Content

3.1 Risikoidentifikation in:

Marc Diederichs

Risikomanagement und Risikocontrolling, page 69 - 107

3. Edition 2012, ISBN print: 978-3-8006-4222-9, ISBN online: 978-3-8006-4223-6, https://doi.org/10.15358/9783800642236_69

Series: Finance Competence

Bibliographic information
2.4 Zwischenbetrachtung 49 3. Prozessschritte des Risikomanagements Neben der Etablierung eines hierarchieübergreifenden Risikobewusstseins verlangt eine wert- und risikoorientierte Unternehmensführung insbesondere eine systematische und kontinuierliche Auseinandersetzung mit den unternehmerischen Risikopotentialen unter Berücksichtigung der definierten Unternehmensstrategie. Bei dem damit beschriebenen Risikomanagement-Prozess handelt es sich um den Kern des Risikomanagements. Er lässt sich in die in Abb. 3-1 dargestellten Phasen unterteilen.105 Da sich interne und externe Bedingungen stetig verändern, sind diese Phasen nicht einmalig zu durchlaufen, sondern in einen kontinuierlichen Prozess einzubinden. • Analyseund Beurteilungder Risiken • Risikoklassifizierung • Risikopriorisierung Risikobeurteilung • Strukturierte und detaillierte Erfassungder aktuellen Risikosituation • Regelmäßige Berichterstattung über dieRisiken Risikoerfassung& Risikoberichterstattung A A A • Identifikationvon internen und externen Risiken (Risikoinventur) • Erstellungeines Risikoprofils • KontinuierlicheNachverfolgung der identifizierten Risiken Risikoidentifikation (&Risikonachverfolgung) A • Einleitungadäquater risikosteuernderMaßnahmenund Instrumente • Überwachungder Effizienz und Effektivität Risikosteuerung Unabhängige Risiko-& Prozess- überwachung Abb. 3-1: Prozessphasen des Risikomanagements Die Identifikation, Beurteilung, Steuerung sowie Berichterstattung sind durch die Verantwortlichen der Unternehmensfunktionen, Tochtergesellschaften und wesentlichen Projekte durchzuführen. Daneben ist es wichtig, die Risiken durch ein zentrales Risikokontrollgremium aus der Gesamtperspektive überwachen zu lassen, um zum Beispiel potentielle Korrelationen zwischen Risiken beurteilen zu können. Zudem kann ein zentraler Risikomanager die Organisation in und zwischen den einzelnen Prozessphasen unterstützen und koordinierend 105 Vgl. zum Risikomanagement-Prozess: Braun (1984), S. 64 f.; Karten (1993), Sp. 3829 ff.; Lück (1998a), S. 1926; Freidank (2001), S. 608 ff.;Wall (2003c), S. 675 f. 3. Prozessschritte des Risikomanagements50 sowie gestaltend eingreifen. Die Phase der Prozessüberwachung ist dagegen durch die unabhängige interne Revision sicherzustellen. In den folgenden Ausführungen werden zunächst die Phasen der Risikoidentifikation, -beurteilung und -steuerung näher erläutert sowie Instrumente zu deren Unterstützung vorgestellt. Praxisorientierte Gestaltungsempfehlungen zum Aufbau einer Risikomanagement- Organisation einschließlich der Verknüpfung mit der internen Revision sowie zum Aufbau einer Risikoberichterstattung erfolgen in gesonderten Kapiteln. Das Risikocontrolling unterstützt alle Phasen des Risikomanagement-Prozesses und wird daher in den folgenden Ausführungen nicht explizit hervorgehoben. 3.1 Risikoidentifikation Zu Beginn des Risikomanagement-Prozesses bedarf es einer systematischen Identifikation von Risiken. In der Unternehmenspraxis besteht hier die Herausforderung, praktikable Werkzeuge zur umfassenden Erkennung von Risiken zu entwickeln und zielgerichtet in der Organisation einzusetzen. Die folgenden Ausführungen zeigen ein strukturiertes Vorgehen sowie ein leistungsfähiges Instrumentarium, das die Identifikation externer sowie interner Risiken ermöglicht. 3.1.1 Ziele und Aufgaben der Risikoidentifikation Zur Sicherung und Stärkung der Wettbewerbsfähigkeit sowie der Vermögens-, Finanz- und Ertragslage müssen Unternehmen Risiken eingehen, um die damit verbundenen Chancen realisieren zu können. Dabei gibt es unterschiedliche Risikopotentiale, die Unternehmen einer Branche, einer bestimmten Größe oder Struktur bzw. nur einzelne Unternehmen betreffen. Um ein erfolgreiches Risikomanagement im Unternehmen zu etablieren, besteht das Erfordernis, die Risiken zu erkennen und zu erfassen. Das Ziel der Risikoidentifikation besteht dementsprechend in einer möglichst strukturierten und detaillierten Erfassung aller Risikopotentiale, die die unternehmerischen Ziele und definierten Strategien gefährden.106 Hierbei sind auch potentielle Ursache-Wirkungs-Zusammenhänge zu betrachten. Die Risikoidentifikation steht chronologisch am Anfang des Risikomanagement-Prozesses. Ihre Qualität ist ausschlaggebend und richtungsweisend für alle weiteren Phasen. Sie stellt damit die wichtigste Komponente dar. Werden Risiken gar nicht oder zu spät identifiziert, können sie eine ernsthafte Bedrohung oder – im schlimmsten Fall – sogar eine Existenzgefährdung für ein Unternehmen nach sich ziehen, der häufig nicht mehr rechtzeitig oder nur mit erheblichem Aufwand durch risikosteuernde Maßnahmen begegnet werden kann. Hierbei sind auch scheinbar unwesentliche Risiken zu berücksichtigen, da sie sich kumuliert oder in Wechselwirkung mit anderen Risiken bestandsgefährdend auswirken können oder sich im Laufe der Zeit zu bestandsgefährdenden Risiken entwickeln können. Zudem sind neben den aktuellen auch zukünftige, theoretisch denkbare Risiken in die Betrachtung einzubeziehen. Da die unternehmensinternen Gegebenheiten und die unternehmensexternen 106 Vgl. hierzu auch Hornung/Reichmann/Diederichs (1999), S. 320. 3.1 Risikoidentifikation 51 Rahmenbedingungen einem ständigen Wandel unterliegen, ist die Risikoidentifikation regelmäßig durchzuführen. Unter bewusster Vernachlässigung vorhandener risikoreduzierender Maßnahmen, Kontrollen und Instrumente besteht die Aufgabe der Risikoidentifikation darin, die Risiken zu erfassen, die sich negativ auf die unternehmerischen Strategien und Ziele auswirken können. Diese Vorgehensweise gewährleistet, dass nicht nur das verbleibende Restrisiko, sondern das gesamte Risikopotential identifiziert werden kann. 3.1.2 Postulate der Risikoidentifikation Damit die Erkennung von Risiken strukturiert und effizient abläuft, sind bestimmte Postulate zu berücksichtigen (vgl. Abb. 3-2).107 Vollständigkeit/ Richtigkeit Wesentlichkeit/ Wirtschaftlichkeit Systematik/ Flexibilität Widerstand Beeinflussbarkeit Aktualität Abb. 3-2: Postulate der Risikoidentifikation Das Postulat der Vollständigkeit zielt auf eine möglichst lückenlose und detaillierte Aufdeckung von Risiken ab. Werden Risiken nicht umfänglich identifiziert, besteht nur bedingt die Möglichkeit, steuernd einzugreifen. Hier spielt auch der Grundsatz der Richtigkeit eine wichtige Rolle, der sich in Genauigkeit (formale Richtigkeit) und Zuverlässigkeit (inhaltliche Richtigkeit) differenzieren lässt. Das Postulat der Aktualität risikorelevanter Informationen fordert eine frühzeitige Risikoerkennung, um rechtzeitig agieren zu können. Es konterkariert damit das Postulat der Vollständigkeit. Aufgrund sich stetig verändernder wirtschaftlicher Rahmenbedingungen und einhergehender Risiken sollte das Postulat der Aktualität allerdings als entscheidendes Primärziel gelten. Diesem sollte gegenüber dem Postulat der Vollständigkeit ein höherer Stellenwert beigemessen werden. Dabei ist selbstverständlich ein bestimmtes Maß an Genauigkeit zu gewährleisten. Auch für die Risikoidentifikation gilt der Grundsatz der Wesentlichkeit. Es sollten nur wesentliche (zumindest aber bedeutende) Risiken vertiefend berücksichtigt werden. Risiken, mit wenig Einfluss auf das Unternehmen, sollten zwar dokumentiert, aber zunächst nicht 107 Vgl. hierzu und ff. Mugler (1979), S. 87 ff.; Imboden (1983), S. 100 f.; Siepe (1994), S. 257 ff.; Fasse (1995), S. 79 f.; Brebeck/Herrmann (1997), S. 384 f.; Kromschröder/Lück (1998), S. 1574 f. 3. Prozessschritte des Risikomanagements52 weiter betrachtet werden.108 Das Postulat basiert auf dem Grundsatz der Wirtschaftlichkeit, das heißt dass die Kosten der Identifikation in einem vernünftigen Verhältnis zu den erzielbaren Erkenntnissen stehen sollen. Unter Berücksichtigung von Kosten-Nutzen-Erwägungen ist daher eine vollständige Erfassung in der Unternehmenspraxis nahezu unmöglich. Zudem darf die Risikoidentifikation nicht unstrukturiert und sporadisch erfolgen. Sonst besteht die Gefahr, dass Risiken nicht erkannt werden. Vielmehr ist ein standardisierter, systematischer und kontinuierlicher Prozess zu etablieren (Postulat der Systematik). Dabei ist zu berücksichtigen, dass das Instrumentarium zur Risikoerkennung flexibel zu gestalten ist, so dass es auch neue Risiken frühzeitig erkennen kann (Postulat der Flexibilität). Oftmals führt die Vorstellung, ein Risiko kontrollieren oder beeinflussen zu können, zu einer Unterschätzung der eigentlichen Risikosituation. Nicht selten werden vor diesem Hintergrund Eintrittswahrscheinlichkeit und Schadensausmaß falsch eingeschätzt. Das Postulat der Beeinflussbarkeit von Risiken besagt, dass der skizzierte Tatbestand nicht zu dem Schluss führen darf, die Risiken seien nicht relevant und daher im Rahmen der Identifikation nicht erwähnenswert. Schlussendlich ist das Postulat des Widerstandes zu nennen. Es geht von psychologisch, räumlich und organisatorisch bedingten Widerständen aus. Es unterstellt eine Abhängigkeit der Qualität der Risikoidentifikation vom allgemeinen Risikobewusstsein einer Organisation. Damit einher geht auch der Aspekt der Erfahrung, Intuition und Motivation von Mitarbeitern, Risiken entdecken zu können oder zu wollen. Das Gebot fordert, dass aus gemeldeten Risiken keine negativen Sanktionen für den Überbringer resultieren dürfen. Dies muss auch für diejenigen Risiken gelten, die auf Entscheidungen der meldenden Einheit zurückzuführen sind. Wird eine derartige Risikokultur nicht in einem Unternehmen gelebt, besteht die Gefahr, dass Risiken nur unzureichend oder gar nicht kommuniziert werden. Die Ausführungen haben gezeigt, dass die Postulate teilweise konkurrieren. So ist es nicht möglich, allen gleichermaßen gerecht zu werden. Zudem wird es bereits schwierig sein, die Postulate für sich betrachtet, umfassend zu erfüllen. In der Unternehmenspraxis ist deshalb unter Berücksichtigung der unternehmerischen Rahmenbedingungen nach einer Kompromisslösung zu suchen und ein individuelles Optimum anzustreben. 3.1.3 Methoden der Risikoidentifikation Im Folgenden werden die grundlegenden Methoden aufgezeigt, mit deren Hilfe unternehmerische Risiken identifiziert werden können. In den späteren Ausführungen werden die Methoden durch Instrumente zur Risikoidentifikation ergänzt. Grundsätzlich lassen sich die progressive und die retrograde Vorgehensweise unterscheiden (vgl. Abb. 3-3).109 108 In der Unternehmenspraxis ist es allerdings oft schwierig, in einem frühen Stadium zu erkennen, ob Risiken zu vernachlässigen sind oder aber zu bedeutsamen Gefährdungen führen können. 109 Vgl. hierzu und ff. Mugler (1979), S. 90 ff.; Brühwiler (1980), S. 91 ff.; Imboden (1983), S. 102 ff.; Schuy (1989), S. 116 f.; Pape (1993), S. 9 ff.; Fasse (1995), S. 210;Wolf/Runzheimer (2003), S. 43. 3.1 Risikoidentifikation 53 Strategien & Ziele Progressive Methode Retrograde Methode Risikoquellen/-ursachen Risiko • In welchen Bereichen des Unternehmens könnenRisiken auftreten? • Welche Ursache haben sie und welche potentiellen Störungszustände gibt es? • Wie können sie sich auf die Strategien undZiele auswirken? • Welche Strategien und Ziele verfolgt das Unternehmen? • Welche Risiken haben einen Einfluss auf diese Strategien und Ziele? • In welchen Bereichen des Unternehmens werden Sie verursacht? Abb. 3-3: Progressive und retrograde Methode zur Risikoidentifikation 3.1.3.1 Progressive Methode Die progressive Methode geht von den nicht weiter zurück verfolgbaren und nicht weiter differenzierbaren Risikoursachen als Ursprung des Risikowirkungsprozesses aus. Sie verfolgt iterativ die Entwicklung der Wirkung von der Risikoquelle bis hin zu den definierten Strategien und Zielen des betrachteten Unternehmens. Potentielle Störungszustände werden erfasst und analysiert. Auf dieser Grundlage werden dann die potentiellen Auswirkungen auf das Zielsystem abgeschätzt. Eine möglichst vollständige Erfassung der Risikoquellen und Störungszustände bildet die Voraussetzung für die Simulation potentieller Ursache-Wirkungs-Zusammenhänge. Um ein vollständiges Bild zu erhalten, ist das Unternehmen als Gesamtsystem auf Risikoursachen zu untersuchen. Zu diesem Zweck ist zu analysieren, inwieweit innerbetriebliche Strukturen, Funktionsbereiche und Geschäftsprozesse mit Risiken behaftet sind. Die Risikoidentifikation hat dabei sowohl die operativen Geschäftstätigkeiten als auch die strategischen Managemententscheidungen einzubeziehen. In Abhängigkeit von Größe, Branche und Struktur kann das Unternehmen dazu organisatorisch zum Beispiel in Strategische Geschäftsfelder und Geschäftseinheiten, rechtliche Einheiten und Betriebsstätten, funktional in unternehmerische Bereiche sowie prozessual in Kern- und Unterstützungsprozesse zerlegt werden. Außerdem dürfen die externen Risikobereiche, die sich aus den Rahmenbedingungen und dem Unternehmensumfeld ergeben, nicht unbeachtet bleiben. In der Unternehmenspraxis sollte der Identifikationsprozess mit der Analyse zentraler, unentbehrlicher Unternehmensprozesse beginnen. Schritt für Schritt werden risikogefährdete Einzelaktivitäten und Abläufe bestimmt und kritische Abläufe nach internen und externen potentiellen Risikoereignissen durchsucht. Die risikosensitiven Unternehmensbereiche sowie deren inhärente Prozesse werden aufgedeckt, die ursächlichen Faktoren bestimmt und anschließend einer Analyse unterzogen. 3. Prozessschritte des Risikomanagements54 3.1.3.2 Retrograde Methode Die retrograde Methode versucht die Risiken, die auf die Strategien und Ziele wirken, direkt zu identifizieren. Daher ist es notwendig, sich zunächst mit dem Zielsystem des Unternehmens auseinanderzusetzen. Hier können die Strategien und Ziele aus Unternehmensgesamtsicht, Funktionssicht, Prozesssicht etc. als Ausgangspunkt dienlich sein.110 Aus der jeweiligen Perspektive ist sodann zu analysieren, welche Risiken das Unternehmen, die Funktion, den Prozess etc. daran hindern könnten, definierte Ziele zu erreichen. Eine beispielhafte Gegenüberstellung von Strategien und korrespondierenden Risiken zeigt Abb. 3-4. Strategien & Ziele Risiken A bs at z • Stabile Umsatzentwicklung • HoherMarktanteil • Erschließung neuer Vertriebskanäle • Erschließung neuer Märkte • Konjunkturabkühlung • Neue Wettbewerber/Produktsubstitute • Verlust von Großkunden • Konzentrationen auf derAbnehmerseite • Kannibalisierungseffekte • Politische/rechtliche Entwicklungen Pr od uk t • Erstklassige Produktqualität • Hohe Servicequalität • Standardisiertes Produktsortiment • Qualitätsrisiken/Produktsicherheitsrisiken • Ausbleibende/verspätete Innovationen • EingeschränkteMarktfähigkeit der Produkte • Produktpiraterie • Patentverletzungen B es ch af fu ng • Verbesserung der Versorgungssicherheit • Lieferantenunabhängigkeit • Flexibilitä t der Beschaffungsmengen • Preisstabilität • Versorgungsengpass • Lieferantenausfallbei Lieferantenabhängigkeit • Beschaffungspreisschwankungen • UnzureichendeMaterialqualität Pr od uk tio n • Kostenführerschaft • Geringe Durchlaufzeiten, hohe Auslastung • HoherLieferbereitschaftsgrad • Lückenlose, globale Vernetzung aller Fertigungs- und Logistikzentren • Schnittstellenprobleme/Prozessschwächen • MangelndeAnpassungsfähigkeit der Kapazität • Wegfall strategischer Partner • Produktionsausfall Pe rs on al • Profiladäquate Stellenbesetzung • Förderung talentierter Mitarbeiter und Führungskräfte • Förderung von Leistungsorientierung, -bereitschaft und -niveau • Unzureichende Rekrutierungsmöglichkeiten talentierter Berufseinsteiger • Personalfluktuation (Kompetenzträger/ Schlüsselpersonal) • Fehlbesetzung • Loyalitätsrisiken/ Geheimhaltung [… ] • […] • […] Abb. 3-4: Beispielhafte unternehmerische Ziele und Risiken 110 Sind Strategien und Ziele auf den jeweiligen Ebenen unbestimmt, müssen diese als Voraussetzung der retrograden Methode zunächst hergeleitet werden. 3.1 Risikoidentifikation 55 Der Vorteil der retrograden gegenüber der progressiven Methode ist, dass die Risikosuche zielgerichtet ausgeführt wird. Sie erlaubt eine exaktere Erkennung bestehender Zusammenhänge durch die vom Zielsystem ausgehende Risikozerlegung. Die progressive Methode führt zwar auch zum gleichen Ergebnis, ist aber meist deutlich aufwendiger. Abschließend ist festzuhalten, dass sich die retrograde und progressive Methode bei der Risikoidentifikation sinnvoll ergänzen. Nach einer retrograden Erkennung von Risiken kann man die Vollständigkeit der Erfassung (zum Beispiel in ausgesuchten, besonders wichtigen Unternehmensbereichen) anhand der progressiven Vorgehensweise prüfen. Daher haben beide Vorgehensweisen ihre Legitimation und sollten in der Unternehmenspraxis im richtigen Maß zur Anwendung kommen. 3.1.4 Risikokategorien Es gibt unterschiedliche Arten von Risiken. Weisen sie gemeinsame Charakteristika auf, lassen sie sich bestimmten Kategorien zuordnen (vgl. Abb. 3-4 und Abb. 3-5).111 Die Gliederungsmöglichkeiten sind dabei praktisch unbegrenzt. Zum Beispiel lassen sich Risiken • nach der Fristigkeit der zugrunde liegenden Managemententscheidung, • nach der Wirkung auf bestimmte Unternehmensziele oder -bereiche oder • nach den Ursachen oder der Risikoquelle kategorisieren. Hinsichtlich der Fristigkeit von Managemententscheidungen lassen sich strategische Risiken, die meistens im Zusammenhang mit langfristig bindenden Handlungen stehen, von operativen Risiken abgrenzen, die sich eher kurzfristig bemerkbar machen. Nach der Wirkung lassen sich Risiken zum Beispiel in Ertrags-, Liquiditäts- und Vermögensrisiken unterscheiden. Da Unternehmen nicht nur innerhalb ihrer Grenzen operieren, sondern zudem vielfältige Umweltbeziehungen bestehen, lassen sich zudem interne und externe Risiken unterscheiden. Die Quelle interner Risiken liegt innerhalb des Unternehmens,112 wo hingegen externe Risiken auf Faktoren beruhen, die von außen einwirken. Diese Abgrenzung lässt erkennen, welche Risiken durch das Unternehmen unmittelbar und welche (zumindest kurzfristig) nicht beeinflussbar sind. Es sei bereits hier angemerkt, dass sich Risiken unabhängig von der Wahl der Kategorisierungsschemas zumeist nicht eindeutig einer Risikokategorie zuordnen lassen und in der Unternehmenspraxis eine uneingeschränkt überschneidungsfreie und trennscharfe Abgrenzung kaum möglich ist. So kann eine die Charakteristika des Unternehmens berücksichtigende Abgrenzung nur als eine Hilfestellung verstanden werden, die bei der Risikoidentifikation grobe Anhaltspunkte über potentiell relevante Risikobereiche liefern kann. 111 Zur Risikokategorisierung vgl. Philipp (1967), S. 28 ff.; Schuy (1989), S. 117 f.; Scharpf (1997), S. 740; Kromschröder/Lück (1998), S. 1575; Saitz (1999), S. 77 f.; Freidank (2001); S. 600 ff. 112 Interne Risiken können beispielsweise in Produktions-, IT-, Beschaffungs-, Personalrisiken usw. unterschieden werden. 3. Prozessschritte des Risikomanagements56 Informationstechnologie Planung ForceMajeure Risiken Technologische Risiken Personal Organisationsstruktur Managementqualität Kapitalbeschaffung Liquidität Überschuldung Politischrechtliche Risiken Sozio-kulturelle Risiken Makroökonomische Risiken Beschaffung Logistik Produktion ExterneRisiken FinanzwirtschaftlicheRisiken (InterneRisiken) Risikenaus Management& Organisation (InterneRisiken) Absatzsystem LeistungswirtschaftlicheRisiken (InterneRisiken) Risikokategorien & Risikofelder Abb. 3-5: Beispielhafte Risikokategorisierung In den folgenden Ausführungen werden Risiken in interne und externe Risiken kategorisiert. Die Darstellung der Risiken ist beispielhaft und erhebt keinen Anspruch auf Vollständigkeit. 3.1.4.1 Interne Risiken Interne Risiken betreffen die operative Geschäftstätigkeit und wirken sich bei Eintritt negativ auf bestehende Strukturen, Funktionen und Prozesse aus. Sie resultieren aus Entscheidungen, Handlungen oder Unterlassungen und sind weitestgehend direkt beeinflussbar. Interne Risiken lassen sich zum Beispiel in leistungs- und finanzwirtschaftliche Risiken sowie Risiken aus Management und Organisation differenzieren (vgl. Abb. 3-5). Leistungswirtschaftliche Risiken beeinflussen die Hauptfunktionen, die dahinter liegenden Prozessabläufe sowie die damit verbundenen Aktivitäten. Sie umfassen damit die qualitative oder quantitative Verschlechterung der Leistungserstellung. Zum Beispiel kann das Risiko ungeplanter Zeitverzögerungen bei Entwicklungsprojekten der Unternehmensfunktion Forschung und Entwicklung zugeordnet werden. Innerhalb der Beschaffungsfunktion können Lieferantenabhängigkeiten, in der Fertigung zu hohe Ausschussquoten beim Serienanlauf, im Vertrieb zu große Abhängigkeiten von bestimmten Vertriebskanälen und Kunden, in der Logistik die Auslieferung falscher Produkte, im Controlling Fehler im Berichtswesen usw. lokalisiert werden. Risiken aus Management und Organisation beschreiben die Gefahren, die aus einer instabilen Unternehmensstruktur, einer unzureichenden Führungskultur sowie der Nichteinhaltung interner und externer Gesetze und Regeln (Compliance-Risiko) resultieren können. Die Risiken lassen sich zunächst am Personal festmachen. Hierzu zählen Mitarbeiter, deren unzureichende fachliche Qualifikationen oder fehlende Motivation Risiken hervorrufen können. Zudem ist das Risiko der Personalfluktuation zu nennen. Verlässt Schlüsselpersonal das Unternehmen und besteht keine Nachfolge- oder Vertreterregelung und damit Herrschaftswissen, kann das ernsthafte Folgen haben. Außerdem kann das Management durch unzureichend definierte und kommunizierte Ziele, eine ungenügende Vermittlung der Unternehmenskultur und einen unzeitgemäßen Führungsstil Risiken auslösen. Des Weiteren 3.1 Risikoidentifikation 57 können Risiken im Bereich der IT auftreten. Zu nennen sind hier potentielle Datenverluste aufgrund einer mangelhaften Datensicherung, unzureichende Systemressourcen, Systemausfälle sowie unzureichend leistungsfähige Systeme und Applikationen. Weitere Risiken können im Zusammenhang mit Fehlern im Internen Kontrollsystem auftreten. So können Risiken aufgrund von Mängeln in der Aufbau- und Ablauforganisation, einer unzureichenden funktionalen Trennung bestimmter Tätigkeiten sowie einer mangelhaften Dokumentation und Einhaltung von Arbeitsanweisungen und Regelwerken bestehen. In diesem Zusammenhang ist auch die Gefahr zu nennen, dass Risiken bei einer unzureichenden Prüfung durch die interne Revision zu spät oder nicht erkannt werden. Der finanzwirtschaftliche Bereich stellt eine besonders wichtige Kategorie innerhalb der internen Risiken dar, denn das Vorhalten einer ausreichenden Liquidität ist eine Grundvoraussetzung für die Existenzsicherung. Läuft ein Unternehmen zum Beispiel aufgrund einer unzureichenden Finanzplanung oder fehlerhafter Kontroll- und Abwicklungsmängel in einen Liquiditätsengpass, kann dies nicht nur zu Zahlungsschwierigkeiten (Liquiditätsrisiko) sondern – je nach Bilanzstruktur – auch in eine Überschuldung führen (Überschuldungsrisiko). Diese Aspekte können zudem ein herabgestuftes Bonitätsrating seitens der Banken und Analysten nach sich ziehen. Eine derartige finanzielle Lage kann somit auch negative Konsequenzen bei der Kreditvergabe haben (Kapitalbeschaffungsrisiko). 3.1.4.2 Externe Risiken Externe Risiken entstehen im Unternehmensumfeld und sind weitestgehend nicht unmittelbar beeinflussbar. Sie bestimmen den Entscheidungs- und Handlungsspielraum erheblich. Für jedes Unternehmen stellt sich das Umfeld unterschiedlich dar. Lediglich für Unternehmen der gleichen Branche oder Region ist ein ähnliches Risikoprofil zu erwarten. Externe Risiken lassen sich anhand der typischen Analyseraster aus der strategischen Unternehmensführung klassifizieren. So lassen sie sich in makroökonomische, sozio-kulturelle, technologische, politisch-rechtliche und Force Majeure-Risiken einteilen.113 Die makroökonomische Umwelt hat einen maßgeblichen Einfluss auf ein Unternehmen, da sie die wirtschaftlichen Rahmenbedingungen vorgibt. Makroökonomische Risiken werden durch nationale und internationale Entwicklungen sowie die Dynamik der jeweiligen Branche hervorgerufen. Kapitalgeber, Zulieferer, Abnehmer, Wettbewerber etc. üben einen erheblichen Einfluss aus. Des Weiteren erhöht die zunehmende internationale Verflechtung und Globalisierung die Komplexität. Die potentiell relevanten Einflussfaktoren und die damit einhergehenden Risiken sind dementsprechend vielschichtig. Damit wird es zunehmend schwieriger, Einzelursachen und ihre Wirkungen eindeutig zu identifizieren. Gesellschaftliche Normen und Werte, Einstellungen, Verhaltensmuster und Ansprüche bilden die sozio-kulturellen Umweltbedingungen. Die Gesellschaftsordnung, die Wirtschaftsordnung, die Religion, das Bildungsniveau, aber auch Moden und tieferliegende Regeln sozialer Beziehungen und Bindungen stellen mögliche Bereiche dar, mit denen sich 113 Vgl. hierzu und den folgenden Ausführungen auch: Brühwiler (1980), S. 32; Kreilkamp (1987), S. 74; Welge/Al-Laham (1992), S. 85; Kreikebaum (1997), S. 40 ff.; Macharzina (1999), S. 14 ff.; Schreyögg (1999), S. 304 ff.; Baum/Coenenberg/Günther (1999), S. 58 f. Meyding/Fabian (2000), S. 287 ff. 3. Prozessschritte des Risikomanagements58 Unternehmen auseinandersetzen müssen. Risiken aus dem sozio-kulturellen Bereich entstehen immer dann, wenn sich diese Faktoren im Laufe der Zeit derart verändern, dass sie für das Produkt- und Dienstleistungsspektrum von nachhaltiger Bedeutung sind. Das allgemeine Technologieniveau sowie die technologische Entwicklung sind besondere Wettbewerbsfaktoren für Unternehmen mit Produkten, die einem starken technologischen Wandel unterliegen. Der Erfolg hängt maßgeblich von der Fähigkeit ab, die eigene Innovationskraft an die Dynamik der technologischen Umwelt anzupassen. Dabei sind die Kenntnis über bereits etablierte Produkte und Produktionsverfahren und das Gespür für Produkte und Produktionsverfahren, die noch in der Entwicklung sind, zentrale Erfolgs- und Risikofaktoren. Investitionen in die Entwicklung technologisch veralteter oder nicht marktgängiger Produkte können aufgrund der damit einhergehenden finanziellen Belastungen existenzgefährdend sein. Dem politisch-rechtlichen Umfeld und den damit verbundenen Risiken kommt eine herausragende Bedeutung zu. Der Staat sowie Staatengemeinschaften bestimmen auf unterschiedliche Weise den unternehmerischen Entscheidungsspielraum. Insbesondere die weltweit unterschiedlichen Rechtssysteme sind schwer zu überblicken. Zudem steigen Anzahl und Reichweite relevanter Normen beständig an. Diese politischen und rechtlichen Rahmenbedingungen lassen sich grob danach unterscheiden, ob sie den internen Bereich oder die externen Beziehungen regulieren. Regelungen des Gesellschafts-, Unternehmensverfassungs-, Arbeits-, Tarifvertrags- sowie Betriebsverfassungsgesetzes betreffen mehrheitlich die internen Abläufe. Hingegen beeinflussen die Finanz-, Währungs-, Wettbewerbs- und Konjunkturpolitik sowie die Außenhandels-, Patent-, Steuer- und Umweltschutzgesetzgebung das Unternehmen eher bei seinen externen Beziehungen. Force Majeure-Risiken sind unabwendbare Ereignisse, zu denen unter anderem Kriege, Unruhen und Revolutionen, Terrorismus, Geiselnahmen, Sabotage, Streiks und Verkehrsunfälle zählen. Außerdem sind Gefahren zu nennen, die sich aus Naturereignissen oder klimatischen Veränderungen ergeben, wie zum Beispiel Erdbeben, Überschwemmungen, Vulkanausbrüche, Brände oder Unwetter. Die immer wiederkehrenden Ereignisse in allen Teilen der Erde verdeutlichen, wie groß die Auswirkungen auf Unternehmen sein können. Deshalb müssen mögliche Force Majeure-Risiken bei Investitionsentscheidungen und der Etablierung von Schutzmaßnahmen berücksichtigt werden. 3.1.4.3 Risikointerdependenzen Die Ausführungen haben gezeigt, dass nahezu jeder interne und externe Bereich von Relevanz sein kann. Das Unternehmen darf also nicht isoliert betrachtet werden; vielmehr sind die Zusammenhänge zwischen dem Unternehmen und seiner Umwelt einzubeziehen. Außerdem wirken sich Risiken bei Eintritt nicht auf einen begrenzten Bereich im Unternehmen aus, sondern betreffen häufig alle primären und sekundären Leistungsbereiche, die mit dem unmittelbar betroffenen im Zusammenhang stehen. Beispielsweise wirkt sich der Verlust von Marktanteilen auf Absatz, Produktion, Lagerhaltung, Kapazitätsauslastung, Ertragslage, Gewinnsituation, Liquidität etc. aus (vgl. Abb. 3-6). Diese mehrdimensionalen Risikointerdependenzen können im schlimmsten Fall die Existenz eines Unternehmens gefährden. Infolgedessen ist die Kenntnis potentieller Risikoverkettungen oder Risikokumu- 3.1 Risikoidentifikation 59 lationen von herausragender Bedeutung. In der Unternehmenspraxis ist eine möglichst ganzheitliche Betrachtung und Analyse der Ursache-Wirkungs-Beziehungen anzustreben.114 Risiko- InterdependenzenPr od uk tio n Beschaffung Absatz Absatzrisiko Sinkende Absätze haben eine sinkende Produktion zur Folge z.B. Minderauslastungen Produktionsrisiko Produktionsrisiko ⇒ Produktionsfehler wirken sich auf Absatzmarkt aus Absatzrisiko Produktionsrisiko Bei sinkender Produktion wird weniger beschafft Beschaffungsrisiko aus sinkender Wichtigkeit für den Lieferanten Beschaffungsrisiko Schlechte Qualitäten aus Beschaffung wirken sich auf Produktion aus Produktionsrisiko ⇒ ⇒ ⇒ ⇒ ⇒ ⇒ ⇒ Abb. 3-6: Risikointerdependenzen am Beispiel primärer Leistungsbereiche115 3.1.5 Instrumente der Risikoidentifikation Nachdem anhand von Methoden und Risikokategorien eine erste Orientierungshilfe zur Erkennung risikobehafteter Bereiche erarbeitet wurde, werden praktische Instrumente vorgestellt, mit deren Hilfe Risiken umfassend identifiziert werden können. Die Erhebung des individuellen Risikoprofils kann anhand der • Zerlegung der Wertkette des Unternehmens, • Analyse der Geschäftsprozesse, • Simulation strategischer Entscheidungen sowie • systematischen Beobachtung externer Risikoquellen erfolgen. Mit Hilfe der Wertkettenanalyse werden zunächst die Aktivitäten des Unternehmens anhand der Primär- und Sekundärfunktionen klassifiziert, gegliedert und hinsichtlich besonders 114 Brühwiler führt hierzu an, dass beim Eintreten von Unfällen zumeist eine Verkettung mehrerer fehlerhafter Umstände vorliegt. Vgl. Brühwiler (1980), S. 29. Zu Risikointerdependenzen vgl. auch Braun (1984), S. 229 ff.; Haller (1986a), S. 30; Kethers (1988), S. 1262; Pritzer (1999), S. 150; Kuhl/Nickel (1999), S. 133 f.; Keitsch (2000), S. 12 f.; Hölscher (2000), S. 301; Gelhausen (2000b), S. 1378; Diederichs/Richter (2001), S. 139. 115 Entnommen aus Hornung/Reichmann/Diederichs (1999), S. 318. 3. Prozessschritte des Risikomanagements60 risikobehafteter Bereiche untersucht. Die darauf aufbauende Prozesskettenanalyse evaluiert in einem nächsten Schritt die dahinter liegenden risikobehafteten Prozesse und Prozessschritte. Anschließend werden die mit strategischen Entscheidungen verbundenen Risiken anhand des systemtheoretischen Ansatzes des Vernetzten Denkens simuliert. Vor allem externe Risiken, die nur bedingt mit Hilfe der Wertketten- und Prozessanalyse sowie dem Ansatz des Vernetzten Denkens identifizierbar sind, werden anhand von Frühaufklärungssystemen erfasst. Interne RisikenExterne Risiken • Makroökonomische Risiken • Sozio-kulturelle Risiken • TechnologischeRisiken • Politisch-rechtliche Risiken • ForceMajeure Risiken Risikokategorien Wertkettenanalyse Prozesskettenanalyse Frühaufklärungssysteme Netzwerk-Technik (vernetztes Denken) • Leistungswirtschaftliche Risiken • Finanzwirtschaftliche Risiken • Risiken ausManagement und Organisation Abb. 3-7: Dimensionen der Risikoidentifikation 3.1.5.1 Risikoidentifikation mit Hilfe der Wertkettenanalyse Der Grundgedanke des von Porter entwickelten Wertkettenmodells basiert darauf, dass Wettbewerbsvorteile aus wertschöpfenden Aktivitäten im Unternehmen erwachsen.116 Mit Hilfe der Wertkette lassen sich auf Kernkompetenzen basierende Wettbewerbsvorteile identifizieren, durch die sich ein Unternehmen vom Wettbewerb aufgrund von Kosten- oder Differenzierungsvorteilen abgrenzt. Kernkompetenzen sind dabei als unternehmensindividuelle Fähigkeiten zu verstehen, die auf einem Bündel strategisch relevanter materieller und immaterieller Ressourcen beruhen. Jedes Unternehmen besteht aus einer Vielzahl miteinander verbundener betrieblicher Aktivitäten, die einen unterschiedlich großen wertschöpfenden Anteil an einem Produkt haben. Aktivitäten sind dabei als Tätigkeiten zu verstehen, die ein Objekt durch Bearbeitung von seinem ursprünglichen Zustand in einen neuen Zustand überführt. Porter unterscheidet hier Aktivitäten hinsichtlich ihrer Beziehung zum Endprodukt in primäre und sekundäre Verrichtungen. Die primären Aktivitäten befassen sich mit der physischen Herstellung, dem Ver- 116 Vgl. hierzu und den weiteren Ausführungen grundlegend Porter (1999), S. 63 ff. Vgl. auch Prahalad/Hamel (1990), S. 82 ff.; Nippa (1995), S. 50; Volck (1997), S. 16 ff.; weitere Ansätze finden sich bei Welge/Al-Laham (2001), S. 231 ff. 3.1 Risikoidentifikation 61 kauf eines Produktes und deren Übermittlung an die Abnehmer. Kennzeichnend für die primären Aktivitäten ist der direkte Beitrag zur Wertschöpfung. Dagegen beschreiben die sekundären Aktivitäten die zur Ausübung und Aufrechterhaltung der primären Tätigkeiten notwendigen Arbeitsvorgänge. So wirken sekundäre Aktivitäten entlang der gesamten Wertkette oder beschränken sich auf bestimmte primäre Verrichtungen. Neben der Untersuchung von Wettbewerbsvorteilen kann das Wertkettenmodell auch zur Erkennung unternehmerischer Risiken herangezogen werden. Die Risikoidentifikation mit Hilfe der Wertkettenanalyse erfordert zunächst, dass die Wertkette des Unternehmens abgebildet wird. Dazu ist eine Gliederung der betrieblichen Aktivitäten in Anlehnung an das Grundmodell vorzunehmen (vgl. Abb. 3-8). Zudem sind die erfassten primären und sekundären Tätigkeiten in Einzelaktivitäten herunter zu brechen. Durch dieses Vorgehen wird sichtbar, welche Aktivitäten für die Leistungserstellung des betrachteten Unternehmens von vordringlicher Bedeutung, welche Organisationseinheiten daran beteiligt sind und zwischen welchen Aktivitäten ein Koordinationsbedarf besteht. Durch die Aufspaltung der Aktivitäten werden zudem risikobehaftete Bereiche erkennbar. Die Wertkettenanalyse liefert damit einen ersten Überblick über unternehmerische Risiken und leistet einen wertvollen Beitrag bei der Risikoidentifikation. Aufgrund der Granularität der Betrachtungsweise besteht allerdings die Gefahr, dass Risiken nicht erkannt werden. Daher sind die Aktivitäten mit Hilfe der nachfolgend beschriebenen Instrumente näher zu untersuchen. Unternehmensinfrastruktur U nt er st üt ze nd e A kt iv itä te n (S ek un dä rf un kt io ne n) A us ga ng slo gi st ik Ei ng an gs lo gi st ik Pr od uk tio n M ar ke tin g Se rv ic e/ K un de nd ie ns t G ew innspanne B es ch af fu ng Basisaktivitäten (Primärfunktionen) Personalmanagement Technologie- & Verfahrensmanagement Qualitätsmanagement Lieferantenrisiken QualitätsrisikenLagerbestandsrisiken Abb. 3-8: Risikoidentifikation mit Hilfe der Wertkettenanalyse117 117 In Anlehnung an Hornung/Reichmann/Diederichs (1999), S. 320. 3. Prozessschritte des Risikomanagements62 3.1.5.2 Risikoidentifikation mit Hilfe der Prozesskettenanalyse Die Risikoidentifikation anhand der Prozesskettenanalyse basiert auf der Analyse und Simulation von Geschäftsprozessen unter Einbeziehung der Prozessbeteiligten. Im Allgemeinen wird unter einem Prozess eine sachlich-logische Abfolge zusammenhängender Ereignisse und Aktivitäten verstanden, die innerhalb eines Zeitraums nach bestimmten Regeln durchgeführt werden und in denen einzelne oder mehrere Objekte unter Verwendung von Ressourcen bearbeitet und im Ergebnis in einen vorab definierten, neuen Zustand überführt werden.118 In der betrieblichen Praxis kann das Prozessziel zum Beispiel in der Verwirklichung sachlicher, sozialer, ökonomischer oder ökologischer Ziele liegen. Bei der Erkennung von Risiken mit Hilfe der Prozesskettenanalyse sollten Unternehmen aus Wirtschaftlichkeitsgründen auf bereits vorhandene Prozesslandkarten und Aufzeichnungen über Aufbau- und Ablauforganisation sowie Leistungsbeziehungen zurückzugreifen. Diese sind dann auf Aktualität und Vollständigkeit zu prüfen und für die Risikoerkennung aufzubereiten. Sollten keine dokumentierten Prozesse vorliegen, sind sie zu erheben. Im theoretischen Idealfall wird eine vollständige Übersicht der Geschäftsprozesse und deren Prozessschritte erstellt. Aus Kostengründen wird es in der Unternehmenspraxis häufig nicht sinnvoll sein, alle Prozesse bis in das Detail zu erheben. Vielmehr sollte abhängig von der wirtschaftlichen Relevanz eine Rangfolge festgelegt werden, welche Prozesse vorrangig zu untersuchen sind. Bei der Auswahl ist zu beachten, dass auch in scheinbar weniger wichtigen Prozessen bedeutsame Risiken auftreten können. Die Auswahl und Erhebung sollte deshalb im Rahmen mit den Mitarbeitern der jeweils betroffenen Bereiche erfolgen. Als praktische Hilfestellung kann der in Abb. 3-9 dargestellte Fragebogen dienen. Nach der Erhebung aller relevanten Informationen können die Prozesse mit Hilfe unterschiedlicher Methoden dargestellt werden. Die Geschäftsprozessmodellierung kann in verbaler, mathematischer, tabellarischer oder grafischer Form erfolgen. Da eine grafische Darstellung besonders eingängig ist und kritische Engpässe schnell erkannt werden können, soll diese Darstellungsform zur Anwendung kommen. Dabei wird das Unternehmen nicht wie bei der Wertkettenanalyse in Gestalt seiner Funktionsbereiche abgebildet, sondern mit Hilfe horizontal oder vertikal angeordneter Geschäftsprozesse gegliedert, die funktionsübergreifend sein können.119 Bei der Auswahl einer geeigneten Modellierungsmethode sind bestimmte Kriterien zu berücksichtigen.120 So sollte sie den abzubildenden Sachverhalt realitätsgetreu widerspiegeln und alle prozessrelevanten Elemente − wie zum Beispiel Vorgänge, Ereignisse, Zustände, Bearbeiter, Organisationseinheiten und Ressourcen − einschließlich ihrer Beziehungen 118 Vgl. hierzu und den folgenden Ausführungen Ferstl/Sinz (2001), S. 42 ff.; Scheer (1992), S. 12; Oberweis (1996), S. 15. Vgl. Scheer (1992), S. 14; Scheer/Jost (1996), S. 34; Gehring (1999), S. 66; Stahlknecht/Hasenkamp (2002), S. 210; Gadatsch (2000), S. 18. Vgl. Bea/Schnaitmann (1995), S. 279;Weiß (2001), S. 34. 119 Vgl. Scholz/Vrohlings (1994), S. 43. 120 Vgl. hierzu z.B. Kaschek/Liebhart (1996), S. 187 ff.; Rosemann (1996), S. 94 ff.; Tünschel/Hille/Jochem (1998), S. 68. 3.1 Risikoidentifikation 63 darstellen können. Die Modellierungssprache muss für Nicht-Methodenexperten anschaulich, leicht verständlich und selbsterklärend sein. Besonders wichtig ist, dass die fertige Prozesslandkarte auch für andere Aktivitäten oder Projekte genutzt werden kann, um mit einmaliger Investition einen mehrfachen Nutzen zu erzielen. • Waswird getan? • Sind die Tätigkeiten dokumentiert? • Welche Schnittstellen, Verzweigungen und Abhängigkeiten gibt es? Was? • Warum wird es getan? • Ist es überhaupt notwendig? • Dient es den Unternehmenszielen? Warum? • Wer ist die durchführende Person/Organisationseinheit? • Wer stößt den Prozess an? • Wer ist der Prozesskunde? • Wer prüft die Ergebnisse? • Gibt es einen externen Ansprechpartner? Wer? • Wie wird es getan? • Welche technischen Hilfssysteme oder Informationssysteme gibt es? • Wie zufrieden ist der Prozesskunde mit der Prozessleistung? Wie? • Wann wird es getan? • In welchem Zyklus wird die Tätigkeit durchgeführt?Wann? • Wo wird es getan? • Werden Teilaufgaben an verschiedenen Orten durchgeführt?Wo? • Wie viel Zeit wird für die Tätigkeiten benötigt? • Wie viel Prüf- bzw. Korrekturschritte gibt es? • Wie viel Aufwand wird verursacht? • Wie viel Mitarbeiter sind von der Tätigkeit betroffen? Wie viel? Abb. 3-9: Allgemeiner Fragenkatalog zur Erhebung von Prozessen121 Ein Instrument, das die Anforderungen erfüllt, ist die Ereignisgesteuerte Prozesskette (EPK).122 Sie kann durch ihre einfache und selbsterklärende Beschreibungstechnik auch schwierig zu strukturierende Geschäftsprozesse mit einer geringen Anzahl von Symbolen realitätsnah und übersichtlich abbilden und soll deshalb zur Anwendung kommen. 121 Mit Modifikationen entnommen aus IBM Deutschland (1993), S. 10. 122 Vgl. hierzu und fortfolgend Keller/Nüttgens/Scheer (1992); Österle (1995), S. 51; Scheer/Jost (1996), S. 34 ff.; Scheer (1998), S. 49 ff.; Schön (1999), S. 72 f.; Rump (1999), S. 55 ff.; Stahlknecht/Hasenkamp (2002), S. 239 f. Ein Überblick über alternative Methoden zur Geschäftsprozessmodellierung findet sich bei Hess/Brecht (1995). 3. Prozessschritte des Risikomanagements64 Der Vorteil bei der Nutzung dieser Modellierungstechnik liegt bei der Risikoerkennung darin, dass dem Betrachter ein vollständiger und verständlicher Überblick über die Prozesse gegeben wird. Hierbei lassen sich durch eine Analyse der einzelnen Prozessschritte und der direkten Prozessumgebung intuitiv Quellen lokalisieren, von denen Risiken ausgehen können.123 Durch eine Simulation eines Risikoeintritts können zudem die Auswirkungen auf den gesamten Prozess sichtbar gemacht werden. Wird beispielsweise eine Funktion nicht ausgelöst, da ein bestimmtes Ereignis zuvor nicht eintritt, ergeben sich möglicherweise bedeutsame Folgen, wenn bei entsprechenden Verknüpfungen im Sinne eines Dominoeffektes weitere Funktionen oder sogar ganze Prozesse nicht ausgelöst werden. Damit bietet die EPK auch die Möglichkeit, kritische Ursache-Wirkungs-Zusammenhänge aufzudecken. Zusätzlich können externe Risikofaktoren berücksichtigt werden, die auf die einzelnen Prozessschritte wirken können. Die Risikoerkennung sollte mit den verantwortlichen Mitarbeitern − zum Beispiel im Rahmen von Workshops oder Interviews − erfolgen, da sie den höchsten Wissensstand über den Prozessablauf sowie potentielle Störanfälligkeiten haben. Dies hat zudem den Vorteil, dass ihnen bei der Risikoerkennung ihre Verantwortung und Stellung im Gesamtprozess deutlich wird, so dass gleichzeitig das Risikobewusstsein geschult wird. Sollten weitere Kompetenzen und Erfahrungen notwendig sein, können Mitarbeiter aus anderen Funktionen oder externe Sachverständige, Wirtschaftsprüfer oder Berater hinzugezogen werden. Außerdem können weitere Methoden und Instrumente hilfreich sein, wie Besichtigungen, Dokumentenanalysen, Checklisten etc. Die Prozessbäume können anhand der zusammengetragenen Erkenntnisse grafisch aufbereitet werden. So lassen sich zum Beispiel risikobehaftete Prozessschritte durch farbliche Markierungen hervorheben. Die Aussagekraft der Prozessdokumentation wird damit erheblich erhöht, da die Risikoquellen sofort deutlich werden. Das skizzierte Vorgehen veranschaulicht Abb. 3-10 am Beispiel des allgemeinen Beschaffungsprozesses. Schließlich sind die Ergebnisse in einer Risiko-Kontroll-Matrix tabellarisch zusammenzufassen (vgl. Abb. 3-11). Hier sind neben dem Prozessnamen die jeweiligen Prozessschritte mit ihrer Zielsetzung zu dokumentieren. Die erkannten Risiken sind sodann zuzuordnen und kurz zu erläutern. Außerdem können Risikointerdependenzen sowie die für den Prozessschritt verantwortliche Einheit (wie zum Beispiel die entsprechende Fachfunktion oder Tochtergesellschaft) oder der jeweils verantwortliche Mitarbeiter abgebildet werden. Um die Darstellung zu vervollständigen, können weitere Informationen in die Dokumentation einfließen, wie zum Beispiel die Risikoart, das Risikofeld, eine Risikobeurteilung, risikoreduzierende Maßnahmen oder Frühwarnindikatoren und Risikokennzahlen.124 123 Vgl. auch Dobler (1998), S. 214; Diederichs/Danowski (2002), S. 574 f. 124 Vgl. Diederichs (2002), S. 88 f. 3.1 Risikoidentifikation 65 a a a Planungszeitpunkt Bedarfsrechnung erreicht ÄnderungBedarf Bedarfsmeldungliegt vor Bearbeitung& Prüfung Bestellanforderung Beschaffung Bestellbearbeitung Datenbank Lager a a Lieferantenanfragen neue Angebote erforderlich a Angebote aktuell Angebote eingetroffen (∧) (∨) (∨) Symbolbeschreibung zur Prozessmodellierung mit Hilfe „Ereignisgesteuerter Prozessketten“ (EPK) Funktionen (zeitraumbezogen, z.B. „Bestell- Anforderung“) Ereignisse als Bindeglieder zwischen den jeweiligen Funktionen (zeitpunktbezogen, wie z.B. „Angebote eingetroffen“) Eingänge Logische Operatoren (sog. Konnektoren, Verbinder): Verknüpfung von Ereignissen Ausgänge die für die Durchführung einzelner Prozessschritte verantwortliche Organisationseinheit Logische Symbole „und“ „und/ oder“ „exklusiv oder“ Informationsobjekt a Ermittlung Lieferant & Bestellmenge a Bestellschreibung& -übermittlung Auftragsbestätigung des Lieferanten Bestellüberwachung Bestelldaten bereitgestellt Beschaffung Einkauf Lieferantendatenbank aLiefertermin gefährdet Mahnungserstellung a Qualitätsprüfung Waren eingetroffen […] BeschaffungQM- Beauftragter Beschaffung Auftragsabwicklung R3 R2 R1 Abb. 3-10: Ausschnitt einer risikoadjustierten EPK am Beispiel der Beschaffung125 125 Mit Modifikationen entnommen aus Diederichs (2002), S. 87. 3. Prozessschritte des Risikomanagements66 Prozess Prozess-schritt Ziel des Prozessschritts Risiko-Nr./ Risiko Risikobeschreibung/ -ausprägung Risikointerdependenzen Verantwortlichkeit Beschaffung Bearbeitung & Prüfung Bestellanforderung Die Erfordernis und die Anforderung der Bestellung ist zu prüfen. Bei einer positiven Beurteilung ist der Bestellvorgang einzuleiten. R1 Bestellrisiko Der definierte Bedarf liegt nicht vor, Lagerbestände sind noch vorhanden vermeidbarer Aufbau von Beständen (Working Capital) und Reduzierung von Lagerkapazität Bestellbearbeitung (Einkauf), Lager Informationen zum benötigten Gut werden falsch oder unvollständig angegeben (Menge, Artikelbezeichnung etc.) Durch Fehlbestellung Produktionsverzögerungen bei fehlender Reserve im Lager Ermittlung Lieferant & Bestellmenge Die Auswahl des Lieferanten hat nach definierten Leistungskriterien zu erfolgen R2 Lieferantenausfallrisiko Lieferantenabhängigkeit Ausfall des Lieferanten durch Konkurs, Streik, Elementarschäden beim Lieferanten etc. Güter können nicht rechtzeitig beschafft werden, so dass es bei fehlender Reserve im Lager zu Produktionsausfällen kommt Bestellbearbeitung (Einkauf) Abhängigkeit von den Bedingungen des Lieferanten, wenn Single-Sourcing nicht vermeidbar (Preisdiktat, Abnahmevereinbarungen etc.), Inkaufnahme von Qualitäts- & Zuverlässigkeitsproblemen Durch unerwartete überhöhte Preisvorgaben durch den Lieferanten ist die bisherige Produktkalkulation nichtmehr haltbar. Bestellüberwachung Der Bestellvorgang wird bis zum Eintreffen der Ware überwacht, damit die richtigen Güter, zum richtigen Zeitpunkt, in der richtigen Menge und Qualität, zu den richtigen Kosten am richtigen Ort sind. Keine oder verspätete Lieferungwegen auftretender Engpässe beim Lieferanten Treffen die benötigten Güter entsprechend den Anforderungen nicht rechtzeitig ein, kommt es bei fehlender Reserve im Lager zu Produktionsausfällen Auftrags- überwachung (Einkauf) R3 Lieferrisiko Eingeschaltete Spediteure haben Lieferprobleme aufgrund mangelnder Transportmöglichkeiten Beschaffung Beschaffung Abb. 3-11: Beispielbericht zu den erhoben Prozessrisiken (Risiko-Kontroll-Matrix)126 Das Instrument der prozesskettengestützten Risikoidentifikation lässt sich auch beim Aufbau eines internen Kontroll- und Risikomanagementsystems bezogen auf den Rechnungslegungsprozess einsetzen. Im folgenden Exkurs werden nach der rechtlichen Einordnung hierzu praktische Empfehlungen aufgezeigt. Exkurs zum internen Kontroll- und Risikomanagementsystem bezogen auf den Rechnungslegungsprozess Rechtlicher Hintergrund Mit dem Bilanzrechtsmodernisierungsgesetz (BilMoG) wurde das Aufgabenspektrum des Aufsichtsrats konkretisiert. Nach § 107 AktG hat sich der Aufsichtsrat unter anderem mit der Überwachung des Rechnungslegungsprozesses zu befassen. Zudem hat der Abschlussprüfer nach § 171 AktG dem Aufsichtsrat über wesentliche Schwächen des internen Kontroll- und des Risikomanagementsystems bezogen auf den Rechnungslegungsprozess zu berichten. Außerdem ist im Lagebericht und Konzernlagebericht nach den §§ 289 und 315 HGB unter anderem auf die wesentlichen Merkmale des internen Kontroll- und des Risiko- 126 Mit Modifikationen entnommen aus Diederichs (2002), S. 89. 3.1 Risikoidentifikation 67 managementsystems im Hinblick auf den (Konzern-) Rechnungslegungsprozess einzugehen. Besteht kein System, ist dies anzugeben.127 Die inhaltliche Gestaltung des Systems ist nicht gesetzlich vorgeschrieben. Dem geschäftsführenden Organ bleibt es vorbehalten, über das „Ob“ und „Wie“ zu entscheiden. So kann die Gestaltung nach den vorhandenen Bedürfnissen unter Berücksichtigung der Unternehmensstrategie, des Geschäftsumfangs und anderer Wirtschaftlichkeits- und Effizienzgesichtspunkte eingerichtet werden. Ziele, Aufgaben und Dokumentation Grundsätzlich soll ein internes Kontroll- und Risikomanagementsystem bezogen auf den Rechnungslegungsprozess die Ordnungsmäßigkeit der Buchführung, der Rechnungslegung und die Verlässlichkeit der finanziellen Berichterstattung sicherstellen. Um dies zu gewährleisten, müssen die wesentlichen Rechnungslegungsprozesse128 und die inhärenten Prozessrisiken transparent und nachvollziehbar sein. Außerdem sind sie durch die kontinuierliche Anwendung geeigneter Kontrollen hinreichend abzusichern. Diese Aspekte implizieren auch eine hinreichende Systemdokumentation, die • den Nachweis des geschäftsführenden Organs für pflichtgemäßes Verhalten schafft, • organisatorische Abläufe regelt und deren Einhaltung sichert, • Transparenz über die Prozesse und deren Zusammenhänge schafft, • die Grundlage für die Prüfung durch das geschäftsüberwachende Organ (wie zum Beispiel den Aufsichtsrat), die interne Revision und den Abschlussprüfer bildet und • die Grundlage für die Lageberichterstattung ist. Prozessketten-gestützte Risikoerkennung und -analyse Um Kenntnis über die Risiken innerhalb der Rechnungslegung zu erhalten, sind – wie eingangs beschrieben – zunächst die Prozessbäume zu dokumentieren (vgl. Abb. 3-12). Durch die dann erfolgende Analyse der Prozessschritte und der Prozessumgebung können die inhärenten Risiken sowie deren Ursache-Wirkungs-Zusammenhänge erkannt werden. Um die Risikoanalyse auf einem aktuellen Stand zu halten, sind die Prozessbäume regelmäßig mit den verantwortlichen Mitarbeitern und Prozessbeteiligten zu analysieren und simulieren. Auf den Erkenntnissen aufbauend, werden die Prozessbäume grafisch aufbereitet. Die Prozessschritte, die Risikosachverhalte implizieren, werden durch Markierungen hervorgehoben. Außerdem werden die den Risiken entgegenwirkenden Kontrollen anhand einer Kontrollnummer dem jeweiligen Prozessschritt zugeordnet (vgl. Abb. 3-12). 127 Begründung zu § 289, 315 HGB (BT-Drs. 16/1006; S. 76 f. und 86). 128 Wie zum Beispiel Accounts Payable Thirds, Accounts Receivable Thirds, Intercompany Accounting Services, Fixed Assets Accounting, Inventory Accounting, General Ledger Accounting, Cost Accounting sowie Closing, Consolidation, Reporting, Planning. 3. Prozessschritte des Risikomanagements68 Main Process: AccountsReceivable Thirds – Sub Process No. 5: Credit Limits / Change of limit (extract) Deblocking of orders Customer service asked if increase of credit limit is reasonable Forward received proposal to approval Approvers of credit limits Approvers of credit limits received proposal New customer needs credit limit Increase of credit limit requested by Sales Manager Check credit worthiness Credit limit check new customer – responsible person xyz Approvers of credit limits decides about new credit limits No increase of credit limit & SSC notified Increase of credit limit defined R1 M1 Main Process Sub Process (incl. No.) Risk Description Effected position on the financial statement Risk Assessment Control Description Control No. Control Objective C A V R Control Type Control Characteristics Control Frequency Function in charge of executing thecontrol Financial Statement Assertions R & O V M P & D E O C Verification of control activities Account Receivables Thirds Services No. 5: Credit Limits – Change of limit R1:Shortfall in payments of customer due to an inadequate credit limit Receivables/ Cash medium M1:Finance Department checks credit worthiness and defines credit limit for each customer M1 X X P M S – each Function Accounts Receivable Paper-based (Credit_limit_ check.xls) + Limit defined in SAP X X Risk control matrix (extract) Caption: Control Objective: C - Completeness ; A - Accuracy ; V - Validity ; R - Restricted Access Control Type: D - Detective ; P - Preventive Control Characteristics: A - Automatic ; M - Manual Control Frequency: D - Daily ; W - Weekly ; M - Monthly ; Q - Quarterly ; H - Half Yearly; Y - Yearly ; V - Volume (Please specify) ; S - Sample Financial Statement Assertions: E - Existence ; O - Occurrence ; C - Completeness ; R&O - Rights and Obligations ; V - Valuation ; M - Measurement ; P&D - Presentation & Disclosure Abb. 3-12: Beispielhafter Prozessbaum (Ausschnitt) und Risiko-Kontroll-Matrix129 Risiko-Kontroll-Matrix Aufgrund der eingangs skizzierten Gründe sind die gewonnenen Erkenntnisse – wie bereits in Abb. 3-11 gezeigt – in einer Risiko-Kontroll-Matrix zu dokumentieren.130 In einer Tabelle werden die mit den jeweiligen Prozessschritten verbundenen rechnungslegungsbezogenen Risiken und die eingesetzten Kontrollmaßnahmen sowie ihre Wirkungsweise dargestellt (vgl. Abb. 3-12). Damit besteht die Risiko-Kontroll-Matrix aus vier zentralen Teilen: • Teil 1: Benennung der Haupt- und Subprozesse, • Teil 2: Beschreibung der rechnungslegungsbezogenen Risiken inkl. einer Beurteilung, • Teil 3: Nennung der Kontrollen samt Beschreibung und Wirkungsweise sowie • Teil 4: Darstellung der Ziele der Rechnungslegung (Financial Statement Assertions). 129 Entnommen aus Diederichs/Imhof (2011), S. 174. 130 Die folgenden Ausführungen sind weitestgehend entnommen aus Diederichs/Imhof (2011), S. 173 f. 3.1 Risikoidentifikation 69 Im ersten Teil werden der Haupt- und Subprozess genannt. Die Betitelung entspricht der Bezeichnung der zuvor beschriebenen Prozessbäume. Außerdem werden die bei der Prozessmodellierung vergebenen Prozessnummern aufgeführt, die das Bindeglied zwischen der Risiko-Kontroll-Matrix und dem entsprechenden Prozessbaum darstellen. Im zweiten Teil werden die mit dem Prozessschritt verbundenen Risiken genannt, beschrieben und bewertet. Zudem erfolgt eine Beurteilung, auf welche Jahresabschlussposition(en) sich das Risiko auswirkt (die Risiken auswirken). Im dritten Teil werden die eingesetzten Kontrollen genannt und beschrieben, die den Risiken entgegenwirken. Um die Verbindung zum Prozessbaum herstellen zu können, wird die dort dokumentierte Kontrollnummer auch in der Risiko-Kontroll-Matrix aufgeführt. Zudem wird das jeweilige Kontrollziel genannt, wobei in Vollständigkeit, Genauigkeit, Validität und begrenzter Zugang unterschieden wird. Daneben wird der Kontrolltyp (präventiv/detektiv), die Kontrollcharakteristik (automatisch/manuell) sowie die Kontrollfrequenz (täglich, wöchentlich, monatlich, quartalsweise, halbjährlich, jährlich, volumenabhängig, Stichprobe) dokumentiert. Schließlich werden die jeweils verantwortliche Funktion sowie Instrumente benannt, die die durchgeführten Kontrollaktivitäten dokumentieren. Im vierten Teil werden die Ziele der Rechnungslegung aufgezeigt, die sich an die Beschreibungen aus ISA 500/501 und IDW PS 300 anlehnen. Hier wird unterteilt in: • Vorhandensein: der Vermögensgegenstand, die Schulden oder das Eigenkapital sind vorhanden, • Eintritt: der Geschäftsvorfall oder das Ereignis hat stattgefunden und ist dem Unternehmen in der Periode zuzurechnen, • Vollständigkeit: sämtliche Vermögensgegenstände und Schulden sowie das Eigenkapital sind vorhanden; alle Geschäftsvorfälle und Ereignisse wurden erfasst, • Zurechnung: Zurechnung von Vermögensgegenständen und Verpflichtungen zum Unternehmen aufgrund bestehender Rechte an diesen, • Bewertung: die Vermögensgegenstände, die Schulden und das Eigenkapital sind im Abschluss mit den zutreffenden Beträgen enthalten, • Genauigkeit: die sich auf die erfassten Geschäftsvorfälle beziehenden Beträge werden zutreffend erfasst und • Ausweis und Verständlichkeit: die Rechnungslegungsinformationen sind angemessen dargestellt und erläutert; die Angaben sind deutlich formuliert. Fallbeispiel Die Logik der Risiko-Kontroll-Matrix wird abschließend anhand eines Fallbeispiels veranschaulicht. Hierzu soll der in Abb. 3-12 skizzierte Subprozess „Veränderung von Kreditlimits“ des Hauptrechnungslegungsprozesses „Forderung gegenüber Dritten“ dienen. Wird ein Kreditlimit ohne Prüfung erhöht, so besteht das Risiko R1 eines nicht risikogerechten Risikolimits und im Falle einer Insolvenz des Kunden ein erhöhter, uneinbringlicher Forde- 3. Prozessschritte des Risikomanagements70 rungsbetrag, was sich letztlich auf die Position „Forderung“ in der Bilanz auswirkt (Hier wird nur das „Risiko der Höhe nach“ und nicht das „Risiko dem Grunde nach“ betrachtet). Um dem Risiko zu begegnen, wird vor Freigabe eine Kreditwürdigkeitsprüfung durchgeführt, die dokumentiert wird und somit nachprüfbar ist. Diese präventive Kontrolle, die manuell und bei einer entsprechenden Veränderungsanfrage durchgeführt wird, führt die Nummer M1 (vgl. Abb. 3-12). Die Positionierung im Prozessbaum zeigt, bei welchem Prozessschritt die Kontrolle stattfindet. Die Funktion „Accounts Receivable“ stellt sicher, dass die Veränderung nach vorheriger Abstimmung in der freigegebenen Höhe (Genauigkeit) und nur durch den definierten Personenkreis freigegeben wird (begrenzter Zugang). Letztlich werden hierdurch die Ziele „Bewertung“ und „Genauigkeit“ der Rechnungslegung betroffen, da der Ansatz einer Forderung der Höhe nach beschränkt wird und die Vermögensgegenstände somit im weiteren Sinne mit den zutreffenden Beträgen abgebildet und die Beträge zutreffend erfasst werden. Ende des Exkurses zum internen Kontroll- und Risikomanagementsystem bezogen auf den Rechnungslegungsprozess Zusammenfassend lässt sich festhalten, dass der Vorteil der Nutzung von Prozessbäumen zur Risikoerkennung im Gegensatz zu anderen Instrumenten darin liegt, dass sich dem Betrachter ein vollständiges Bild der Unternehmensprozesse bietet. Durch die einfache, grafische Aufbereitung wird er in die Lage versetzt, die abgebildeten Prozesse schnell und umfassend nachzuvollziehen und Risikoquellen und deren Ursache-Wirkungs-Zusammenhänge schnell zu identifizieren. Der Einsatz der prozessketten-gestützten Risikoidentifikation schließt die systematische Nutzung weiterer Instrumente nicht aus. Vielmehr können zum Beispiel Betriebsbesichtigungen, Dokumentenanalysen oder Schadenstatistiken helfen, Störanfälligkeiten einzelner Prozessabläufe zu konkretisieren. Zudem ist zu berücksichtigen, dass die Prozesskettenanalyse primär auf Risiken mit prozessualen Ursache-Wirkungs-Zusammenhängen ausgelegt ist. Risiken, die sich aus strategischen Managemententscheidungen ergeben, lassen sich hiermit nur bedingt ableiten. Daher wird in den folgenden Ausführungen mit dem systemtheoretischen Ansatz des Vernetzten Denkens ein weiteres Instrument vorgestellt, mit dem sich die mit strategischen Entscheidungen einhergehenden Risiken simulieren lassen. 3.1.5.3 Risikoidentifikation mit Hilfe der Netzwerktechnik Mit Hilfe der Netzwerktechnik werden Risiken identifiziert, die aus potentiellen strategischen Entscheidungen erwachsen können. Dabei werden die Auswirkungen anhand von Wirkungsnetzen transparent gemacht und simuliert (vgl. Abb. 3-13). So lassen sich vor allem bei unübersichtlichen Situationen im Vorfeld der Entscheidung Strategiefehler vermeiden, die im Nachhinein häufig nur mit einem erheblichen Aufwand behoben werden können. 3.1 Risikoidentifikation 71 Die Netzwerktechnik basiert auf der Systemtheorie, die ein System als Gesamtheit von Elementen mit Eigenschaften interpretiert, wobei die Elemente durch Beziehungen so miteinander verknüpft sind, dass kein Teil unabhängig von anderen Teilen ist.131 Unternehmerisches Handeln wird hier im Gesamtzusammenhang betrachtet. Mit der Netzwerktechnik wird also versucht, die Schwäche anderer Instrumente zu vermeiden, die aus größeren Zusammenhängen nur einen Teilbereich erfassen und diesen getrennt vom Ganzen analysieren. PrämieneinnahmenAusbildung Art und Qualität Außendienst Entlohnungssystem Motivation Qualitätsdienst Arbeitsbedingungen Image Marktleistung Kundenzufriedenheit Kundennutzen Branchenimage Arbeitsmarkt Rekrutierung Sicherheit, Leistung an Öffentlichkeit Veränderung der Werthaltung Gesellschaftl. Nutzen Wirtschaftslage Sicherheitsbedürfnis Gesellschaftl. Akzeptanz Stornoquote Policenbestand Service Qualität Produkt- Qualität Infrastruktur Technologie Überschüsse Investitionen ErträgeInnovationen Medienmeinung Störfälle Werbung - + + + - + - - + - Marktvolumen Konkurrenz - + + - + + + + - PR/Lobby +++ + + + + + - + Verkäufe Marktanteil Akquisitionen Reserven Deregulierung EG-Annäherung Branchenfremde Konkurrenz + + ++ + + - - + + + + + + + + + + + + + + + + + ++ + + + + + + + + Annahmerestriktion Inflation - Nettoeinnahmen + ++ + - ++ +- - + ++ + + + + + + + ÖffentlichkeitMedien WirtschaftKonkurrenz Kunden Mitarbeiter Bestehendes Sicherheitsnetz + Perspektiven: Abb. 3-13: Beispielhaftes Netzwerk am Beispiel einer Versicherung132 In der Unternehmenspraxis wird eine Entscheidungssituation durch die Komplexität des Netzwerks bestimmt, die sich aus der Anzahl, Ausprägungsvielfalt und Vernetzung der Elemente ergibt.133 Daneben tritt bei einer strategischen Entscheidungssituation zusätzlich die dynamische Veränderung der Komponenten auf. Neben dem Istzustand des Netzwerks sind also auch die Weiterentwicklung im Zeitablauf und die zeitlichen Abhängigkeiten der einzelnen Elemente zu berücksichtigen. Um die Entscheidungssituation möglichst ganzheitlich zu betrachten, sollte die potentielle Entscheidung zudem aus unterschiedlichen Perspektiven analysiert werden. Damit lassen sich kritische Stellen und Sensitivitäten aus einer mehrdimensionalen Sicht erkennen (vgl. Abb. 3-13). 131 Vgl. Fuchs (1973), S. 39;Miller (1978), S. 16; Ropohl (1979), S. 57 ff. 132 Angelehnt an Brugger (1991), S. 238. 133 Vgl. hierzu und ff. auch Boulding (1956), S. 14 ff.; Beer (1970), S. 27 ff.; Bleicher (1971), S. 174; Scholz (1987), S. 36; Malik (2000), S. 186; Ulrich (2001), S. 105 f.; Ulrich/Probst (2001), S. 105 ff.; Dörner (2002), S. 60. 3. Prozessschritte des Risikomanagements72 Um ein Netzwerk zu modellieren, ist die Art der Vernetzung der einzelnen Elemente zu identifizieren. Hierzu ist es aus Vereinfachungsgründen sinnvoll, zunächst den zentralen Kreislauf des Unternehmens zu bestimmen und dann sukzessive zu ergänzen.134 Dazu wird eine Perspektive in den Fokus gestellt. Davon ausgehend sind die vor- und nachgelagerten Wirkungsbeziehungen zu dokumentieren. Nach und nach sind weitere Perspektiven und Elemente aufzunehmen, so dass sukzessive ein Netzwerkmodell entsteht. Die Dynamik des Systems lässt sich mit Hilfe von Pfeilen beschreiben. Durch positive (+) oder negative Indikationen (−) an den Pfeilen lässt sich die Wirkungsrichtung der Beziehungen verdeutlichen. Die geschätzten Wirkungsintensitäten können alternativ durch positive oder negative Zahlenwerte spezifiziert werden (zum Beispiel 1: geringe, 2: mittlere bis 3: starke Intensität). Zudem lassen sich die geschätzten zeitlichen Wirkungsverzögerungen mit Hilfe von Zeitangaben darstellen. Simuliert man eine strategische Entscheidung mit Hilfe des Netzwerks, lassen sich die Auswirkungen auf die einzelnen Elemente der unterschiedlichen Perspektiven ausgehend vom Eingriffspunkt analysieren und verfolgen. Zur Veranschaulichung soll das in Abb. 3-14 dargestellte, stark vereinfachte Fallbeispiel dienen. Hier werden die Auswirkungen einer potentiellen Entscheidung über die Kürzung von Aus- und Weiterbildungsinvestitionen simuliert, welche mit Hilfe gestrichelter Pfeile ausschnittsweise dargestellt werden. Wie eingangs erwähnt, gewinnt der Betrachter damit Aufschluss über die Auswirkung seiner Entscheidung. Er kann sowohl das Risiko des Versickerns seiner strategischen Entscheidung als auch das Risiko einer unkontrollierten Kumulation der Wirkung identifizieren. Service- Qualität Art & Qualität Außendienst Entlohnungssystem Image Kundenzufriedenheit Branchenimage Arbeitsmarkt Rekrutierung Stornoquote Policenbestand Produkt- Qualität Infrastruktur Überschüsse Medienmeinung Störfälle Werbung + + - PR/Lobby + ++ + ? + ? + ? + Verkäufe? -- - - ?? + Annahmerestriktion Inflation - + ++ ? - - + + ? + Ausbildung Marktleistung Kundennutzen Reduzierung von Ausbildungsinvestitionen - - Abb. 3-14: Mögliche Entscheidungszusammenhänge 134 Vgl. dazu und f. Gomez (1981), S. 215 ff.; Gomez/Probst (1999), S. 85. 3.1 Risikoidentifikation 73 Einschränkend sei angemerkt, dass es in der Unternehmenspraxis in den meisten Fällen nicht möglich sein wird, ein Netzwerk gesamthaft abzubilden. Schon kleine Modelle können derart komplex sein, dass das gesamte Gebilde nicht voll umfänglich berücksichtigt werden kann.135 Bei der Modellierung wird man damit zwangsläufig nur einen Ausschnitt der Realität abbilden können. Außerdem ist das Netzwerkmodell nur als Momentaufnahme zu sehen, da die Elemente und Perspektiven einem kontinuierlichen Wandel unterliegen. Infolgedessen ist es regelmäßig zu überprüfen. Neben der grafischen Darstellung lassen sich Erkenntnisse tabellarisch zusammenfassen. Analog zur Berichtsstruktur in Abb. 3-11 (S. 66) und Abb. 3-12 (S. 68) können zum Beispiel neben der strategischen Entscheidung, die sich daraus ergebenden Risiken, eine Risikobeschreibung sowie mögliche Interdependenzen und die beeinflusste Perspektive zusammengefasst werden (vgl. Abb. 3-15) und bei Bedarf um weitere Aspekte ergänzt werden (wie beispielsweise Gegenmaßnahmen). Entscheidung Risiko Risikobeschreibung Risikointerdependenzen Perspektive Kürzung der Aus- und Weiterbildungsinvestitionen Personalqualitätsrisiko Mitarbeiter sind nur unzureichend für ihre Aufgaben geschult und nehmen ihre Aufgaben zeitlich und qualitativ nicht hinreichendwahr. Die Qualifikation der Mitarbeiter kann Auswirkung auf die Produktqualität haben. Qualitativ schlechte Produkte können zu Ersatzansprüchen führen. Die Kundenzufriedenheit sinkt und ein Imageverlust droht. Mitarbeiter, Produkt, Kunden Personalfluktuationsrisiko Die Motivation der Arbeitskräfte sinkt, da den Fortbildungswünschen der Arbeitnehmer nicht entsprochen wird. Das Personal wandert ab. Ein negatives Arbeitsklima als Folge schlechterer Arbeitsbedingungen kann zu einer weiteren Personalfluktuation führen. Die sinkende Motivation der Mitarbeiter kann sich negativ auf die Produktqualität auswirken. Mitarbeiter, Produkt, Kunden Straffung der Vertriebsstrukturen Abhängigkeitsrisiko im Vertrieb Durch den steigenden Einfluss der Vertriebspartner besteht die Gefahr des Verlustes der Selbständigkeit in weiteren Bereichen (wie zum Beispiel steigendes Abhängigkeitsverhältnisses im Bereich Marketing und Logistik). Konkurrenz, Kunden Durch Schließung von Verkaufsstellen steigt der Einfluss der Vertriebspartner. Je nach Konzentrationsgrad werden Partner die Absatzbedingungen diktieren. Kundenverlustrisiko Eine sinkende Kundenanzahl wirkt sich negativ auf die Absatzmenge und den Umsatz aus. Mittelfristig führt dies zu sinkender Produktionsauslastung (Überkapazitäten, nicht ausgelastete Fixkostenpotentiale). Kunden, Konkurrenz, Management Die Kunden sind nicht bereit, eine größere Entfernung zum Kauf des Produktes zurückzulegen. Sie können ihren Konsum zudem durch andere Produkte substituieren. Generierung von Skalen- & Lerneffekten durch Produktund Anlagenstandardisierung sowie aggressive Mengenpolitik Produkt-/ Absatzrisiko Eine nur geringe preisliche Differenz zur Konkurrenz führt bei ansonsten gleichen Prämissen nicht zu der gewünschten Steigerung der Kundenanzahl. Durch eine Fehleinschätzung der Preis-Absatz-Funktion kann die Verfolgung der Strategie nicht mehr sinnvoll sein. Kunden, Konkurrenz, Management Durch die Produktstandardisierung verlieren die Produkte an Profil und Attraktivität (fehlende Produktdifferenzierung zur Konkurrenz). Flexibilitätsrisiko Die unzureichenden Anpassungsmöglichkeiten können zu einem Verlust von Marktanteilen und damit eine Minderauslastung in der Produktion zur Folge haben. Aufgrund der falschen Markteinschätzung kann die Verfolgung der Strategie nicht mehr sinnvoll sein. Kunden, Management Die Bandbreite der Modellvarianten ist durch die Produktionsarchitektur festgelegt. Einem Trendwandel kann kurz- bis mittelfristig nicht flexibel gefolgt werden. Abb. 3-15: Beispielhafter Risikobericht über Auswirkungen potentieller Entscheidungen Die bisher aufgezeigten Instrumente unterstützen die Erkennung von Risiken, die den Unternehmensprozessen inhärent sind oder sich aus strategischen Entscheidungen ergeben können. Risiken aus dem Unternehmensumfeld können mit diesen Instrumenten nur bedingt identifiziert werden. Diese Risiken sollen mit Hilfe der nachfolgend dargestellten Frühaufklärungssysteme erkannt werden. 135 Vgl. Beer (1970), S. 25 f. 3. Prozessschritte des Risikomanagements74 3.1.5.4 Risikoidentifikation mit Hilfe von Frühaufklärungssystemen Mit Hilfe von Frühaufklärungssystemen sollen interne und externe Risiken weit vor ihrem Eintritt erkannt und signalisiert werden, so dass Unternehmen genügend Handlungsspielraum für gegensteuernde Maßnahmen bleibt.136 Die Systeme lassen sich sowohl auf einen Unternehmensbereich als auch auf das gesamte Unternehmen anwenden. Zudem können die Systeme zur Erkennung von Chancen und Risiken sowie Krisen und Insolvenzen fremder Unternehmen eingesetzt werden. Betrachtet man die Entwicklung von Frühaufklärungssystemen im Zeitablauf, lassen sich drei Generationen unterscheiden, die sich der operativen oder der strategischen Frühaufklärung zuordnen lassen (vgl. Abb. 3-16).137 Die Systeme der ersten und teilweise der zweiten Generation zählen zu den operativen Frühaufklärungssystemen. Zu den strategischen Frühaufklärungssystemen zählen Teile der zweiten und die Systeme der dritten Generation. Die operative Frühaufklärung basiert auf liquiditäts- und ergebnisorientierten Kennzahlen. Die strategische Frühaufklärung hingegen nutzt vor allem „Schwache Signale“, die schlechtstrukturiert und qualitativer Art sind. 2. Generation Operative Früherkennung von Chancen und Risiken durch indikatororientierte Frühaufklärungssysteme Operative Frühaufklärungssysteme 3. Generation Strategische Frühaufklärung: Frühzeitige Ortung potentieller Chancen und Risiken durch Schwache Signale und ein Strategisches Radar Strategische Frühaufklärungssysteme 1. Generation Operative Frühwarnung: frühzeitige Ortung von Risiken durch kennzahlen- und hochrechnungsorientierte Frühaufklärungssysteme Abb. 3-16: Entwicklung von Frühaufklärungssystemen im Zeitablauf138 3.1.5.4.1 Kennzahlen- und hochrechnungsorientierte Frühwarnsysteme Die operativen Frühaufklärungssysteme der ersten Generation umfassen Kennzahlensysteme, die in komprimierter Form einen Überblick über die wichtigsten Sachverhalte im Unternehmen geben und frühzeitig Risiken signalisieren sollen.139 Da diese kennzahlenorientierten Analysen allerdings weitestgehend auf vergangenheits- und gegenwartsorientierten Daten der Rechnungslegung, dem Jahresabschluss und der Kostenrechnung basieren, haben die Betrachtungen eher einen ex-post-Charakter. Sie sind durch die hochrechnungsorientierte Frühaufklärung zu ergänzen. 136 Vgl. hierzu und ff. Ansoff (1976), S. 129 ff.; Rieser (1980), S. 32; Krystek/Müller (1997), S. 665 f.; Hammer (1998), S. 180.; Hahn/Krystek (2000), S. 77; Welge/Al-Laham (2001), S. 298. 137 Vgl. Gomez (1983), S. 14 ff.; Simon (1985), S. 28 ff.; Sepp (1996), S. 117 ff. 138 Vgl. Klausmann (1983), S. 41 ff.; Krystek (1987), S. 142 ff.; Sepp (1996), S. 114 ff. 139 Vgl. Reichmann/Lachnit (1976), S. 706.; vgl. Reichmann/Lachnit (1977), S. 10 ff. 3.1 Risikoidentifikation 75 Anhand von Hochrechnungen werden Kennzahlenwerte bis zu einem bestimmten Zeitpunkt (wie zum Beispiel das Monats- oder Periodenende) im Sinne einer Vorschau hochgerechnet und geschätzt. Bei der Betrachtung werden bereits realisierte Zwischenergebnisse berücksichtigt. Auf dieser Basis können sodann die Planwerte mit den hochgerechneten Ist-Werten verglichen und Abweichungen frühzeitig signalisiert werden. Damit wird der Nachteil typischer Soll-/Ist-Vergleiche vermieden, die ex-post nur Tatsachen anzeigen und damit ein frühzeitiges Eingreifen und Gegenlenken unmöglich machen.140 Die Genauigkeit einer Hochrechnung hängt von der zugrundeliegenden Prognosemethode ab, die in quantitative und qualitative Verfahren differenziert werden.141 Die hochrechnungsorientierten Frühwarnsysteme nutzen ausschließlich die quantitativen Prognoseverfahren (vgl. Abb. 3-17), wohingegen bei der strategischen Frühaufklärung qualitative Methoden zum Einsatz kommen. Quantitative Prognosemethoden Zeitreihenanalysen • Einfache Trendextrapolation • Methoden der gleitenden Durchschnitte • Methoden der exponentiellen Glättung • Einfache& multiple Regression KausaleMethoden • Lebenszyklus-Analyse • Input-Output-Analyse • Ökonometrische Modelle Abb. 3-17: Quantitative Prognoseverfahren142 Da quantitative Prognosemethoden weitestgehend auf mathematischen Rechnungen fußen, sind sie in der Unternehmenspraxis in der Regel nur für einen verhältnismäßig kurzen Zeitraum sinnvoll einsetzbar, wie zum Beispiel einen Monat, ein Quartal oder (maximal) ein Jahr. Je länger der Prognosezeitraum gewählt wird, desto ungenauer werden die Hochrechnungen. Die wesentliche Schwäche von kennzahlen- und hochrechnungsorientierten Frühwarnsystemen besteht in dem Vergangenheitsbezug des zugrundliegenden Datenmaterials. Zudem werden nur quantitative, nicht aber qualitative Fakten berücksichtigt. Vor allem nicht vorhersehbare Phänomene wie Strukturbrüche und Diskontinuitäten können nicht identifiziert werden. Damit muss man derartigen Systemen den Frühaufklärungscharakter weitestgehend absprechen. 140 Vgl. Klausmann (1983), S. 41. 141 Vgl. Mauthe (1984), S. 268; Kreilkamp (1987), S. 247 ff.; Gleißner/Füser (2001), S. 179 ff. 142 Vgl. Bircher (1976), S. 186; Opitz (1985), S. 83 ff.; Harting (1992), S. 93 ff. 3. Prozessschritte des Risikomanagements76 3.1.5.4.2 Indikatororientierte Früherkennungssysteme Indikatororientierte Früherkennungssysteme sind darauf ausgerichtet, interne und externe Risiken in einer Phase präzise und umfassend zu identifizieren, in der sie sich noch nicht auf Unternehmenskennzahlen ausgewirkt haben oder noch keine unmittelbar wahrnehmbaren Risikoanzeichen erkennbar sind.143 Diese Systeme fußen auf der Annahme, dass ein Eintritt eines Risikos frühzeitig durch Indikatoren signalisiert werden kann (vgl. Abb. 3-18). Die indikatororientierten Systeme unterscheiden sich damit maßgeblich von den zuvor dargestellten kennzahlen- und hochrechnungsorientierten Frühaufklärungssystemen.144 Indikator: Auftragseingang t1 Europäische Gesetzesreformen t2 t3 t4 öffentliche Diskussion/ Verbreitung in Medien nationale Gesetzesentwürfe Anpassung an gesetzliche Modifikationen Produktrücknahme/ Portfoliobereinigungen t Erfolgsgröße: Umsatz t1 t2 t3 t4 t Abb. 3-18: Indikator und Auswirkungen im Zeitablauf145 Analog zur Vorgehensweise bei der wertketten-, prozessketten- und netzwerkgestützten Risikoidentifikation müssen beim Aufbau eines indikatororientierten Frühaufklärungssystems zunächst die relevanten internen und externen Beobachtungsbereiche identifiziert und definiert werden, aus denen Risiken erwachsen können (vgl. Abb. 3-19). 143 Außerdem lassen sich mit den Systemen dieser Generation auch Chancen erkennen, die allerdings fort folgend außer Acht gelassen werden. 144 Vgl. Krystek/Müller-Stewens (1993), S. 74 ff.; Hadeler (2000), S. 1156; Gleißner/Füser (2001), S. 176;Müller (2001), S. 215. 145 Angelehnt an Hahn/Krystek (2000), S. 78. 3.1 Risikoidentifikation 77 Externer Bereich Indikatoren Gesamtwirtschaft/ Makroökonomie • Zinsen • Wechselkurse • Inflationsraten • industrielle Nettoproduktion • Tariflohnniveau • Außenhandel • Geldvolumen • Konjunkturindizes • Geschäftsklima • Investitionstendenzen • Marktwachstum Gesellschaft/ Kultur • Bevölkerungswachstum • Bevölkerungsstruktur • Arbeitslosenzahl • Zahl offener Stellen • Gewerkschaftsforderungen • Konsumneigung • Einkommensentwicklung • Bildungsstand • Lebensstil • Wertvorstellungen • Wanderungsbewegungen • Haushaltsgröße Technologie • Innovationen • Werkstoffentwicklung • Unterbrechung technologischer Trendlinien • Veränderungstendenzender Produktions-und Verfahrenstechnologie beiWettbewerbern und Forschungsinstituten Politik/ Recht • Systemstabilität • politischeKrisen • Parteienverhältnisse • Regierungswechsel • Gesetzesvorbereitungen/ -vorlagen • Rechtssicherheit • politischeOrganisationen • Außen-/innenpolitische Ereignisse/Tendenzen Ökologie • Umweltverträglichkeit der Produkte • Umweltverträglichkeit der Einsatzstoffe • Umweltverträglichkeit der Produktionsverfahren • Volumina bekannter Rohstoffvorkommen Interner Bereich Indikatoren Forschung & Entwicklung • FuE-Kosten • Patentanmeldungen • Patentverletzungen • Teilevielfalt Beschaffung • Marktpreise • Beschaffungskonditionen • Qualitätsniveau der Güter • Angebotsvolumen im Markt • Termin- & Liefertreue • Warenumschlag Produktion • durchschnittlicher Jahresverbrauch je Rohstoff • Ausstoßhochrechnungen • Instandhaltungskosten • AltersstrukturderMaschinen/ Technologiestand • Auslastung • Lagerbestände • Materialausnutzung • Ausfallquote/Wartungsgrad der Maschinen • Fehlerhäufigkeit • Auftragseingänge (Produkte, Regionen) • Auftragsbestand • Umsatzhochrechnungen • Nachfragevoluminawichtiger Kunden • Programmbreite • Preise • Marktanteil • Erfolgsgradder AkquiseaktivitätenAbsatz • Bestell- & Kaufverhaltender Kunden • Konsumentenstimmungen • Reklamationsraten • Preis- & Programmpolitik der Konkurrenz • Image der eigenenundder Produkteder Konkurrenz Marketing • Fluktuationsraten • Krankenstände • Lohn-/Gehaltszuwächse im Konkurrenzvergleich • Herrschaftswissen/ Exklusivwissen • Betriebsunfälle • Personalkosten Personal • Entwicklungder Liquidität & Rentabilität • Wertschöpfung • Forderungsbestand • AusnutzungvonZahlungszielen • Investitionsquote& • Abschreibungen Finanzen Informationstechnologie • unberechtigte Zugriffe auf interne Daten • Datenverlust Abb. 3-19: Beobachtungsbereiche und beispielhafte Indikatoren146 146 Angelehnt an Hahn (1983), S. 12; Hahn/Krystek (2000), S. 84 f. 3. Prozessschritte des Risikomanagements78 In einem weiteren Schritt sind für die Beobachtungsbereiche Frühwarnindikatoren zu identifizieren und auszuwählen (vgl. Abb. 3-19).147 Diese müssen in einer kausal-analytischen Beziehung zu den jeweiligen Beobachtungsbereichen stehen, um Risiken frühzeitig signalisieren zu können. In der Unternehmenspraxis empfiehlt es sich, zunächst alle in Betracht kommenden branchen- und unternehmensspezifischen Indikatoren zu erfassen. Das Potential, Risiken mit Hilfe indikatororientierter Früherkennungssysteme zu erkennen, hängt maßgeblich von den genutzten Indikatoren ab. Daher sollten bei der Auswahl folgende Kriterien berücksichtigt werden.148 Zunächst sollten Fehlinterpretationen ausgeschlossen werden können. Die Wirkungszusammenhänge sollten nachvollziehbar und verständlich sowie in sich robust und konsistent sein. Zudem sollten sie Risiken mit zeitlichem Vorlauf identifizieren. Im Idealfall besteht also zwischen Indikator und Risiko eine möglichst große zeitverschobene Korrelation, so dass bei Risikoerkennung noch genügend Zeit verbleibt, risikosteuernden Maßnahmen einzuleiten. In der Unternehmenspraxis ist es allerdings meist schwierig, verlässliche Indikatoren zu finden, die mit großem zeitlichem Vorlauf Risiken erkennen können. Zudem müssen die zugrundeliegenden Informationen rechtzeitig zugänglich und zuverlässig sein. Schließlich ist der Kosten-Nutzen-Aspekt zu beachten. Da das Unternehmen sowie sein Umfeld einem dynamischen Wandel unterliegen, besteht außerdem das Risiko, das die gewählten Indikatoren im Zeitablauf ihre Signalwirkung verlieren. Daher sind sie regelmäßig auf Aktualität und ihre Aussagekraft zu überprüfen und gegebenenfalls anzupassen. Nach der Erfassung und Auswahl geeigneter Indikatoren sind Soll-Werte und Toleranzgrenzen festzulegen.149 In der Unternehmenspraxis erweist es sich jedoch häufig als schwierig, diese Grenzen sinnvoll zu definieren. Es besteht das Risiko, dass − wenn die Toleranzgrenzen zu weit gefasst werden − keine Warnmeldung erfolgt, obgleich die Situation es gebietet. Sollten die Grenzen zu eng gefasst sein, führt dies regelmäßig zu falschen Warnmeldungen. In beiden Fällen verliert der Indikator seine Effektivität. Die Ursache liegt häufig darin begründet, dass keine hinreichenden Erfahrungen oder Orientierungsgrößen vorhanden sind und die Definition von Grenzwerten nicht immer objektiv erfolgt. Beim Aufbau eines indikatororientierten Frühaufklärungssystems spielen der Informationsaustausch und die Implementierung einer Berichterstattung, die möglichst alle Unternehmensbereiche abdeckt, eine entscheidende Rolle.150 Nach Festlegung der Grenzwerte sind daher geeignete Beobachter zu bestimmen, die bei Über- oder Unterschreiten der Toleranzschwelle die Informationen im Unternehmen weiterleiten. Es bietet sich an, die Frühaufklärungssignale an eine zentrale Stelle zu berichten, die die eingehenden Informationen analysiert und entscheidet, ob den Sachverhalten nachzugehen ist. In der Unternehmenspraxis sollte diese Aufgabe die Controlling-Funktion wahrnehmen, die die Informationen aufbereitet und dem Management berichtet. 147 Vgl. Gomez (1983), S. 11; Krystek/Müller-Stewens (1993), S. 76 f. 148 Vgl. Krystek/Müller-Stewens (1993), S. 103 f.; Holst/Holtkamp (2000), S. 815 f. 149 Vgl. Welge/Al-Laham (1992), S. 154; Simon (1985), S. 45 ff. 150 Vgl. Lück (1999b) S. 166; Hahn (1979), S. 25 ff. 3.1 Risikoidentifikation 79 Die Abb. 3-20 fasst das Vorgehen beim Aufbau eines indikatororientierten Frühaufklärungssystems zusammen. Auswahl und Definition von Indikatoren je Beobachtungsbereich mögliche Auswahlkriterien:2. Schritt Ermittlung von Beobachtungsbereichen zurErkennung von internen und externen Chancen und Risiken 1. Schritt Festlegung von Soll-Werten und Toleranzgrenzen je Indikator 3. Schritt Kritischer Bereich Kritischer Bereich Toleranzbereich obere Toleranzgrenze Soll-Wert untere Toleranzgrenze Festlegung von Beobachtern • Beobachtungvon Indikatoren • Berichterstattung,wenn Indikator außerhalb desToleranzbereichs 4. Schritt Festlegung einer Informationsverarbeitungsstelle • Aufnahme und Analyse der Warnsignale • Berichterstattung,wenn Warnsignalen nachzugehen ist 5. Schritt Aufbau einer Berichterstattung • Aufbau von Berichten • Festlegung von Sender-/Empfänger- Beziehungen • Sicherstellung des Informationsaustausches • Eindeutigkeit • Vollständigkeit • rechtzeitige Verfügbarkeit • ökonomischeVertretbarkeit Abb. 3-20: Vorgehen beim Aufbau indikatororientierter Frühaufklärungssysteme151 Abschließend sei angemerkt, dass die Schwäche der Frühaufklärungssysteme der ersten und zweiten Generation darin besteht, dass sie auf festgelegte Beobachtungsbereiche fokussieren. Zudem wird die zukünftige Entwicklung auf Basis angenommener stabiler Zusammenhänge prognostiziert. In der Unternehmenspraxis kommt es jedoch nicht selten dazu, dass ein scheinbar invarianter Ursache-Wirkungs-Zusammenhang durch Ereignisse gebrochen wird, die nicht auf Gesetzmäßigkeiten beruhen. Diese Diskontinuitäten schlagen sich überraschend in bestehenden Beziehungen und Verhältnissen nieder und können diese vollständig auseinanderbrechen. Deshalb muss die Annahme von langfristig stabilen, kausallogischen Gesetzmäßigkeiten zwangsläufig zu Fehlern führen.152 Diese Schwäche soll durch die Frühaufklärungssysteme der dritten Generation behoben werden, die sich durch eine ungerichtete Suche nach Risiken auszeichnen. 151 Angelehnt an Hahn/Krystek (1979), S. 76 ff.; Krystek (2000), S. 82. 152 Vgl. Galtung (1978), S. 96; Welge/Al-Laham (1992), S. 154; Hammer (1998), S. 199 f.; Krystek/ Müller-Stewens (1993), S. 163. 3. Prozessschritte des Risikomanagements80 3.1.5.4.3 Strategische Frühaufklärungssysteme Die strategischen Frühaufklärungssysteme bilden die dritte Generation.153 Sie sind langfristig orientiert und beschränken sich nicht auf die gerichtete Suche nach Risiken in zuvor festgelegten Beobachtungsbereichen. Diese Systeme versuchen durch eine uneingeschränkte 360°-Suche bisher unerkannte Entwicklungen sowie neuartige Situationen und Konstellationen im Umfeld aufzudecken, die für das Unternehmen aus Sicht des Risikomanagements von Relevanz sein könnten. Im Sinne eines strategischen Radars sollen so schwache Signale möglichst frühzeitig aufgespürt werden. Darunter werden im Allgemeinen schlecht definierte und unscharf strukturierte Informationen verstanden, die qualitative Hinweise auf Diskontinuitäten im Unternehmensumfeld geben. Der Ansatz strategischer Frühaufklärungssysteme fußt auf der Annahme, dass ein von Menschen initiiertes Ereignis nicht unvorhergesehen eintritt und sich Diskontinuitäten im Vorfeld ihres faktischen Eintritts durch schwache Signale andeuten.154 Es wird unterstellt, dass zum Beispiel ein politischer Wandel und soziale Veränderungen nicht zufällig ablaufen, sondern von den Interessen der Menschen gesteuert werden. Veränderungen im Umfeld erfolgen damit auf Basis bestimmter Entwicklungsmechanismen. Sie werden durch Vorreiter von Ideen und relativ stabile Verbreitungsmuster wie zum Beispiel durch die Mechanismen der Medien getragen.155 So können sich schwache Signale in bloßen Vermutungen, mehr oder weniger abgesicherten Prognosen, kurzfristig erwarteten Ereignissen oder im Fluss befindlicher Trends manifestieren. Je näher ein Ereignis rückt, desto stärker nimmt der Umfang der Signale zu. Um mit Hilfe strategischer Frühaufklärungssysteme unternehmerische Risiken erkennen zu können, sind bestimmte Schritte notwendig (vgl. Abb. 3-21). Ortung & Erfassung vonSignalen • Scanning • Monitoring • Dokumentation 1. Schritt Analyse der erfasstenSignale • Untersuchungder Verhaltens- & Ausbreitungsmuster • Analyse der Ursachen • Prognose der Wirkungen durch Modellierung von Szenarien 2. Schritt Beurteilung der Relevanz der Signale • Analyse der Relevanz & Erstellung einer Rangordnung • Darstellung des Stadiums der Diffusion • Beurteilung der Dringlichkeit 3. Schritt Formalisierung von Reaktionsstrategien • Entwicklung • Auswahl 4. Schritt 1.Schritt5. Schritt Implementierung & Kontrolle Abb. 3-21: Prozessschritte der Strategischen Frühaufklärung156 153 Vgl. hierzu und ff. Müller (1981), S. 30 ff; Müller (1984), S. 447; Simon (1985), S. 18 ff.; Hammer (1998), S. 216 ff.; Krystek/Müller (1999), S. 181; Hahn/Krystek (2000), S. 76. 154 Vgl. grundlegend Ansoff (1976), S. 129 ff.; Simon (1985), S. 72 ff.; Krystek (1987), S. 166 f.; Kreilkamp (1987), S. 270 ff.;Welge/Al-Laham (1992), S. 154 ff. 155 Die Ausführungen basieren auf der Diffusionstheorie. Vgl. Krampe/Müller (1983), S. 289 ff.; Drexel (1984), S. 97. Vgl. die Erkenntnisse und Grundthesen des Battelle-Institut (1978). 156 Vgl. Krystek (1996), S. 270. 3.1 Risikoidentifikation 81 Zunächst sind schwache Signale zu lokalisieren und deren Signalart, -intensität, -kontrast, -frequenz und -kontinuität zu erfassen.157 Hierzu wird die Umwelt regelmäßig auf schwache Signale untersucht (Scanning) und die identifizierten Signale anhand von Trendmeldungen festgehalten. Neben den dargestellten Punkten in Abb. 3-22 kann in der Trendmeldung zum Beispiel auch das Ausbreitungsmuster des Trends in seiner Intensität, zeitlichen Wirkung und Wirkungsart dokumentiert werden. Bevor die relevanten Signale näher analysiert und vertiefend beobachtet werden (Monitoring), sind Doppel- und Falschmeldungen zu filtern. Die bereinigten Trendmeldungen lassen sich sodann in einer Mikro-Makro-Umfeld-Matrix darstellen (vgl. Abb. 3-22). Die Mikro- Ebene zeigt, auf welchen Bereich sich das identifizierte, schwache Signal auswirkt. So kann es zum Beispiel ein Strategisches Geschäftsfeld (SGF), das Unternehmen in Gänze, die gesamte Branche oder sogar einen ganzen Markt beeinflussen. Die Makro-Ebene zeigt dagegen, aus welchem Bereich das schwache Signal stammt. Es kann beispielsweise aus der demographischen, gesellschaftlichen, technologischen oder ökonomischen Entwicklung erwachsen. Durch die Einordnung der Trendmeldungen in die Matrix und die damit gewonnene Transparenz können Signalhäufungen und Bedeutungszunahmen identifiziert werden. SGF Unternehmen Branche Markt Mikroumfeld Demographische Entwicklung Gesellschaftliche Entwicklung Demographische Entwicklung Einstellungder Öffentlichkeit Entwicklungder Gesetzgebung Technologische Entwicklungen Ökonomische Entwicklungen Ressourcen& Umwelt M ak ro um fe ld Umbruch durch Scanning Mikro-Makro- Umfeld-Matrix Trendmeldung Trendbezeichnung: Umbruch durch Scanning Laufende Nummer:… Meldedatum:… Autor/ Quelle:… Kurzbeschreibung/ Kommentar:… Dringlichkeit für AktionEinfluss aufBranche Allgemeine Angaben Beurteilung desTrends hochgering hochgering Fähigkeit zur AktionEinfluss aufUnternehmen hochgering hochgering Betroffene Felder derMikro-Makro-Umfeld-Matrix Mikroumfeld:Markt Makroumfeld: TechnologischeEntwicklungen Abb. 3-22: Trendmeldung und Mikro-Makro-Umfeld-Matrix158 In einem weiteren Schritt sind Gemeinsamkeiten und Abhängigkeiten der einzelnen Trends zu berücksichtigen. Dieser Schritt ist von besonderer Bedeutung, da die rein singuläre Betrachtung schwacher Signale in der Unternehmenspraxis meist nicht ausreicht, um sich daraus ergebende Risiken zu erschließen. Als Instrument kann hierzu die in Abb. 3-24 skizzierte Gemeinsamkeiten-/Abhängigkeiten-Matrix zur Anwendung kommen. 157 Vgl. Müller (1981), S. 160; Schuy (1989), S. 121; Krystek/Müller-Stewens (1993), S. 190 ff. 158 Der Mikro-Makro-Matrix-Ansatz geht auf Wilson zurück; vgl. Wilson (1983), S. 9 ff. Abbildung angelehnt an Krystek/Müller-Stewens (1993), S. 189 ff. 3. Prozessschritte des Risikomanagements82 geringe Ausprägung 1Titel der Trendmeldung Umbruch durch Scanning Segmentierung des Massenmarktes Die Zielgruppe schrumpft Minoritätenmarkt CAD/CAM Massenmärkte verfallen Individualisierung Der neue Verbraucher WWS vor dem Durchbruch Die Märkte der Zukunft Fachgeschäfte fürSingles Neue Einfachheit G em ei ns am ke ite n Abhängigkeiten 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 hohe Ausprägung mittlere Ausprägung Abb. 3-23: Gemeinsamkeiten-/Abhängigkeiten-Matrix159 Es ist zu untersuchen, welche Trends sich ergänzen, bestätigen oder sich widersprechen. Bestehen beispielsweise viele gleichgerichtete Trends, so können diese ganze Trendlandschaften begründen, die wiederum einer weiterführende Analyse der Trendwirkungen bedürfen (vgl. Abb. 3-24). 11 7Titel der Trendmeldung Umbruch durch Scanning Segmentierung des Massenmarktes Die Zielgruppe schrumpft Minoritätenmarkt CAD/CAM Massenmärkte verfallen Individualisierung Der neue Verbraucher WWS vor dem Durchbruch Die Märkte der Zukunft Fachgeschäfte fürSingles Neue Einfachheit G em ei ns am ke ite n Abhängigkeiten 6 2 8 12 3 4 1 9 5 7 6 2 8 12 10 3 4 11 10 1 9 5 geringe Ausprägunghohe Ausprägung mittlere Ausprägung neue Technologien Bevölkerungsstruktur Im Wandel Der „neue“ Verbraucher Abb. 3-24: Trendlandschaften Durch das Simulieren der erkannten Trendwirkungen mit Hilfe der Szenario-Technik und der daraus entstehenden Erkenntnisse über mögliche Zukunftsszenarien, können Diskontinuitäten und bisher unbekannte Risiken identifiziert und die Relevanz für das Unternehmen beurteilt werden. Auch durch die Befragung von Experten oder Mitarbeitern können Erkenntnisse und Tendenzaussagen über potentielle Entwicklungen gewonnen werden. Die richtige Einschätzung der Relevanz der Signale hängt dabei entscheidend von der Erfahrung, dem Können, der Kreativität und Motivation der Befragten ab und ist in der Unternehmenspraxis frei vom politischen Interesse und mit großer Sorgfalt durchzuführen. Im Idealfall können Indikatoren gefunden werden, die einen Rückschluss auf die weitere Entwicklung 159 Beispiel in Abb. 3-23 und Abb. 3-24 angelehnt an Krystek/Müller-Stewens (1993), S. 197. 3.1 Risikoidentifikation 83 des erkannten Trends geben können. Zudem können qualitative Prognosemethoden die Wirkungsanalyse unterstützen.160 In einem letzten Schritt sind Strategien und Maßnahmen zu entwickeln und auszuwählen, mit denen man den identifizierten Trends begegnen will. Da dieser Aspekt in den späteren Ausführungen aufgegriffen wird, soll er an dieser Stelle nicht weiter beschrieben werden. Abschließend ist anzumerken, dass die praktische Anwendbarkeit der strategischen Frühaufklärung begrenzt ist. Dies liegt zunächst in der Schwierigkeit begründet, schwache Signale auszumachen. Hierbei ist auch der Erhebungsaufwand zu berücksichtigen. Zudem ergibt sich in der Unternehmenspraxis der Umstand, dass der Konkretisierungsgrad schwacher Signale mit zunehmender Reichweite abnimmt und Signale häufig mehrere Interpretationsmöglichkeiten zulassen. In den meisten Fällen basieren die Informationen auf intuitiven Urteilen, so dass keine Aussage über den Eintrittszeitpunkt, die weitere Entwicklung sowie die kurz-, mittel- und langfristigen Konsequenzen zu diesem Zeitpunkt getroffen werden können. Daher nehmen die Ignoranz gegenüber diesen unscharfen Informationen meist erst mit zunehmender Diffusion ab und die Bereitschaft, geeignete Maßnahmen einzuleiten, nur langsam zu. Dieser Sachverhalt wird als Ignoranzfalle bezeichnet. Im theoretischen Idealfall sollten schwache Signale durch das Management trotz eines potentiell geringen Konkretisierungsgrades und eines hohen Grades an Einmaligkeit, Neuartigkeit und Unschärfe beachtet werden, so dass noch ein ausreichender Spielraum zum Handeln verbleibt.161 Um dies zu erleichtern, sollten Unternehmen auf Erkenntnisse über Entwicklungen in der Vergangenheit zurückgreifen, die Aufschluss über universal gültige Regeln geben können und zukünftige Entwicklungsfolgen neu erkannter schwacher Signale im Voraus erahnen lassen. So lassen sich auch die Anzahl der potentiell zu beachtenden Diskontinuitäten einschränken. Trotz aller skizzierten Einschränkungen hinsichtlich der praktischen Anwendbarkeit stellt die dritte Generation ein weiteres sinnvolles Instrument dar, um Risiken, die eher im Unternehmensumfeld erwachsen, zu identifizieren. Aufgrund der strategischen Ausrichtung und des großen Zeithorizonts des dargelegten Ansatzes können Risiken mit großer Vorlaufzeit erkannt werden. 3.1.5.5 Integrierte Anwendung der Instrumente zur Risikoidentifikation Die Ausführungen haben gezeigt, dass ein Instrument allein nicht alle internen und externen Risiken aufdecken kann. Vielmehr ermöglicht nur eine integrierte Anwendung der zuvor dargestellten Instrumente eine weitestgehend vollständige Erkennung unternehmerischer Risiken (vgl. Abb. 3-25). Mit Hilfe der Wertkettenanalyse können durch die Zerlegung der für den Unternehmenserfolg wesentlichen Wertaktivitäten Anhaltspunkte über externe und interne Risiken gewonnen werden. Anhand der Prozesskettenanalyse können Risiken identifiziert werden, die den operativen Unternehmensabläufen inhärent sind oder diese betreffen. Zudem können Ursache-Wirkungs-Zusammenhänge transparent gemacht werden. Durch die Anwendung der 160 Vgl. Klausmann (1983), S. 44; Bea/Haas (2001), S. 294. Zu den qualitativen Prognoseverfahren allgemein Welge/Al-Laham (1992), S. 137 ff.; Götze (1993), S. 71 ff. 161 Vgl. Hahn/Krystek (2000), S. 86 f.; Gleißner/Füser (2001), S. 179. 3. Prozessschritte des Risikomanagements84 Netzwerktechnik können Risiken identifiziert werden, die aus zukünftigen strategischen Entscheidungen erwachsen können. Dabei werden die multikausalen Ursache-Wirkungs- Beziehungen und potentiellen risikobehafteten Auswirkungen anhand von Wirkungsnetzen simuliert und transparent gemacht. Mit Hilfe der Frühaufklärungssysteme können risikobehaftete Entwicklungen identifiziert werden, die aus Diskontinuitäten im Umfeld des Unternehmens resultieren. So lassen sich mit Hilfe schwacher Signale bisher unerkannte Risiken erkennen und potentielle Szenarien simulieren. Im Idealfall können Risiken und Diskontinuitäten durch Indikatoren frühzeitig angezeigt werden. ProzesskettenanalyseWertkettenanalyse a a a Planungszeitpunkt Bedarfsrechnung erreicht ÄnderungBedarf Bedarfsmeldungliegt vor Bearbeitung& Prüfung Bestellanforderung Beschaffung Bestellbearbeitung Datenbank Lager a a Lieferantenanfragen neue Angebote erforderlich a Angebote aktuell Angebote eingetroffen Ermittlung Lieferant & Bestellmenge R2 R1 Vernetztes Denken Frühaufklärung 11 7Titel der Trendmeldung Umbruch durch Scanning Segmentierung des Massenmarktes Die Zielgruppe schrumpft Minoritä tenmarkt CAD/CAM Massenmärkte verfallen Individualisierung Der neue Verbraucher WWS vor dem Durchbruch Die Märkte der Zukunft Fachgeschäfte fürSingles Neue Einfachheit G em ei ns am ke ite n Abhängigkeiten 6 2 8 12 3 4 1 9 5 7 6 2 8 12 10 3 4 11 10 1 9 5 geringe Ausprägunghohe Ausprägung mittlere Ausprägung neue Technologien Bevölkerungsstruktur Im Wandel Der „neue“ Verbraucher Service- Qualität Art & Qualität Außendienst Entlohnungssystem Image Kundenzufriedenheit Branchenimage Arbeitsmarkt Rekrutierung Stornoquote Policenbestand Produkt- Qualität Infrastruktur Überschüsse Medienmeinung Störfälle Werbung + + - PR/Lobby + ++ + ? + ? + ? + Verkäufe? -- - - ?? + Annahmerestriktion Inflation - + ++ ? - - + + ? + Ausbildung Marktleistung Kundennutzen Reduzierung von Ausbildungsinvestitionen - - Erkennung von Diskontinuitäten im Unternehmensumfeld mit Hilfe schwacher Signale Simulation strategischer Entscheidungen und Erkennung der damit einhergehenden Risiken und Ursache-Wirkungs-Beziehungen Erkennung von Risiken durch Zerlegung der Wertkette des Unternehmens Erkennung der den Prozessen inhärenten Risiken und deren Ursache-Wirkungs-Beziehungen Unternehmensinfrastruktur U nt er st üt ze nd e A kt iv itä te n (S ek un dä rf un kt io ne n) A us ga ng slo gi st ik Ei ng an gs lo gi st ik Pr od uk tio n M ar ke tin g Se rv ic e/ K un de nd ie ns t G ew innspanne B es ch af fu ng Basisaktivitäten (Primärfunktionen) Personalmanagement Technologie- & Verfahrensmanagement Qualitätsmanagement Lieferantenrisiken QualitätsrisikenLagerbestandsrisiken Abb. 3-25: Integrierte Anwendung der Instrumente zur Risikoerkennung Unterstützend können weitere Methoden und Instrumente zur Anwendung kommen, wie zum Beispiel die Befragung von Experten, Durchführung von Organisations- und Kennzahlenanalysen, die Nutzung von Statistiken, Branchenbenchmarks und allgemeiner Risikochecklisten sowie die Anwendung von Prognosemethoden und Szenario-Techniken. 3.1.6 Unternehmensspezifisches Risikoprofil In einem letzten Schritt sind die durch den integrierten Einsatz der Instrumente identifizierten Risiken zusammenzutragen. Dabei sind die Informationen noch einmal ganzheitlich auf 3.1 Risikoidentifikation 85 Konsistenz und Plausibilität zu prüfen und Doppel- oder Mehrfacherfassungen zu eliminieren.162 Aus Übersichtlichkeitsgründen bietet es sich an, die erkannten Risiken anhand allgemeiner oder zuvor festgelegter Risikokategorien zu gliedern. Die Darstellung von Risiken in dieser strukturierten Form verschafft dem Betrachter einen schnellen Überblick über die Gesamtrisikosituation des Unternehmens (vgl. Abb. 3-26). Risikofelder • Versorgungsengpass • Lieferantenausfall bei Lieferantenabhängigkeit Einkauf • Beschaffungspreisschwankungen • UnzureichendeMaterialqualität • MangelndeAnpassungsfähigkeit derKapazität • Produktionsausfall Produktion, Lagerhaltung &Distribution • Ausfall des Logistikpartners • Wegfall strategischer Produktionspartner • Qualitätsrisiken • Produktsicherheitsrisiken • Verzögerung von Innovationen Forschung& Entwicklung/ Produkt • Produktpiraterie/ Produktnachahmungen • Markteintritt eines neuen Wettbewerbers • Verlust von Großkunden • Konzentrationen auf der Abnehmerseite Kunde,Absatz& Wettbewerb • Kannibalisierungseffekte • Verändertes Konsumentenverhalten • Produktsubstitute • Wechselkursentwicklungen • Zinsänderungsrisiken • Liquiditätsrisiken Finanzen • Forderungsausfallrisiko • Kontrahentenrisiko • Eingeschränkte Rekrutierungsmöglichkeiten • Fehlbesetzung Personal • Personalfluktuation von Kompetenzträgern • Loyalitätsrisiken/Geheimhaltung • Verlust von Daten • Unzureichende Verfügbarkeit der Systeme (Systemausfall) Informationstechnologie • Unberechtigter Zugriff auf interne Daten • Patentverletzungen • Veränderungen der Deklarationspflichten Recht& Gesetzgebung • Import- & Exportrestriktionen (Embargos) • Compliance-Risiken Risiken Abb. 3-26: Beispielhaftes Risikoprofil eines international agierenden Unternehmens 162 Vgl. Füser/Gleißner (1999), S. 754; Bitz (2000b), S. 27 f. 3. Prozessschritte des Risikomanagements86 Da sich Risiken aufgrund der Dynamik interner und externer Rahmenbedingungen verändern können, stellt das gewonnene Risikoprofil des Unternehmens nur eine Momentaufnahme dar.163 Infolgedessen muss es regelmäßig überprüft und bei Bedarf aktualisiert werden, was eine gewissenhafte und ausführliche Auseinandersetzung mit Risiken bedingt und damit das Risikobewusstsein fördert. 3.1.7 Grenzen der Risikoidentifikation Die Ausführungen haben gezeigt, dass der Risikoidentifikation in der Unternehmenspraxis einige Grenzen gesetzt sind. Eine Herausforderung besteht zum Beispiel grundsätzlich darin, den Konflikt zwischen einer möglichst vollständigen und einer wirtschaftlich sinnvollen Risikoerkennung zu lösen.164 Zwar sollte jedes Unternehmen allein schon aus Gründen der Transparenz versuchen, seine Risiken möglichst umfänglich zu identifizieren. Eine Totalerfassung aller denkbaren Risiken ist allerdings aus wirtschaftlichen Überlegungen kaum sinnvoll. Bei zunehmender Unternehmensgröße wird zudem eine ganzheitliche Ermittlung von Risiken und deren Interdependenzen immer komplexer und aufwendiger, wenn nicht gar unmöglich. Außerdem werden Entscheidungsträger die Vielzahl schwacher Signale und die Komplexität der erhobenen Informationen nicht im vollen Umfang aufnehmen und verarbeiten können. Infolgedessen ist der Aufwand für die Risikoerkennung auf ein sinnvolles Maß zu reduzieren und die Menge an Informationen überschaubar zu halten. Um eine Risikoerkennung sicherzustellen, die alle Unternehmensbereiche umschließt, ist die Mitarbeit aller Mitarbeiter erforderlich.165 In der Unternehmenspraxis scheitert dies aber häufig an einem fehlendem oder unzureichendem Risikobewusstsein. Dies hat zur Folge, dass die Notwendigkeit einer regelmäßigen Risikoerkennung nicht verstanden wird, neu auftretende Risiken nicht sofort erkannt und Risiken in ihrer Wirkung unterschätzt werden. Außerdem ist nicht selten im Unternehmen ein ausgeprägtes Ressortdenken vorzufinden. Damit wird die innerbetriebliche Kooperation erschwert und existierende Missstände häufig nicht angezeigt. Das Management ist hier in der Pflicht, zum Beispiel durch den Aufbau geeigneter Anreiz- und Sanktionssysteme ein flächendeckendes Risikobewusstsein zu etablieren und die Mitarbeiter für Risiken zu sensibilisieren sowie zur Mitarbeit bei der Risikoerkennung aufzufordern.166 Eine weitere Herausforderung besteht in der eingeschränkten Objektivierbarkeit von Risiken. Selbst wenn eine unternehmensweit gültige Risikodefinition festgelegt ist, ist die Einschätzung, ob ein Risiko vorliegt, abhängig vom Standpunkt des Betrachters, seinem individuellen Risikoverständnis und seiner Fachkompetenz.167 Dabei ist es meist unerheblich, ob es sich um kurzfristig erwartete, sehr wahrscheinliche Ereignisse oder um nur schwache Signale, intuitive Vermutungen oder schwach wahrnehmbare Bedrohungen handelt. 163 Vgl. Hornung/Reichmann/Diederichs (1999), S. 320. 164 Vgl. Fasse (1995), S. 79; Brebeck/Herrmann (1997), S. 384. 165 Vgl. KPMG (1998), S. 43; Vogler/Gundert (1998), S. 2380. 166 Vgl. Müller (1981), S. 262 ff.; Vogler/Gundert (1998), S. 2381. 167 Vgl. Müller (1981), S. 276 f.; Giese (1998), S. 455; PwC (2000), S. 5. 3.2 Risikobeurteilung 87 Abschließend sei noch einmal erwähnt, dass es bei den Postulaten der Risikoidentifikation zu diversen Zielkonflikten kommt und es nicht möglich ist, in der Unternehmenspraxis allen gleichermaßen gerecht zu werden. Zudem ist es schwierig, die Postulate für sich betrachtet, umfassend zu erfüllen. Als Beispiel sei hier erwähnt, das die regelmäßige Erkennung und Erfassung von Risiken einschließlich der relevanten Risikoinformationen, wie zum Beispiel Verantwortlichkeiten, betroffene betriebliche Prozesse etc., einige Zeit in Anspruch nimmt. Das Management wird aber in den meisten Fällen eine sofortige und umfassende Berichterstattung über die wesentlichen Risiken einfordern. In der Unternehmenspraxis können deshalb die Postulate nicht immer strikt eingehalten werden. So ist nach einer Kompromisslösung zu suchen und ein individuelles Optimum anzustreben. Dabei muss allerdings stets beachtet werden, dass nicht identifizierten Risiken auch keine Gegensteuerungsmaßnahmen gegenübergestellt werden können. 3.2 Risikobeurteilung 3.2.1 Ziele und Aufgaben der Risikobeurteilung Nach der Erkennung und Dokumentation sind die internen und externen Risiken zu beurteilen.168 Es ist zu untersuchen, wie sie sich auf Strategien, Ziele sowie relevante Kennzahlen und Steuerungsgrößen auswirken können. Dabei umschließt die Risikobeurteilung nicht nur die Analyse, sondern auch die Bewertung und Klassifizierung der identifizierten Risiken. Zudem ist zu berücksichtigen, ob zwischen den identifizierten Risiken Wechselwirkungen bestehen und ob diese kumulative Effekte hervorrufen können.169 So kann das zeitgleiche Auftreten von Einzelrisiken, die isoliert betrachtet nur ein unerhebliches Schadensausmaß aufweisen, ein insgesamt signifikantes Risiko nach sich ziehen. Da Risiken von einer Vielzahl von Faktoren bestimmt werden und damit einer Dynamik unterliegen, ist die Risikobeurteilung in regelmäßigen Abständen zu wiederholen. Die Aktualisierung ist wichtig, da eine optimale Risikosteuerung auf den Ergebnisse der Risikobeurteilung basiert und nur gewährleistet werden kann, wenn belastbare Risikoeinschätzungen vorliegen.170Wird ein Risiko beispielsweise zu niedrig eingeschätzt, wird ein Unternehmen in der Regel keine entsprechenden Gegenmaßnahmen einleiten. Im Falle eines Risikoeintritts fehlen dann adäquate Steuerungsinstrumente, was durch die damit einhergehenden Kosten zu einer Beeinträchtigung des Unternehmensgewinns führt, die im Vorhinein hätte vermieden werden können. Damit kann das Wissen über die Auswirkung der Risiken auf finanzielle Kenngrößen, das unternehmerische Zielsystem oder die Reputation des Unternehmens dem Unternehmen − einen entsprechenden Umgang mit den Risiken vorausgesetzt − einen nachhaltigen Wettbewerbsvorteil verschaffen. 168 Vgl. hierzu und ff. Braun (1984), S. 229 ff.; Fasse (1995), S. 205; Pollanz (1999a), S. 396. 169 Vgl. Fiege (2006), S. 160 f. 170 Vgl. Franke (1997), S. 178; KPMG (1998), S. 21; Holst/Holtkamp (2000), S. 816.

Chapter Preview

References

Zusammenfassung

Risikomanagement und Risikocontrolling

Dieses Standardwerk beschäftigt sich mit Herausforderungen und Lösungsmöglichkeiten bei der Einrichtung und Weiterentwicklung von Risikomanagement- und Risikocontrolling-Systemen. Es bietet sowohl für den lösungssuchenden Praktiker als auch für den Wissenschaftler einen großen Fundus an wertvollem Wissen und liefert zahlreiche Anregungen und Hilfestellungen sowie in der Unternehmenspraxis erprobte Lösungen und Instrumente.

Aus dem Inhalt:

- Grundlagen des Risikomanagements und Risikocontrollings

- Anforderungskatalog an das Risikomanagement und die risikoorientierte Lageberichterstattung seitens des Gesetzgebers und des Wirtschaftsprüfers

- Internes Kontrollsystem (IKS), COSO und Internes Kontroll- und Risikomanagementsystem bezogen auf den Rechnungslegungsprozess

- Prozessschritte des Risikomanagements und Vorstellung praxiserprobter Instrumente zu deren Unterstützung

- Gestaltung einer Risikomanagement-Organisation, Abgrenzung von Risikomanagement und Interner Revision sowie Anforderungen an den Risikomanager

- Empfehlungen zum Aufbau einer chancen- und risikoorientierten Berichterstattung (Balanced Chance und Risk Card)

- Risikomanagement im DAX30

Der Autor:

Dr. Marc Diederichs leitet das Konzernrisikomanagement der Aurubis AG, Hamburg. Davor war er verantwortlich für das Corporate Risk & Insurance Management der Beiersdorf AG, Hamburg. Neben seiner beruflichen Laufbahn veröffentlicht der Autor Beiträge in Fachzeitschriften und Fachbüchern, leitet Seminare und hält Vorträge zu den Themen Risikomanagement und Risikocontrolling.

"Dr. Diederichs gelingt es auf konstruktive und anschauliche Weise, die Herausforderungen und Lösungsmöglichkeiten des Risikomanagements sowie des Risikocontrollings herauszustellen. Er bietet damit Praktikern und Wissenschaftlern ein Standardwerk, welches durch seine anschauliche Struktur sowie seine unkomplizierte Ausdrucksweise besticht. Mit zahlreichen Abbildungen und präzisen Begriffserklärungen ist es eine verständliche Lektüre, die einen breiten Überblick über das Themenfeld liefert."

Antonia Köhler, ZfCM - Zeitschrift Controlling & Management, 6/2012, S.450

"Diederichs Ansatz des Risikomanagements und des Risikocontrollings, vor allem die hier vorgeschlagenen Aufgaben und Instrumente, können in verschiedenen Branchen angewandt werden. Selbstverständlich müssen Aufgaben und Instrumente hier entsprechend konkretisiert und angepasst werden, aber auch hierzu gibt das Buch Hinweise... Das Buch kann daher jedem empfohlen werden, der sich in Theorie und Praxis mit Risikomanagement und Risikocontrolling beschäftigt."

Peter Bömelburg, Zeitschrift Die Wirtschaftsprüfung, 15-2011, zur Vorauflage