschüssen auf Teilkonzernebene und Ebene der Tochtergesellschaften unterscheiden, die jeweils an ihre Geschäftsführungen berichten. Abhängig von den zugedachten Rollen und Kompetenzen kann jeder Risikoausschuss die Aktivitäten der hierarchisch untergeordneten Risikoausschüsse überwachen und Weisungen erteilen. Alle Gremien innerhalb des Verbunds sind so dem jeweils übergeordneten Risikoausschuss rechenschaftspflichtig. 334 Vgl. Fasse (1995), S. 355. 4. Risikomanagement-Organisation148 Konzern AG AAGmbH ABGmbH ACGmbH RAAG RATK1 RA AAGmbH RA ABGmbH RA ACGmbH BAGmbH BBGmbH BCGmbH RATK2 RA BAGmbH RA BBGmbH RA BCGmbH CAGmbH CBGmbH CCGmbH RATK3 RA CAGmbH RA CBGmbH RA CCGmbH TK: TeilkonzernRA: Risikoausschuss Teilkonzern 1 Teilkonzern 2 Teilkonzern 3 Abb. 4-3: Risikoausschuss-System335 Da die Darstellung von Informationen bei der Risikoberichterstattung über mehrere Hierarchieebenen hinweg eine Aggregation erfordert, nimmt das Detailwissen ab. Es besteht die Gefahr eines Informationsverlustes. Damit sind vor allem bei einem komplexen Risikoausschuss-System die Risikokommunikation und der direkte Informationsaustausch besonders wichtig. In der Unternehmenspraxis ist deshalb darauf zu achten, dass sich die Mitglieder der untergeordneten Risikoausschüsse mit den Mitgliedern des hierarchisch übergeordneten Risikoausschusses austauschen, das heißt der Informationsfluss sollte sowohl top-down als auch bottom-up erfolgen. Eine einfache Möglichkeit, eine direkte Kommunikation zu ermöglichen, besteht darin, Mitglieder der untergeordneten Ausschüsse in die Sitzungen des jeweils übergeordneten Risikoausschusses einzubeziehen.336 Im Fallbeispiel wäre dann ein Mitglied aus jedem Teilkonzern-Risikoausschuss in den Risikoausschuss auf Konzernebene einzubeziehen. Für die Beziehung zwischen Tochtergesellschaften und Teilkonzern gilt dies gleichermaßen. Zudem sollte ein Mitglied des übergeordneten Ausschusses an den Sitzungen der untergeordneten Risikoausschüsse teilnehmen (vgl. Abb. 4-4). In beiden Fällen bieten sich hierfür die jeweiligen Risikomanager an. 335 Angelehnt an Hornung/Reichmann/Diederichs (1999), S. 323; vgl. Hüllmann (2003), S. 262 ff. 336 Vgl. zum System sich überlappender Gruppen (Linking-Pins) Welge (1987), S. 434; Vahs (1999), S. 110 f.; Schulte-Zurhausen (2002), S. 233 ff. 4.3 Praxisorientierte Gestaltungsempfehlungen 149 Risikoausschuss Teilkonzern 1 Risikoausschuss Teilkonzern 2 Risikoausschuss Teilkonzern 3 Risikoausschuss Konzern Ve rt ik al e In fo rm at io ns tr an sp ar en z Horizontale Informationstransparenz Abb. 4-4: Risikokommunikation durch sich überschneidende Teilnehmerkreise Durch die sich überschneidenden Teilnehmerkreise wird ein Austausch risikorelevanter Informationen und Erfahrungen außerhalb der standardisierten Risikoberichterstattung ermöglicht. Es wird ein vertikaler und horizontaler Informationsfluss gewährleistet, der einen wesentlichen Beitrag zur Erzielung der erforderlichen Transparenz leistet. 4.3.3 Risikomanagement-Richtlinie Verfahrensanweisungen bilden die Voraussetzung für die Funktionsfähigkeit komplexer Systeme. So sind auch im Rahmen des Risikomanagements die aufgestellten Regeln zur Aufbau- und Ablauforganisation anhand einer Richtlinie zu kodifizieren.337 Die Richtlinie ist im Unternehmen bekannt und allen Mitarbeitern zugänglich zu machen. Hierzu bietet sich in der Unternehmenspraxis zum Beispiel das Unternehmensintranet an. 4.3.3.1 Ziele und Aufgaben Zwar ist eine Dokumentation nicht explizit gesetzlich vorgeschrieben, sie lässt sich aber aus der allgemeinen Sorgfaltspflicht einer ordentlichen und gewissenhaften Geschäftsführung ableiten. Auch das IDW stellt fest, dass eine fehlende oder unvollständige Dokumentation zu Zweifeln an der dauerhaften Funktionsfähigkeit der getroffenen Maßnahmen führt.338 Damit dient sie der Geschäftsführung als Nachweis für pflichtgemäßes Handeln. 337 Vgl. Diederichs/Form/Reichmann (2004), S. 196 f. 338 Vgl. IDW (1999), S. 660, Tz. 18; Brebeck/Förschle (1999), S. 183;Mauch (2001), S. 339. 4. Risikomanagement-Organisation150 Zudem dient eine Richtlinie der Organisation als Orientierungshilfe zu Abläufen und Instrumenten und kann zu einer höheren Akzeptanz des Risikomanagements beitragen.339 Daneben können der Abschlussprüfer, die interne Revision und auch der Aufsichtsrat bei ihren Prüfungen auf die Dokumentation zurückgreifen. Folgende Aufgaben hat eine Risikomanagement-Richtlinie zu erfüllen:340 • Rechenschaftsfunktion: Nachweis der Sorgfaltspflicht der Geschäftsführung, • Durchsetzungsfunktion: Durchsetzung von Verhaltensregeln durch Richtliniencharakter, • Sicherungsfunktion: Sicherstellung der kontinuierlichen Einhaltung von Maßnahmen, • Koordinationsfunktion: Grundlage für die interne und externe Risikoberichterstattung, • Prüfbarkeitsfunktion: Grundlage für die Prüfung. An dieser Stelle sei angemerkt, das zu einer Dokumentation − neben der Risikomanagement-Richtlinie − auch die Protokolle des Risikoausschusses oder anderer Unternehmenseinheiten, die sich in ihren Sitzungen mit dem Thema beschäftigt haben, sowie alle Risikoberichte zu zählen sind. 4.3.3.2 Aufbau und Inhalte Beim Aufbau einer Risikomanagement-Richtlinie sind zunächst allgemeine Anforderungen zu berücksichtigen. So ist trotz bestimmter Mindestinhalte darauf zu achten, die Richtlinie so knapp wie möglich zu halten, das heißt es sollte der Grundsatz der Wesentlichkeit befolgt werden. Überschneidungen und Wiederholungen sind zu vermeiden. Daneben sollte die Richtlinie intersubjektiv nachprüfbar sein. Ein Dritter muss sich also in angemessener Zeit ein Bild über das Risikomanagement verschaffen können.341 Dementsprechend sollte die Richtlinie systematisch aufgebaut sein. Zudem sollten verständliche Begrifflichkeiten einheitlich verwendet werden. Die Inhalte der Richtlinie haben sich an den Strukturen des jeweiligen Unternehmens zu orientieren.342 Die Abb. 4-5 zeigt einen beispielhaften Aufbau für eine Risikomanagement- Richtlinie. 339 Vgl. Braun/Gänger/Schmid (1999), S. 239;Weidemann/Wieben (2001), S. 1794. 340 Vgl. Giese (1998), S. 453; Kromschröder/Lück (1998), S. 1576; Scharpf (1999), S. 181 f. 341 Vgl. Kless (1998), S. 93; Pollanz (1999a), S. 397. 342 Vgl. Scharpf/Epperlein (1995), S. 210; Franke (1997), S. 174 f.; Scharpf (1997), S. 742; Brebeck/ Herrmann (1997), S. 389; Neumann (1998b), S. 729; S. 472; Pollanz (1999a), S. 397 f. 4.3 Praxisorientierte Gestaltungsempfehlungen 151 Gegenstand undGeltungsbereich der Risikomanagement-Richtlinie (1) Risikomanagement-Grundlagen • Ziele und Aufgaben des Risikomanagements • Risikodefinition • Risikokategorien und Risikofelder des Unternehmens • Risikostrategie und risikopolitische Grundsätze • optional: Rechtlicher Hintergrund −Anforderungen des Gesetzgebers, DCGK und Wirtschaftsprüfers (2) Risikomanagement-Organisation − Rollen und Verantwortlichkeiten • Vorstand und Aufsichtsrat • Risikomanager und Risikoausschuss (inklusive Geschäftsordnung) • Interne Revision • Unternehmensfunktionen/Tochtergesellschaften • Abschlussprüfer (inklusive Revisionsprozess) (3) Risikoberichterstattung und Risikokommunikation • Erläuterungen zum Aufbau und Ablauf der Risikoberichterstattung • Beschreibung von Meldegrenzen (inklusive ad hoc-Berichterstattung) • Hilfestellungen zur Risikoerkennung und Risikobeurteilung (Checklisten, Instrumente) • Berichtsformulare zur Risikoerfassung einschließlich einer Ausfüllhilfe mit Musterbeispielen • Berichtsmuster von Vorstand- und Aufsichtsratbericht Abb. 4-5: Beispielhafte Struktur einer Risikomanagement-Richtlinie343 Sollte die Risikomanagement-Richtlinie im Intranet des Unternehmens vorgehalten werden, kann man Dokumente zum Herunterladen bereitstellen. Das können zum Beispiel die Berichtsformulare sein, mit denen Risiken erfasst werden (Risikoerfassungsbögen), und Kurzanleitungen, wie sie auszufüllen sind. Außerdem können andere aktuelle Informationen oder relevante Dokumente für die Organisation bereitgehalten werden. Nach der Darstellung der Risikomanagement-Organisation wird in den folgenden Ausführungen mit der internen Revision eine Funktion vorgestellt, die − neben dem Wirtschaftsprüfer − Prüfungen des Risikomanagements vornimmt. Neben der Abgrenzung ihres Prüfumfangs von dem des Wirtschaftsprüfers werden die Entwicklung und Begrifflichkeiten kurz umrissen. Zudem wird skizziert, welche Voraussetzungen erfüllt sein müssen, dass die Revision eine unabhängige Überwachung des Risikomanagements gewährleisten kann. Nach der Beschreibung ihrer allgemeinen Ziele und Aufgaben folgen Ausführungen zu den Bestandteilen der Prüfung des Risikomanagements entsprechend dem IIR-Revisionsstandard Nr. 2 des Deutschen Instituts für Interne Revision e.V. (IIR). Abschließend werden die Aufgaben der internen Revision von denen des Risikomanagements abgegrenzt. 343 Vgl. Diederichs/Form/Reichmann (2004), S. 197. 4. Risikomanagement-Organisation152 4.4 Interne Revision Da das Risikomanagement-System aus unterschiedlichen Gründen in der Funktionsfähigkeit und Wirksamkeit beeinträchtigt werden kann, ist eine unabhängige Prüfung unverzichtbar. Zwar ist mit dem Wirtschaftsprüfer bereits ein (externer) Prüfer vorhanden. Wie bereits skizziert, ist der Prüfungsumfang – wenn dieser vertraglich nicht erweitert wurde – allerdings begrenzt. Neben dem Wirtschaftsprüfer benötigt ein Unternehmen daher eine unabhängige interne Funktion, die das System überwacht. Hierzu gibt es seitens des Gesetzgebers allerdings keine explizite Regelung. Er überlässt es der allgemeinen Verantwortung der Geschäftsführungen, wie sie die Funktionsfähigkeit des Risikomanagement-Systems absichern wollen. Aufgrund der Charakteristika der internen Revision bietet es sich an, dieser Funktion die Aufgabe zu übertragen. Als prozessunabhängige Instanz kann sie im Auftrag der Unternehmensleitung das System prüfen und überwachen.344 Es sei schon hier angemerkt, dass eine Betreuung der Revision mit operativen Risikomanagement-Aufgaben damit nicht sinnvoll ist, da sie sich andernfalls selbst prüfen müsste und so ein Interessenskonflikt bestünde. Da das Prüfungsgebiet der internen Revision nicht überschneidungsfrei mit dem Prüfungsauftrag des Abschlussprüfers ist, sollten sie sich eng abstimmen, um Doppelarbeiten zu vermeiden. Speziell bei der Prüfung des Risikomanagement-Systems müssen Revision und Abschlussprüfer ihre Arbeit koordinieren. So kann der Abschlussprüfer zum Beispiel auf die Ergebnisse der Prüfung der internen Revision zurückgreifen. Allerdings darf dies die eigene Prüfung nicht ersetzen. Der Wirtschaftsprüfer trägt weiterhin die Verantwortung für sein Prüfungsgebiet. Trotzdem besteht für ihn die Möglichkeit, die Intensität seiner Arbeit nach pflichtgemäßem Ermessen und unter Berücksichtigung der Abdeckung des Prüfungsgebietes durch die Revision entweder zu reduzieren oder zu verstärken.345 4.4.1 Entwicklung und Begriff Die Aufgaben der Revision haben sich im Laufe der Zeit weiterentwickelt. Lag zunächst der Aufgabenschwerpunkt auf der Aufdeckung von dolosen Handlungen und Buchhaltungsfehlern, folgte später die vergangenheitsorientierte Prüfung des Rechnungswesens. Heute erstrecken sich die Aufgaben zudem auf die gegenwarts- und zukunftsorientierte Prüfung und Beratung.346 Das Aktionsgebiet umfasst alle Funktionsbereiche und Prozesse und somit auch die Prüfung des Risikomanagement-Systems. Das US-amerikanische Institute of Internal Auditors (IIA) als Dachverband für alle Revisoren hat den Begriff "interne Revision" aufgrund des veränderten Aufgabenspektrums neu definiert. Während frühere Versionen auf die prüfende und bewertende Funktion fokussierten, wird heute die vermögenssichernde und beratende Funktion in den Vordergrund ge- 344 Vgl. Hofmann (1985), S. 33; Lück (1993), S. 584 f.; Hofmann (1998), S. 154. 345 Vgl. Arbeitskreis „Externe und interne Überwachung der Unternehmung“ der Schmalenbach- Gesellschaft für Betriebswirtschaft e.V. (2000), Tz. 31. 346 Vgl. Hofmann (1985), S. 28 ff.; Schwager (2000b), S. 2337; Horváth (2002), S. 788 f.

Chapter Preview

References

Zusammenfassung

Risikomanagement und Risikocontrolling

Dieses Standardwerk beschäftigt sich mit Herausforderungen und Lösungsmöglichkeiten bei der Einrichtung und Weiterentwicklung von Risikomanagement- und Risikocontrolling-Systemen. Es bietet sowohl für den lösungssuchenden Praktiker als auch für den Wissenschaftler einen großen Fundus an wertvollem Wissen und liefert zahlreiche Anregungen und Hilfestellungen sowie in der Unternehmenspraxis erprobte Lösungen und Instrumente.

Aus dem Inhalt:

- Grundlagen des Risikomanagements und Risikocontrollings

- Anforderungskatalog an das Risikomanagement und die risikoorientierte Lageberichterstattung seitens des Gesetzgebers und des Wirtschaftsprüfers

- Internes Kontrollsystem (IKS), COSO und Internes Kontroll- und Risikomanagementsystem bezogen auf den Rechnungslegungsprozess

- Prozessschritte des Risikomanagements und Vorstellung praxiserprobter Instrumente zu deren Unterstützung

- Gestaltung einer Risikomanagement-Organisation, Abgrenzung von Risikomanagement und Interner Revision sowie Anforderungen an den Risikomanager

- Empfehlungen zum Aufbau einer chancen- und risikoorientierten Berichterstattung (Balanced Chance und Risk Card)

- Risikomanagement im DAX30

Der Autor:

Dr. Marc Diederichs leitet das Konzernrisikomanagement der Aurubis AG, Hamburg. Davor war er verantwortlich für das Corporate Risk & Insurance Management der Beiersdorf AG, Hamburg. Neben seiner beruflichen Laufbahn veröffentlicht der Autor Beiträge in Fachzeitschriften und Fachbüchern, leitet Seminare und hält Vorträge zu den Themen Risikomanagement und Risikocontrolling.

"Dr. Diederichs gelingt es auf konstruktive und anschauliche Weise, die Herausforderungen und Lösungsmöglichkeiten des Risikomanagements sowie des Risikocontrollings herauszustellen. Er bietet damit Praktikern und Wissenschaftlern ein Standardwerk, welches durch seine anschauliche Struktur sowie seine unkomplizierte Ausdrucksweise besticht. Mit zahlreichen Abbildungen und präzisen Begriffserklärungen ist es eine verständliche Lektüre, die einen breiten Überblick über das Themenfeld liefert."

Antonia Köhler, ZfCM - Zeitschrift Controlling & Management, 6/2012, S.450

"Diederichs Ansatz des Risikomanagements und des Risikocontrollings, vor allem die hier vorgeschlagenen Aufgaben und Instrumente, können in verschiedenen Branchen angewandt werden. Selbstverständlich müssen Aufgaben und Instrumente hier entsprechend konkretisiert und angepasst werden, aber auch hierzu gibt das Buch Hinweise... Das Buch kann daher jedem empfohlen werden, der sich in Theorie und Praxis mit Risikomanagement und Risikocontrolling beschäftigt."

Peter Bömelburg, Zeitschrift Die Wirtschaftsprüfung, 15-2011, zur Vorauflage