Content

13.3 Organisation des Risikomanagements in:

Thomas Reichmann

Controlling mit Kennzahlen, page 590 - 598

Die systemgestützte Controlling-Konzeption mit Analyse- und Reportinginstrumenten

8. Edition 2011, ISBN print: 978-3-8006-3800-0, ISBN online: 978-3-8006-4375-2, https://doi.org/10.15358/9783800643752_590

Series: Controlling Competence

Bibliographic information
13.3 Organisation des Risikomanagements 581 kontinuierlichen Soll-Ist-Vergleichs muss folglich festgestellt werden, ob die tatsächliche Risikolage des Unternehmens jederzeit den vorgegebenen Risikolimits entspricht oder ob ggf. Korrekturmaßnahmen erforderlich sind. Die Vielzahl von möglicherweise risikoverursachenden Sachverhalten und Instrumenten zu deren Regulierung lässt im Rahmen der Risikoüberwachung eine informationstechnologische Unterstützung sinnvoll erscheinen. Im Sinne eines dynamischen Risikomanagements und Risiko-Controllings sollte in einer Matrix eine Zuordnung der Steuerungsmaßnahmen zu den identifizierten und analysierten Risiken erfolgen. Zu jeder Erscheinungsform der identifizierten Risiken sollten demnach Informationen, wie die grobe Einschätzung von Auswirkungsbereich, Eintrittswahrscheinlichkeit und Risikoausmaß, das zur Steuerung eingesetzte Instrumentarium, der Verantwortungsbereich und der Revisionszyklus aufgeführt werden, nach dessen Ablauf Angemessenheit und Wirkung des jeweiligen Instrumentes überprüft werden kann und ggf. eine Anpassung ausgelöst wird. 13.2.5 Prozessüberwachung Auf übergreifender Ebene und daher alle Prozessphasen begleitend erfolgt die Überwachung des Risikomanagement-Prozesses (Prozessüberwachung). Mit besonderem Augenmerk auf Identifikation und Bewertung sowie der Auswahl der Steuerungsmaßnahmen ist die Zielsetzung der Prozessüberwachung, Qualität und Eignung von Aufbau und Ablauf der Prozessphasen zu beurteilen.69 Die Aufgabe, als wesentliches Unterscheidungsmerkmal zur Risikoüberwachung, wird durch Dritte, nicht risikoauslösende oder davon betroffene Personen bzw. Gremien, wahrgenommen. Als Vertreter der Stakeholderinteressen kommen dafür Jahresabschlussprüfer, externe Berater, Aufsichtsräte oder die Interne Revision70 in Betracht, die zur Wahrnehmung ihrer Aufgabe grundsätzlich eine prozessunabhängige Position innehaben müssen. 13.3 Organisation des Risikomanagements Bedingt durch wachsende Unternehmensgrößen, steigende Komplexität der Arbeitsprozesse und Globalisierung der Märkte wird das Management zunehmend dazu gezwungen, die betriebliche Überwachung und Steuerung von Risiken auch durch entsprechende dezentrale Entscheidungsgremien wahrnehmen zu lassen.71 Aufgrund der individuellen unternehmensspezifischen Risikosituation und Organisationsstruktur sind die Anforderungen seitens des Gesetzgebers notwendigerweise global gehalten und geben mit der Forderung zur Implementierung eines Risikomanagements und einer angemessenen Internen Revision lediglich eine grobe Zielsetzung vor. Das Risikoma- 69 Vgl. Hornung; Reichmann; Diederichs: Risikomanagement, S. 322. 70 Vgl. zu den Aufgaben der internen Revision im Rahmen des Risikomanagements ausführlich: Lück: Managementsystem, S. 10. 71 Vgl. hierzu ausführlich Diederichs: Risikomanagement und Risikocontrolling, S. 203–234; Hornung; Reichmann; Diederichs: Risikomanagement, S. 322; Vogler; Gundert: Risikomanagementsystem, S. 2378. 582 13. Kapitel: Risikomanagement und Risiko-Controlling nagement umfasst demnach nicht nur die gezielte Gestaltung und Implementierung eines systematischen Risikomanagementprozesses, sondern sollte auch in ein System aufbauorganisatorischer Regeln eingebettet sein: die Risikomanagement-Organisation. Die Eingliederung des Risikomanagements in die Organisationsstruktur des Unternehmens entscheidet maßgeblich über Erfolg und Misserfolg der gezielten Bewältigung des Risikophänomens. Dabei muss ein Integrationsansatz und keine Neustrukturierung der Unternehmensorganisation verfolgt werden, da das Risikomanagement – verstanden als begleitende Führungsfunktion – nicht den Anspruch erheben kann, allein aufgrund seiner risikoorientierten Zielsetzung das Unternehmen gänzlich umzugestalten Des Weiteren darf die Gestaltung der Risikomanagement-Organisation nicht zu einer isolierten Parallel-Organisation zur bestehenden Organisation führen. Vielmehr wird die Basis durch die vorhandene Organisationsstruktur vorgegeben, welche sich im Regelfall angesichts ihrer Kontinuität bereits selbst als ein wesentlicher Faktor der Unternehmenssicherheit etabliert hat. Die organisatorische Integration des Risikomanagements wird infolgedessen durch die situativen Gegebenheiten des betrachteten Unternehmens determiniert und muss eng mit ihr verzahnt sein. Die Risikomanagement-Organisation liefert also den aufbauorganisatorischen Rahmen und bestimmt den strukturellen Hintergrund für den Ablauf der Risikomanagement- Prozesse. Die Integration von Risikoüberwachungsgremien als operativ ausübende Risikomanagement-Organe in die bestehende Organisationsstruktur tragen dieser Problematik Rechnung.72 13.3.1 Aufgaben und Zuständigkeiten Die im Weiteren als Risikomanagement-Committee (RMC)73 bezeichneten Gremien stellen im Verbund (RMC-System) die Kontroll-, Überwachungs- und Steuerungsinstanzen unternehmerischer Risiken dar.74 Der Aufgabenbereich des RMC erstreckt sich von der laufenden Fortentwicklung und Anpassung des Risikomanagement-Systems an sich verändernde Markt- und Risikosituationen bis hin zur Modifikation bestehender und Integration neuer risikosteuernder Maßnahmen und Regularien. Die Hauptaufgabe besteht in der operativen Überwachung der Einleitung der Beschlüsse und Maßnahmen des RMC. Die Gremien beraten die Unternehmensführung als Stabsstelle, sprechen Handlungsempfehlungen aus und geben eine Entscheidungsvorlage für die Rangfolge der Handlungszwänge vor.75 Die Entscheidungsträger werden für die spezifischen Risikobereiche sensibilisiert und können frühzeitig gegensteuernde Maßnahmen einleiten. Die entsprechende Umsetzung der Handlungsempfehlungen erfolgt durch die Mitglieder des RMC und der aus ihrer Linienfunktion resultierenden Weisungsbefugnis. Ferner sollte das RMC als Bindeglied zwischen dem Unternehmen und den externen Prüfern fungieren. Hinsichtlich der Risikoberichterstattung (z. B. im Lagebericht) stellt das RMC den zentralen Ansprechpartner für die Wirtschaftsprüfer dar. Eine kompetente, frühzeitige und reibungslose Kommunikation hinsichtlich der aktuellen Lage und 72 Vgl. Hornung; Reichmann; Diederichs: Risikomanagement, S. 322. 73 Vgl. dazu auch Kendall: Risk Management, S. 51 ff. Vgl. zur Risikomanagement-Organisation Diederichs; Form; Reichmann: Arbeitskreis Risikomanagement, S. 212 ff. 74 Vgl. Hornung; Reichmann; Diederichs: Risikomanagement, S. 322. 75 Vgl. Cleemann; Kreutzer: Risiko-Management, S. 67. 13.3 Organisation des Risikomanagements 583 zukünftigen Entwicklung ist somit gewährleistet. Des Weiteren können kommunizierte Veränderungen der Wirtschaftsprüfungsstandards und die daraus resultierenden modifizierten Anforderungen direkt in das RMC-System eingebracht werden. 13.3.2 Organisationsstruktur und Besetzung Der konkrete Aufbau, die Komplexität und Größe einer Risikomanagement-Organisation ist jeweils in Abhängigkeit der Organisationsstruktur des Unternehmens zu gestalten. Die vorhandenen Organisations- und Führungsstrukturen bilden infolgedessen den Ausgangspunkt und müssen entsprechend berücksichtigt werden. Die Risikomanagement-Organisation muss mit der Geschäftsorganisation und den Geschäftsprozessen unmittelbar verzahnt sein, um ein effizientes Management der Risiken am Ort ihres Entstehens zu gewährleisten. Das zu implementierende RMC-System ist dementsprechend parallel zu den Hierarchieebenen des Unternehmens aufzubauen (vgl. Abb. 284). Den jeweils geschäftsführenden Teileinheiten wird ein RMC als Stabsstelle beigestellt, um eine möglichst schnelle, entscheidungsebenenbezogene Informationsbereitstellung hinsichtlich der Risikosituation sicherzustellen. Alle Gremien sind innerhalb des RMC- Systems der jeweiligen übergeordneten Teileinheit unterstellt und rechenschaftspflichtig. Die Besetzung der RMC orientiert sich an der Position innerhalb der Unternehmenshierarchie und Komplexität der jeweiligen Teileinheit. Um der vielfältig gearteten Risikoproblematik der entsprechenden operativen Einheit gerecht zu werden, muss eine flächendeckende Kompetenzvielfalt gewährleistet sein.77 Die Gremien können sich 76 Vgl. Hornung; Reichmann; Diederichs: Risikomanagement, S. 323. 77 Vgl. Diederichs: Risikomanagement und Risikocontrolling, S. 218 und 24 ff.; Kendall, Robin: Risk Management, S. 62 ff. RMC Vorstand AG AG Sparte-B AG Sparte-C AGSparte-A AG RMC Sparte RMC Sparte RMC Sparte AA GmbH BA GmbH CA GmbH RMC GmbH RMC GmbH RMC GmbH RMC GmbH AB GmbH RMC GmbH BB GmbH CB GmbH RMC AC GmbH RMC BC GmbH CC GmbH GmbH GmbH RMC GmbH RMC GmbH Abb. 284: Beispielhafter Aufbau einer Risikomanagement-Organisation76 584 13. Kapitel: Risikomanagement und Risiko-Controlling bspw. aus Vertretern der Geschäftsführung und den Leitern der primären (Beschaffung, Produktion, Vertrieb) und sekundären (Controlling, IT, Personal, F&E, Finanzen, Recht etc.) Teilfunktionen zusammensetzen. Im Falle von Kompetenzdefiziten sind weitere Personen (Interne Revision, externe Prüfer, operative Verantwortliche aus der Linie etc.) abhängig von der jeweiligen Tagesordnung zu der entsprechenden RMC-Sitzung zu laden, die als Know-how-Träger zusätzliche Informationen hinsichtlich der bestehenden Risikosituation mit in die Diskussion einbringen können. 13.3.3 Controlling als Risikokoordinator Dem Controlling als Träger des Risiko-Controllings kommt innerhalb des RMC eine zentrale Stellung zu. Die Entwicklung bzw. Weiterentwicklung von risikoorientierten Planungs-, Kontroll- und Informa tionsinstrumenten im Rahmen eines effizienten Risikomanagements fällt u. a. in den Aufga benbereich des Risiko-Controllings.78 Durch die unmittelbare Präsenz des Controllings in den RMC ist gewährleistet, dass Informationsbedürfnisse direkt erkannt, Instrumente vorgeschlagen, in Abstim mung mit dem jeweiligen Gremium diskutiert und letztendlich neu- bzw. weiterentwickelt werden können. Das Controlling sollte aufgrund der zentralen Stellung in den RMC zusätzlich als verwal tende, organisatorische und koordinierende Instanz den Risikomanagementund -kommunikations prozess begleiten und deren Ablauf sicherstellen. Wie eingangs erwähnt stellt das Controlling die vollständige und kontinuierliche risikoorientierte Berichterstattung (Risikoreporting) sicher, die in die bestehenden Berichtssysteme zu integrieren ist.79 Das Reporting schafft Transparenz für die Entscheidungsebenen hinsichtlich der relevanten Risikopositionen ausgewählter Risikobereiche und der operativen Umset zung des Risikomanagements. Eine entscheidungsebenenbezogene Informationsbereitstellung ist grundlegende Voraussetzung für den effizienten ablauforganisatorischen Rahmen und ist die Ent scheidungsbasis für die Anordnung weiterer risikosteuernder Maßnahmen. Das Risikoreporting kann als Informationsträger über die aktuellen Unternehmensrisiken und eingeleiteten risikosteuernden Maßnahmen verstanden werden und vermittelt einen Überblick über die aktuelle Risikosituation der jeweiligen Teilbereiche. Eine umfassende Berichterstattung ergibt einen zentralen Überblick über die aggregierte Risikosituation, der zur nachhaltigen Existenz- und Erfolgssicherung unabdinglich ist. Da die Existenzbedrohung des Unternehmens nicht ausschließlich aus einem einzelnen beträchtlichen Risiko in einem Geschäftsbereich, sondern vielmehr aus dem Zusammenwirken vieler geringfügiger Einzelrisiken resultiert, die in den Teilbereichen des Unternehmens gleichsam auftreten, ist Transpa renz zwingend erforderlich. Die operativen Bereiche sollten infolgedessen in einer festgelegten Perio dizität (z. B. wöchentlich, monatlich, quartalsweise etc.) Risiken identifizieren, erfassen und melden. Hierfür sollte die Kommunikationsbereitschaft der Verantwortlichen bzw. Bereiche (durch Seminare, Workshops etc.) gefördert und Sender-/Empfänger-Beziehungen eindeutig festgelegt sowie dokumentiert werden.80 78 Vgl. Krystek: Controlling-Aufgaben, S. 146 f. 79 Vgl. zur Risikoberichterstattung beispielhaft Diederichs: Risikomanagement und Risikocontrolling, S. 216 ff.; vgl. auch 235 ff.; auch Vogler; Gundert: Risikomanagementsysteme, S. 2382. 80 Generell sollte auch die Möglichkeit bestehen, Risiken anonym zu berichten. 13.3 Organisation des Risikomanagements 585 Je nach Hierarchieebene sollten Meldegrenzen festgelegt werden (vgl. Abb. 285). Die Meldegrenzen können sowohl absoluten als auch relativen Charakter haben (z. B. Umsatz, Working Capital, Betriebsergebnis, Eigenkapital, Liquidität etc.). Kleinstrisiken sollten in der Hierarchie nicht weiter gemeldet werden.81 Neben den Meldegrenzen sollten „high priority risks“ definiert werden, für die allein aufgrund der Risikoart und unabhängig von Ausmaß und Eintrittswahrscheinlichkeit eine unmittelbare Berichterstattung an den Vorstand bzw. die Geschäftsführung erfolgen muss. Die schriftliche (nachweisbare) Erfassung in den operativen Bereichen, Teileinheiten, SGE/SGF etc. kann anhand von Risikoerfassungsbögen bewerkstelligt werden. Diese sollten folgende Mindestinformationen beinhalten:83 Risiko und Risikobeschreibung, Zuordnung von Risikofeld und Risikogruppe, Schadenausmaß und Eintrittswahrscheinlichkeit vor (Brutto-Risiko) und nach (Netto-Risiko) Maßnahmen (geschätzte zukünftige Entwicklung – Tendenzaussage etc.), Gesamtbeurteilung (unbedeutend, beeinträchtigend, erheblich, gefährlich, existenzbedrohend), Auswirkungen und betroffene Unternehmensbereiche, Frühwarnindikator einschließlich Schwellenwert, (ergriffene) risikosteuernde Maßnahme(n); beschrieben durch Start, Ende, Meilensteine, Status, 81 Gerade in größeren Unternehmen sollten die dezentralen Risikomanagement-Beauftragten eine Filterfunktion wahrnehmen. 82 Vgl. Diederichs; Form; Reichmann: Arbeitskreis Risikomanagement, S. 194 f. 83 Vgl. Diederichs; Form; Reichmann: Arbeitskreis Risikomanagement, S. 196. Vgl. hierzu auch Diederichs; Danowski: Risikomanagement und Risikocontrolling, S. 573 f. - G - S Konzern BE: 430 / EK: 1.100 Unternehmensbereich 1 BE: 150 / EK: 300 Unternehmensbereich 2 BE: 280 / EK: 800 - M - S Gesellschaft 1 BE: 50 / EK: 100 Gesellschaft 4 BE: 200 / EK: 500 Gesellschaft 1 BE: 100 / EK: 200 Gesellschaft 3 BE: 80 / EK: 300 Risiko 1 S h d höh Risiko 2 S h d höh Risiko 3 S h d höh Risiko 4 S h d höh M S Ec a ens e: 20 Mio. € SH: Schadenshöhe BE: Ø Betriebliches Ergebnis im Zeitraum der G M : gering (SH ist 20 % des Ø BE) : mittel (SH ist > 20 % und 50 % des Ø BE) c a ens e: 60 Mio. € c a ens e: 10 Mio. € c a ens e: 260 Mio. € Schadensklassen: Mittelfristplanung (Mio. €) EK: Eigenkapital (Prognose-Endstand, Mio. €) S E : schwerwiegend (SH ist > 50 % des Ø BE und < 50 % des EK) : existenzbedrohend (SH ist 50 % des EK) Abb. 285: Beispiel: Schwellenwertbasiertes Reporting82 586 13. Kapitel: Risikomanagement und Risiko-Controlling verbleibendes Restrisiko (Netto-Risiko), Hinweis auf die Basisinformation (Dokumentation/Berichtswege/Status/Terminierung), Eventualmaßnahmen i. S. von Notfallplänen, Verantwortlichkeit, Ansprechpartner/verbindliche Bestätigung der meldenden Einheit, Kommentarfeld. Des Weiteren sollte aus der Risikoerfassung eindeutig hervorgehen, ob es sich bei dem gemeldeten Risiko um ein neues Risiko handelt. Bei bereits bekannten Risiken sollte die Veränderung der Einschätzung von Eintrittswahrscheinlichkeit und Schadenausmaß deutlich werden. Des Weiteren sollte auch kenntlich gemacht werden, ob und wenn ja, in welcher Höhe welche Risiken bereits in der Planung bzw. im Jahresabschluss berücksichtigt worden sind. Innerhalb der Risikomanagement-Organisation sollte neben der Standard- eine Ad-hoc- Berichterstattung eingerichtet werden. Diese wird z. B. durch die Überschreitung von Schwellenwerten ausgelöst, die allerdings deutlich höher angesiedelt sein sollten, als die Schwellenwerte der periodisierten Berichterstattung. 13.3.4 Risikomanagement-Dokumentation Neben einem kontinuierlichen Reporting besteht die Notwendigkeit, sämtliche Komponenten des Risikomanagements aufgrund der folgenden Gesichtspunkte ausreichend zu dokumentieren (Risikodokumentation):84 Durchsetzung von Verhaltensnormen durch Richtliniencharakter (Durchsetzungsfunktion), Sicherstellung der Einhaltung von Maßnahmen im Zeitablauf (Sicherungsfunktion), Nachweis des Managements für pflichtgemäßes Verhalten (Rechenschaftsfunktion), Grundlage für die interne und externe Risikoberichterstattung (informationelle Koordinationsfunktion), Grundlage und Voraussetzung für die Prüfung durch Aufsichtsrat, Interne Revision und Abschlussprüfer (Prüfbarkeitsfunktion). Die Dokumentation kann als umfassend risikoorientierte Unternehmensrichtlinie (Risikomanagement-Handbuch) verstanden werden, die einerseits die aufbau- und andererseits die ablauforganisatorischen Elemente des Risikomanagements beschreiben und die folgenden Punkte85 beinhalten sollte: Risikopolitische Grundsätze, Gesetzliche Grundlagen, Risikomanagement-Prozess, Aktuelles Risikoprofil, Aktuelle Risk-Map, Dynamische Risikomatrix, 84 Vgl. Diederichs: Risikomanagement und Risikocontrolling, S. 220 f. Vgl. Scharpf: Überwachungssystem, S. 181 f.; Brebeck; Herrmann: KonTraG-Entwurf, S. 391. 85 Vgl. hierzu auch Diederichs; Form; Reichmann: Arbeitskreis Risikomanagement, S. 197; auch Scharpf: Sorgfaltspflichten, S. 742; Brebeck; Herrmann: KonTraG-Entwurf, S. 389. 13.3 Organisation des Risikomanagements 587 Risikomanagement-Organisation, Erläuterungen zum Aufbau und Ablauf der Risikomanagement-Organisation, Risikoberichterstattung (Risikoreporting), Dokumentation und Erläuterung des Instrumentariums zur Unterstützung der Prozessschritte (Identifikation, Beurteilung, Steuerung, IT-System) sowie Verhaltensregeln zum jeweiligen Einsatz, Verhaltensregeln zur Risikokommunikation und Risikoberichterstattung und Dokumentation des Revisionsprozesses des Risikomanagements. Dabei ist zu berücksichtigen, dass die konkrete Struktur und inhaltliche Ausgestaltung des Grundgerüstes in Abhängigkeit von der jeweiligen Größe und Komplexität des Unternehmens vorzunehmen ist. Bei der Erstellung des Risikomanagement-Handbuches kann der in Abb. 286 dargestellte Aufbau behilflich sein. Die Kapitel A bis D sollten als fixe Bestandteile der Richtlinie angesehen werden, das Kapitel E mit dem Anhang kann variabel gestaltet werden. 13.3.5 Interne Revision als Prozessüberwachungsinstanz Vor dem Hintergrund einer gewissenhaften Unternehmensführung kommt neben dem Risikomanagement auch der Internen Revision eine wachsende Bedeutung innerhalb der Unternehmensorganisation zu. In der Begründung des KonTraG zu § 91 Abs. 2 AktG ist die Verpflichtung des Vorstands benannt, neben einem angemessenen Risikomanagement auch für eine angemessene Interne Revision zu sorgen. Die Beziehung zwischen Risikomanagement und Interner Revision bleibt allerdings in der Begründung offen. 86 Vgl. Diederichs; Form; Reichmann: Arbeitskreis Risikomanagement, S. 197. A. gnutielniE Zielsetzung (Betriebliche Anforderung) Gesetzliche Anforderungen Gegenstand und Geltungsbereich B. Risikomanagement-Grundlagen Begriffsbestimmungen (operatives/strategisches Risiko) Risikostrategie & risikopolitische Grundsätze C. Risikomanagement-Organisation Struktur Operative/strategische Verantwortung Funktionelle Unterstützung Überwachung (Interne/Externe Revision) D. Risikomanagement-Prozesse Risikoinventur (anhand von Risikofeldern/-gruppen) Risiko-Controlling (Identifikation/Beurteilung/Steuerung) Risikoberichterstattung (Ad hoc/Standard) Weiterentwicklung E. Anhang Verfahrensanweisungen Risikobeiblätter/Risikoerfassungsbögen Abb. 286: Beispielhafter Aufbau eines Risikomanagement-Handbuches86 588 13. Kapitel: Risikomanagement und Risiko-Controlling Sowohl Risikomanagement als auch Interne Revision agieren aus der Perspektive des Gesamtunternehmens risikoorientiert. Innerhalb der Internen Revision wird dies vor allem durch einen ganzheitlichen, risikoorientierten Prüfungsansatz umgesetzt. Dadurch ergeben sich jedoch gerade im Bereich der Überwachung des Risikomanagements inhaltliche Berührungspunkte und Überschneidungen der Aufgaben von prozessinterner (Controlling), prozessunabhängiger (Interne Revision) und unternehmensexterner Überwachung (Wirtschaftsprüfer). Zur Sicherstellung einer effizienten und zielgerichteten Unternehmensüberwachung ist deshalb eine intensive Zusammenarbeit mit einem umfassenden Informationsaustausch zwischen den genannten Funktionsträgern unabdingbar. Darüber hinaus wird die Interne Revision selbst zum Prüfungsobjekt, da der Wirtschaftsprüfer im Rahmen der Prüfung nach § 317 Abs. 4 HGB auch die Prüfungstätigkeit der Internen Revision als Teil des im Unternehmen eingerichteten Überwachungssystems prüft und beurteilt. Im Auftrag der Unternehmensleitung prüft die Interne Revision nach den Kriterien Ordnungsmäßigkeit, Sicherheit, Wirtschaftlichkeit und Zweckmäßigkeit mit dem Ziel, die Förderung einer effektiven Überwachung zu vertretbaren Kosten zu gewährleisten. Die Interne Revision hat festzustellen, ob ein fundiertes, von der Unternehmensleitung getragenes und dokumentiertes Risikomanagementsystem existiert, ob die tatsächlichen Abläufe dem definierten System entsprechen, ob also der Risikomanagementprozess umfassend und kontinuierlich durchgeführt wird und ob die Ergebnisse in geeigneter Weise dokumentiert und kommuniziert werden, ob die festgelegten Maßnahmen tatsächlich umgesetzt wurden. Darüber hinaus ist die Risikoidentifikation, Risikobewertung, Zweckmäßigkeit und Wirksamkeit der Maßnahmen zu beurteilen. Der Schwerpunkt der Überwachung des Risikomanagements seitens der Internen Revision sollte in der Prüfung der Umsetzung und Zweckmäßigkeit der eingeleiteten Maßnahmen liegen, während insbesondere die Vollständigkeit der erfassten Risiken und 87 Vgl. Diederichs: Risikomanagement und Risikocontrolling, S. 232. Unabhängige Überprüfung des Risikomanagements im Hinblick auf die Umsetzung des Risikomanagement- Prozesses (Identifikation, Beurteilung, Risikomanagement Interne Revision unternehmerische Risikobewältigung, inkl. der Prüfung der entsprechenden Organisation, Prozesse und Infrastruktur Prüfung der Relevanz und Qualität derjenigen Steuerung, Überwachung) Aktives Eingehen von Risiken auf Basis strategischer und operativer Limits Optimierung von Ertrag und Risiko im Daten, auf die sich die Risikomanagement- Aktivitäten stützen Rahmen der durch die Risikopolitik eröffneten Freiheitsgrade Übernahme der Risikoverantwortung, auch i.S. von Ergebnisverantwortung Abb. 287: Abgrenzung der Aufgaben von Risikomanagement und Interner Revision87 13.4 Balanced Chance and Risk Management 589 die Risikobeurteilung nur im Rahmen von umfassenden Prozess-, Ordnungsmäßigkeitsoder Sonderprüfungen bewertet werden kann. Auf Basis der Prüfergebnisse spricht die Interne Revision Empfehlungen aus und verweist auf Kontrollstandards und best-practice-Vorgehensweisen. Außerdem kann die Interne Revision sowohl bei der Einführung als auch bei der Weiterentwicklung des Risikomanagementsystems das Management und Controlling beratend unterstützen. Abschließend kann festgehalten werden, dass der systematische Umgang mit Risiken auf dynamischer werdenden Märkten neue Aufgaben und Herausforderungen an das Management und das Controlling stellt. Besonders wichtig erscheint in diesem Zusammenhang die zukünftig engere Kooperation zwischen Unternehmen und externen Prüfern. Darüber hinaus ist es, neben der Beachtung der hier beschriebenen Standards, zwingend erforderlich, sich an der laufenden Rechtsprechung, an Checklisten und Handbüchern von Beratungsunternehmen mit Risikomanagement-Know-how, der aktuellen Literatur sowie der wissenschaftlich ausgerichteten Unternehmensführung zu orientieren.89 Dies sollte aus Unternehmersicht nicht nur als Pflicht verstanden werden, sondern vielmehr als Chance und Gedankenanstoß, ein lernendes, sich entwickelndes und intelligentes System im Unternehmen zu etablieren, das laufend und unmittelbar auf die aktuelle und potenzielle Risikosituation reagieren kann, um langfristig Erfolgspotenziale zu sichern und wesentliche bis hin zu existenzbedrohenden Risiken frühzeitig abzuwenden. 13.4 Balanced Chance and Risk Management Unternehmerisches Handeln besteht in der Nutzung von Chancen und dem Management der damit verbundenen Risiken. Die allein risikoorientierte Betrachtung von Entwicklungen, die den Erfolg oder gar die Existenz eines Unternehmens gefährden, ist daher unvollständig, solange sie den Zusammenhang mit den risikobegründenden Chancen 88 Vgl. Diederichs: Risikomanagement und Risikocontrolling, S. 233. 89 Vgl. hierzu http://www.cic-online.de. Prüfung der Konzeption und Organisation des Risikomanagement-Systems Prüfung der vollständigen E f d d Id tifik ti Prüfung der Kommunikation Risikostrategie d R li i d r assung un er en a on aller Risiken von Risiken Prüfung der Risikoanalyse und Risikobewertung gPrüf nu er ea s erung er Maßnahmen zur Risikosteuerung und der Einhaltung der integrierten Kontrollen Abb. 288: Prüfung des Risikomanagements durch die Interne Revision88

Chapter Preview

References

Zusammenfassung

Das Standardwerk für Wissenschaft und Controllingpraxis.

Transparenz und nachhaltiges Handeln werden immer mehr als Erfolgsfaktoren anerkannt. Übertragen auf die Aufgaben des Controllings wird Transparenz mit den Instrumenten des Rechnungswesens und den Analyseinstrumenten des Controllings geschaffen. Nachhaltigkeit bedeutet, belastbare Informationen für die strategische Ausrichtung des Unternehmens zur Verfügung zu stellen. Dieses Standardwerk weist nunmehr bereits in der 8. Auflage den Weg zu einer systemgestützten Controlling-Konzeption und gibt – State of the Art – konkrete Empfehlungen für den Aufbau einer unternehmensbezogenen Controlling-Applikation mit Kennzahlen und Analyseinstrumenten. Es liefert sowohl wertvolle, praxiserprobte Anregungen als auch fundiertes, theoriegestütztes Wissen bei der Implementierung des Controllings im Unternehmen:

- Kennzahlen und Kennzahlensysteme, systemgestützte Controlling-Konzeption

- Kosten- und Erfolgs-Controlling, Konjunktur und Fixkostenmanagement

- Finanz- und Investitions-Controlling, Rating-Check

- Beschaffungs-, Produktions- und Logistik-Controlling

- Marketing-Controlling, DV-gestütztes Controlling

- Strategisches Controlling und internationales Standort-Controlling

- Risikomanagement und Risiko-Controlling, BCR-Card

- Corporate Governance und Controlling, wertorientiertes Konzern-Controlling

Der Autor

Prof. Dr. Thomas Reichmann ist Direktor in einem internationalen Beratungsunternehmen. Er hat in seiner langjährigen Beratungspraxis internationale Unternehmen in den Bereichen Performance-, Prozess- und Kostenmanagement beraten, darunter eine Vielzahl börsennotierter Unternehmen.