Content

6.2 Ergebnisse in:

Marc Diederichs

Risikomanagement und Risikocontrolling, page 219 - 231

3. Edition 2012, ISBN print: 978-3-8006-4222-9, ISBN online: 978-3-8006-4223-6, https://doi.org/10.15358/9783800642236_219_1

Series: Finance Competence

Bibliographic information
6.1 Vorbemerkung 199 6. Risikomanagement im DAX30 Nach der Vorstellung praxiserprobter Instrumente zur Erkennung, Beurteilung und Steuerung von Risiken sowie von Empfehlungen zum Aufbau einer Risikomanagement- Organisation und Risikoberichterstattung wird aufgezeigt, wie die DAX 30-Unternehmen ihre Systeme in den Grundzügen gestalten.426 Die Ergebnisse im Überblick zeigt Abb. 6-1. 6.1 Vorbemerkung Die folgenden Ausführungen beleuchten den Stand des Risikomanagements in den Bereichen Organisation und Berichterstattung, der Mitte 2010 im Rahmen eines Forschungsprojekts an der Hochschule für Angewandte Wissenschaften, Hamburg, untersucht wurde. Das Ziel bestand in der Ableitung allgemeiner Tendenzaussagen zur Umsetzung des Risikomanagements im DAX30. Im Rahmen von Telefoninterviews wurden die Informationen auf Basis eines strukturierten Leitfadens erhoben, der den Teilnehmern vorab zugesendet wurde. Die Auswertung der erhobenen Informationen erfolgte anonymisiert. Insgesamt nahmen 24 Unternehmen teil. Die Rücklaufquote lag damit bei 80 %. Bei der Ergebnisdarstellung wird bewusst auf eine Bewertung der Risikomanagement- Systeme und ihrer Ausprägungen verzichtet. Da es sich bei den etablierten Systemen um Maßanzüge handelt und sie entsprechend Größe, Branche und Struktur ausgeprägt sind, kann es kein richtig oder falsch, besser oder schlechter geben. Es wird beschrieben, in welchen Bandbreiten sich die Unternehmen bewegen und ihr Risikomanagement in den Bereichen Organisation und Berichterstattung gestalten.427 Jedes Unternehmen kann damit selbständig ausloten, wo es mit seinem System im Vergleich zum DAX30 in den untersuchten Bereichen positioniert ist. 6.2 Ergebnisse 6.2.1 Vorstandszuordnung, organisatorische Aufhängung und personelle Ausstattung Die Auswertung zeigt, dass bei 19 von 24 Unternehmen (79 %) das Risikomanagement dem Finanzressort (CFO) zugeordnet ist. Davon sind 71 % auf Unternehmen zurückzuführen, die das Risikomanagement alleinig in die Berichtslinie des CFO eingebunden haben. Die anderen zwei Unternehmen (8 %) haben eine doppelte Berichtslinie, über die das Risikomana- 426 Die Ergebnisse sind erstmalig erschienen in Diederichs/Macke/Fricke: Risikomanagement im DAX30 – Untersuchung des State-of-the-Art, in: Der Betrieb (2011), S. 1461-1465. 427 Auf kausale Zusammenhänge und Abhängigkeiten wird nur an den Stellen näher eingegangen, an denen sie für die Auswertung relevant sind. 6. Risikomanagement im DAX30200 gement an den CFO als auch an ein weiteres Vorstandsmitglied (CEO; Chief Compliance Officer) berichtet. • Die funktionale Verantwortung für das Risikomanagement-System liegt überwiegend beim CFO. Hierbei hängt die Risikomanagement-Funktion entweder direkt unter dem Vorstand oder unter der Controlling-Leitung. • Wenn mehrere FTE im zentralen Risikomanagement beschäftigt sind, ist das Risikomanagement zumeist direkt unter dem Vorstand organisiert. Die Einbindung in die Controlling-Funktion ist vor allem bei geringer Mitarbeiteranzahl (≤ 1 FTE) gelebte Praxis. Bei nahezu der Hälfte der Unternehmen ist die zentrale Risikomanagement-Funktion mit mehr als einem FTE ausgestattet. • Im Gegensatz zu den Funktionen mit einer Mitarbeiteranzahl von ≤ 1 FTE unterstützen die personell stärker ausgestatteten Bereiche in der Regel im weit stärkeren Umfang die Unternehmenssteuerung, prüfen detailliert die wesentlichen Risiken und führen ein ganzheitlichesMaßnahmencontrolling durch. • Bei allen Unternehmen wird das zentrale Risikomanagement durch dezentrale Ansprechpartner (in Personalunion oder Vollzeit) unterstützt. Über 40 % der Unternehmen haben zusätzlich ein zentrales Risikoboard implementiert. • Hinsichtlich der Risikodefinition steht bei der Hälfte der Unternehmen ausschließlich die negative Abweichung von einem Plan- oder Prognosewert im Fokus. Die andere Hälfte betrachtet auch positive Abweichungen. • Kriterien zur Bewertung bilden bei allen Unternehmen die potentielle Schadenshöhe und die Eintrittswahrscheinlichkeit. Zudem bewertet über die Hälfte der Unternehmen die Risiken brutto sowie netto. Darüber hinaus nutzt eine Vielzahl der Unternehmen Szenarien zur Risikobewertung. • Berichtet werden risikorelevante Informationen überwiegend quartalsweise oder häufiger an das zentrale Risikomanagement. Dies erfolgt in den meisten Fällen über eine isolierte Abfrage unter Berücksichtigung festgelegter Berichtsschwellenwerte. Unterstützt wird die dezentrale Risikoerfassung inhaltlich durch eine zentral vorgehaltene Risikocheckliste sowie technisch durch eigenentwickelte Software-Lösungen oder durch MS-Office Produkte. • Das zentrale Risikomanagement bereitet die Informationen für die internen Adressaten (insbesondere den Vorstand) zu einem Unternehmensrisikobericht auf. Dieser wird bei fast Dreiviertel der Unternehmen quartalsweise oder häufiger kommuniziert. • Die grundlegenden Aspekte zur Aufbau- und Ablauforganisation sind bei nahezu allen Unternehmen in einer konzernweit geltenden Richtlinie kodifiziert. • Durch die konzernweite Berichterstattung hat die zentrale Risikomanagement-Funktion bei allen Unternehmen Schnittstellen zu sämtlichen Bereichen und Funktionen. Besonders stark ausgeprägt sind die Beziehungen zu den Bereichen Controlling, Compliance und interne Revision. • Darüber hinaus besteht eine grundsätzliche Tendenz die zentrale Risikomanagement- Funktion in risikorelevante Projekte mit konzernweiter Tragweite einzubinden. • In einigen Fällen koordiniert die Risikomanagement-Funktion das Interne Kontrollsystem und legt diesbezüglich allgemeine Vorgaben fest. Die Verantwortung für die Einrichtung interner Kontrollen liegt grundsätzlich in den operativen Bereichen. Abb. 6-1: Zusammenfassung der Ergebnisse 6.2 Ergebnisse 201 Hinsichtlich der organisatorischen Aufhängung zeichneten sich drei Varianten ab (vgl. Abb. 6-2). Mit 13 Unternehmen hat die Aufhängung im Controlling die höchste Häufigkeit. Bei zwei Unternehmen ist das Risikomanagement funktional in die interne Revision eingebunden. Anstatt der Einbindung in eine andere Funktion, ist das Risikomanagement bei neun Unternehmen direkt unter dem Vorstand aufgehängt. Hierbei sind zwei Varianten erkennbar: Zum einen ist bei vier Unternehmen das Risikomanagement als eigenständige Abteilung direkt unter dem Vorstand organisiert. Zum anderen haben fünf Unternehmen das Risikomanagement im Verbund mit anderen Funktionen – wie zum Beispiel dem Compliance-Management, Versicherungs-Management, Internem Kontrollsystem oder der internen Revision – direkt unter dem Vorstand aufgehängt. Damit hängt bei fast 40 % das Risikomanagement am Vorstand. bei geringer FTE-Anzahl (≤ 1 FTE); n:13 bei höherer FTE-Anzahl (> 1 FTE); n:11 ohneUnterscheidung nach der personellen Ausstattung; n:24 54% (13) 38% (9) 8% (2) Controlling direkt unter demVorstand Interne Revision 85% (11) 15% (2) Controlling InterneRevision 82% (9) 18% (2) direkt unter demVorstand Controlling Abb. 6-2: Zusammenhang von organisatorischer Aufhängung und personeller Ausstattung Die Untersuchung zeigt, dass bei allen Unternehmen mindestens ein zentraler Ansprechpartner für das Risikomanagement nominiert ist. Allerdings statten die Unternehmen im DAX30 ihr zentrales Risikomanagement personell unterschiedlich stark aus (vgl. Abb. 6-3). Bei acht Unternehmen (33 %) werden die Aufgaben des zentralen Risikomanagements in Personalunion, bei fünf Unternehmen (21 %) von einem Mitarbeiter in Vollzeit (sogenannter full-time equivalent (FTE)) wahrgenommen. Bei nahezu der Hälfte der Unternehmen (11 Unternehmen; 46 %) ist das Risikomanagement als eigenständige Abteilung mit mehr als einem FTE organisiert. Hiervon beschäftigen vier Unternehmen über zehn FTE im zentralen Risikomanagement. Darüber hinaus lässt sich ein Zusammenhang zwischen der organisatorischen Aufhängung und der personellen Ausstattung erkennen. Insgesamt wird bei 13 Unternehmen (54 %) das zentrale Risikomanagement entweder in Personalunion oder durch einen Mitarbeiter in Vollzeit wahrgenommen. Bei diesen Unternehmen zeigt sich mit 85 % eine deutliche Tendenz zur Aufhängung im Controlling. Bei der Organisation als eigenständige Abteilung mit mehr als einem FTE (46 %) zeigt sich ebenso deutlich eine Tendenz. Während hier zwei von elf Unternehmen eine eigenständige (Unter-) Abteilung im Controlling haben, ist bei neun Unternehmen (82 %) das zentrale Risikomanagement als eigenständige Abteilung direkt unter dem Vorstand organisiert. Den 6. Risikomanagement im DAX30202 Zusammenhang von personeller Ausstattung und organisatorischer Aufhängung verdeutlicht Abb. 6-2. n=24 33% (8) 21% (5) 46% (11) 46% (5) 36% (4) 18% (2) Personalunion CRM als 1 FTE RM-Abteilung / -Funktion mit > 1 FTE >1 bis 10 FTE > 10 FTE ohneAngabe zu FTEohneAngabe zu FTE Abb. 6-3: Personelle Ausstattung Über das zentrale Risikomanagement hinaus sind bei allen Unternehmen dezentrale Ansprechpartner für das Risikomanagement nominiert (wie zum Beispiel in den Tochtergesellschaften oder in den Fachfunktionen). Hauptsächlich wird das Risikomanagement dezentral in Personalunion durch das Controlling wahrgenommen. Neben den nominierten dezentralen Controllern obliegt die Wahrnehmung koordinierender Risikomanagement-Aufgaben vor allem den Leitern der operativen Funktionen. Dezentrale Risikomanager als Vollzeitkräfte sind bei einem Viertel der Unternehmen zu finden. Hierbei reichen die Ausprägungen von einem dezentralen Risikomanager je Unternehmenssegment bis hin zu einer engmaschigen Risikomanagement-Organisation. Das dezentrale Risikomanagement wird in allen Unternehmen durch die zentrale Risikomanagement-Funktion unterstützt. Insbesondere wird durch das zentrale Risikomanagement die Kommunikation Risikomanagement-relevanter Informationen unterstützt. Des Weiteren stellt die zentrale Funktion die Risikomanagement-Richtlinie sowie Methoden, Templates und Tools zur Verfügung (wie zum Beispiel eine Risikocheckliste). Zusätzlich werden Schulungen und Workshops angeboten oder Schulungsunterlagen bereitgestellt. 6.2.2 Aufgaben der zentralen Risikomanagement-Funktion Gleichgerichtet zur unterschiedlich starken personellen Ausstattung bewegt sich das Aufgabenspektrum der zentralen Risikomanagement-Funktion, wobei die folgenden Aufgabenfelder bei allen befragten Unternehmen abgedeckt werden: 6.2 Ergebnisse 203 • Sicherstellung der Funktionsfähigkeit des Risikomanagement-Systems • Vorgabe von Methoden und Standards • Weiterentwicklung des Risikomanagements und der Risikomanagement-Richtlinie • Koordination der konzernweiten Risikoberichterstattung sowie Erstellung des internen Unternehmensrisikoberichts • Beratung in allen Risikomanagement-relevanten Fragen • Ansprechpartner für Wirtschaftsprüfer und interne Revision In den Unternehmen mit mehr als einem FTE im zentralen Risikomanagement werden zusätzliche Aufgabenfelder verantwortet. Im Fokus stehen dabei Analysen für die Unternehmenssteuerung, wozu zum Beispiel Chancen- und Risiko-Analysen sowie Strategiebewertungen, aber auch Bewertungen von neuen Produkten, Projekten und Investitionsentscheidungen zählen. Des Weiteren konnte eine stärkere Unterstützung der operativen Bereiche bei der Erkennung und Beurteilung von Risiken sowie bei der Erarbeitung risikosteuernder Maßnahmen festgestellt werden. Die Überwachung der Einhaltung festgelegter risikosteuernder Maßnahmen und entsprechende Plausibilitätsprüfungen werden ebenfalls bei zunehmender FTE-Anzahl verstärkt durch das Risikomanagement wahrgenommen, wobei grundsätzlich die Verantwortung für die Umsetzung risikosteuernder Maßnahmen und die Prüfung deren Einhaltung in den operativen Einheiten liegt. Es ist festzuhalten, dass sich die höhere Anzahl an FTE durch eine stärkere Unterstützung der Unternehmenssteuerung sowie ein intensiveres Maßnahmencontrolling begründet. Bei zwei Unternehmen ist das Risikomanagement darüber hinaus der zentrale Ansprechpartner für das Interne Kontrollsystem (IKS). In vier weiteren Unternehmen übernimmt die Risikomanagement-Funktion neben anderen Abteilungen wie Compliance- und Anti-Fraud- Management Verantwortung für das IKS, sodass insgesamt in 27 % der Fälle (n:22) das Risikomanagement direkt mit der Koordination des IKS betraut ist. Eine eigenständige IKS- Funktion ist hingegen bei sieben der untersuchten Unternehmen vorhanden. Falls weder das Risikomanagement noch eine eigenständige Funktion für das IKS verantwortlich ist, fungiert die Abteilung Konzernrechnungslegung (in sieben Unternehmen) oder die interne Revision (in zwei Unternehmen) als Ansprechpartner. Hinsichtlich des IKS heben alle Unternehmen hervor, dass die Verantwortung für die Einrichtung interner Kontrollen in erster Linie den dezentralen Bereichen obliegt. 6.2.3 Schnittstellen zu anderen Unternehmensfunktionen Zunächst ist festzuhalten, dass die zentrale Risikomanagement-Funktion durch die konzernweite Risikoberichterstattung Schnittstellen zu allen Bereichen und Tochtergesellschaften hat. Darüber hinaus lassen sich weitere markante Schnittstellen hervorheben. Zu nennen sind vor allem die Beziehung zum Controlling, welche von 19 Unternehmen hervorgehoben wurde, sowie die Verknüpfungen zum Compliance-Management und zur internen Revision, die jeweils von 18 Unternehmen als besonders stark ausgeprägt eingestuft wurden (n:21). 6. Risikomanagement im DAX30204 Ferner wurden Schnittstellen zum IKS und rechnungslegungsbezogenen IKS, zum Anti- Fraud-, Versicherungs- und Quality-Management sowie zur Rechtsabteilung besonders hervorgehoben. Hinsichtlich der Zusammenarbeit mit der internen Revision wurde von 100 % (n:23) bestätigt, dass ihr die Prüfung des Risikomanagement-Systems obliegt. Bei 17 Unternehmen (74 %) hat die interne Revision zudem Zugriff auf die Risikoberichte. Die Prüfung der Einhaltung risikosteuernder Maßnahmen zählt bei 13 Unternehmen (57 %) ebenfalls zur Revisionsarbeit. Vier Unternehmen (n:22) bestätigten eine Einbindung der zentralen Risikomanagement- Funktion in die Strategiefindung. Im Gegensatz dazu ließ sich eine grundsätzliche Tendenz zur Einbindung in die Risikobewertung von Projekten mit konzernweiter Tragweite feststellen (17 Unternehmen; n:22). Von sechs Unternehmen wurde eine verstärkte bis starke Einbindung in Investitionsentscheidungen und M&A-Projekte oder Projekte ab einem bestimmten Budget angegeben. 6.2.4 Risikoboard Zehn Unternehmen unterstützen die zentrale Risikomanagement-Funktion und die Organisation durch ein bereichsübergreifendes Risikoboard (unter dem Begriff sind auch Risikogremien, wie zum Beispiel Risikoausschüsse, Risiko-Komitees etc. zu verstehen; n:23; vgl. Abb. 6-4). 57% (13) 43% (10) 10% (1) 70% (7) 10% (1) 10% (1) Nein Ja Monatlich Quartalsweise Halbjährlich Jährlich n=23 Abb. 6-4: Risikoboard Sieben der zehn Risikoboards tagen quartalsweise. In einem Fall tagt das Risikoboard monatlich. In zwei Unternehmen liegt ein halbjährlicher bzw. jährlicher Tagungszyklus zugrunde. Bei allen Unternehmen tagt das Risikoboard anlassbezogen auch außerordentlich. Kennzeichnend für die Zusammensetzung der Risikoboards ist, dass bei acht Unternehmen das zentrale Risikomanagement vertreten ist, das meist auch die inhaltliche und organisato- 6.2 Ergebnisse 205 rische Koordination des Gremiums verantwortet. Ebenfalls zu 80 % zählen Mitarbeiter aus dem Finanzbereich, insbesondere aus dem Controlling und Rechnungswesen zu den Mitgliedern des Risikoboards. Des Weiteren ist in sechs Unternehmen die Rechtsabteilung vertreten. Bei fünf Unternehmen ist die interne Revision in das Risikoboard berufen. In einigen Fällen gehören auch Mitarbeiter aus den Bereichen Steuern, Compliance-, Qualityund Versicherungs-Management, Marketing, Unternehmenskommunikation, Umwelt- und Arbeitsschutz, IKS, IT sowie Organisationsentwicklung und Konzernstrategie dem Risikoboard an. Außerdem ist bei 50 % der Risikoboards ein Vorstand Mitglied (in der Regel der CFO). Die Aufgaben des Risikoboards bestehen in nahezu allen Fällen in der Diskussion der aktuellen Risikosituation, dem Hinterfragen und Festlegen von Gegensteuerungs- und Kontrollmaßnahmen sowie der Aussprache von Empfehlungen gegenüber dem Vorstand oder den operativen Bereichen. Zudem definiert es konzernweite Vorgaben, indem es zum Beispiel Risikomanagement-Grundsätze oder Risikolimits festlegt. Darüber hinaus gehören die Überwachung und Weiterentwicklung des Risikomanagement-Systems zum Aufgabenspektrum. Außerdem ist es oftmals Aufgabe des Risikoboards, die zentrale Risikomanagement- Funktion bei der Erstellung des internen Unternehmensrisikoberichts zu unterstützen oder den Bericht zu prüfen und freizugeben. 6.2.5 Definitionen und Risikobewertung Bezüglich der Risikodefinition lässt sich feststellen, dass die eine Hälfte der Unternehmen Risiko als reine Verlustgefahr betrachtet, also im Sinne einer möglichen negativen Abweichung von einem Erwartungswert (wie zum Beispiel einem Plan- oder Prognosewert). Die andere Hälfte bezieht auch Chancen, also positive Abweichungen, mit ein. Darüber hinaus lässt sich festhalten, dass bei sechs Unternehmen (n:23) eine Definition für den Risikostatus der Bestandsgefährdung besteht. Hier basiert die Definition entweder auf einer festgelegten Grenze, einem relativen Wert bezogen auf Eigenkapital oder EBIT oder einer qualitativen Größe (wie zum Beispiel dem Verlust der Fähigkeit, Dividende auszuschütten). Grundsätzlich wurde in diesem Zusammenhang betont, dass das Risikomanagement nicht auf bestandsgefährdende Risiken beschränkt ist und daher eine derartige Definition (eigentlich) nicht notwendig ist. Stattdessen sind im Rahmen des Risikomanagements alle wesentlichen Risiken zu erfassen. Die Wesentlichkeit der Risiken wird bei 22 der Unternehmen über die Definition von Berichtsschwellenwerten bestimmt. Die Begrifflichkeiten und Definitionen im Zusammenhang mi dem Risikomanagement werden bei nahezu allen Unternehmen in einer konzernweiten Risikomanagement-Richtlinie festgehalten. Weitere hauptsächliche Inhalte der Richtlinie stellen Risikomanagement- Grundsätze und Risikostrategie, vordefinierte Risikofelder, Erläuterungen zum Risikomanagement-Prozess und zur Berichterstattung sowie Angaben zu Zuständigkeiten und Rollen dar. Sonstige Inhalte sind: Erläuterungen zum Kontroll-/Überwachungsprozess, Bewertungsmethoden, Anwendungsbeispiele, gesetzliche Anforderungen, Erläuterungen zur eingesetzten Risikomanagement-Software, Regeln zum Umgang mit Risikoarten, Vorschriften zur Berücksichtigung von Risiken bei der Planung, Umgang mit Chancen und Erläuterungen zur Prüfung durch die interne Revision. Neben der Konzern-Risikomanagement-Richtlinie 6. Risikomanagement im DAX30206 existieren bei der Mehrzahl der DAX-Unternehmen ergänzende Richtlinien in den dezentralen Einheiten. Hinsichtlich der Bewertung von Risiken ist festzustellen, dass alle Unternehmen ihre Risiken anhand der potentiellen Schadenshöhe und Eintrittswahrscheinlichkeit bewerten (vgl. Abb. 6-5). Methodisch kommt vor allem eine metrische Bewertung zur Anwendung, das heißt die Risiken werden mit einem konkreten Beitrag bewertet. Anderenfalls wird auf quantitative Bandbreiten zur Einstufung der potentiellen Schadenshöhe und Eintrittswahrscheinlichkeit zurückgegriffen. Zusätzlich zur quantitativen Bewertung werden die Risiken bei über der Hälfte der befragten Unternehmen qualitativ bewertet. So erfolgt zum Beispiel eine Klassierung in hohe, mittlere und kleine Risiken. 100 % (24) 100 % (24) 57 % (13) 26 % (6) 17 % (4) Potentielle Schadenshöhe Eintrittswahrscheinlichkeit Brutto + Netto Nur Brutto Nur Netto D… brutto und ne to n b to n r n to Eintrittswahrsc i ichkeit Potenti lle Schad n:24 n:23 Abb. 6-5: Bewertungskriterien Sowohl die Brutto- als auch die Netto-Methode hat sich bei über der Hälfte der Unternehmen (57 %) für die Risikobewertung durchgesetzt (n:23).428 Bei vier Unternehmen (17 %) wird nur der Nettowert der Bewertung zugrunde gelegt. Sechs Unternehmen (26 %) bewerten Risiken nur mit ihrem Bruttowert. 6.2.6 Risikoberichterstattung und Unternehmensrisikobericht Es zeigt sich, dass risikorelevante Informationen aus sämtlichen Funktionen und Gesellschaften standardmäßig an das zentrale Risikomanagement gemeldet werden. Dies erfolgt bei 19 Unternehmen (80 %) anhand eines separaten Risikoberichts und bei fünf Unternehmen (20 %) in Form eines Teilberichts eines anderen Standardberichts. Dabei werden die risikorelevanten Informationen entweder mittels strukturierter MS-Office Formblätter (37 %), mit Hilfe eigenentwickelter Software-Lösungen (42 %), oder über eine spezielle 428 Mit Nettobewertung ist die potentielle Schadenshöhe nach Abzug bereits etablierter risikosteuernder Maßnahmen gemeint. Die Bruttobewertung zeigt dagegen das Risiko in seiner potentiellen Gesamthöhe und unterstellt dabei, dass etablierte risikosteuernde Maßnahmen nicht oder nur bedingt greifen; vgl. ausführlich Kapitel 3.2.2.1.2. 6.2 Ergebnisse 207 Risikomanagement-Software (21 %) erhoben (vgl. Abb. 6-6). Anzumerken ist, dass die strukturierten MS-Office Formblätter (in der Regel MS-Excel oder MS-Word) häufig parallel zu den anderen Erfassungstools zur Anwendung kommen. 37% (9) 42% (10) 21% (5) strukturierte Formblätter eigenentwickelte Software spezielle Software n:24 Abb. 6-6: Erfassungstools Die Mehrheit der DAX-Unternehmen erhebt risikorelevante Informationen quartalsweise oder häufiger (vgl. Abb. 6-7). Fünf Unternehmen erfassen halbjährlich. Bei zwei Unternehmen erfolgt die Erfassung auf jährlicher Basis. Zwei Unternehmen erheben Risiken kontinuierlich. Hier erfolgt die Erfassung fortwährend in einer konzernweiten Datenbank oder über eine Risikomanagement-Software, ohne die Informationen zu festgelegten Berichtsterminen an das zentrale Risikomanagement zu kommunizieren. Bei acht Unternehmen wird eine explizite Negativmeldung eingefordert, falls keine Risiken oberhalb der festgelegten Berichtsschwellenwerte identifiziert und kommuniziert werden. Im Falle signifikanter Änderungen werden Risiken bei allen Unternehmen ad-hoc berichtet, also außerhalb der festgelegten Erhebungszyklen. 8 % (2) 17 % (4) 46 % (11) 21 % (5) 8 % (2) Kontinuierlich Monatlich Quartalsweise Halbjährlich Jährlich n:24 Abb. 6-7: Zyklus der Risikoerhebung 6. Risikomanagement im DAX30208 Folgende Elemente werden bei allen Unternehmen abgefragt: • Risikobezeichnung und -kategorisierung, • Erläuterungen zum Risiko, • Bewertung nach potentieller Schadenshöhe und Eintrittswahrscheinlichkeit, • Erläuterungen zur Bewertung sowie • risikosteuernde Maßnahmen und entsprechende Verantwortliche. Bei den Unternehmen, die Chancen und Risiken betrachten, finden die Chancen entsprechend Berücksichtigung in der Berichterstattung. Darüber hinaus erstellen nahezu 80 % der Unternehmen Risikoszenarien, die mit Zahlen unterlegt werden. Zudem werden diese Szenarien qualitativ beschrieben, wobei hier die Auswirkung der Risiken auf Faktoren wie die Unternehmensreputation und das Markenimage im Vordergrund stehen. In wenigen Fällen werden Nachweise zur Wirksamkeit von Kontrollmaßnahmen und Notfallplänen sowie nicht eingehaltende Risikolimits abgebildet. 21 Unternehmen (88 %) erstellen einen internen Unternehmensrisikobericht, in dem die erhobenen risikorelevanten Informationen zusammengefasst und an den Vorstand sowie – in der Hälfte der Fälle – an den Prüfungsausschuss des Aufsichtsrats weitergegeben werden. Weitere Adressaten sind der gesamte Aufsichtsrat, das Risikoboard, die interne Revision, die dezentralen Risikomanagement-Verantwortlichen sowie andere zentral als auch dezentral leitende Mitarbeiter. Als grundsätzliche Inhalte des Unternehmensrisikoberichts wurden der anhand von Portfolios dargestellte Gesamtüberblick über die wesentlichen Risiken (und Chancen), aktuelle Ereignisse, die Änderungen der Risikosituation sowie neue Risiken (und Chancen) und risikosteuernde Maßnahmen genannt. Inhalte, die darüber hinaus vereinzelt im Unternehmensrisikoberichts vorgehalten werden, sind: Empfehlungen (des zentralen Risikomanagers oder des Risikoboards), Risikoszenarien, aggregiertes Gesamtrisiko, Treiber für Risiken (und Chancen), die Namen der verantwortlichen Mitarbeiter für die risikosteuernden Maßnahmen, Beschreibungen zum Überwachungssystem sowie gesamtwirtschaftliche Kennzahlen. Bei allen Unternehmen erstellt die zentrale Risikomanagement-Funktion den internen Unternehmensrisikobericht. Die Berichterstattung erfolgt bei den meisten Unternehmen quartalsweise oder häufiger. Fünf Unternehmen erstellen den Unternehmensrisikobericht halbjährlich. Bei einem Unternehmen werden die internen Adressaten jährlich informiert. 6.2.7 Allgemeines Stimmungsbild Um über die Ergebnisse zur Gestaltung des Risikomanagements hinaus einen Eindruck zum allgemeinen Stimmungsbild zu erhalten, wurden die Unternehmen zu ihrer Meinung hinsichtlich der Veränderungen seit KonTraG sowie aktuellen Themen und Entwicklungen gefragt. Außerdem sollten Stärken und Schwächen des Risikomanagements im Allgemeinen 6.2 Ergebnisse 209 sowie Maßnahmen zur Aufrechterhaltung eines adäquaten Risikobewusstseins skizziert werden. Die entscheidenden Änderungen seit KonTraG werden in einem gestiegenen Risikobewusstsein sowie in der verstärkten und expliziten Einbindung des Risikomanagements in die Unternehmenssteuerung gesehen. Hervorgehoben werden außerdem das systematische Vorgehen bei der Risikoerkennung, -beurteilung und -steuerung und die damit einhergehende verbesserte Transparenz über die Risikosituation. Obgleich sich einige Unternehmen eine intensivere Einbindung des Risikomanagements in die Unternehmenssteuerung wünschen, sehen sie diese – neben dem Schaffen von Transparenz über die Risikosituation – als grundsätzliche Stärke. Als weitere allgemeine Stärken führen sie die Verbesserung der Entscheidungsbasis, das kritische Hinterfragen risikosteuernder Maßnahmen sowie das systematische Gegenüberstellen von Chancen und Risiken an. Als allgemeine Schwächen sehen nahezu alle Unternehmen den nicht unmittelbar messbaren Wertbeitrag, die Abhängigkeit vom Input anderer im Rahmen der Risikoberichterstattung, die Schwierigkeit der Risikoquantifizierung (unter Vermeidung von Scheingenauigkeiten) sowie das zu starke Vertrauen in Bewertungsmethoden. Auf die Frage nach aktuellen Themen im Risikomanagement führen insbesondere die Unternehmen mit personell geringer ausgestatteter Risikomanagement-Funktion eine stärkere Fokussierung auf die strategischen Aspekte des Risikomanagements sowie eine stärkere Unterstützung bei der Erstellung von Szenarien durch das Risikomanagement an. Der Großteil der Unternehmen sieht die Verarbeitung der Erkenntnisse aus der jüngsten Finanz- und Wirtschaftskrise als aktuelle Herausforderung für das zentrale Risikomanagement. Gleichgerichtet wird das zunehmende Denken in Szenarien als Herausforderung für das Risikomanagement gesehen. Fernerhin stellen laut den Unternehmen die Weiterentwicklung und Harmonisierung angewandter Methoden, steigende gesetzliche Anforderungen sowie der zunehmende interne und externe Informationsbedarf verbunden mit steigenden Anforderungen seitens des Kapitalmarktes und der Rating-Agenturen zukünftige Herausforderungen für das Risikomanagement dar. Als wichtigsten Faktor zur Aufrechterhaltung des Risikobewusstseins sehen die Unternehmen die Bedeutung, die der Vorstand dem Thema beimisst und wie er die Wichtigkeit des Risikomanagements unterstreicht und vorlebt. Als gezielte Maßnahmen werden die Einbindung aller Bereiche und Funktionen in die Risikoberichterstattung, die damit zusammenhängende Kommunikation sowie die Fixierung des Risikomanagements als festen Tagesordnungspunkt innerhalb von Sitzungen gesehen. Daneben werden eine offene Risiko- und Fehlerkultur, eine engmaschige Risikomanagement-Organisation, regelmäßige Schulungen und die Einbindung des Risikomanagements in Zielvereinbarungen genannt. 6.2.8 Fazit und Ausblick Zusammenfassend ist festzustellen, dass die Risikomanagement-Systeme im DAX30 hinsichtlich Aufbau- und Ablauforganisation grundsätzlich ähnliche Strukturen aufweisen. Besonders auffällig sind jedoch die teils großen Unterschiede hinsichtlich der personellen Ausstattung, der Aufhängung der Risikomanagement-Funktion sowie des Aufgabenspek- 6. Risikomanagement im DAX30210 trums. So ist bei Unternehmen mit größeren Risikomanagement-Abteilungen, die Funktion direkt unter dem Vorstand in die Aufbauorganisation eingegliedert. Zudem werden diese Abteilungen deutlich stärker in die Unternehmenssteuerung sowie Festlegung und Überwachung risikosteuernder Maßnahmen eingebunden als die Risikomanagement-Funktionen, die in Personalunion oder mit einem FTE geführt werden und größtenteils der Controlling- Funktion zugeordnet sind. Vergleicht man das Ergebnis mit Erkenntnissen älterer Untersuchungen, so lässt sich eine Evolution der Risikomanagement-Funktion erkennen: Während in der Vergangenheit fast ausschließlich alleinstehende Risikomanagement-Funktionen mit geringer personeller Ausstattung vorherrschten, die sich primär mit der Erfüllung der gesetzlichen Anforderungen beschäftigten429, zeigt sich heute, dass das Risikomanagement deutlich stärker in die Unternehmenssteuerung eingebunden wird.430 Die Risikomanagement-Funktionen entwickeln sich immer mehr zu integrierten Abteilungen mit einem deutlich weiteren Aufgabenfeld: Es entstehen „Enterprise Risk Management-Funktionen“, die zum Beispiel Themen wie Risikomanagement und Risikocontrolling, Internes Kontrollsystem, Versicherungs-, Compliance- und Anti-Fraud-Management in unterschiedlichen Konstellationen unter einem organisatorischem Dach miteinander verbinden. Aufgrund der vielen Schnittmengen dieser Bereiche und der sich daraus ergebenden Synergien ist zu vermuten, dass sich dieser Trend zukünftig verstärken wird und dass so gestaltete Funktionen deutlich sichtbarer in der Unternehmensorganisation ihren Platz finden werden. 429 Vgl. Vogler/Engelhart/Gundert (2000), S. 1425; Diederichs/Reichmann (2003), S. 229 ff.; Lück/ Henke (2006), S. 245; Kajüter (2009), S. 313. 430 Vgl. Beyer/Hachmeister/Lampenius (2010), S. 114; AKEIÜ (2010), S. 1245. 7.1 Positionieren Sie das Thema! 211 7. Tipps für den eiligen Praktiker Viele Risikomanagement- und Risikocontrolling-Systeme scheitern an ganz grundlegenden Dingen. Mal mangelt es an der fehlenden Aufmerksamkeit der Geschäftsführung, mal ist kein zentraler Ansprechpartner nominiert oder die Organisation kennt ihn nicht. In anderen Fällen sind die Berichtsprozesse zu kompliziert oder es werden Informationen abgefragt, die nicht steuerungsrelevant oder durch die Organisation nicht lieferbar sind etc. − alles elementare Aspekte, die verhältnismäßig einfach gelöst werden können. Zur Lösung haben die bisherigen Ausführungen zahlreiche Anregungen und Empfehlungen geliefert. Zu guter Letzt werden die Erkenntnisse für den eiligen Praktiker im Stile einer Checkliste zusammengefasst.431 Sowohl Risikomanagern und Controllern als auch Geschäftsführern und Vorständen, die ihr Risikomanagement im Unternehmen neu aufsetzen oder weiterentwickeln wollen, werden Tipps gegeben, welche Aspekte berücksichtigt werden müssen. Es werden noch einmal grundlegende Aspekte aufgegriffen, bei deren Vernachlässigung oder gar Missachtung alle Weiterentwicklungen oder weiterführenden Verfeinerungen Ihres Risikomanagements und Risikocontrollings scheitern werden. • Positionieren Sie das Thema! • Realisieren Sie die Vorteile einer zentralen Koordination! • Klären Sie die Verantwortlichkeiten und schaffen Sie einen Plan B! • Schaffen Sie Transparenz durch integrierte Risikomanagement-Prozesse! • Machen Sie Werbung für das Risikomanagement! • Machen Sie Ihr Risikomanagement für alle sichtbar! • Was immer Sie tun, halten Sie es einfach! 7.1 Positionieren Sie das Thema! Rückendeckung verschaffen Wenn Sie das Thema Risikomanagement in Ihrem Unternehmen neu etablieren oder weiterentwickeln wollen, müssen Sie sich – bevor Sie anfangen! – zunächst der uneingeschränkten Rückendeckung Ihrer Geschäftsführung sicher sein. Ohne die umfängliche Bereitschaft und intrinsische Motivation, hier etwas bewegen oder verbessern zu wollen, sollten Sie nicht 431 Vgl. hierzu und ff. Diederichs (2011): Risikomanagement: So sorgen Sie für Akzeptanz und Anwendung im Unternehmen, S. 75-85; erstmalig erschienen in Gleich/Klein (Hrsg.): Der Controlling-Berater, Band 16, Risikomanagement und Risiko-Controlling.

Chapter Preview

References

Zusammenfassung

Risikomanagement und Risikocontrolling

Dieses Standardwerk beschäftigt sich mit Herausforderungen und Lösungsmöglichkeiten bei der Einrichtung und Weiterentwicklung von Risikomanagement- und Risikocontrolling-Systemen. Es bietet sowohl für den lösungssuchenden Praktiker als auch für den Wissenschaftler einen großen Fundus an wertvollem Wissen und liefert zahlreiche Anregungen und Hilfestellungen sowie in der Unternehmenspraxis erprobte Lösungen und Instrumente.

Aus dem Inhalt:

- Grundlagen des Risikomanagements und Risikocontrollings

- Anforderungskatalog an das Risikomanagement und die risikoorientierte Lageberichterstattung seitens des Gesetzgebers und des Wirtschaftsprüfers

- Internes Kontrollsystem (IKS), COSO und Internes Kontroll- und Risikomanagementsystem bezogen auf den Rechnungslegungsprozess

- Prozessschritte des Risikomanagements und Vorstellung praxiserprobter Instrumente zu deren Unterstützung

- Gestaltung einer Risikomanagement-Organisation, Abgrenzung von Risikomanagement und Interner Revision sowie Anforderungen an den Risikomanager

- Empfehlungen zum Aufbau einer chancen- und risikoorientierten Berichterstattung (Balanced Chance und Risk Card)

- Risikomanagement im DAX30

Der Autor:

Dr. Marc Diederichs leitet das Konzernrisikomanagement der Aurubis AG, Hamburg. Davor war er verantwortlich für das Corporate Risk & Insurance Management der Beiersdorf AG, Hamburg. Neben seiner beruflichen Laufbahn veröffentlicht der Autor Beiträge in Fachzeitschriften und Fachbüchern, leitet Seminare und hält Vorträge zu den Themen Risikomanagement und Risikocontrolling.

"Dr. Diederichs gelingt es auf konstruktive und anschauliche Weise, die Herausforderungen und Lösungsmöglichkeiten des Risikomanagements sowie des Risikocontrollings herauszustellen. Er bietet damit Praktikern und Wissenschaftlern ein Standardwerk, welches durch seine anschauliche Struktur sowie seine unkomplizierte Ausdrucksweise besticht. Mit zahlreichen Abbildungen und präzisen Begriffserklärungen ist es eine verständliche Lektüre, die einen breiten Überblick über das Themenfeld liefert."

Antonia Köhler, ZfCM - Zeitschrift Controlling & Management, 6/2012, S.450

"Diederichs Ansatz des Risikomanagements und des Risikocontrollings, vor allem die hier vorgeschlagenen Aufgaben und Instrumente, können in verschiedenen Branchen angewandt werden. Selbstverständlich müssen Aufgaben und Instrumente hier entsprechend konkretisiert und angepasst werden, aber auch hierzu gibt das Buch Hinweise... Das Buch kann daher jedem empfohlen werden, der sich in Theorie und Praxis mit Risikomanagement und Risikocontrolling beschäftigt."

Peter Bömelburg, Zeitschrift Die Wirtschaftsprüfung, 15-2011, zur Vorauflage