Risikoüberwachung, Risiko-Controlling und die Organisation des Risikomanagements in:

Werner Gleißner

Grundlagen des Risikomanagements im Unternehmen, page 234 - 297

Controlling, Unternehmensstrategie und wertorientiertes Management

2. Edition 2011, ISBN print: 978-3-8006-3767-6, ISBN online: 978-3-8006-4408-7, https://doi.org/10.15358/9783800644087_234

Series: Management Competence

Bibliographic information
6. Risikoüberwachung, Risiko-Controlling und die Organisation des Risikomanagements 6.1 Einleitung und Grundsätze Da sich die Risiken im Zeitverlauf ständig verändern, ist eine kontinuierliche Überwachung der wesentlichen Risiken ökonomisch notwendig und durch das KonTraG gefordert (vgl. Abschnitt 1.7). Gemäß den Anforderungen des KonTraG (bz w. des IDW PS 340) muss daher die Verantwortlichkeit für die Überwachung der wesentlichen Risiken, einschließlich Angaben zu Überwachungsturnus und Überwachungsumfang, klar zugeordnet und dokumentiert werden. Zudem muss die Unternehmensführung eine Risikopolitik formulieren, die grundsätzliche Anforderungen in dem Umgang mit Risiken fixiert (vgl. Abschnitt 2.1). Auch die Vorgabe von Limiten und die Definition eines Berichtsweges für die Risiken sind hier zu dokumentieren. Aus Effizienzgründen wird das Risikomanagement meist durch eine geeignete IT-Lösung unterstützt (vgl. Abschnitt 6.9). Die Gesamtheit aller Dokumentationen zum Risikomanagementsystem wir d als Risikohandbuch bezeichnet (vgl. Abschnitt 6.6). Typische Inhalte sind: Risikopolitik (risikopolitische Grundsätze des Unternehmens), • Aufbau- und Ablauforganisation (Verantwortlichkeiten und Vorgehensweise • bei der Risikoanalyse, der Risikoaggregation, der Risikoüberwachung sowie der Berichterstattung), Erläuterungen und Verfahrensanweisungen (verwendete Werkzeuge wie • Risikofelder, Musterberichte, Überwachungsmeldungen und dergleichen), Limite, d.h. Grenzen für die Akzeptanz von Risiken. • Teilweise äußern die Mitarbeiter – durchaus berechtigt – Bedenken, dass ein hoher zusätzlicher bürokratischer Aufwand für solch ein Risikomanagementsystem erforderlich zu sein scheint.389 Durch eine straffe Organisation des Risikomanagementsystems kann unnötiger bürokratischer Aufwand jedoch konsequent vermieden werden, ohne auf die angestrebte Transparenz über die Risikosituation verzichten zu müssen, die für die Steuerung des Unternehmens notwendig ist. Das Risikomanagement wird in vielen Fällen dem Controlling bzw. der kaufmännischen Leitung bzw. dem Finanzvorstand zugeordnet, wodurch sich natürlich inhaltliche Einschränkungen ergeben können; insbesondere, wenn hier nicht alle nötigen Informationen vorliegen und nicht die nötigen Kompetenzen übertragen werden, die nötigen Informationen zu beschaffen. 389 Vgl. Gleißner/Lienhard/Stroeder, 2004, S. 99 ff. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 220 6. Risikoüberwachung, Risiko-Controlling und die Organisation Eine n wichtigen Teilaspekt eines Risikomanagements stellt das interne Kontrollsystem dar. Das interne Kontrollsystem trägt durch organisatorische Regelungen und die Überwachung seitens der internen Revision dazu bei, dass Arbeitsprozesse in der gewünschten Weise durchgeführt werden, und insbesondere Fehler in der Rechnungslegung sowie Untreue und Betrug durch Mitarbeiter vermieden werden. Ungeachtet der Bedeutung eines internen Kontrollsystems muss aus Perspektive eines unternehmensweiten integrierten Risikomanagements jedoch auch festgehalten werden, dass gerade die bestandsbedrohenden Risiken von Unternehmen meist nicht aus Untreue oder „Fraud“ entstehen, sondern durch das Wirksamwerden strategischer Risiken und Marktrisiken. In der Praxis haben jedoch viele Unternehmen gerade im Bereich der internen Kontrollsysteme bisher wesentlich mehr Aufwand betrieben, als in allen anderen Bereichen des Risikomanagements zusammen, was durch die hier bestehenden formalen Vorgaben (z.B. den Sarbanes Oxley Act) zwar verständlich ist, aber zur Wahrnehmung eines überbürokratisierten Risikomanagementverständnisses in Unternehmen wesentlich beigetragen hat. Im schlimmsten Fall führt ein so überbetontes Kontrollsystems dazu, dass das Mittel zum Selbstzweck wird. Das folgende Kapitel zur organisatorischen Gestaltung von unternehmensweiten Risikomanagementsystemen ist wie folgt gegliedert: Zunächst wird aufbauend auf den grundlegenden rechtlichen Vorgaben (Abschnitt 6.2) detaillierter auf die formalen Anforderungen an Risikomanagementsysteme gemäß des Prüfungsstandards IDW PS 340 eingegangen. Dieser Prüfungsstandard ist die Grundlage für die Prüfung von Risikomanagementsystemen auf Grundlage des KonTraG. Im folgenden Abschnitt 6.3 werden anschließend die beiden grundsätzlichen (kombinierbaren) Strategien für den Auf- und Ausbau von Risikomanagementsystemen vorgestellt. Zum einen wird der sog. „Risikomanagement- MONITORING & COACHING • Leitfaden zur Bearbeitung der Risikomappen • Risikomappen Name Kundenunternehmen Name Kundenunternehmen Name Kundenunternehmen RISKMANAGEMENT RISIKOAGGREGATION • Unternehmensmodell RISKMANAGEMENT PROJEKTMANAGEMENT • Annahmen und Parameter • Ergebnisse der RISIKOANALYSE • Risikoidentifikation • Risikoquantifizierung • Aufgabenerstellung • Projektorganisation • Aktionsplan • Rechtliche Grundlagen • Bedeutung und Handhabung der Dokumentation • Methoden • Terminologie und Abkürzungen Unternehmene Ku denunternehmen Na Kundenunter ehmen Risikoaggregation Deckblätter eines RisikohandbuchsAbbildung 67: Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2216.2 Anforderungen an die Organisation ansatz“ erläutert, der zunächst einen eigenständigen Prozess der Identifikation, Bewertung, Aggregation, Steuerung und Überwachung der Risiken vorsieht. Ergänzend wird der sog. „Controllingansatz“ erläutert, der den Schwerpunkt auf ein integratives Risikomanagement legt, das soweit möglich vorhandene Managementsysteme (speziell aus Controlling und Qualitätsmanagement) nutzt (vertiefend erläutert in Abschnitt 6.4 und 6.5). Auf Grund des erheblichen Vorteils im Hinblick auf die Effizienz wird in diesem Zusammenhang vor allem erläutert, welche vielfältigen Anknüpfpunkte es gibt, Grundfunktionalitäten des Risikomanagements in bestehende Managementsysteme zu implementieren und Compliance-Anforderungen zu berücksichtigen. So wird beispielsweise gezeigt, dass durch eine systematische Identifikation der unsicheren Planannahmen im Rahmen von Controlling- und Budgetierungsprozessen bereits ein erheblicher Teil der Identifikation von Risiken abgedeckt werden kann. Auch auf die Verbindung von Risikomanagement und Qualitätsmanagement sowie strategischer Planung (Balanced Scorecard) wird ergänzend hingewiesen. Abschnitt 6.6 befasst sich mit dem Risikohandbuch und dem wichtigsten Prozess des Risikomanagements, nämlich der Steuerung und der laufenden Überwachung von Risiken, die zu einer kontinuierlichen Anpassung und Aktualisierung der Informationen über das Risiko (speziell der quantitativen Höhe) beitragen. Darauf folgend werden die wichtigsten Aufgaben und Stellen im Rahmen des Risikomanagements betrachtet. Dabei werden beispielhafte Stellenbeschreibungen des Risikomanagers oder der Verantwortlichen für die Risikoüberwachung (Risk Owner), aber auch der internen Revision, erläutert. Nach einer kurzen Abgrenzung von Risikomanagement und Frühaufklärungssystemen befasst sich Abschnitt 6.7 mit ökonomischen Strategien zur Prüfung der (betriebswirtschaftlichen) Leistungsfähigkeit von Risikomanagementsystemen. Dabei wird neben der klassischen Systemprüfung, wie sie Wirtschaftsprüfer vornehmen, vor allem auf die Strategie der „Output-Prüfung“ und der „Abweichungsanalyse“ eingegangen. Der Abschnitt dient dazu, den aktuellen Status quo des eigenen Risikomanagements kritisch einzuschätzen und insbesondere Ansatzpunkt für Verbesserungen und den weiteren Ausbau zu identifizieren. 6.2 Anforderungen an die Organisation des Risikomanagement systems Vor den inhaltlichen Erläuterungen zur organisatorischen Gestaltung von Risikomanagementsystemen werden im Folgenden zunächst die wesentlichen formellen Rahmenbedingungen dargestellt, wobei im Schwerpunkt auf die Regelungen des IDW Prüfungsstandards 340 eing egangen wird, der als Konkretisierung der KonTraG-Anforderungen aufgefasst werden kann. Zu erwähnen ist ergänzend, dass es in vielen Fällen für Unternehmen sinnvoll und hilfreich ist, wenn man zudem die (unverbindlichen) Empfehlungen der verschiedenen existierenden Risikomanagementnormen390 aufgreift, wie beispielsweise der empfehlenswerten Norm ONR 49000 und 49001. 390 Siehe Winter, 2006a. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 222 6. Risikoüberwachung, Risiko-Controlling und die Organisation Zunächst jedoch einige Erläuterungen zu IDW PS 340. Im Prüfungsstandard des Institutes der Deutschen Wirtschaftsprüfer (IDW PS 340) sind insgesamt folgende Anforderungen an ein Risikomanagementsystem festgelegt: 1. Festlegung der Risikofelder Die Geschäftsleitung muss geeignete Maßnahmen treffen, insbesondere ein • Überwachungssystem einrichten, damit den Fortbestand gefährdende Entwicklungen früh erkannt werden. Die Maßnahmen sind auf das gesamte Unternehmen zu erstrecken. Dabei sind sämtliche Prozesse und Funktionsbereiche, einschließlich aller • Hierarchiestufen und Stabsfunktionen, einzubeziehen. Dadurch sollten Einzelrisiken oder mehrere Risiken im Zusammenwirken • erfasst werden, die eine Bestandsgefährdung darstellen. Ergänzend sind die Bereiche Funktionen und/oder Prozesse, aus denen sol- • che Risiken im besonderen Maß resultieren bzw. in die diese Risiken aus der Unternehmenswelt einwirken, einzubeziehen. 2. Risikoerkennung und Risikoanalyse Ei • ne wirksame Risikoerfassung erfordert, dass sowohl im Vorhinein definierte Risiken als auch Auffälligkeiten oder Risiken, die keinem vorab definiertem Erscheinungsbild entsprechen, erkannt werden. Dies setzt die Schaffung und die Fortentwicklung eines angemessenen Risi- • kobewusstseins aller Mitarbeiter (insbesondere in den besonders risikoanfällig eingeschätzten Bereichen) voraus. Die Risikoanalyse beinhaltet eine Beurteilung der Tragweite der erkannten • Risiken in Bezug auf Eintrittswahrscheinlichkeit und quantitative Auswirkungen. Hierzu gehört auch die Einschätzung, ob Einzelrisiken, die isoliert betrachtet • von nachrangiger Bedeutung sind, sich in ihrem Zusammenwirken oder durch Kumulation im Zeitablauf zu einem bestandsgefährdenden Risiko aggregieren können. 3. Risikokommunikation Di • e Risikokommunikation hat für die Funktionsfähigkeit des Früherkennungssystems eine zentrale Bedeutung. Dies setzt eine Kommunikationsbereitschaft der verantwortlichen Stellen voraus, die z.B. durch Schulungsmaßnahmen gefördert werden sollte. Bei nicht bewältigten Risiken muss sichergestellt werden, dass diese in nach- • weisbarer Form an die zuständigen Entscheidungsträger weitergeleitet werden. Um sicherzustellen, dass sich Einzelrisiken nicht zu einem bestandsgefähr- • denden Risiko kumulieren können, sind auf jeder Stufe der Risikokommunikation Schwellenwerte zu definieren, deren Überschreitung eine Berichtspflicht auslöst. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2236.2 Anforderungen an die Organisation In welchen Zeitabständen und an wen über Veränderungen der Risiken be- • richtet werden muss, hängt von der Art des Risikos und seiner Bedeutung für das Unternehmen ab. Bei Eilbedürftigkeit müssen jedoch förmliche Berichtsstrukturen überwunden werden. 4. Zuordnung Verantwortlichkeiten und Aufgaben Den Unternehmensbereichen ist die Verantwortung dafür zu übertragen, • dass die auftretenden Risiken erfasst und sofort bewältigt oder an die festgelegten Berichtsempfänger weitergeleitet werden. Dabei sind die Verantwortlichkeiten – üblicherweise nach Hierarchie ebenen • – abzustufen. Es ist sicherzustellen, dass eine Rückkopplung zwischen den Unternehmensbereichen erfolgt, um der Möglichkeit einer Aggregation, der wechselseitigen Verstärkung oder der Kompensation von Einzelrisiken Rechnung zu tragen. Damit eine rechtzeitige Risikoerfassung gewährleistet ist, wird es i.d.R. • zweckmäßig sein, die Verantwortung für die Rückkopplung den jeweils zuständigen Berichtsempfängern zu übertragen. Wenn keine Möglichkeit zur Risikobewältigung besteht, ist die Weiterleitung • an einen übergeordneten Berichtsempfänger erforderlich. 5. Einrichtung eines Überwachungssystems Die Einhaltung der eingerichteten Maßnahmen zur Erfassung und Kommu- • nikation bestandsgefährdender Risiken und ihrer Veränderung ist durch ein geeignetes Überwachungssystem sicherzustellen. Teilweise sind diese Maßnahmen Kontrollen, die in die Abläufe fest eingebaut • sind, wie z.B. die Überwachung der Einhaltung von Meldegrenzen oder die Genehmigung und Kontrolle der Risikoberichterstattung. Sämtliche Maßnahmen sind Gegenstand der Prüfungen durch die Interne • Revision. Gegenstand der Prüfungstätigkeit der Internen Revision sind u.a.: • vollständige Erfassung aller Risikofelder des Unternehmens – Angemessenheit der Maßnahmen – Kontinuierliche Anwendung der Maßnahmen – Einhaltung der integrierten Kontrollen – 6. Dokumentation getroffener Maßnahmen Zur Sicherstellung der dauerhaften, personenunabhängigen Funktionsfä- • higkeit der getroffenen Maßnahmen und zum Nachweis der Erfüllung der Pflichten des Aufsichtsrates ist es erforderlich, dass die Maßnahmen einschließlich des Überwachungssystems angemessen dokumentiert werden. Erstellung eines Risikohandbuchs, in das die organisatorischen Regelungen • und Maßnahmen aufgenommen werden. Neben diesen Anforderungen aus dem IDW PS 340 können für Unternehmen je nach Branche weitere rechtliche Mindestanforderungen zu erfüllen sein, wie z.B. die MaRisk bei den Kreditinstituten. Darüber hinaus existieren eine Vielzahl von Verordnungen aus Arbeitsschutz und Umweltschutz sowie die – meist Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 224 6. Risikoüberwachung, Risiko-Controlling und die Organisation unverbindlichen – Risikomanagementnormen. In Anbetracht der Vielzahl von Regelungen sollte jedoch immer bedacht werden, dass eine Überbürokratisierung im Risikomanagement vermieden werden sollte. Konsequenterweise sollte grundsätzlich versucht werden, die verschiedenen formellen Anforderungen an das Risikomanagementsystem durch bereits vorhandene, leistungsfähige Managementsysteme (wie Controlling oder Qualitätsmanagement) mit abzudecken. Dies fördert die Effizienz und die Akzeptanz des Risikomanagements im Unternehmen. 6.3 Aufbau eines Risikomanagementsystems 6.3.1 Eigenständiger Risikomanagementansatz Das in diesem Abschnitt skizzierte Vorgehen beim Aufbau und der Organisation von Risikomanagementsystemen, das von einem weitgehend unabhängigen Prozess der Risikoidentifikation und Risikoüberwachung ausgeht, wird auch als „Risikomanagementansatz“ bezeichnet.391 Der Risikomanagementansatz ist wesentlich geprägt durch die formalen Anforderungen an ein Risikomanagement, wie speziell im KonTraG und im IDW PS 340 beschrieben. Nach Verabschiedung des KonTraG haben Unternehmen begonnen, Risikomanagementsysteme (neu) aufzubauen, die den Anforderungen des genannten Prüfungsstandards entsprechen. Dabei wurde Risikomanagement meist als eigenständiges Managementsystem verstanden, das durch unabhängige Prozesse sicherstellen soll, dass alle Risiken identifiziert, bewertet, aggregiert und regelmäßig überwacht werden. Die Risikoidentifikation wird hierbei im Wesentlichen durch separat für diesen Zweck turnusmäßig einberufene Workshops (Risk Assessments) durchgeführt. Häufig wird auch die Risikobewertung im Kontext solcher Workshops vorgenommen. Für die laufende Überwachung bereits bekannter Risiken werden Risk Owner benannt, die in festgelegten zeitlichen Abständen die Risiken betrachten, um mögliche Veränderungen des Risikoumfangs anzuzeigen – der Turnus ist dabei weitgehend losgelöst von anderen Aktivitäten der Risk Owner und anderen Managementprozessen (z.B. Budgetierung). In vielen Fällen wird für das Risikomanagement auch eine eigenständige IT-Lösung implementiert, die keinen Bezug zur Unternehmensplanung aufweist, und auch das Risikoreporting wird hier oft unabhängig von der existierenden Reporting-Struktur abgedeckt. Als eine allgemeine Voraussetzung für die Funktionsfähigkeit eines Risikomanagementsystems kann die Schaffung einer zentralen Stelle (im Folgenden als zentrales Risikocontrolling bezeichnet) genannt werden. Darunter kann in den einzelnen Unternehmensbereichen bzw. Unterstützungsfunktionen ein dezentrales Risikomanagement (besetzt nicht nur durch die Risikoeigner bzw. Risk Owner)392 eingerichtet werden. Die Hauptaufgabe des zentralen Risiko- 391 Vgl. Gleißner, 2000 sowie Mott, 2001. 392 Eine beispielhafte Stellenbeschreibung folgt in Abschnitt 6.6. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2256.3 Aufbau eines Risikomanagementsystems controllings besteht dann darin, das Risikomanagement zu einem konsistenten und effizienten System auszubauen und die Funktionsfähigkeit des Systems zu gewährleisten – z.B. durch Koordination und Unterstützung aller Aufgaben und beteiligten Personen. Oft kann mit einem einstufigen System eine für die zu bewältigenden Aufgaben ausreichende Struktur geschaffen werden. Einstufig meint dabei, dass das Risikomanagementsystem nur über eine zentrale Koordinationsstelle – eben das zentrale Risikocontrolling – verfügt. Direkt darunter angeordnet sind dann die Verantwortlichen für einzelne Bereiche bzw. Teilaufgaben des Systems. Bei großen oder sehr stark verflochtenen Unternehmen mit einer entsprechend komplexen Risikolandschaft ist es empfehlenswert, ein mehrstufiges System zu gestalten. In einem solchen wird die Koordinationsaufgabe des zentralen Risikocontrollings durch vergleichbare dezentrale Stellen unterstützt, die für einen Teilbereich des Unternehmens die Koordination für das dort angesiedelte Subsystem des Risikomanagements übernehmen. Besonders häufig anzutreffen sind solche mehrstufigen Systeme in Holdingstrukturen oder vergleichbaren Organisationen, in denen eigenständig agierende und ausreichend bedeutsame Unterorganisationen (Tochtergesellschaften, Strategische Geschäftseinheiten) existieren. Vorstellbar ist natürlich auch eine teilweise Zweistufigkeit eines Risikomanagementsystems, indem in einem Bereich ein Subsystem aufgebaut wird, während alle anderen Bereiche von einer Zentralstelle aus gesteuert und koordiniert werden. Ein solches teilweise zweistufiges System würde folgender Aufbaustruktur entsprechen. Ein häufiges Problem bei der in Abbildung 68 abgebildeten Struktur eines Risikomanagements besteht jedoch darin, dass hier Zielkonflikte zwischen Risiko- Struktur der zweistufigen Risikomanagement-Organisation Abbildung 68: mit Reportingwegen Risk Ownerisk ner Dezentrales Risiko-Controlling Vorstand Zentrales Risiko-Controlling Aufsichtsrat Risk Ownerisk nerBereichsleitung Tochter-Gesellschaft Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 226 6. Risikoüberwachung, Risiko-Controlling und die Organisation reporting und den üblichen Projekt- und Linienverantwortlichkeiten auftreten können. Im Sinne eines transparenten und möglichst unverfälschten Risikoreportings wäre es sinnvoll, wenn auch ein dezentraler Risk Owner (z.B. einer Tochtergesellschaft) seine Risikoeinschätzung unmittelbar dem zentralen Risikocontrolling zur Aufbereitung für die Unternehmensführung/den Vorstand weiterleiten würde. Teilweise sind solche Ansätze inzwischen sogar regulatorisch verankert (siehe z.B. die Best Practices für operationelle Risiken nach Basel II). Diese Umgehung der Leitung der Tochtergesellschaft verstößt jedoch gegen die sonst häufig im dezentralen Unternehmen gewählten Grundsätze einer umfassenden Erfolgsverantwortung des jeweiligen Geschäftsführers oder Vorstands. Unter Rücksichtnahme auf die umfassende Verantwortlichkeit von Geschäftsführern und Vorständen von Tochtergesellschaften (oder Leitern einzelner Profit Centern) wird in der Praxis meist vereinbart, dass die dezentralen Risk Owner zunächst ihre Risikoeinschätzung dem Leiter ihrer Tochtergesellschaft mitteilen und mit diesem abstimmen. Erst das so abgestimmte Risikoprofil wird dann an das zentrale Risikocontrolling weitergemeldet. Natürlich besteht hier das grundsätzliche Problem, dass der Verantwortliche für eine Tochtergesellschaft oder ein Profit Center die Risikoeinschätzung in seinem Sinne verändert, so dass der zentrale Vorstand nur mehr ein „bereinigtes“ oder geschöntes Bild der Risikosituation der Tochtergesellschaft erhält. Langfristig ist dies nicht im Interesse auch des jeweils zuständigen Profit Centerleiters oder Geschäftsführers der Tochtergesellschaft, wenn sichergestellt wird, dass bei der Performancebeurteilung eingetretene Planabweichungen nur auf bereits mitgeteilte Risiken zurückgeführt werden dürfen. Dennoch erscheint es ergänzend sinnvoll, wenn zumindest in begründeten Ausnahmefällen die dezentralen Risk Owner eine direkte Berichtsmöglichkeit zum zentralen Risikocontrolling haben und das zentrale Risikocontrolling umgekehrt die Möglichkeit hat, sich direkt mit den dezentralen Risk Ownern in Tochtergesellschaften und Profit Centern in Verbindung zu setzen und hier Informationen direkt zu erfassen bzw. zu diskutieren. Die Stelleninhaber der Risikocontrollingaufgaben erhalten aus dieser Aufgabe heraus keine Weisungsbefugnis gegenüber anderen Mitarbeitern. Sie haben jedoch ein ausgeprägtes Recht auf Information. Theoretisch sinnvoll erscheint eine grundlegende Trennung von Risikoverursachung und Risikoüberwachung. In der Praxis wird jedoch mindestens auf der Ebene der Risikoeigner eine Personalunion mit Linienfunktionen nahezu unumgänglich sein, wodurch eine faktische Entscheidungsbefugnis der am Risikomanagementprozess Beteiligten gegeben ist und die Trennung von Ausführung und Überwachung nur in Teilen gelingt. Insbesondere durch die Doppelfunktion von Risikoeignern als „Risikoverursacher“ steigt die Bedeutung der Unabhängigkeit des zentralen Risikocontrollings. Nach dieser Beschreibung des traditionellen separierenden Risikomanagementansatzes wird im Folgenden die Idee eines integrierten Risikomanagements dargestellt, das als „Controllingansatz“ bezeichnet wird, da hier Risikomanagement in wesentlichen Teilen durch eine Weiterentwicklung bestehender Controllingsysteme im Hinblick auf eine „stochastische Planung“ unterstützt Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2276.3 Aufbau eines Risikomanagementsystems wird. Klarstellend sei jedoch gesagt, dass die beiden grundlegenden Konzeptionen durchaus keine strikten Gegenpositionen darstellen, sondern jedes Unternehmen individuell Komponenten des einen und des anderen Ansatzes bei sich umsetzen kann. 6.3.2 Controllingansatz: integriertes Risikomanagement 6.3.2.1 Grundidee Alternativ zu dem oben beschriebenen „Risikomanagementansatz“ ist der so genannte „Controllingansatz“ zu sehen, der nachfolgend kurz beschrieben wird und der ein weitergehend in bestehende Managementsysteme integriertes Risikomanagement zum Ziel hat. Die Grundidee dieses Ansatzes ist die Definition, dass Risiken immer mögliche Planabweichungen darstellen und damit die Identifikation, Bewertung und kontinuierliche Überwachung der Risiken möglichst weitgehend in der Planung und im Controllingsystem, aber auch im Qualitätsmanagement des Unternehmens verankert werden sollen.393 Bei dieser Vorgehensweise wird zunächst durchgängig nach allen Möglichkeiten gesucht, die vorhandenen Managementsysteme (Planung, Controlling, Budgetierung – aber auch Qualitätsmanagement) zu nutzen, um die Aufgaben des Risikomanagements mit abzudecken oder zumindest zu unterstützen. Jede Planung basiert auf unsicheren Annahmen über die Zukunftsentwicklung. Diese unsicheren Annahmen stellen genau diejenigen Risiken dar, die Planabweichungen auslösen könnten und deshalb im Rahmen des Risikomanagements erfasst, bewertet und gegebenenfalls durch geeignete Maßnahmen bewältigt werden müssen. Der „Controllingansatz des Risikomanagements“ nutzt zunächst Informationen über unsichere Planannahmen und später tatsächlich eingetretene Abweichungen, um Risiken zu identifizieren und zu bewerten und integriert damit die Aufgabe der Identifikation und Bewertung von Risiken in die Planungs-, Controllingund Budgetierungsprozesse. Planer und Controller werden damit zugleich Risikoeigner für diejenigen Risiken, die ihr normales Tätigkeitsfeld betreffen und dort Planabweichungen auslösen können. Das integrierte Risikomanagement im Sinne des hier dargestellten Controllingansatzes stützt sich im Wesentlichen auf das Controlling, teilweise auch auf Treasury und Qualitätsmanagement. Derjenige Teil des Controllings, der in diesem Verständnis einen Beitrag für das Risikomanagement leistet, wird auch als Risikocontrolling bezeichnet.394 Ergänzend sei darauf hingewiesen, dass auch die bereits vorgestellte österreichische Risikomanagement-Norm ONR 49001 von einem integrierten Risikomanagementansatz ausgeht, bei dem Risikomanagement mit Controlling, Qualitätsmanagement und anderen Managementsystemen verbunden wird (siehe Abschnitt 1.6.8). 393 Vgl. Gleißner, 2000. 394 Vgl. Winter, 2006a, S. 200. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 228 6. Risikoüberwachung, Risiko-Controlling und die Organisation 6.3.2.2 Risikocontrolling im Kontext des Controllings Als Risikocontrolling wird also der Teil des Controllings verstanden, der einen Beitrag zur Sicherstellung der wesentlichen Risikomanagement-Funktionen leistet.396 Diese Risikocontrolling-Aufgaben umfassen dabei insbesondere die Bereitstellung von Informationen für das Risikomanagement (z.B. bezüglich unsicherer Planannahmen oder eingetretener Planabweichungen) sowie die Sicherstellung der Risikoberichterstattung durch die Nutzung vorhandener Reportingwege. Insgesamt kann man als primäres Ziel des Risikomanagements (und damit als indirektes Ziel des Risikocontrollings) die Existenzsicherung des Unternehmens auffassen.397 Als zentrale Aufgabenfelder des Risikocontrollings ist dabei die Entwicklung (und Nutzung) geeigneter Kennzahlen (Risikomaße) und der für diese erforderlichen Verfahren (Risikomessmethoden) zu nennen. Als gelungenes Beispiel für eine tragfähige Risikomanagementkonzeption, die auf dem Gedanken eines integrierten Risikomanagement- und Risikocontrolling-Prozesses basiert, kann der in der folgenden Tabelle abgebildete Vorschlag von Winter angesehen werden.398 Es darf in diesem Zusammenhang darauf hingewiesen werden, dass auch andere Rahmenwerke als Leitfaden für eine operative Umsetzung des Risikocontrollings genutzt werden können, die ihrerseits jeweils zusätzliche Aspekte gut abdecken. Beispielsweise liefern die so genannten „Best Practices“ für das Management operationeller Risiken gemäß Basel II einen interessanten Ansatz für die Integration verschiedener Risikoarten in ein einheitliches Reporting. 395 Quelle: Winter, 2006a und weiterführend Brühwiler/Romeike, 2010. 396 Siehe Winter, 2006a, S. 200. 397 Siehe Winter, 2006a, S. 221. 398 Vgl. Winter, 2006a, S. 158. Strategie Supply Chain Kommunikation intern/extern Finanz- und Rechnungswesen K U N D E N u n d a n d er e in te re ss ie rt e Pa rt ei en K U N D E N u n d a n d er e in te re ss ie rt e Pa rt ei en Interne Audits Datenmanagement Marktforschung Projektdefinition Analyse Umsetzung Test Einführung Entwicklung Fabrikation Vertrieb Service Infrastruktur Mitarbeiter Kapital Führungsprozesse Resourcenprozesse Produkt- und Dienstleistungs-Realisierungsprozessenprozesse Unterstützungsprozess Controlling/MIS Kontinuierliche Verbesserung Risikomanagement Integriertes Risikomanagement nach ONR 49001Abbildung 69: 395 Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2296.3 Aufbau eines Risikomanagementsystems Steckbrief des Vorschlags für eine Abbildung 70: tragfähige Risikocontrolling -Konzeption Merkmal Ausprägung Zugrunde gelegte Sicht der Betriebswirtschaftslehre • Untersuchung menschlichen Handelns unter dem Aspekt der Erziehung und Verwendung von Einkommen sowie der Reduktion der dabei auftretenden Unsicherheiten und hierzu dienender Institutionen (Regel- und Handlungssysteme) Charakterisierung der Unternehmensumwelt und des Unter nehmens • Komplex und dynamisch, beschränkt-rationale und nutzenmaximierende Akteure mit kognitiven Beschränkungen, beschränkte Ressourcen, potenziell stochastische Welt, unvollständiges und ungleich verteiltes Wissen über Sachverhalte und Akteure Handlungsebenen des Unternehmens: Unternehmensführung, Führungsunterstützung, Ausführung Risikobegriff • Möglichkeit einer Zielverfehlung, wobei die Ergebnisunsicherheit aus mangelnden Informationen über relevante Sachverhalte und/ oder der mangelnden Fähigkeit, diese zu verarbeiten, resultiert • Insbesondere die Möglichkeit des Abweichens eines realisierten Einkommens aus einer Unternehmensbeteiligung von einem angestrebten bzw. erwarteten Einkommen Beziehung des Risikocontrollings zur Unternehmensführung und Ansatzpunkt • Führungsunterstützung • Manager benötigen aufgrund kognitiver Beschränkungen und ungleich verteilten Wissens Unterstützung bei der Erfüllung der Risikomanagement-Aufgaben • Monetäre Risikoquantifizierung zur Entscheidungsunterstützung und Verhaltenssteuerung ist keine triviale Aufgabe und erfordert spezielles Sach- und Handlungswissen, Arbeitsteilung u.U. wirtschaftlicher Ziele • Indirekt: Beitrag zur Sicherung der Unternehmensexistenz sowie zur Sicherung und Steigerung des aus Unternehmensaktivitäten resultierenden Zahlungsstroms für die Unternehmensbeteiligten • Direkt: Bereitstellung monetärer Informationen und zu deren Generierung benötigter Verfahren für das Risikomanagement zum Zwecke der Entscheidungsunterstützung und Verhaltenssteuerung Aufgaben • Analyse bzw. Entwicklung geeigneter monetärer risikobezogener Zielgrößen und Kennzahlen • Analyse bzw. Entwicklung geeigneter Verfahren zur Generierung dieser Kennzahlen und hierzu benötigter risikobezogener Informationen • Analyse bzw. Entwicklung geeigneter Verfahren zur Kommunikation und Speicherung der risikobezogenen Informationen • Anwendung der Verfahren bzw. Unterstützung bei der Anwendung dieser Verfahren Instrumente • Quantitative bzw. monetäre Risikobewertungs- und Risikoinformationssysteme sowie Steuerungssysteme (Risikorechnung), allgemeine Methoden der risikobezogenen Ziel- und Systemanalyse sowie der Bewertung Institutionen • Aufgabenzuordnung kontextabhängig, verschiedene Risikocontroller-Rollen denkbar und sinnvoll • I.d.R. Zuordnung zu Controlling-Stellen sinnvoll, u.U. auch Schaffung spezialisierter Stellen zum Aufbau, zur Pflege und zum Betrieb quantitativer bzw. monetärer Risikobewertungs- und Risikoinformationssysteme sowie Steuerungssysteme (Risikorechnung) Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 230 6. Risikoüberwachung, Risiko-Controlling und die Organisation 6.3.2.3 Verbindungspunkte von Risikomanagement, Unternehmensplanung und Controlling Im Folgenden sollen wesentliche Verbindungspunkte von operativem und strategischem Controlling einerseits und Risikomanagement andererseits aufgezeigt werden.399 Die Darstellung basiert auf der oben erläuterten Grundidee, dass wesentliche Aufgaben des Risikomanagements hocheffizient unmittelbar im Rahmen der Controlling-, Planungs- und Budgetierungsprozesse eines Unternehmens mit abgedeckt werden können. Die Entwicklung eines derartigen unternehmensweiten integrierten Risikomanagements basiert damit auf einer Weiterentwicklung der Struktur, Aufgaben und Arbeitsabläufe bereits vorhandener Managementsysteme. Die wesentlichen Ansatzpunkte für derartige Weiterentwicklungen werden nachfolgend zusammenfassend dargestellt. (1) Risikoreduzierung durch Verbesserung der Planung Durch eine Verbesserung der Qualität der Planung selbst lässt sich der Risikoumfang, also der Umfang möglicher Planabweichungen, reduzieren. Aufgrund des Zukunftsbezugs jeglicher Planung kann deshalb durch den Aufbau von Prognose- und Frühaufklärungssystemen (z.B. auf Grundlage von Regres sionsanalysen) eine bessere (möglichst erwartungstreue) Vorhersage der zukünftig zu erwartenden Entwicklung des Unternehmens ebenso erreicht werden wie eine Reduzierung der Planabweichungen (also der Risiken). Die durch ein quantitatives Prognosesystem nicht erklärbaren Veränderungen, die Prognoseresiduen, sind dabei die Grundlage für die Risikoquantifizierung. Sie werden durch geeignete Wahrscheinlichkeitsverteilungen beschrieben und dann auf das gewählte Risikomaß abgebildet (vgl. Abschnitt 6.4). (2) Nutzung von Planung und Budgetierung für die Risikoidentifikation Jeder Planwert und jedes Budget basieren auf bestimmten Annahmen, z.B. bezüglich der Entwicklung von Rohstoffpreisen und Wechselkursen oder der Erfolgswahrscheinlichkeit von Akquisitionsprojekten. Viele dieser Annahmen stellen zukunftsbezogene Schätzungen dar und sind damit nicht sicher. Immer wenn bei der Planung auf eine unsichere Annahme Bezug genommen wird, wird wie erwähnt automatisch ein Risiko identifiziert. Für die Vollständigkeit und auch die Effizienz der im Unternehmen identifizierten und im Risikoinventar zusammengefassten Risiken bietet sich daher an, im Planungsprozess solche risikobehafteten Annahmen explizit zu erfassen und diese Informationen dem Risikomanagement (z.B. für die Risikoaggregation) zur Verfügung zu stellen. In gemeinsamer Abstimmung zwischen Risikomanagement und Controlling kann dann auch entschieden werden, wie mit dem so identifizierten Risiko hinsichtlich seiner kontinuierlichen Überwachung umgegangen werden soll. 399 In enger Anlehnung an Gleißner, 2005c. Siehe vertiefend auch Gleißner/Romeike, 2005 und Gleißner/Kalwait, 2010. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2316.3 Aufbau eines Risikomanagementsystems Sofern ein neues, ausreichend relevantes Risiko auf diesem Weg identifiziert wird, müssen die üblichen Überwachungsregelungen im Sinne eines KonTraGkonformen Risikomanagements festgelegt werden, was insbesondere die Zuordnung eines für die Risikoüberwachung Verantwortlichen und die Festlegung der Überwachungsregelungen bedeutet. (3) Risikoquantifizierung im Kontext der Planung Die Quantifizierung von Risiken geschieht unmittelbar bei der Planung bzw. Budgetierung. Sobald der Planwert (z.B. für ein Kostenbudget) festgelegt ist, wird zugleich angegeben, welche Ursachen zu Planabweichungen führen können (Risiken) und welchen Gesamtumfang diese Planabweichungen haben können. Implizit wird damit eine Wahrscheinlichkeitsverteilung beschrieben. Wenn eine Dreiecksverteilung gewählt wird, bedeutet dies, dass anstelle der Vorgabe eines Planwerts zukünftig drei Werte angegeben werden, nämlich Minimalwert (bzw. ein unteres Quantil), • wahrscheinlichster Wert, sowie • Maximalwert (bzw. ein oberes Quantil). • (4) Identifikation von Risiken mittels Abweichungsanalyse Eingetretene Planabweichungen, die im Rahmen des Controllingprozesses analysiert werden, bieten weitere Ansatzpunkte für die Identifikation von Risiken. Immer, wenn eine Planabweichung auf eine Ursache zurückzuführen ist, die bisher noch nicht im Risikomanagement erfasst ist, wird ein neues Risiko identifiziert. Entsprechend ist es erforderlich, dass die Erkenntnisse aus den Abweichungsanalysen aus dem Controlling dem Risikomanagement zur Verfügung gestellt werden. (5) Quantifizierung von Risiken auf Basis von Abweichungsanalysen des Controllings Abweichungsanalysen des Controllings, die zum Zweck der Unternehmenssteuerung, der Performance-Beurteilung und der Initiierung von Gegenmaßnahmen durchgeführt werden, sollten regelmäßig stattfinden. Dadurch entsteht eine Zeitreihe mit Planabweichungen, die die quantitativen Konsequenzen des Wirksamwerdens von Risiken darstellen. Mittels statistischer Analysen (im einfachsten Fall der Berechnung einer Standardabweichung oder eines anderen Risikomaßes) können diese Informationen genutzt werden, um Risiken zu quantifizieren oder eine existierende quantitative Risikoeinschätzung zu überprüfen. (6) Integration von Risikobewältigungsmaßnahmen in die allgemeine Unternehmenssteuerung Die bei der Bestimmung von Planwerten identifizierten unsicheren Annahmen können unmittelbar aufgegriffen werden, um (sofern realistisch möglich) Maßnahmen zu initiieren, die zukünftigen Planabweichungen in ihrer Ein- Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 232 6. Risikoüberwachung, Risiko-Controlling und die Organisation trittswahrscheinlichkeit oder ihrem quantitativem Umfang entgegenwirken. Derartige Maßnahmen sind Risikobewältigungsmaßnahmen, die gemeinsam mit dem Risikomanagement entwickelt werden sollten. Während viele operative und strategische Maßnahmen (z.B. der Kostenreduzierung) darauf ausgerichtet sind, bestimmte Planwerte (z.B. den Umsatz) „im Mittel“ zu erreichen, helfen die Risikobewältigungsmaßnahmen, Planabweichungen zu reduzieren. (7) Integration von Risiken in strategisches Controlling und Balanced Scorecard Strategische Management- und Controllingsysteme (z.B. die Balanced Scorecard) werden genutzt, um die Unternehmensstrategie durch eine klare Beschreibung anhand von strategischen Zielen (Kennzahlen) sowie die Zuordnung von Maßnahmen und Verantwortlichkeiten operativ umzusetzen. Mit Hilfe der Zuordnung von Risiken zu denjenigen Kennzahlen, bei denen sie Planabweichungen auslösen können, wird eine Weiterentwicklung des traditionellen Balanced Scorecard-Ansatzes hin zu einer FutureValueTM Scorecard möglich.400 Der Vorteil einer derartigen Verbindung besteht zum einen in der höheren Effizienz, weil die Verantwortlichen für eine bestimmte Kennzahl zugleich Risk-Owner der zugeordneten Risiken sind. Zudem wird im Rahmen einer Abweichungsanalyse eine faire Zuordnung der Verantwortlichkeit für solche Abweichungen möglich, weil Abweichungen aufgezeigt werden können, die durch „exogene“ Risiken verursacht worden sind (vgl. Abschnitt 4.4). Diese können in der Regel den Verantwortlichen für eine bestimmte Kennzahl bei der Performance-Beurteilung nicht angelastet werden. Die Übertragung der Verantwortung für die Identifikation von Risiken, die eine bestimmte Kennzahl beeinflussen, an den entsprechenden Verantwortlichen für die Kennzahl erhöht die Anreize wirklich konsequent, die hier relevanten Risiken zu identifizieren. Insgesamt erhöht ein derartiger Ansatz der Integration von Risiken in das strategische Controlling die Akzeptanz von Balanced Scorecard-Ansätzen und damit eine konsequente Ausrichtung des Unternehmens auf die von der Unternehmensführung eingeschlagenen Strategie. (8) Nutzung von Risikoinformationen aus Treasury, Qualitätsmanagement und Sitzungen der Unternehmensleitung In vielen Managementfunktionen und Unternehmensbereichen existieren implizit Informationen über Risiken. So verfügt das Qualitätsmanagement über Informationen bezüglich Risiken, die zu Abweichungen von der vorgesehenen Qualität führen können (z.B. durch die FMEA). Diese Informationen sind regelmäßig dem zentralen Risikocontrolling zur Verfügung zu stellen, wenn die hier identifizierten Risiken eine ausreichende Relevanz aufweisen. Dies kann beispielsweise immer dann geschehen, wenn die turnusmäßige FMEA im Rahmen der Qualitätsmanagementprozesse gemäß ISO 9001 ff. durchgeführt wird. Analog verfügt das Treasury eines Unternehmens über umfangreiche Informationen über Zins- und Währungsrisiken. Wenn im Rahmen des Treasury bereits 400 Vgl. Gleißner, 2004c. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2336.3 Aufbau eines Risikomanagementsystems eine Aggregation finanzwirtschaftlicher Risiken vorgenommen wird, kann diese Information (Wahrscheinlichkeitsverteilung über die Zins- und Währungsrisiken) in einem festgelegten Turnus an das zentrale Risikomanagement für die Durchführung der Risikoaggregation weitergeleitet werden. Implizit beschäftigen sich auch die regelmäßigen Geschäftsführungs- und Vorstandssitzungen zu einem erheblichen Teil mit Unternehmensrisiken. Gerade in diesen Sitzungen wird über die langfristige Zukunftsentwicklung des Unternehmens diskutiert, zukünftige Herausforderungen werden betrachtet, Handlungsalternativen abgewogen und potenzielle Aktivitäten der Wettbewerber sowie Markttrends eingeschätzt. Da bei allen diesen zukunftsorientierten Fragen implizit Risiken diskutiert werden, bietet es sich an, am Ende jeder Geschäftsführungs- bzw. Vorstandssitzung grundsätzlich einen Tagungsordnungspunkt vorzusehen, bei dem alle Risiken zusammengefasst und im Hinblick auf ihre Relevanz eingeschätzt werden. Sofern hier neue Risiken identifiziert wurden, die bisher im Rahmen der Risikoüberwachung nicht betrachtet werden, sollten diese Informationen dem zentralen Risikocontrolling übergeben werden, so dass hier die erforderlichen Prozesse implementiert werden, die eine kontinuierliche Überwachung dieser Risiken in der Zukunft gewährleisten. Die genauen Ansatzpunkte zeigen, dass ein unternehmensweites Risikomanagement prinzipiell alle Stellen und Systeme umfassen kann – und sollte. 6.3.2.4 Integration der Prozesse von Controlling und Risikomanagement Wie an den oben aufgezeigten Beispielen deutlich wurde, lassen sich wesentliche Aufgaben zur Unterstützung des Risikomanagements unmittelbar in die Controlling-Prozesse, aber auch in das Qualitätsmanagement integrieren. An diesen Stellen wird eine hocheffiziente Übernahme von originären Risikomanagement-Aufgaben (z.B. der Identifikation und der Bewertung) durch das Controlling möglich, was dort kaum zusätzlichen Arbeitsaufwand auslöst. Zudem wird sichergestellt, dass gerade die im Controlling implizit sowieso vorhandenen Informationen über Risiken konsequent genutzt werden. Mit dem Controlling wird damit (ähnlich wie dies auch für das Qualitätsmanagement möglich ist) ein sowieso im Unternehmen etabliertes Managementsystem für die Aufgabenstellung des Risikomanagements genutzt, was einen erheblichen Beitrag für die anzustrebende Integration des Risikomanagements in alle Prozesse und Funktionen eines Unternehmens ermöglicht. Insgesamt lässt sich festhalten, dass Controlling und Risikomanagement in einer engen Wechselbeziehung stehen. Durch die Übernahme wesentlicher Aufgaben des Risikomanagements durch das Controlling lässt sich hocheffizient und unbürokratisch ein leistungsfähiges Risikomanagement etablieren. Der zentralen Stabsfunktion des „Risikocontrollers“ bleiben in diesem Zusammenhang vor allem die Koordination und die Methodenentwicklung für das Risikomanagement sowie in der Regel sehr risikospezifische Aufgaben, wie die Ableitung von Gesamtrisikoumfang und Eigenkapitalbedarf mit Hilfe der Risikoaggregation (Monte-Carlo-Simulation). Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 234 6. Risikoüberwachung, Risiko-Controlling und die Organisation Neben der Effizienzsteigerung des Risikomanagements profitiert auch das operative und strategische Controlling von dieser engeren Verbindung mit dem Risikomanagement. In Planungs- und Budgetierungsprozessen lassen sich nämlich neue Risiken identifizieren, die dem Risikomanagement mitgeteilt werden. Umgekehrt sollten natürlich auch Erkenntnisse des Risikomanagements über Risiken, die z.B. im Rahmen von Risk-Assessments oder Prozessanalysen identifiziert wurden, dem Controlling mitgeteilt werden. Denn auch diese Risiken können Planabweichungen verursachen, die für das Controlling interessant sind. Zudem erhält das Controlling mit den zusätzlichen Erkenntnissen des Risikomanagements über den aggregierten Gesamtrisikoumfang erstmalig die Chance, die tatsächlich erreichbare Planungssicherheit realistisch einzuschätzen, zufallsbedingte und statistisch signifikante Abweichungen (orientiert an ihrem Umfang) zu unterscheiden und Risiken und Erträge gegeneinander abzuwägen. Die so verfügbaren zusätzlichen Informationen über den aggregierten Risikoumfang können dann weiterführend, z.B. im Rahmen wertorientierter Steuerungssysteme, genutzt werden, indem über den Risikoumfang auf den Bedarf an Eigenkapital zur Abdeckung möglicher Verluste und damit den Kapitalkostensatz (Diskontierungszinssatz) als zentralen Werttreiber geschlossen wird (vgl. Kapitel 7).401 Das Zusammenspiel von Risikomanagement und Controlling führt zu einer Übernahme wesentlicher Risikomanagement-Basisaufgaben durch vorhandene Managementsysteme des Unternehmens, was zu einer hohen Effizienz der Erfüllung von Risikomanagement-Aufgaben bei gleichzeitig erhöhter Aussagefähigkeit der Risikoinformation insgesamt beiträgt. Dies erhöht zugleich die Akzeptanz des Risikomanagements. Die Zukunft des Risikomanagements werden integrierte Managementsysteme sein, die Risikomanagement im Wesentlichen als Aufgabe und weniger als eigenständige Organisationseinheit verstehen. Auf die Möglichkeit solcher Verknüpfungen und Integrationsmöglichkeiten wird in den folgenden Abschnitten 6.4 und 6.5 näher eingegangen. Hier werden spe- 401 Quelle: FutureValue Group AG Zentrales Wertorientierte t t i h St strategische Finanzrisiken Risikocontrolling Risikoaggregation s ra eg sc e euerung BSC TreasuryRisiken (Zins, Währung) Risikokennzahlen Risikogerechte Kapitalosten Rating-Prognose Eigenkapitalbedarf/ Ziel-Kapitalstruktur Technische R isik Operatives Controlling, Planung und Budgetierung QM,... Interne Revision, WP ken Zentrales RisikocontrollingAbbildung 71: 401 Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2356.5 Verknüpfung mit Internem Kontrollsystem ziell Frühaufklärungssysteme, Interne Revision, Internes Kontrollsystem und Compliance-Anforderungen in die Betrachtung mit einbezogen. 6.4 Risikomanagement- und Frühaufklärungssysteme Auch Risikomanagement und Frühaufklärungssysteme eines Unternehmens stehen in einem engen Zusammenhang, den viele Unternehmen aber nicht adäquat berücksichtigen. Häufig wird einfach angenommen, dass Frühaufklärungssysteme über zukünftige Risiken informieren. Diese Sichtweise wird jedoch den tatsächlichen, komplexeren Zusammenhängen zwischen beiden Managementsystemen nicht gerecht. Die Aufgaben und Gestaltungsvarianten von Frühaufklärungssystemen sollen hier nur knapp zusammengefasst werden.402 Die primäre Aufgabe von Frühaufklärungssystemen (und speziell der Untergruppe der quantitativen Prognosesysteme) besteht darin, eine möglichst fundierte Vorhersage der zukünftigen Entwicklung einer die Unternehmensführung interessierenden Größe zu erstellen. Derartige Größen können für die Unternehmung relevante Umfeldfaktoren (z.B. Rohstoffpreise, Nachfrage, Wechselkurse), unmittelbar die Zielgrößen des Unternehmens (z.B. Umsatz, Gewinn oder Cashflow) oder aber prozessuale und technische Kennzahlen sein. Die Frühaufklärungssysteme erstellen damit Prognosen über die bei heutigem Informationsstand zu erwartende zukünftige Entwicklung, damit die verantwortlichen Entscheidungsträger im Unternehmen sich in ihren heutigen Entscheidungen und Handlungen adäquat an den Herausforderungen der Zukunft orientieren können. Damit besteht jedoch die primäre Aufgabe üblicher Frühaufklärungssysteme darin vorherzusagen, was „im Mittel“ passieren wird – eben nicht darin, darüber zu informieren, welchen Umfang mögliche Abweichungen von diesen Prognosen (also Risiken) haben werden. Frühaufklärungs- und Prognosesysteme schaffen somit die Grundlagen für die Planung und damit für das Risikomanagement, die sich mit dem Umfang möglicher Abweichungen (der Planungs- oder Prognosegenauigkeit) befassen. Beide Aspekte sollten nicht miteinander verwechselt werden. 6.5 Verknüpfung mit Internem Kontrollsystem und Compliance- Anforderungen Risikomanagement kannn wesentlich dazu beitragen Compliance-Anforderungen zu erfüllen und weist zudem viele Anknüpfungspunkte zum Internen Kontrollsystem auf. Diese Beziehungen werden in diesem Abschnitt betrachtet. 402 Siehe weiterführend Gleißner/Füser, 2000. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 236 6. Risikoüberwachung, Risiko-Controlling und die Organisation Das interne Kontrollsystem lässt sich dabei zunächst wie folgt definieren: 403, 404 „Unter einem internen Kontrollsystem werden die von der Unternehmensleitung im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) verstanden, die gerichtet sind auf die organisatorische Umsetzung der Entscheidung der Unternehmensleitung.“405 Es dient zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit • (hierzu gehören auch der Schutz des Vermögens, einschließlich der Verhinderung und Aufdeckung von Vermögensschädigungen). zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rech- • nungslegung sowie zur Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vor- • schriften („Compliance“). Offensichtlich kann damit das interne Kontrollsystem zur Reduzierung (und Überwachung) von bestimmten Risiken beitragen. Eine wesentliche Teilaufgabe des internen Kontrollsystems ist die Sicherung der Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung (Buchführung, Jahresabschluss und Lagebericht). Diese zielen insbesondere darauf, dass406 „Geschäftsvorfälle in Übereinstimmung mit den gesetzlichen Vorschriften vollstän- • dig und zeitnah, mit dem richtigen Wert, in der richtigen Buchungsperiode und auf den richtigen Konten erfasst werden, Geschäftsvorfälle in Übereinstimmung mit der Satzung oder dem Gesellschafts- • vertrag und den generellen oder besonderen Regelungen der Unternehmensleitung erfasst, verarbeitet und dokumentiert werden, Buchführungsunterlagen richtig und vollständig sind, • Inventuren ordnungsgemäß durchgeführt und bei festgestellten Inventurdifferenzen • geeignete Maßnahmen eingeleitet werden, die Vermögensgegenstände und Schulden im Jahresabschluss zutreffend angesetzt, • ausgewiesen und bewertet werden und dass verlässliche und relevante Informationen zeitnah und vollständig bereitgestellt • werden.“ Auf die Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung407 besonders relevante Risiken ist hinzuweisen, wenn beispielsweise folgende Ursachen vorliegen: 403 Vgl. hierzu den IDW Prüfungsstandard: Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261). 404 Vgl. auch die dortigen Überlegungen zu einem risikoorientierten Prüfungsansatz und die möglichen Prüfungsrisiken, die sich in Fehlerrisiken und in Deckungsrisiken aufteilen lassen. 405 IDW PS 261, Abschn. 3.1.2.1 (18). 406 IDW PS 261, Abschn. 3.1.2.1 (21). 407 Mit dem IKS sollen Unternehmen dabei unter anderem sicherstellen, dass: „die Merkmale der eingesetzten IKS- und Risikomanagementsysteme, insbesondere deren Strukturen und Prozesse, dokumentiert und beschrieben werden (mindestens für den Bereich der Rechnungslegung), die für die Wirtschaft- und Abschlussprüfung relevanten Daten kurz- Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2376.5 Verknüpfung mit Internem Kontrollsystem Unternehmensinterne Umstrukturierung, • schnelles Umsatzwachstum, • zunehmende Auslandsaktivitäten, • Einsatz neuer Technologien, • personelle Veränderungen, • Veränderungen im wirtschaftlichen und • rechtlichen Umfeld des Unternehmens sowie • Veränderungen in der Geschäftstätigkeit (z.B. neue Geschäftsfelder). • Der IDW interpretierte 2005 ein internes Kontrollsystem in einem sehr umfassenden Sinne, was die folgende Abbildung zu den Regelungsbereichen verdeutlicht: Aus dieser Perspektive wird auch das Risikomanagementsystem als ein Teilbereich des internen Kontrollsystems aufgefasst (wobei hier jedoch – wie anderweitig bereits erwähnt – auch eine umgekehrte Sichtweise möglich ist). Dabei besteht ein internes Kontrollsystem also aus Regelung zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) und aus den Regelungen zur Überwachung der Einhaltung dieser Regelung (internes Überwachungssystem). Ein Teil der Regelung des internen Überwachungssystems ist dabei prozessinfristig verfügbar sind, Daten (auch E-mails) ordnungsgemäß archiviert werden, bestandsgefährdende Entwicklungen für das Unternehmen, z.B. durch Verstöße gegen Gesetze, Regelungen, interne Richtlinien, etc., im Vorfeld ohne größere Schwierigkeiten identifiziert werden können und ggf. sämtliche Geschäftsvorfälle dauerhaft erfasst werden können, um unternehmerische Entscheidungen etc. zu unterstützen.“ Internes Kontrollsystem (IKS) Internes ÜberwachungssystemInternes Steuerungssystem Prozessintegrierte Überwachungsmaßnahmen Prozessunabhängige Überwachungsmaßnahmen Organisatorische Sicherungsmaß- Kontrollen Interne Sonstige nahmen Revision Regelungsbereiche des internen Kontrollsystems Abbildung 72: (Quelle: IDW PS 261, S. 11) Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 238 6. Risikoüberwachung, Risiko-Controlling und die Organisation tegriert (z.B. Kontrollen) und ein Teil ist prozessunabhängig. Dies gilt insbesondere für die Überwachungsmaßnahmen speziell durch die interne Revision. Zusammenfassend lassen sich die folgenden Komponenten eines internen Kontrollsystems angeben: Ähnlich der von Gleißner/Mott (2008) vorgeschlagenen Entwicklungsstufen für das Risikomanagementsystem408 lassen sich auch unterschiedliche Reifegrade interner Kontrollsysteme unterscheiden. Die folgende Abbildung 74 auf der nächsten Seite zeigt derartige Entwicklungsstufen. Wie bereits im Kontext der Neuerungen durch das Bilanzrechtsmodernisierungsgesetz (BilMoG) ausgeführt (Abschnitt 1.6.3), ergeben sich eine ganze Reihe neuer Herausforderungen im Hinblick auf die Verknüpfung von Risikomanagement und internem Kontrollsystem – und diese sind speziell auch unter dem Gesichtspunkt von „Compliance“ zu betrachten. Im folgenden wird nun erläutert, dass (ähnlich dem Zusammenspiel von Controlling und Risikomanagement) es auch empfehlenswert ist, die verschiedenen Anforderungen an Risikomanagement, internes Kontrollsystem und Compliance gemeinsam zu betrachten. Daher wird nachfolgend die Idee eines „Value Added Compliance“ vorgestellt. Grundsätzlich versteht man unter „Compliance“, dass die Mitarbeiter eines Unternehmens alle relevanten Gesetze, Vorschriften und Regelungen beachten. Ein Überblick über die neuen Anforderungen409, speziell für die Compliance- Organisation, bietet z.B. Bauer und Wesselmann (2008). Hier wird insbesondere 408 Vgl. Abschnitt 1.1 409 Durch BilMoG bzw. „EuroSOX“. Ziele ei nh ei te n en eh m en se sf un kt io ne ze ss eKontrollumfeld Risikobeurteilungente n U nt er n rn eh m en s un d -p ro Kontrollaktivitäten m po ne nt U nt erInformation und Kommunikation Überwachung des K om internen Kontrollsystems Komponenten des internen Kontrollsystems Abbildung 73: (Quelle: IDW PS 261, S. 16) Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2396.5 Verknüpfung mit Internem Kontrollsystem verdeutlicht, dass nunmehr das Risikomanagementsystem im weiteren Sinn als Überbegriff für internes Kontrollsystem, Frühwarnsystem (RMS im engeren Sinn) und Controlling aufgefasst wird (vgl. Abbildung 75). 410 Quelle: Menden/Kralisch, 2008. 411 Quelle: Bauer/Wesselmann, 2008, S. 130. Reifegrade von Internen KontrollsystemenAbbildung 74: 410 SOX 8. EU-RL • Integration des IKS in das E t iManaged... Optimized5 ! !? ø der KMUs • Definierte Kontrollen • ...and Measurable • Dokumentierte und effektive n erpr se Risk Framework und dessen RisikomanagementI t iti Defined3 • Awareness • ...but Repeatable • Kontrollen auf klare Abläufe • Dokumentierte Kontrollen • Überprüfung findet nicht formalisiert/ Kontrollen • Überpüfung der Kontrollen • Kontinuerl. Verbesserungs- System • Hohe Automatisierung • Effizietes Testing und Ad hoc1 n u ve... • Keine geschaffen • Keine klaren Abläufe/ Prozesse, keine Dokudefiniert – nicht dokumentiert • Kein Rollenkonzept im • IKS keine effizient auswertbar statt • Noch substanzielle Findings prozess (KVP) über das IKS • Geringe Findings Issues Self Asessment No IKS0 Kontrollen vorhanden oder Thema ignoriert mentationen • Keine IKS- Überwachung , Überwachung • Viele Findings & Issues & Issues vorhanden Implementierung eines ganzheitlichen Enteprise Risk Frameworks 4 2 Bestandteile des RisikomanagementsystemsAbbildung 75: 411 Risikomanagementsystem (RMS) i.w.S. Internes Kontrollsystem Frühwarnsystem (RMS i.e.S) Controlling Organisatorische Sicherungsmaßnahmen Interne Kontrolle Informations-Steu-PlanungRevision versorgung erung Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 240 6. Risikoüberwachung, Risiko-Controlling und die Organisation Die Verbesserung der Compliance hat für viele Unternehmen einen immer grö- ßeren Stellenwert. Es besteht aber die Gefahr, dass durch den an sich sinnvollen Einsatz zur Verbesserung von Compliance keine adäquate Fokussierung auf die wirklich (auch ökonomisch) wichtigen Entscheidungs- und Handlungssituationen erfolgt. Es ist sogar zu befürchten, dass durch Verbesserungen der Compliance ökonomisch unsinnige (oder zumindest optimierbare) Entscheidungsregelungen und Verhaltenweisen einfach besser abgesichert werden. Genau hier setzt die Idee der „Value Added Compliance“ an. Durch eine kombinierte Analyse der ökonomischen Sinnhaftigkeit von ökonomischen Entscheidungen und Handlungen und ihrer Konformität zu Gesetzen, Regelungsrahmen wird sicher gestellt, dass zukünftig Entscheidungen und Handlungen (Entscheidungsregeln) in einer • Weise realisiert wird, die dem ökonomischen Unternehmenszielen förderlich sind und dabei gesetzliche und sonstige Vorgaben (als Nebenbedingung) mit hoher Wahr- • scheinlichkeit eingehalten werden. Ein einfaches – zugegebener Weise überspitztes – Fallbeispiel verdeutlicht die Notwendigkeit der Verbindung von ökonomischen und juristischen Überlegungen im Kontext der Compliance. Betrachten wir beispielhaft den Funktionsbereich „Einkauf“ eines Unternehmens. Die Analyse der Tätigkeiten und Ziele dieses Bereichs hat (vereinfacht dargestellt) ergeben, dass hier im Wesentlichen zwei Arten von Entscheidungen getroffen werden, die unter dem Gesichtspunkt der Compliance zu betrachten sind. Dies sind die Entscheidungen über die Auswahl eines Lieferanten und die Entscheidung bezüglich der Bestellung im Rahmen einer bestehenden Lieferbeziehung (z.B. über Zeitpunkt, Art der Produkte, Menge etc.). Betrachten wir im Beispiel lediglich die erste Entscheidung, die Lieferantenauswahl. Angenommen die Auswahl zwischen alternativen Lieferanten geschehe ausschließlich durch Würfeln, also nach dem Zufallsprinzip. Eine lediglich juristische Betrachtung (Legal Compliance) müsste untersuchen, ob diese Verfahrensweise gegen Gesetze und ähnliche Regelungen verstößt. Dies ist nicht der Fall. Im nächsten Schritt muss betrachtet werden, ob durch geeignete Regelungen – z.B. ein Vier-Augen-Prinzip – sichergestellt ist, das bei der Lieferantenauswahl tatsächlich gewürfelt wird und der Lieferant gewählt wird, der beim Würfelspiel gewonnen hat. Man sieht an diesem Extrembeispiel, dass es unter Umständen recht leicht möglich ist, alle juristisch formalen Anforderungen der Compliance zu erfüllen und damit Entscheidungsregelungen und -handlungen im Unternehmen abzusichern. Diese können jedoch ökonomisch unsinnig sein, weil sie nicht dazu beitragen, die Unternehmensziele zu realisieren. Compliance-Verstöße sind potenziell immer an den Stellen und zu den Zeitpunkten möglich, wenn Personen im Unternehmen Entscheidungen treffen und diese umsetzen, also handeln. Startpunkt des Projektes zur Verbesserung der Compliance sollte daher die systematische Erfassung der „Entscheidungs- Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2416.6 Bausteine und Regelungen eines Risikohandbuchs situationen“ sein, d.h. es wird ermittelt, welche Stellen (Personen) welche (wesentlichen) Entscheidungen treffen. Relevante Entscheidungen umfassen dabei beispielsweise Veränderungen der Strategie, wesentliche Sachinvestitionen, die bereits erwähnte Auswahl von Lieferanten, aber auch Personalentscheidungen oder Entscheidungen im Hinblick auf die Rechnungslegung (z.B. Nutzung von Bilanzierungswahlrechten und Festlegung der Parameter für die Fair Value Bewertung). Genau hier setzt der von der FutureValue Group entwickelte Ansatz des „Value Added Compliance“ an. Entscheidungen und Handlungen im Unternehmen werden nicht nur untersucht nach Gesetzeskonformität und Übereinstimmung mit Standards und internen Vorgaben sondern zugleich im Hinblick auf die Eignung, die Ziele des Unternehmens (bzw. der Eigentümer) zu realisieren. Dabei ist auch sichergestellt, dass die rechtliche Compliance erfüllt ist. Ein solches Projekt hat typischer Weise den folgenden Verlauf: 1. Erfassung und Analyse der Entscheidungssituationen 2. Ökonomische Analyse der jeweilige Entscheidungsregeln und Verfahren 3. Überprüfung auf rechtliche Compliance 4. Beurteilung der Kontroll- und Anreizmechanismen 5. Zusammenfassung von Empfehlungen zur Verbesserung Dabei wird eine Fokussierung auf Entscheidungen vorgenommen, die entweder hohe ökonomische Relevanz haben (im Hinblick auf die Unternehmensziele, • z.B. den Unternehmenswert), Aufgabenfelder betreffen, in denen häufiger methodisch betriebswirtschaft- • liche Fehler festzustellen sind (z.B. Investitionsentscheidungen) oder Tätigkeiten betreffen, in denen aus Erfahrung häufiger Compliance-Verstöße • auftreten, z.B. auf Grund spezifischer Interessen von Mitarbeitern. Zusätzlich wird beachtet, dass gerade in Unternehmensbereichen, die die an sie gesetzten wirtschaftlichen Ziele nicht erfüllen, sowohl übermäßig risikobehaftete Entscheidungen als auch Compliance-Verstöße zunehmen. Bei den erarbeiteten Optimierungsvorschlägen sollte darauf geachtet werden, unnötige Bürokratie zu vermieden, z.B. durch die Nutzung von Synergie mit bestehenden Managementsystemen (z.B. interne Revision, Risikomanagement, Controlling). So können Aktivitäten im Themenfeld „Compliance“ wesentlich zu einer besseren Integration des Risikomanagements beitragen. Und „gute Compliance“ reduziert natürlich die Häufigkeit und potenzielle Schäden durch bestimmte „operationelle Risiken“, z.B. bei Lieferantenauswahl oder Rechnungslegung. 6.6 Bausteine und Regelungen eines Risikohandbuchs Im Folgenden werden wesentliche Bausteine und Regelungselemente eines Risikomanagementsystems dargestellt. Dabei werden zum einen die wichtigsten Prozesse der Risikoüberwachung und des Risikoreportings beschrieben, die Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 242 6. Risikoüberwachung, Risiko-Controlling und die Organisation als Vorlagen für Risikohandbücher, also Arbeitsanweisungen, dienen können. Ergänzend werden Aufgabenbeschreibungen (Stellenbeschreibungen) der wichtigsten Funktionsträger im Risikomanagement beispielhaft dargestellt. Anzumerken ist, dass – in unterschiedlicher Ausprägung – die hier beschriebenen Konzeptionen (spezifisch angepasst) sowohl nützlich sind, wenn man einen traditionellen separierten Risikomanagementansatz für das eigene Unternehmen wählt, als auch für den integrierten Risikomanagementansatz („Controllingansatz“). 6.6.1 Das Identifikationsverfahren für Risiken Ausgehend von den Risikofeldern ist das Verfahren zur Identifikation neuer Risiken für jedes einzelne Risikofeld festzulegen. Dabei soll so weit wie möglich auf bestehende Systeme zurückgegriffen werden. Bei den Strategischen Risiken und Marktrisiken sowie bei den Leistungsrisiken hat sich die Risikoidentifikation mittels Workshops bewährt. Bei den Finanzmarktrisiken, gesellschaftlichen und politisch/rechtlichen Risiken sowie Risiken aus Corporate Governance sind oft bereits wesentliche Teile abgedeckt und entsprechende Organisationseinheiten in den Unternehmen vorhanden. Anlässlich von Vorstands- oder Geschäftsführungssitzungen sind die wichtigsten angesprochenen Einzelrisiken jeweils zu erfassen. 6.6.2 Überwachung der Risiken D ie Verfahren für die permanente Überwachung von ganzen Risikofeldern und wichtigen bekannten Einzelrisiken sind festzulegen und zu dokumentieren. Dadurch soll sichergestellt werden, dass sowohl neue Risiken, aber auch Veränderungen bereits identifizierter Risiken frühzeitig erkannt werden. Im Einzelnen ist Folgendes festzulegen: Überwachungsturnus, • Meldeturnus, • auszuwertende Informationen, • Bewertungsverfahren, • Verantwortlichkeiten. • Bei gravierenden Veränderungen sind ad-hoc-Meldungen an Risikocontroller sowie Projektmanager und Linienvorgesetzte auszulösen. Dafür sind Schwellenwerte zu definieren, die sich an der Relevanzskala orientieren sollten. Adhoc-Meldungen werden typischerweise ausgelöst, wenn schwerwiegende Risiken, die noch nicht inventarisiert sind, neu erkannt • werden; Risiken, die bereits inventarisiert wurden, nun plötzlich einzutreten drohen • oder Indikatoren aus dem Frühwarnsystem entsprechende Meldewerte erreicht haben; Risiken sich realisiert haben, also ein wesentlicher Schaden eingetreten ist • (z.B. plötzlicher Kundenausfall). Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2436.6 Bausteine und Regelungen eines Risikohandbuchs 6.6.3 Risikoberichte F ür die Funktionsfähigkeit und Transparenz innerhalb des Risikomanagementsystems ist es wichtig, dass ein geeignetes Berichtswesen entwickelt und implementiert wird. Insbesondere sind wichtige und nicht bewältigte Einzelrisiken sowie festgelegte Sicherheitsziele (diese entsprechen den Limiten) bis zum Vorstand bzw. der Geschäftsführung zu berichten. Gleiches gilt bei Nichterreichen der Ziele des Risikomanagements. Risikoberichte sollen Auskunft über wesentliche Einzelrisiken sowie deren Ver- änderungen geben. Bestandteil der Berichte sind auch Frühwarnindikatoren sowie die durch ein geeignetes Risikomaß beschriebene Gesamtrisikoposition des Unternehmens. Nachfolgend ist ein solcher Risikobericht für ein Einzelrisiko dargestellt: Betriebsunterbrechung z.B. infolge Brand Übersicht Risikobeauftragter Herr Schwarz Relevanz 3 Risikokategorie Leistungsrisiken Erfasst am 11.5.2006 Beschreibung/Wechselwirkungen mit anderen Risiken Produktionsunterbrechung infolge Ausfall der Stanzmaschine. Reparatur oder Neuanschaffung innerhalb von 3 Monaten möglich. Wechselwirkung in den Produktbereichen Automobil und Rohre. Bisherige Handhabung ist Zu intensivieren Bewertung des Risikos Höchstschaden Totalschaden infolge Brand. 4 Monate Ausfall. Konsequenzen: Kunden brechen weg, Ersatzbeschaffung der Maschine, Umsatzverlust 4 Monate. Dadurch auch Mehraufwendung im Marketing durch Neuakquisition, 15.000,00 T€, alle 50 Jahre Mittelschaden Ausfall 1 Monat. Auswirkungen wie Höchstschaden. Es muss jedoch kaum mit Kundenverlusten gerechnet werden. Deshalb auch keine Mehrkosten im Marketing notwendig. 1.500,00 T€, alle 10 Jahre Kleinschaden 5 Tage Ausfall. Durch Überstunden können 50 % „gerettet“ werden. 400,00 T€, tritt alle 2 Jahre ein. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 244 6. Risikoüberwachung, Risiko-Controlling und die Organisation Überwachung Verantwortlich – Risikoüberwachung/ -bewertung Herr Schwarz Verantwortlich – Unabhängige Prüfung Herr Müsiger, Controlling Routinemäßiger Überwachungs- und Bewertungszyklus Zweimonatlich Beschreibung der Messgröße und Ermittlungsverfahren Maschinenbezogene Statistiken und Quervergleiche von Maschinenproduzenten. Wartungsintervall über die Qualitätssicherung, die in der Einführungsphase ist. Frühwarnindikatoren Wartungsintervalle (Ist-Wert 100) Dokumentation und Weiterbearbeitung Herr Schwarz, Risikoeigner Hoch verdichtete Risikoberichte werden für Vorstand bzw. Geschäftsführung und Aufsichtsrat erstellt. Die Abbildung 77 auf der nächsten Seite zeigt einen solchen beispielhaft. Neben dieser internen Berichterstattung ist für viele Unternehmen auch die externe Berichterstattung an die Anteilseigner zu beachten, die u.a. im DRS 5 geregelt ist. Hier hat sich gezeigt, dass viele Unternehmen die Anforderungen des DRS 5 noch nicht umgesetzt haben bzw. Spielräume vor allem bei der quantitativen Risikoberichterstattung nutzen (siehe 6.6.3).412 412 Vgl. die Ergebnisse der Untersuchung für die Geschäftsberichte 2003 bei Gleißner/ Berger/Rinne/Schmidt, 2005 bzw. Berger/Gleißner, 2007 für Ergebnisse auf Basis der Geschäftsberichte 2005 sowie Württemberger, 2010 zur Relevanz des Risikoberichts. Beispiel eines Risikoberichts (Quelle: Risiko-Kompass)Abbildung 76: Präventive Maßnahme 1 Bezeichnung Betriebsunterbrechungsversicherung Zielsetzung Finanzielle Entschädigung nach 3 Tagen Unterbrechung Art der Bewältigung mit Projekt, Verhandlungen mit Versicherungsmakler, Betriebsunterbrechungs-Analyse Wirkungsweise Überwälzen Beschreibung/ Wechselwirkungen In Sachversicherung integrieren, Gesamtrisikokosten berücksichtigen, Selbstbeteiligung optimieren unter Berücksichtigung des verfügbaren Eigenkapitals Einführungskosten 25 T€ Freigegeben von … am Herr Schwarz, Risikoeigner am 31.10.2006 Durchführung von … bis 1.1.2007 bis auf weiteres durch Herrn Schwarz, Risikoeigner Feststellung der Einsatzfähigkeit, am Herr Müsiger, Controlling, 31.12.2006 Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2456.6 Bausteine und Regelungen eines Risikohandbuchs Hochverdichteter RisikoberichtAbbildung 77: Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 246 6. Risikoüberwachung, Risiko-Controlling und die Organisation 6.6.4 Zuordnung von Verantwortlichkeiten Die praktische Implementierung jedes Risikomanagements erfordert konkrete Stellen, bzw. Personen für einzelne Verantwortungsbereiche zu benennen.413 Die Gesamtverantwortung für das Risikomanagement trägt die Geschäftsführung, bzw. der Vorstand. Die Überwachung von Risikofeldern und wichtigen Risiken sollte möglichst dezentral durch sog. Risikoverantwortliche oder Risk Owner organisiert werden. Dabei ist es nahe liegend, Fachexperten mit Linienfunktionen, die sich in ihrer täglichen Arbeit mit einem Risikobereich beschäftigen, zugleich zu Aufgabenträgern zu benennen. Eine grundlegende Trennung von Risikoverursachung und Risikoüberwachung, und dadurch objektive Betrachtung der Risikosituation, wäre natürlich anzustreben414. Die Doppelfunktion der Risk Owner gewährleistet andererseits aber auch die fachkundige Beurteilung der Risiken und reduziert vor allem den Arbeitsaufwand. Das zentrale Risikocontrolling unterstützt die Geschäftsführung und Risk Owner. Neben der allgemeinen Steuerung und Begleitung des Risikomanagement-Prozesses übernimmt das Risikocontrolling die wichtige Funktion, die Ergebnisse fachkundig auf Plausibilität zu prüfen und zusammenzufassen. Gelingt hier zugleich die Trennung von Funktion und Verantwortung (Stabsfunktion des Risiko-Controllers), so wird dem Grundsatz der Trennung von Funktion und Überwachung in Risikomanagement-Systemen in aller Regel adäquat Genüge getan. 6.6.5 Stellenbeschreibungen im Risikomanagement Die folgenden Beschreibungen umschreiben die Aufgaben der im Bereich des Risikomanagements beteiligten Mitarbeiter. Es sind dies der Risikobeauftragte, der Risiko-Controller, die Risikoverantwortlichen („Risk Owner“) sowie die unabhängige Prüfinstanz. 6.6.5.1 Der Risikocontroller oder Risikomanager Das Risikocontrolling trägt die gesamte operative Verantwortung für den Risikomanagementprozess und übernimmt damit die Aufgabe, das Risikomanagement zu einem effizienten System auszubauen und die Funktionsfähigkeit des Systems insgesamt wie folgt zu gewährleisten: Das Risikocontrolling legt zusammen mit der Geschäftsführung die Verantwortlichkeiten, speziell • für die Risikoüberwachung, fest, führt die Organisation und die Prozesse des Risikomanagements im Unter- • nehmen ein, legt die operativen Ziele des Risikomanagements fest, • definiert Schwellenwerte, ab denen Einzelrisiken gemeldet und bearbeitet • werden müssen, moderiert wichtige Risikoanalyse-Workshops, • 413 Siehe Vogler/Gundert, 1998. 414 „Organisatorische und funktionale Trennung“, vgl. die MaRisk der Banken (Füser/ Weber, 2005). Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2476.6 Bausteine und Regelungen eines Risikohandbuchs erarbeitet und vereinheitlicht Methoden im gesamten Risikomanagement- • system, erstellt Dokumentenvorlagen und andere Werkzeuge, • entwickelt ein geeignetes Berichtswesen, • sammelt und kommentiert die Einzel-Risikoberichte, und prüft diese auf • Plausibilität und Vollständigkeit, erstellt den Risikobericht (für Unternehmensleitung und Wirtschaftsprü- • fer), unterstützt alle beteiligten Personen bei deren Aufgaben, • beim Erstellen von periodischen Überwachungsmeldungen, – bei der quantitativen Einschätzung von Risiken, – bei der Erarbeitung von Bewältigungsmaßnahmen, – übernimmt koordinierende Aufgaben, beim Zusammenfassen mehrerer • Teil risiken entlang einer Prozesskette oder innerhalb eines Teilbereichs der Unternehmung zur Gesamtsicht, durch Berücksichtigung von Querschnittsfunktionen (Unterstützungspro- • zesse wie IT, Personal, Qualitätssicherung), bei bereichsübergreifenden Risikobewältigungsmaßnahmen, • entwickelt Krisen- und Notfallstrategien, • bestimmt Gesamtrisikoumfang und Eigenkapitalbedarf durch Risikoaggre- • gation. 6.6.5.2 Der Risikobeauftragte der Geschäftsleitung Der Risikobeauftragte gehört zur Geschäftsleitung bzw. zum Vorstand; das Risikomanagement ist seinen Führungsbereichen zugeordnet („Chief Risk Officer“). Er steuert und kontrolliert das Gesamtsystem in enger Zusammenarbeit mit dem Risikocontroller. Auch wenn meist ein Mitglied von Geschäftsführung und Vorstand als Sparrings-Partner des zentralen Risikocontrollers bzw. Risikomanagers sich primär um das Risikomanagement des Unternehmens kümmert, ist zu bedenken, dass letztlich die Gesamtverantwortung für das Risikomanagement grundsätzlich bei allen Mitgliedern der Unternehmensführung liegt (und alle Mitglieder auch grundsätzlich persönlich Haftungsrisiken ausgesetzt sind). Der Risikobeauftragte ist gesamtverantwortlich für das Risikomanagement-System, • benennt Risiko-Controller und die Risiko-Verantwortlichen, • legt Grundlagen der Methoden fest, • entscheidet über besonders wichtige Risikobewältigungsmaßnahmen • vertritt das Thema Risikomanagement im Führungsgremium. • 6.6.5.3 Die Risikoverantwortlichen („Risk Owner “) Jeder Risikoverantwortliche kümmert sich um die Überwachung von Risikofeldern und Einzelrisiken und „managt“ die wichtigsten Risiken im Unternehmen. Der Risikoverantwortliche identifiziert und analysiert die Risiken in dem von ihm verantworteten • Risikofeld, Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 248 6. Risikoüberwachung, Risiko-Controlling und die Organisation überwacht und bewertet regelmäßig relevante Einzelrisiken und erstellt die • Einzelrisikoberichte, erstellt periodische Überwachungsberichte über Risikofelder, • stößt Risikobewältigungsmaßnahmen an bzw. setzt sie um, • erstellt ad-hoc-Berichte bei neuen Risiken, wenn Risiken einzutreten drohen • oder bei eingetretenen Schäden. 6.6.5.4 Unabhängige Prüfinstanz/Interne Revision Der gesamte Prozess des Risikomanagements sollte von einer unabhängigen Instanz regelmäßig dahingehend untersucht werden, ob das System in der Praxis funktionsfähig ist. Diese unabhängige Prüfinstanz kann z.B. die interne Revisionsstelle, ein Aufsichtsratmitglied oder ggf. ein Mitglied des Beirates sein. Die Aufgabe besteht im Wesentlichen darin, Verbesserungspotenziale zu identifizieren und das Risikomanagement- • system periodisch auf den Prüfstand zu stellen, identifizierte Lücken aufzuzeigen und Verbesserungen vorzuschlagen, • Grundsätze und Standards mitzugestalten, ggf. zu überwachen und weiter- • zuentwickeln, die Einhaltung von internen Regelungen wie bspw. „4-Augen-Prinzip“ oder • Kompetenzregelungen begleitend zu überwachen. Die unabhängige Prüfung kann auch extern von Wirtschaftsprüfern oder auf Risikomanagement-Leistungen spezialisierten Beratungsunternehmen durchgeführt werden. 6.6.5.5 Der Aufsichtsrat Der Aufsichtsrat als Kontrollgremium der Eigentümer und der Belegschaft überwacht u.a. die Entscheidungen des Vorstands. Für die bedeutsamen Risiken aus strategischen Planungen bzw. Entscheidungen des Vorstands ist eine gesonderte Kontrolle durch den Aufsichtsrat sinnvoll (vgl. Abschnitt 1.7.3 zu den erweiterten Aufgaben in Folge des BilMoG). Zentrale Aufgabe des Aufsichtsrats ist die Überwachung des Vorstands. Um den jeweiligen Aufgaben nachgehen zu können, bedarf es ausreichender Informationen. Die Mindestanforderungen des Informationsbedarfs des Aufsichtsrats sind durch gesetzliche Regelungen über die Berichtspflicht des Vorstands nach § 90 AktG definiert worden. Explizit erwähnt werden hier Informationen über die beabsichtigte Geschäftspolitik • die Unternehmensplanung und Abweichungen von dieser Planung • die Rentabilität, insbesondere des Eigenkapitals • die Lage der Gesellschaft und • Geschäfte von erheblicher Bedeutung für die Rentabilität und Liquidität. • Diese Punkte umfassen Zukunftsthemen wie die künftige Geschäftspolitik (Strategie) und die Planung, Informationen über in der Vergangenheit Erreichtes (Lage der Gesellschaft und Rentabilität) – und nicht Erreichtes –, sowie Informationen über risikoreiche Geschäfte, also Ursachen für mögliche zukünftige Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2496.7 Prüfung der Leistungsfähigkeit Planabweichungen. Besonders wesentlich ist die kritische Prüfung von Entscheidungsvorlagen des Vorstands – gerade im Hinblick auf unsichere Annahmen – und Risiken durch die Fundiertheit der Ableitung von Schlussfolgerungen (vgl. Gleißner, 2010a). 6.7 Prüfung der Leistungsfähigkeit eines Risikomanagementsystems 6.7.1 Drei Prüfstrategien In der Praxis wird man kein Risikomanagement finden, das ideal alle Anforderungen und Wünsche erfüllt. Um den tatsächlichen Status des Risikomanagements einschätzen zu können, sind Prüfstrategien erforderlich, die insbesondere das Risikomanagement im Hinblick auf den ökonomischen Mehrwert untersuchen. In diesem Abschnitt werden derartige Prüfstrategien vorgestellt.415 Zudem wird checklistenartig aufgezeigt, welche typischen Problembereiche in der Praxis anzutreffende Risikomanagementsysteme häufiger aufweisen, und es wird erläutert, wie eine Leistungssteigerung des Risikomanagements fokussiert und orientiert an den jeweiligen Schwachstellen erreicht werden kann. Prinzipiell können drei Ansatzpunkte für eine schnelle und effiziente Prüfung des Risikomanagements unterschieden werden, die es z.B. dem Aufsichtsrat oder der internen Revision erlauben, unkompliziert die Leistungsfähigkeit des Risikomanagementsystems zu hinterfragen. 1. Die System-Tests, die formale Anforderungen an das Risikomanagementsystem prüfen (und oft von Wirtschaftsprüfer übernommen werden), 2. Die Output-Tests, die hinterfragen, ob diejenigen Informationen dem Vorstand und dem Aufsichtsrat angeboten werden, die ein Risikomanagementsystem liefern sollte, wie z.B. der aggregierte Gesamtrisikoumfang (Eigenkapitalbedarf), 3. Die Abweichungs-Tests, die überprüfen, ob eingetretene Planabweichungen auf im Vorhinein bekannte Risiken zurückgeführt werden können. Üblicherweise werden „Systemtests“ durchgeführt, die die Einhaltung bestimmter formeller Anforderungen des Kontroll- und Transparenz-Gesetzes (KonTraG), des Deutschen Rechnungslegungsstandards 5 oder das auf Grundlage des KonTraG entwickelten Prüfungsstandards 340 hinterfragen. Es geht hier um die Dokumentation von Prozessen zur Identifikation und kontinuierlichen Überwachung der Risiken, zur Quantifizierung und Aggregation von Risiken oder zum Berichtswesen. Das Einhalten formaler Vorschriften sagt allerdings wenig über den ökonomischen Nutzen aus. Ergänzend bieten sich deshalb so genannte „Output-Tests“ an, die überprüfen, ob die Unternehmensführung diejenigen Informationen erhält, die durch ein 415 In enger Anlehnung an Gleißner/Meier, 2006. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 250 6. Risikoüberwachung, Risiko-Controlling und die Organisation Risikomanagement bereitgestellt werden sollten. Diese Informationen umfassen insbesondere eine Liste derjenigen strategischen Risiken, die als Bedrohung der zentralen Erfolgspotenziale des Unternehmens besondere Bedeutung haben, eine quantifizierte Aussage über den Gesamtrisikoumfang (etwa Bedarf an Eigenkapital zur Abdeckung möglicher risikobedingter Verluste) sowie Aussagen über die risikobedingte Bandbreite möglicher zukünftiger Planabweichungen (Planungssicherheit) und risikogerechte Kapitalkostensätze (Diskontierungszinssätze). Derartige Informationen sind geeignet, um bei wesentlichen Entscheidungen den Risikoumfang zu berücksichtigen. Ein weitergehender Test der praktischen Leistungsfähigkeit des Risikomanagements besteht damit einfach darin, sich zu fragen, an welcher Stelle Risikoinformationen tatsächlich in wesentliche Entscheidungen (Investitionen, Finanzierungsentscheidungen oder Akquisitionen) eingeflossen sind. Das Risikomanagement möchte eben nicht nur Transparenz über den Risikoumfang bieten, sondern eine Optimierung der Risikobewältigung ermöglichen, damit Unternehmen auch in Anbetracht der Unvorhersehbarkeiten der Zukunft erfolgreich agieren. Neben dieser zukunftsorientierten Prüfung des Risikomanagement-Outputs bietet sich noch eine dritte Prüfstrategie für das Risikomanagement an. Hierbei wird überprüft, ob in der abgelaufenen Periode das Risikomanagement tatsächlich funktioniert hat („Abweichungs-Tests“). Dieser Test ist sehr einfach – aber sehr aussagefähig: Für alle wesentlichen Planabweichungen eines Unternehmens wird hinterfragt, ob die diesen zugrunde liegenden Ursachen tatsächlich im Vorhinein bereits als Risiken bekannt waren. Man darf nicht vergessen: Risiko beschreibt definitionsgemäß die Möglichkeit einer Planabweichung. Sieht man von simplen Rechenfehlern ab, sollte es in einem Unternehmen keine Planabweichungen geben, die nicht auf im Vorhinein bekannte Risiken zurückgeführt werden können. 6.7.2 Ansatzpunkte für die Leistungssteigerung des Risikomanagementsystems – eine Zusammenfassung Aus den Erfahrungen vieler Unternehmen lassen sich Ratschläge für eine gezielte Prüfung und Verbesserung des Risikomanagementsystems erarbeiten.416 Diese sollen dazu beitragen, das Risikomanagement möglichst effizient zu nutzen und die checklistenartig zusammengefassten und nach den Phasen des Risikomanagement-Prozesses gruppierten Fehler zu vermeiden. Dabei werden die wichtigsten Teilaufgaben im Risikomanagement noch einmal knapp zusammengefasst. 6.7.2.1 Risikoidentifikation Die Risikoidentifikation stellt den ersten Schritt eines Risikomanagementprojektes dar. Dieser Phase obliegt die vom KonTraG geforderte systematische Iden- 416 Siehe Gleißner/Meier, 2006. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2516.7 Prüfung der Leistungsfähigkeit tifikation aller auf das Unternehmen einwirkenden Risiken – insbesondere der bestandsgefährdenden Risiken. Verschiedene Fehler können bei der Risikoidentifikation in der Unternehmenspraxis beobachtet werden: Keine fokussierte, hierarchische Systematik zur Risikoidentifikation • Fehlender Bezug zur Unternehmensstrategie und den Erfolgsfaktoren: • Grundsätzlich sollte systematisch abgeleitet werden, welche Risiken die Erreichung der maßgeblichen strategischen Ziele gefährden bzw. Erfolgspotenzial bedrohen. Fehlende Auswertung von Planabweichungen und unsicheren Planannah- • men für das Risikomanagement: Jede unsichere Planannahme, die in Controlling, Unternehmensplanung oder Budgetierung verwendet wird (z.B. bezüglich des zukünftigen Dollarkurses), zeigt ein Risiko, das im Rahmen der Identifikation der Risiken zu berücksichtigen ist. 6.7.2.2 Risikoanalyse/Risikoquantifizierung Die in der Identifikationsphase erfassten Risiken werden im Rahmen der Risikoanalyse hinsichtlich ihrer Eintrittswahrscheinlichkeit und ihrer quantitativen Auswirkungen bewertet. Im Folgenden werden einige schwerwiegende Fehler bei Risikoanalysen dargestellt: Fehler bei der Abgrenzung von Risiken: Doppelzählung durch sich über- • schneidende Risiken Verwechslung von Risiken mit (1) sicheren Schäden oder (2) erwarteteten • Veränderungen Fehlende Begründung der Risikobewertung und damit mangelnde Trans- • parenz Fehlende oder mangelhafte Berücksichtigung von inhaltlichen Abhängig- • keiten und Korrelationen Nicht adäquate quantitative Beschreibung des Risikos: Für jedes Risiko ist zur • quantitativen Beschreibung eine geeignete Wahrscheinlichkeitsverteilung zu wählen. Anstelle der in der Praxis häufig einheitlich verwendeten Binomialverteilung (d.h. Beschreibung durch „Schadenshöhe“ und „Eintrittswahrscheinlichkeit“) können andere Verteilungen häufig besser geeignet sein, so z.B. die Normalverteilung (für hoch aggregierte Risiken, wie z.B. Umsatzschwankungen oder Rohstoffpreisveränderungen) oder die Lognormalverteilung (für Schäden aus operativen Risiken). Fehlende Festlegung eines geeigneten Risikomaßes: Um die einzelnen (ge- • gebenenfalls durch unterschiedliche Wahrscheinlichkeitsverteilungen beschriebenen) Risiken miteinander vergleichen und priorisieren zu können, ist ein einheitliches Risikomaß erforderlich (z.B. VaR, Eigenkapitalbedarf). 6.7.2.3 Risikoaggregation und Gesamtrisikoumfang Zielsetzung der Risikoaggregation ist die Bestimmung der Gesamtrisikoposition der Unternehmung sowie der relativen Bedeutung der Einzelrisiken. Dabei sind Wechselwirkungen durch Risikosimulationsverfahren explizit zu berücksichtigen. Hierzu werden Wirkungen der Einzelrisiken auf die im Unternehmen genutzten Planungsmodelle bezogen (beispielsweise der GuV) und eine große Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 252 6. Risikoüberwachung, Risiko-Controlling und die Organisation Anzahl möglicher risikobedingter Zukunftsszenarien des Unternehmens berechnet und analysiert. Dabei gibt es oft die folgenden Problembereiche: Falsches Risikomaß: Die Summe der Erwartungswerte (Schadenshöhe mal • Eintrittwahrscheinlichkeit) zeigt nur, welche „mittlere“ Schadensbelastung aus Risiken zu erwarten ist – aber nicht die potenziell bedrohlichen „Extremwirkungen“. Fehlende Berechnung des Gesamtrisikoumfangs: Der aggregierte Gesamt- • risikoumfang – beispielsweise ausgedrückt als Value-at-Risk – gibt an, wie hoch der Eigenkapitalbedarf für das Unternehmen ist, um die ermittelten Risiken zu tragen. Wird eine Risikoaggregation und damit eine Berechnung des Eigenkapitals nicht vorgenommen, ist die fundierte Beurteilung der Angemessenheit der Eigenkapitalausstattung nicht möglich und der Grad der Bestandsgefährdung eines Unternehmens nicht bestimmbar. Aggregation von Einzelrisiken ohne Bezugnahme zur Unternehmenspla- • nung: Risiken führen letztendlich zu Abweichungen der tatsächlichen von den geplanten Unternehmensergebnissen. Für einen ökonomisch sinnvollen Umgang mit Risiken ist es daher erforderlich, dass die einzelnen Risiken in den Kontext einer Unternehmensplanung gestellt werden. 6.7.2.4 Risikobewältigung Es genügt natürlich nicht, Risiken nur zu analysieren. Es müssen auch geeignete Maßnahmen ergriffen werden, die Risikoposition des Unternehmens zu optimieren – nicht jedoch zu minimieren, da dadurch gleichzeitig auf Chancen verzichtet würde. Ziel ist also die Risikoreduktion auf ein „akzeptables“ Maß an Restrisiko, das die Risikotragfähigkeit des Unternehmens nicht übersteigt. Hierbei werden häufig die folgenden Fehler gemacht: Ausschließliche Betrachtung von Versicherungslösungen • Fehlende oder nicht stimmige Definition des „akzeptablen“ Restrisikos bzw. • der vom Ziel-Rating abhängigen Risikotragfähigkeit Fehlende Abgrenzung von Kern- und Randrisiken: Kernrisiken sind Risi- • ken, die im unmittelbaren Zusammenhang mit dem Aufbau bzw. mit der Nutzung von Erfolgspotenzialen stehen und kaum sinnvoll auf Dritte übertragen werden können. Durch den Transfer aller anderen „peripheren Risiken“ (= Randrisiken) kann ein Unternehmen mehr Risiken beim Aufbau von Erfolgspotenzialen eingehen, ohne das Risikodeckungspotenzial des vorhandenen Eigenkapitals zu überziehen. Fehlende fundierte Bewertung alternativer Bewältigungsmaßnahmen (z.B. • mittels Wertbeitrag oder TCR). 6.7.2.5 Risikoüberwachung und Gestaltung des Risiko managementsystems Wirksames Risikomanagement erfordert dessen Verankerung in den Geschäftsprozessen und Managementsystemen des Unternehmens sowie die Einbeziehung aller Mitarbeiter bei der Umsetzung. Die sich ständig ändernden Umweltbedingungen wirken auch auf die Risikosituation des Unternehmens ein. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2536.7 Prüfung der Leistungsfähigkeit Das Risikomanagementsystem hat daher durch organisatorische Regelungen – insbesondere eine klare Verantwortungszuordnung – sicherzustellen, dass Risiken frühzeitig identifiziert und regelmäßig bewertet werden. Schwierigkeiten tauchen oft bei folgenden Aspekten auf: Fehlende Schwerpunktsetzung und vermeidlicher bürokratischer Aufwand • bei der Risikoüberwachung Fehlende Verbindung mit bestehenden Organisations-, Controlling-, Pla- • nungs- und Berichtssystemen: Risikomanagement wird teilweise als eigenständiges System verstanden. Besser ist es demgegenüber, das Risikomanagement – soweit möglich – mit den vorhandenen Systemen zu vernetzen. Dieses bedeutet, dass beispielsweise die Informationen aus dem Controlling (z.B. unsichere Planannahmen) oder aus dem Qualitätsmanagement (z.B. aus FMEA) genutzt werden. Mangelhafte Dokumentation im Risikomanagement: Ein nachvollziehbares • Risikomanagementsystem benötigt eine ordentliche, für Dritte (zum Beispiel Wirtschaftsprüfer) verständliche Dokumentation. Unklare Aufgabenzuordnung im Risikomanagement und Fehlen eines Ver- • antwortlichen für das Gesamtsystem: Für alle maßgeblichen Risiken, die regelmäßig zu überwachen sind, sollte ein Verantwortlicher („Risk Owner“) eindeutig benannt werden und eine verantwortliche Stellung für das Gesamtsystem. Unbefriedigende Einbindung der Mitarbeiter ins Risikomanagement: Nicht • selten existiert ein Risikomanagementsystem nur auf dem Papier. Die Mitarbeiter – oft einschließlich der Führungskräfte – engagieren sich nicht für das Risikomanagement und sehen dessen Bedeutung als unwesentlich an; es mangelt an einer angemessenen Risikokultur. Fehlende Nutzung von im Unternehmen verfügbaren Risikoinformationen • bei wesentlichen Entscheidungen unter Unsicherheit, wie z.B. Investitionsentscheidungen, der Wahl zwischen alternativen strategischen Handlungsoptionen, der Beurteilung verschiedener Risikotransferstrategien oder die Bestimmung der Finanzierungsstruktur (angemessene Eigenkapitalausstattung). Probleme im Projektmanagement: In der Praxis ist oft zu beobachten, dass • größere Maßnahmen zur Risikoreduktion als Projekt umgesetzt werden. Dies hat den Vorteil einer einheitlichen Steuerung und Abrechnung. Allerdings darf man dabei nicht vergessen, dass durch die Organisationsform „Projekt“-Einschränkungen entstehen können; z.B. hat ein Projektleiter meist volle Verantwortung, aber nur eingeschränkte Entscheidungsgewalt, und durch Projekte wird ein zusätzlicher administrativer Aufwand geschaffen. Die folgende Tabelle liefert eine Checkliste mit typischen Problemfeldern des Risikomanagements: Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 254 6. Risikoüberwachung, Risiko-Controlling und die Organisation 417 In Anlehnung an Gleißner/Meier, 2006. Diese und weitere Checklisten sind auf der Begleit-CD des Buches zu finden. Checkliste zur Leistungsfähigkeit des RisikomanagementsAbbildung 78: 417: Anforderungen und potenzielle Problemfelder 1) Risikoidentifikation: 1.1 Fokussierte und hierarchische Systematik zur Risikoidentifikation 1.2 Bezug zur Unternehmensstrategie: Bedrohung von Erfolgsfaktoren 1.3 Erfassung unsicherer Planannahmen aus Controlling und Planung 1.4 Auswertung von Planabweichungen zur Risikoidentifikation 2) Risikoanalyse / Risikoquantifizierung: 2.1 Klare, überschneidungsfreie Abgrenzung von Risiken 2.2 Abgrenzung von Risiken und sicheren Schäden 2.3 Begründungen für die Risikobewertung dokumentiert 2.4 Berücksichtigung der Wirkungsdauer von Risiken 2.5 Quantitative Beschreibung der Risiken durch geeignete Wahrscheinlichkeitsverteilungen (z.B. Normal- oder Dreiecksverteilung) 2.6 Geeignetes Risikomaß (z.B. Value-at-Risk) zur Priorisierung von Risiken 2.7 Erfassung der Abhängigkeit zwischen wichtigen Risiken (Korrelationen) 3) Risikoaggregation: 3.1 Aggregation statt Addition der wichtigsten Risiken 3.2 Aggregation von Einzelrisiken mit Bezug zur Unternehmensplanung (Monte-Carlo-Simulation) 3.3 Berechnung des Gesamtrisikoumfangs (Eigenkapitalbedarf) / Bezug zum Rating und Finanzplanung 3.4 Definition eines risikoorientierten Erfolgsmaßstabs (Performancemaß) 4) Risikobewältigung: 4.1 Betrachtung unterschiedlicher Risikobewältigungsmaßnahmen 4.2 Beachtung unternehmerischer Entscheidungsrisiken (Managementrisiken) 4.3 Abgrenzung von Kern- und Randrisiken 4.4 (Quantitative) Frühaufklärungssysteme / Prognosesysteme 4.5 Abwägung von Risiken und Ertrag bei Entscheidungen (z.B. Investitionen) 5) Risikoüberwachung und Gestaltung des Risikomanagementsystems: 5.1 Schwerpunktsetzung bei wichtigen Risiken zur Vermeidung bürokratischen Aufwands 5.2 Verbindung mit bestehenden Organisations-, Planungsund Berichtssystemen (insb. Controlling, BSC, QMS) 5.3 Vollständige und verständliche Dokumentation der Prozesse im Risikomanagement 5.4 Klare Aufgabenzuordnung im Risikomanagement 5.5 Benennung eines Verantwortlichen für das Gesamtsystem 5.6 Organisatorische Trennung zwischen Risikomanagement und Interner Revision 5.7 Einbindung der Mitarbeiter ins Risikomanagement / Risikokultur 5.8 Festlegen von Risikopolitik und Limitsystem Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2556.7 Prüfung der Leistungsfähigkeit 6.7.3 Zustand von Risikomanagement und Risikoreporting in Deutschland Im letzten Abschnitt wurden Ansatzpunkte für potenzielle Verbesserungen und die Leistungsbeurteilung des Risikomanagements vorgestellt. Empirische Untersuchungen zeigen, dass in der Praxis deutscher Unternehmen tatsächlich in den oben genannten Problemfeldern erheblicher Handlungsbedarf besteht. Im Folgenden werden daher einige empirische Ergebnisse zum Risikomanagement in Deutschland kurz zusammengefasst. Die empirische Untersuchung von Winter zum Stand des Risikocontrollings in Deutschland418 verdeutlicht, dass das Risikocontrolling einen Risikomanagementansatz unterstützen soll, der im Wesentlichen auf eine Fortbestands- und Erfolgspotenzialsicherung, die Förderung des Risikobewusstseins der Mitarbeiter und die Erfüllung gesetzlicher Mindestanforderungen ausgerichtet ist. Relativ viele der befragten Führungskräfte (41,3 %) schätzen dabei den Beitrag des Risikomanagements zum Unternehmenserfolg nur als mäßig, 37,6 % sogar nur als gering oder sehr gering ein. In dieser Hinsicht wundert es nicht, das Risikomanagement auch nur mit vergleichsweise wenig Aufwand in den Unternehmen betrieben wird und relativ einfache Instrumente (Checklisten, Risk-Maps etc.) zum Einsatz kommen. Auch die Integration der Risikomanagementprozesse in bestehende Planungs- und Kontrollprozesse ist weniger ausgeprägt419, und das wichtigste Motiv für die Einführung formalisierter Risikomanagementsysteme sind noch immer die gesetzlichen Bestimmungen. Ähnlich wie viele andere Studien zum Risikomanagement420 zeigt auch die Studie von Winter, dass insbesondere die mangelhafte Risikoaggregation als zentraler Schwachpunkt der Anwendung von Risikomanagement in der Unternehmenspraxis aufzufassen ist: Da gerade jedoch die Kenntnis der Gesamtrisikoposition (wie in Kapitel 4 ausgeführt) für die größten Teile des Nutzens der Risikomanagement-Aktivitäten verantwortlich ist, verwundert es nicht, dass gerade ein solcher Mehrwert des Risikomanagements bisher oft nicht generiert werden kann. Grundlage der im Folgenden vorgestellten Untersuchung zum Risikomanagement ist das 1998 verabschiedete „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG).421 Diese Anforderungen des KonTraG – bzw. die Präzisierung im entsprechenden Prüfungsstandard des IDW (Institut der Deutschen Wirtschaftsprüfer) im IDW PS 340 – sollte in den Unternehmen inzwischen umgesetzt sein. Zur Risikoberichterstattung wurde vom deutschen Standardisierungsrat (DSR) der deutsche Rechnungslegungsstandard Nr. 5 (DRS 5) erarbeitet, der 2001 bekannt gemacht wurde und für alle Unternehmen, die zur Aufstellung eines Konzernlageberichts verpflichtet sind, verbindlich ist. 418 Vgl. Winter, 2006, S. 201–215. 419 Siehe Winter, 2006a, S. 209. 420 Vgl. Gleißner/Berger/Rinne/Schmidt, 2005 und Berger/Gleißner, 2007 sowie Kajüter/ Winkler, 2004, Dobler, 2004, Denk/Exner-Merkelt/Ruthner, 2005, Hoitsch/Winter/ Bechle, 2005, Gebhardt/Mansch, 2005, Beyer/Hachmeister/Lampenius, 2010, Grasselt/ Pellens/Schmidt, 2010, Angermüller/Berger, 2010. 421 Vgl. Gleißner/Berger/Rinne/Schmidt, 2005 und Berger/Gleißner, 2007. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 256 6. Risikoüberwachung, Risiko-Controlling und die Organisation Die Studie hat aus diesem Grunde die Risikoberichterstattung in den Geschäftsberichten von hundert börsennotierten Unternehmen untersucht. Ausgehend von einer Untersuchung im Jahr 2001 wurden über einen Zeitraum von fünf Jahren die Risikoberichte der im damaligen DAX 100 gelisteten Unternehmen analysiert. Später wurde die Studie erweitert. Ziel der Studie war es, den Stand der Risikoberichterstattung allgemein darzustellen, Veränderungen im Zeitverlauf aufzuzeigen und die Risikosituation der untersuchten Aktiengesellschaften auf Grundlage der berichteten Risiken zeitpunktbezogen bzw. über einen längeren Zeitraum zu analysieren. So waren erstmals Aussagen bspw. über die TOP-Risiken und die Risikosituation möglich. Daneben wurde gezeigt, wie der (publizierte) Stand der Risikomanagementsysteme einzuschätzen ist. Die Analyse der Unternehmensrisiken ergab, dass die Unternehmen vor allem Risiken aus dem Finanzbereich im Risikobericht darstellen, wohingegen Risiken aus der Strategie oder Corporate Governance kaum angegeben werden. Am häufigsten werden Risiken aus Zinsen und Währungen (84 % aller Unternehmen) vor Risiken aus Derivaten (77 %) bzw. dem rechtlichen und politischen Umfeld (73 %) genannt. Im Mittel werden dabei etwa 9 Risiken pro Unternehmen berichtet, wobei sich der Anteil der gravierenden Risiken im Zeitverlauf etwas verringert hat. Die Analyse des Informationsgehalts und der Risikomanagementsysteme wirft einige Fragen auf. Deutlich mehr als die Hälfte der Unternehmen (62 %) legen in ihren Berichten nicht oder unzureichend dar, wie Risiken analysiert und bewertet werden (2005: „Bewertung“ im Mittel mit 1,3 von maximal 3 möglichen Punkten vergeben). Vor allem erwähnen mehr als 80 % der Unternehmen keine Aggregation der Risiken. Wie dann die Gesamtrisikoposition ermittelt wird, bleibt so für die Adressaten der Risikoberichte unklar. Verteilung aller Risiken und der gravierenden Risiken im HDAXAbbildung 79: Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2576.7 Prüfung der Leistungsfähigkeit Einzelrisiken werden jetzt 58%Die Risikoberichterstattung wurde angepasst stärker in ihrer Wechselwirkung mit anderen Risiken gesehen. 55% . Es werden mehr als qualitative Methoden einbezogen. 44% Risiken werden anders gemessen, wir arbeiten mit neuen Modellen. 39% Das Risikomanagementsystem wird auf weitere Unternehmensbereiche ausgeweitet 31% 0% 10% 20% 30% 40% 50% 60% 70% andere Änderungen. 66% Veränderungen nach Ausbruch der KriseAbbildung 80: Zusammenfassend kann über den Zeitraum bis 2005 eine leichte Verbesserung des Informationsgehalts festgestellt werden, allerdings auf niedrigem Niveau.422 Mittels einer Befragung haben jüngst auch Beyer, Hachmeister und Lampenius (2010) durch eine Befragung eine Selbsteinschätzung zum Stand des Risikomanagements erhoben. Befragt wurden mittelständischen Unternehmen aus Baden-Württemberg. Erfreulich ist, dass insbesondere die Wechselwirkungen zwischen Risiken in den Unternehmen mehr beachtet werden sollen – wobei unklar bleibt, wie dies geschehen soll (vgl. Abbildung 80). Auch sollen mehr qualitative Methoden mit einbezogen werden; hier ist allerdings möglicherweise die Gefahr zu sehen, dass die an sich zwingend notwendige Weiterentwicklung der quantitativen Methode offenbar nicht den gleichen Stellenwert hat. Dies ist natürlich bedenklich, da gerade Defizite in den quantitativen Methoden die Probleme in der Finanz- und Wirtschaftskrise maßgeblich mitbestimmt haben und die Weiterentwicklungspotenziale in diesem Bereich bekanntlich noch lange nicht ausgeschöpft sind. Überraschend hoch ist das Vertrauen der Unternehmen (90 % der Befragten), dass das Risikomanagement die wesentlichen Risiken „sicher“ oder zumindest „wahrscheinlich“ abdeckt. Dieses Zutrauen überrascht besonders, da der Fokus der Anwendung von Methoden zur Risikoidentifikation und -bewertung doch noch immer sehr stark ausgerichtet ist auf Finanzrisiken, IT-Risiken und operationelle Risiken. Marktrisiken (z.B. konjunkturelle Schwankungen) werden dagegen nur von 78 % der Unternehmen betrachtet, Rohstoffpreise und Beschaffungsrisiken nur von 60 % und strategische Risiken von 74 %. Inwieweit die nun besonders offenkundig re- 422 Vgl. Berger/Gleißner, 2006 und 2007. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 258 6. Risikoüberwachung, Risiko-Controlling und die Organisation levanten makroökonomischen Risiken, die ja nicht nur Marktrisiken umfassen, betrachtet werden, kann aus der Umfrage nicht abgeleitet werden. Erfreulich ist, dass Risikomanagement als „Chefsache“ interpretiert wird. Organisatorisch ist das Risikomanagement entweder beim CEO (Chief Executive Officer/Geschäftsführer) oder beim CFO (Chief Financial Officer/Finanzvorstand) aufgehängt. Immerhin 22 % der Unternehmen geben an, einen eigenen Chief Risk Officer oder Chief Riskmanager (CRO) zu haben. Gemäß der Selbsteinschätzung der befragten mittelständischen Unternehmen besitzt die Mehrzahl der in der Studie befragten Unternehmen ein Risikomanagement und nutzt dies auch für die betriebliche Steuerung. Die Autoren fassen die erfreulichen Ergebnisse wie folgt zusammen423: „Viele Unternehmen nehmen eine umfangreiche Risikoanalyse und -bewertung vor, bei der Risiken quantifiziert, langfristig betrachtet, auf Abhängigkeiten untersucht und zu einem Gesamtrisiko aggregiert werden.“ Es wäre sicherlich sehr erfreulich, wenn tatsächlich – wie die Befragungsergebnisse zeigen – das Risikomanagement zu einem wesentlichen Bestandteil der Unternehmenssteuerung auch bei der Mehrheit der mittelständischen Unternehmen geworden wäre. Sinnvoll ist dies natürlich auf jeden Fall. Allerdings zeigen viele Indizien, dass diese Selbsteinschätzungen der Unternehmen doch etwas optimistisch sind.424 Ausserdem dürfte sich hier selektionsbedingt der Stand des „besten“ Unternehmens des Mittelstands zeigen. Vielleicht zeigen die Befragungsergebnisse eher, wie sich Unternehmen ihr Risikomanagement idealerweise vorstellen, als die aktuelle Situation in der Gesamtheit der Unternehmen. Aber auch dies wäre natürlich durchaus schon sehr erfreulich. 6.7.4 Zusammenfassung Insgesamt ist festzuhalten, dass der Erfolg des Risikomanagements – nämlich die Steigerung des Erfolgs bzw. Unternehmenswertes durch Verbesserung der Risikoposition des Unternehmens – durch eine Reihe häufig beobachtbarer Fehlerquellen bedroht ist. In sämtlichen Phasen eines Risikomanagementprojektes gibt es schwerwiegende methodische Gefahrenquellen. Diese können dazu führen, dass Risikomanagement in der Praxis trotz massiven Einsatzes an Zeit- und Mitarbeiterressourcen keinen befriedigenden Erfolg zeigt und oft die gesetzten Erwartungen nicht erfüllt. Anzustreben ist, dass das Risikomanagement Aussagen liefert über den Gesamtrisikoumfang (Eigenkapitalbedarf), die Berechnung risikogerechter Kapitalkostensätze (wertorientierte Unternehmensführung) unterstützt und letztlich damit eine Abwägung von erwarteten Erträgen und Risiken bei wichtigen Entscheidungen unterstützt. Zudem sollte es die Planungssicherheit zeigen und möglichst verbessern. 423 Beyer/Hachmeister/Lampenius (2010), S. 121. 424 Vgl. aktuelle Studien von Angermüller/Gleißner, 2010 und Crasselt/Pellens/Schmidt, 2010, die speziell Defizite beim Einsatz qualitativer Verfahren und der Verknüpfung von Risikomanagement und Controlling zeigen. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2596.8 Projektmanagement Bei einem leistungsfähigen Risikomanagement kann zudem insbesondere der größte Teil der eingetretenen Planabweichungen (z.B. bei Umsatz und Ergebnis) auf bereits im Vorhinein bekannte Risiken zurückgeführt werden. Dies ist der ultimative Praxistest für das Risikomanagement. Wenn das Unternehmen diesen Test nicht besteht, ist die ökonomische Leistungsfähigkeit des Risikomanagements in Frage zu stellen. Die Unternehmensführung hat dann ein starkes Indiz dafür, dass die Fähigkeiten des Unternehmens zur Beherrschung der Unwägbarkeiten der Zukunft noch verbessert werden können. Die Checkliste in diesem Abschnitt zeigt diese Ansatzpunkte für Verbesserung. 6.8 Projektmanagement : Einführung eines Risikomanagementsystems 6.8.1 Gestaltungsalternativen für Risikomanagement-Projekte So wohl die erstmalige Implementierung eines unternehmensweiten Risikomanagementsystems als auch der Systemausbau erfordert eine Projektplanung und eine zentrale Projektleitung. Da Risikomanagement als Querschnittsfunktion im Prinzip alle Organisationseinheiten (z.B. Tochtergesellschaften) und Funktionsbereiche eines Unternehmens betrifft, sind hier vielfältige Abstimmungen erforderlich, und es ist sicherzustellen, dass von der Unternehmensführung selbst die Bedeutung des Themas Risikomanagement klargestellt wird und die notwendigen Kompetenzen für den Aus- und Aufbau des Risikomanagements dem jeweiligen Projektleiter zugeordnet werden. Im Folgenden werden einige Überlegungen zur Umsetzung von Projekten im Risikomanagement kurz zusammengefasst. Dabei wird zunächst im ersten Unterabschnitt auf den „traditionellen“ Aufbau eines Risikomanagements eingegangen, der ausgehend von einer durchgängigen systematischen Identifikation der Risiken über Risikobewertung und Risikoaggregation im letzten Schritt Organisationsregeln für das Risikomanagement zusammenfasst, die einer kontinuierlichen Überwachung der wesentlichen Risiken dienen. Ergänzend wird im folgenden Unterabschnitt ein alternativer Vorgehensweg skizziert. Dieser geht von der Annahme aus, dass die wesentlichen Unternehmensrisiken bereits bekannt sind und durch das Risikomanagement daher ohne einen umfassenden Identifikationsprozess relativ schnell zunächst die Bestimmung des Gesamtrisikoumfangs (Risikoaggregation) gewährleistet werden soll, da mit diesen Zusatzinformationen ein wesentlicher Teil des Nutzens des Risikomanagements (z.B. Ratingprognosen und die Bestimmung des Eigenkapitalbedarfs für die Finanzierungsplanung) erzielt werden kann. Bei dieser Projektvariante wird anschließend ein hoch effizienter Weg für die Weiterentwicklung des Risikomanagements gewählt, nämlich die möglichst konsequente Nutzung bestehender Managementsysteme, speziell des Controllings. Die Einführung eines Risikomanagement-Systems ist vergleichbar mit anderen internen Projekten und erfordert ein gewisses Maß an Koordinations- und Steu- Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 260 6. Risikoüberwachung, Risiko-Controlling und die Organisation erungsaktivitäten, um eine termin-, inhalts- und kostengerechte Zielerreichung zu gewährleisten. Deshalb sollte auch die Einführung eines Risikomanagement- Systems als klar definiertes Projekt geführt und strukturiert abgearbeitet werden. Für die Projektarbeit wird oft externe Beratungsleistung hinzugezogen. Sinnvollerweise wird auch der eigene Wirtschaftsprüfer möglichst frühzeitig in das Projekt eingebunden, wenn formale Anforderungen (KonTraG) erfüllt werden sollen. Damit können nicht nur die erforderlichen Inhalte aus Sicht der Wirtschaftsprüfung berücksichtigt, sondern auch dessen Kenntnisse über das Unternehmen genutzt werden. Vorsicht geboten ist natürlich in der Frage, wie viel Redundanz und wie viele zusätzliche Kontrollmaßnahmen ein Unternehmen tatsächlich umsetzen möchte. Ist die grundsätzliche Entscheidung für die externe Unterstützung gefallen, gibt es zwei Möglichkeiten, wie diese ausgestattet werden kann: Der Berater stellt sein methodisches Wissen zu den Arbeitsschritten zur • Verfügung, ohne an der inhaltlichen Erarbeitung der Risikoinformationen beteiligt zu sein („Coaching-Modell“). Der Berater erhebt gemeinsam mit den Mitarbeitern des Unternehmens die • benötigten Informationen, dokumentiert Ergebnisse selbst und übernimmt eigenständig Teilaufgaben („Berater-Modell“). Zudem ist gemäß den Überlegungen aus Kapitel 6. (genauer 6.2, 6.3 und 6.4) zur Organisation des Risikomanagements zu unterscheiden zwischen dem „Risikomanagementansatz“ (als weitgehend separiertem Organisa- • tionssystem) und dem „Controllingansatz“, also dem integrativen Verbinden von Risikomanage- • ment mit Controlling (aber auch Qualitätsmanagement, Treasury etc.). Im Folgenden wird zunächst ein möglicher Projektablauf für den eigenständigen Risikomanagementansatz dargestellt. Anschließend wird (Abschnitt 6.8.4) kurz die Projektskizze für einen alternativen Weg zum integrierten Risikomanagement dargestellt, bei dem unterstellt wird, dass wesentliche Informationen über die Risiken bereits existieren und durch den Ausbau des Risikomanagements im Kontext der Planung ausgewertet werden sollen, um Informationen über den (aggregierten) Gesamtrisikoumfang des Unterneh- • mens zu erhalten und dauerhaft Controllingfunktionalitäten für die Identifikation und Bewertung • des Risikos zu nutzen. Gerade bei der Planung von Risikomanagementprojekten sind die im ersten Kapitel bereits erwähnten Umsetzungshemmnisse besonders zu beachten. Der Erfolg eines Projekts zum Aus- oder Aufbau des Risikomanagementsystems ist wesentlich davon abhängig, dass eindeutig geklärt wird, was Risiko ist (insbesondere sollten Risiken nicht mit • Fehlern oder Schäden verwechselt werden, sondern als mögliche Planabweichungen aufgefasst werden), der Nutzen des Risikomanagements für das Unternehmen klargestellt wird, • Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2616.8 Projektmanagement auf die psychologisch bedingte Aversion von Menschen, sich mit Risiko zu • beschäftigen, explizit hingewiesen wird und aufgezeigt wird, wie auch scheinbar schwierige Aufgaben im Risikomanage- • ment (z.B. die Risikoquantifizierung) durch bekannte und bewährte Instrumente effizient lösbar sind. 6.8.2 Das Projektteam und dessen Aufgaben Je nach Unternehmensgröße gehören folgende Mitarbeiter zum Projektteam, deren Aufgabenbereiche kurz erläutert werden.425 Mentor Ein Vertreter der Unternehmensleitung („Mentor“) ist als sog. Risikobeauftragter verantwortlich für das Risikomanagementsystem auf Ebene der Unternehmensführung. Ihm obliegt es, das Projekt zu starten, es zu kommunizieren und zu fördern. Der „Mentor“ sollte nicht verwechselt werden mit dem „Auftraggeber“ oder „Kunden“ des Projektes; diese Rollen können, müssen aber nicht übereinstimmen. Projektleiter Wegen der thematischen Nähe des Risikomanagements zum Controlling empfiehlt es sich meist, das Projekt in diesem Bereich anzusiedeln und die interne Projektleitung mit einem Mitarbeiter aus diesem Bereich zu besetzen. In manchen größeren Unternehmen wird die Projektleitung jedoch auch von der internen Revision übernommen. In diesen Fällen sollte bereits während der Projektplanung der Übergang des Risikomanagements in andere Verantwortungsbereiche vorgesehen werden. Bei externer Begleitung des Projektes sind Absprachen zwischen der internen und externen Projektleitung notwendig. Sie planen und steuern gemeinsam den Ablauf des Projekts. Zu den Aufgaben gehören z.B. die Erstellung des Projektplans, die Koordination der Termine, die Vor- und Nachbereitung der Workshops, die Sicherstellung der Dokumentation sowie das Ausarbeiten der Ergebnispräsentationen. Mitarbeiter im Projekt Selten können alle relevanten Mitarbeiter eines Unternehmens in das Projekt eingebunden werden. Gleichwohl müssen sie Informationen über das Projekt und die daraus erwünschten Verhaltensänderungen im Umgang mit Risiken erhalten. Aus diesem Grunde kann bei komplexeren Projekten ein Team gebildet werden, das mit Führungskräften und Fachspezialisten aus den Funktionsbereichen, Abteilungen oder Prozessen (z.B. aus Controlling, Finanzwesen oder Produktion) besetzt ist. Ihre Aufgabe besteht darin, Fachwissen mit einzubringen und die Querverbindungen zu ihren Abteilungen herzustellen. 425 In Anlehnung an Gleißner/Lienhard/Stroeder, 2004. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 262 6. Risikoüberwachung, Risiko-Controlling und die Organisation 6.8.3 Projektablauf Ein Projektablauf für ein Unternehmen gliedert sich meist in sechs Phasen. Je nach Unternehmen und Schwerpunktsetzung sind spezifische Anpassungen vorzunehmen; beispielsweise können auch Iterationen zwischen den Phasen 2 und 5 gewünscht sein, damit das System adäquat fokussiert wird. Das Resultat ist eine erste Einschätzung über die Risikosituation des Unternehmens sowie ein funktionierendes Risikomanagementsystem. Die Phasen werden jeweils bspw. mittels Checklisten vorbereitet. Projektplanung Projektplanung und Arbeitsvorbereitung, Fixierung Risikofelder Phase 1 Risikoanalyse (Risk Audit) Strategische und operative Risikopotentiale, Risikoinventar Phase 2 Risikoaggregation Eigenkapitalund Liquiditätsbedarf, Gesamtrisikoumfang Phase 3 Risikobewältigung Riskobewältigung, Handlungsalternativen Phase 4 Organisation Systemgestaltung, Dokumentationsund Kommunikationskonzept Phase 5 Implementierung Zusammenfassung des Gesamtkonzeptes, Implementierung Phase 6 • Projektstruktur • Unternehmensdarstellung • Branchenanalyse • Risikofelder priorisieren • Charakterisierung des Umfeldtypus • Charakterisierung des Unternehmenstypus • Ermittlung kritischer Erfolgsfaktoren • Ermittlung strategischer und operativer Risiken • Risikoinventar • Risikoquantifizierung • Risikoaggregation mittels Risikosimulationsmodell • Bewertung der Gesamtrisikoposition • Darstellung der Streuungsbänder für Gewinn und Cashflow • Eigenkapitalbedarf • Rating- Einschätzung • Ergenbnispräsentation der Risikoanalyse • Beurteilung bisheriger Maßnahmen • Erarbeitung der Handlungsalternativen • Risikobewältigung verbessern • Risikopolitik und Limite • Zuordnung der Verantwortlichkeiten • Einrichtung eines Früherkennungs systems • Regelung zur Berichterstattung • Dokumentation der Risikoüberwachung • IT-gestütztes Risikomanagement • Ergenbnispräsentation • Festlegung der weiteren Vorgehensweise • Schulung der Mitarbeiter ProjektablaufAbbildung 81: (1) Projektplanung Das Projektmanagement begleitet den gesamten Prozess. Das Modul beginnt unmittelbar mit der Entscheidung, ein Risikomanagement-System einzuführen und endet frühestens dann, wenn der erste Durchlauf der Risikoüberwachung abgeschlossen ist. Risikomanagement ist insgesamt als ständig wiederkehrender Prozess im Unternehmen zu verankern, so dass mit der Phase der Umsetzung der Zyklus mit der Risikoanalyse von neuem beginnt. Zunächst werden insbesondere die Risikofelder definiert, die genauer bezüglich Risiken analysiert werden sollen, und der Umfang der Arbeiten für die Risikoanalyse wird festgelegt (Priorisierung). Die weiteren Aufgaben bestehen in der Planung des gesamten Projektablaufs (Festlegung eines Rahmenterminplans mit den wesentlichen Inhalten) sowie der Schwerpunktsetzung bei den Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2636.8 Projektmanagement Schlüsselaktivitäten (Risikoidentifikation, Risikobewertung, Risikoaggregation und organisatorische Gestaltung des Risikomanagementsystems). (2) Risikoanalyse (Risk Audit) I n dieser Phase werden alle maßgeblichen Risiken des Unternehmens identifiziert und anschließend quantifiziert. Hierzu werden unterschiedliche Verfahren angewendet. Für die Analyse von Finanzmarktrisiken kann anstelle eines Workshops auch die Analyse von bereits vorliegendem Informationsmaterial erfolgen (Jahresabschlussanalyse), während bei der Identifikation von strategischen Risiken und Leistungsrisiken primär Workshops eingesetzt werden. Häufig bietet es sich an, die Risikoanalyse mindestens zweistufig aufzubauen. Zuerst werden im Rahmen von Workshops die Risikofelder analysiert und die wichtigsten Risiken identifiziert. In einem zweiten Schritt werden zusätzliche statistische Daten ausgewertet oder auch Kurzinterviews durchgeführt, um eine präzisere Beurteilung und quantitative Bewertung der Risiken zu erreichen. Bei der Risikoanalyse wird der Risikoumfang unter Berücksichtigung der im Unternehmen gegenwärtig eingesetzten Risikobewältigungsmaßnahmen (z.B. bestehende organisatorische Regelungen oder Versicherungslösungen) eingeschätzt („Nettomethode“). Die Risiken werden in der Phase der Risikobewertung mittels einer unternehmensspezifischen Relevanzskala erstmalig eingeschätzt. Die Relevanz-Bewertung dient als Abbruchkriterium für eine vertiefende Analyse, um den Aufwand insgesamt gering zu halten. Im nächsten Schritt werden Risiken (z.B. mit Relevanzen von 3, 4 oder 5) intensiver untersucht und quantifiziert. Ergebnis der Risikoanalyse ist ein Risikoinventar, das die wichtigsten Risiken des Unternehmens zusammenfasst. (3) Risikoaggregation Die Risikoaggregation ermöglicht Aussagen über den Gesamtrisikoumfang des Unternehmens. Die Risikoaggregation erfordert dabei die Integration der Risiken in die Unternehmensplanung, um den Umfang risikobedingter Planabweichungen und somit möglicher Verluste zu zeigen (Eigenkapitalbedarf). (4) Risikobewältigung Aus den gewonnenen Erkenntnissen über Art und Umfang der Risiken sind Handlungsalternativen der Risikobewältigung abzuleiten. Ziel ist, die Risikosituation zu optimieren. Zunächst wird bezüglich der einzelnen Risiken der Handlungsbedarf bestimmt, der sich aus dem Umfang des Risikos und der Bewertung der Angemessenheit der heute vorhandenen Risikobewältigungsmaßnahmen ergibt. Im Rahmen der Analyse (siehe (2)) werden immer schon erste Ansatzpunkte für eine Verbesserung des Umgangs mit einem Risiko aufgedeckt, die nunmehr aufgegriffen und diskutiert werden. Hier ergeben sich erste unmittelbare Vorteile des Risikomanagements, z.B. Reduzierung der Kosten der Risikobewältigung. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 264 6. Risikoüberwachung, Risiko-Controlling und die Organisation (5) Organisation Jedes Unternehmen benötigt ein organisiertes System, das die aktuelle Situation und die Veränderungen der Risikosituation anzeigt und der Unternehmensführung transparent macht. Die Grundzüge der Risikopolitik werden zunächst festgelegt. Hier werden die grundsätzlichen Anforderungen an das Risikomanagement des Unternehmens definiert, die die Basis für alle Regelungen der organisatorischen Gestaltung darstellen. Die Verantwortlichkeiten werden geklärt: Wer trägt die Gesamtverantwortung? • Wer ist zuständig für die laufende Überwachung von Risikofeldern und von • relevanten Einzelrisiken (Risk Owner)? Die Regeln zur Risikoüberwachung werden fixiert und das Berichtswesen bestimmt. So entsteht das Risikohandbuch. (6) Umsetzung Die Vorgehensweise zur Implementierung und zur dauerhaften Verankerung des Systems wird neu festgelegt. Damit einher geht auch der Übergang von der Projektorganisation in die Unternehmensorganisation (Tagesgeschäft). In der Implementierungsphase sollen die Mitarbeiter begleitet und geführt werden. Es ist wichtig, dass die Mitarbeiter über das Risikomanagement-System informiert und bei Bedarf auch geschult werden. Ziel ist es, das Risikomanagement im Unternehmen zu verankern und insbesondere ins Tagesgeschäft – d.h. ins Bewusstsein der Mitarbeiter – zu integrieren. Die Umsetzung (IT) erfolgt mit Hilfe von Software, die sowohl die Risikoanalyse als auch die Bewertung und Aggregation der Risiken bis hin zur Berichterstattung unterstützt.426 Es handelt sich dabei oft um eine Lösung, die Risikomanagement- und Rating-Prognosen sowie simulationsbasierte Unternehmensbewertung unterstützen kann. 6.8.4 Aufbau eines risikoorientierten Controllings: ein alternativer Projektplan Nach der kurzen Darstellung des „konventionellen“ Weges zum Aufbau des Risikomanagementsystems, das weitgehend abgestützt ist auf eine eigenständige Struktur, wird im Folgenden kurz skizziert, wie in nur wenigen Tagen der Ausbau des Risikomanagements in Anlehnung an bestehende Controllingsysteme möglich ist. Der Start ist hier jedoch weder die Identifikation von Risiken noch die Anpassung von Organisationsregeln, sondern die erstmalige Bestimmung des Gesamtrisikoumfangs, da gerade hier ein erheblicher Mehrwert im Risikomanagement erreicht werden kann – und speziell dieser Arbeitsschritt in vielen 426 Z.B. dem Risiko-Kompass von Funk RMCE und AXA, den Strategienavigator, MIS Risk Management, Oracle GRC mit Simulationszusatzmodul, Enrisma mit Simu la tionszusatzmodul oder R2C mit dem Zusatzmodul R2C_ValueCalculator von Schleupen und der FutureValue Group AG. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2656.8 Projektmanagement Risikomanagementsystemen von Unternehmen bisher noch nicht durchgeführt wurde. (1) Berechnung des Gesamtrisikoumfangs und des Eigenkapitalbedarfs, sowie Ableitung des Ratings und der Kapitalkosten Zur Vorbereitung eines ersten Workshops wird die operative Unternehmensplanung in eine geeignete Simulationssoftware übernommen.427 Zudem werden die vorhandenen Informationen über die Unternehmensrisiken ausgewertet und in der Software erfasst. Die gewonnenen Informationen dienen zur Beurteilung der Risikoposition und der Planungssicherheit. Im zweiten Schritt werden die Berechnung des Gesamtrisikoumfangs, die Darstellung der Planungsunsicherheiten und der wesentlichen Ergebnisse durchgeführt. Die Datenerfassung wird – gemeinsam mit den relevanten Mitarbeitern z.B. des Controllings – in einem Workshop vorgenommen. Schwerpunkt des Workshops ist die Interpretation und Beurteilung der ermittelten Ergebnisse: Risikoinventar, Eigenkapitalbedarf, Finanzrating, Ratingprognose, Wertbeitrag der Risiken, Kapitalkostensatz, Wertkennzahlen, usw. Dabei wird auch eine Beurteilung der relativen Bedeutung einzelner Risiken möglich, was eine Priorisierung der weiteren Risikoanalyse ermöglicht (vgl. (2)). (2) Durchführung einer vertiefenden Controlling-orientierten Risikoanalyse mittels statistischer Analysen Bei der Controlling-orientierten Vorgehensweise erfolgt eine weitere Identifikation von Risiken anhand der Analyse historischer Plan-Ist-Abweichungen. Diese wird ergänzt, um Risiken aus aktuell (unsicheren) Planungsannahmen. Aus der Analyse historischer Plan-Ist-Abweichungen ist es möglich Rückschlüsse auf die hinter der Abweichung stehenden Risiken zu ziehen • (Risikoidentifikation) Auswirkungspotenziale von Risiken abzuschätzen (Risikobewertung). • Basis für eine fundierte Analyse der vergangenen Unternehmensdaten ist die Zeitreihenanalyse. Z.B. kann die Analyse der vergangenen Umsätze unterscheiden nach Ländern, Produkten oder Branchen, aber auch nach Preis- und Mengeneffekten erfolgen. Konkret wird auf Basis von historischen Daten über die Entwicklung von Umsätzen und (von der Umsatzentwicklung abhängiger) Kosten eine Regressionsanalyse durchgeführt, wobei auch externe Einflussfaktoren (z.B. die Entwicklung des Sozialprodukts) als erklärende Variablen berücksichtigt werden können. Mit Hilfe einer Regressionsanalyse wird eine Gleichung für die Prognose der zu erklärenden Variablen (z.B. Umsatz) berechnet, bei der die Summe der quadrierten Prognosefehler (Residuen) minimiert wird428. Zu beachten ist, dass im Allgemeinen die Anwendung dieses Verfahrens nur möglich ist, wenn sog. „stationäre Zeitreihen“ vorliegen, also insbesondere keine 427 Z.B. den „Strategie-Navigator – mit integriertem Risiko-Kompass“. 428 Man spricht hier von einer Kleinste-Quadrate-Schätzung. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 266 6. Risikoüberwachung, Risiko-Controlling und die Organisation Trends mehr bestehen, was im einfachsten Fall durch Differenzenbildung429 zu erreichen ist.430 Zur quantitativen Beschreibung des Risikos werden dann diese Prognoseresiduen verwendet. Aus der damit berechneten Wahrscheinlichkeitsverteilung, üblicherweise eine Normalverteilung, können im nächsten Rechenschritt die gewünschten Risikomaße abgeleitet und die Risikoaggregation überarbeitet werden. (3) Erarbeitung eines Vorgehensplans zur Integration und Vernetzung von Risikomanagement und Controlling/operativer Planung (Budgetierung) In einem zweiten Workshop – welcher ebenfalls insbesondere mit den relevanten Mitarbeitern des Controlling durchgeführt wird – wird diskutiert, welche Arbeitsprozesse im Controlling angepasst werden müssen, um sämt- • liche unsicheren Planannahmen konsequent an das Risikomanagement (für Quantifizierung und Aggregation) zu melden, welche Prozesse angepasst werden müssen, um sämtliche durchgeführten • Abweichungsanalysen im Hinblick auf die dabei identifizierten Risiken auszuwerten, auf welchen Berichtswegen im Controlling identifizierte Risiken (unsichere • Planannahmen, Ursachen für eingetretene Planabweichungen) dem Risikomanagement (konkret welcher Stelle und in welchem Detaillierungsgrad) mitgeteilt werden, welche quantitativen Informationen über die Risikohöhe weiterzugeben sind • (speziell welche Verteilungsfunktion zu wählen ist; z.B. Dreiecksverteilung mit (1) Mindestwert, (2) wahrscheinlichstem Wert und (3) Maximalwert), welche Berichtswege und Schwellenwerte für die Risikoberichtserstattung • von Controlling zu Risikomanagement zu vereinbaren sind, welche Formblätter, Checklisten und sonstige Hilfsmittel für die Risiko- • management-unterstützenden Tätigkeiten im Controlling erforderlich sind, in welcher Form die Informationsflüsse zwischen Controlling (Unterneh- • mensplanung, Budgetierung) und Risikomanagement IT-gestützt werden, welche Rückkopplung der Informationen des Risikomanagements an das • Controlling (dort identifizierte Risiken, Gesamtrisikoumfang bzw. Planungssicherheit) vorzusehen ist, welche Prozesse (gemeinsam) zwischen Controlling und Risikomanagement • zu vereinbaren sind, um identifizierten Risiken durch adäquate Risikobewältigungsmaßnahmen zu begegnen (z.B. Risikotransfer auf den Versicherungsoder Kapitalmarkt), welche im Controlling und Unternehmensplanung vorhandenen statistischen • Daten (z.B. über vergangene Abweichungen) ausgewertet werden sollen, um die Risikoquantifizierung zu unterstützen, welche Daten in Controlling, Planung und Risikomanagement zukünftig • ergänzend erhoben werden sollen, um (nachvollziehbar) Transparenz über die Entwicklung der Risiken und die daraus sich ergebenden Schäden (bzw. Planabweichungen) zu erhalten, 429 Also die Umwandlung der Zeitreihen in Wachstumsraten. 430 Siehe hierzu z.B. Backhaus/Erichson/Plinke/Weiber, 2006. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2676.8 Projektmanagement in welchen konkreten Arbeitsschritten die Verbindung von Risikomanage- • ment und Controlling/Unternehmensplanung/Budgetierung etabliert werden soll (Projektplan). Die wesentlichen Ergebnisse der Diskussion werden anschließend zusammengefasst. (4) Identifikation und Bewertung der strategischen Risiken und Präsentation der Ergebnisse zu Gesamtrisikoumfang, Rating und Kapitalkosten Ein dritter Workshop ist dann mit der Führung des Unternehmens vorgesehen. Inhalte dieses Workshops sind Darstellung der Grundlagen eines Controlling-orientierten Risikomanage- • mentsystems, strukturierte Diskussion der Strategie und ihrer Erfolgspotenziale sowie die • Identifikation und Relevanzeinschätzung bezüglich der wesentlichen strategischen Risiken, die Vervollständigung des Risikoinventars aus dem ersten Workshop, vor • allem mit den strategischen Risiken, die kritische Diskussion der wesentlichen Annahmen der Simulation zur • Berechnung der Gesamtrisikoposition (z.B. Bandbreiten bezüglich der Entwicklung wesentlicher Umsatz- und Kostenpositionen) und Darstellung der (ggf. überarbeiteten) Berechnung von Gesamtrisikoumfang, • Darstellung der Planungsunsicherheiten und des Eigenkapitalbedarfs sowie Diskussion der wesentlichen Ergebnisse, insbesondere der Konsequenzen der Risikowirkungen auf die Finanzierungskosten, die Finanzierungsstruktur und das Rating. Auch bei dieser Vorgehensweise sollte eine Abstimmung mit den zukünftigen Risikoeignern und dem operativ Verantwortlichen für die Risikosteuerung und Risikobewältigung nicht vernachlässigt werden. Ebenso ist die Erstellung eines Risikohandbuchs zu empfehlen. 6.8.5 Zusammenfassung und Schlussbemerkungen Damit der Start des Risikomanagements gelingt und auch der nachhaltige Erfolg sichergestellt wird, ist es wichtig, dass die Unternehmensführung klare Zielvorstellungen hat, den Handlungsrahmen vorgibt und das Projekt hundertprozentig mitträgt. Durch Setzen von Prioritäten und eine Betonung der Nachhaltigkeit in Bezug auf Termine und Qualität amortisiert sich die Startinvestition in das Risikomanagement zumeist sehr schnell. Dadurch wird auch die Grundlage für eine erfolgreiche Implementierung der Aktivitäten in das Tagesgeschäft geschaffen: „Better decisions for the right reasons.“ Die gewonnene Transparenz über das Unternehmen und seine Zusammenhänge verbessert nachhaltig die Steuerungsmöglichkeiten und versetzt die Führungskräfte dadurch in die Lage, das Unternehmen wesentlich ziel- und zukunftsgerichteter zu lenken. Mit Risikomanagement kann somit erreicht Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 268 6. Risikoüberwachung, Risiko-Controlling und die Organisation werden, dass die Planungssicherheit deutlich erhöht und das Rating sowie die Zukunftsfähigkeit des Unternehmens insgesamt nachhaltig verbessert werden. Um diese Vorteile zu generieren, sind klar strukturierte Projekte zum Ausbau der Risikomanagementsysteme nötig. Gestaltungsvarianten für derartige Projekte wurden in diesem Abschnitt vorgestellt. Die Verknüpfung von Controlling, Planung und Risikomanagement zur Realisierung eines „risikoorientierten Unternehmenssteuerungskonzepts“ sollte angestrebt werden. 6.9 IT-Systeme und Software zur Unterstützung des Risiko managements431 6.9.1 Nutzen einer IT-Unterstützung432 Ein Risikomanagementinformationssystem (RMIS ) ist ein IT-gestütztes, daten-, methoden- und modellorientiertes Entscheidungsunterstützungssystem für das Risikomanagement, das relevante Informationen zeitgerecht und formal adäquat zur Verfügung stellt und somit eine Unterstützung bei der Entscheidungsvorbereitung bietet. Es erfasst und verarbeitet in der Regel sowohl interne Daten aus den betrieblichen Informationssystemen (etwa aus Rechnungswesen oder Controlling), als auch externe Daten (etwa Informationen aus öffentlich zugänglichen Datenbanken).433 Durch den Einsatz eines RMIS können dabei mehrere Schwachstellen vermieden werden, die bei der Umsetzung des Risikomanagements in der Praxis auftreten. Zu derartigen Schwachstellen zählen u.a.: eine fehlende oder unvollständige Risikoerfassung (Risikoinventar), • der fehlende Überblick über die Risikolage eines Unternehmens (aggregierter • Gesamtrisikoumfang), die redundante und inkonsistente Erfassung und Speicherung von Daten, • fehlende bzw. gestörte Informations- und Kommunikationswege sowie -ab- • läufe, eine über Risiken nicht ausreichend informierte Unternehmensleitung, • eine verzögerte oder nicht risikogerechte Entscheidungsfindung. • Das Risikomanagement beschäftigt sich primär mit dem „Management“ von Informationen. Ein „Risk Manager“ sieht sich bei seiner alltäglichen Arbeit mit einer Fülle von unterschiedlichen Informationen konfrontiert, die ihm meist unkoordiniert und unvollständig zur Verfügung gestellt werden. In vielen Fällen existieren die für das Risikomanagement erforderlichen Daten bereits in unterschiedlichen Unternehmensbereichen. Eine wesentliche Anforderung an ein IT-gestütztes Risikomanagement besteht deshalb u.a. darin, einen reibungslosen Informations- und Kommunikationsfluss zwischen den am Risikomanagement 431 Zum Thema „Risikomanagement-Software“ sind zusätzliche Informationen auch auf der beiliegenden CD zu finden. 432 In enger Anlehnung an Gleißner/Romeike, 2005. 433 Vgl. Erben/Romeike, 2002. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2696.9 IT-Systeme und Software zur Unterstützung beteiligten Organisationseinheiten und betrieblichen Funktionsträgern zu gewährleisten. 6.9.2 Anforderungen an ein IT-gestütztes Risikomanagement Entsprechend den unterschiedlichen individuellen Bedürfnissen der einzelnen Unternehmen variieren auch die Anforderungen an ein RMIS. Deshalb ist die Ermittlung der betriebswirtschaftlichen Anforderungen ein zentrales Problem bei der Auswahl bzw. Entwicklung und Implementierung eines IT-gestützten Risikomanagementsystems. Trotzdem lassen sich einige grundlegende Anforderungen definieren: Um das Risikomanagement rechnerbasiert unterstützen zu können, reicht die • Speicherung vergangener und aktueller Daten (etwa Schadensdaten, Daten über Risikolage und Wirksamkeit der risikopolitischen Maßnahmen) nicht aus. Vielmehr sollte das IT-gestützte Risikomanagementsystem den gesamten Riskomanagement-Prozess, also die Risikoanalyse, die Risikoaggregation, die Erfassung und Beurteilung von risikopolitischen Handlungsalternativen, die Abschätzung der Auswirkungen der geplanten Maßnahmen und den Soll-Ist- Vergleich zur Erfolgskontrolle umgesetzter Maßnahmen, unterstützen. Ein IT-gestütztes Risikomanagementsystem sollte möglichst in die beste- • hende IT-Landschaft eines Unternehmens integriert werden, bzw. über passende Schnittstellen zu anderen Bestandteilen des betrieblichen Informationssystems, etwa zum betrieblichen Rechnungswesen, verfügen.434 Die Vorteilhaftigkeit eines integrierten Systems ergibt sich zusätzlich daraus, dass der Risikomanager an allen Entscheidungen teilhaben sollte, welche die Risikolage des Unternehmens tangieren. Eine weitere wichtige Anforderung besteht in der Implementierung geeigneter Kommunikationsschnittstellen (etwa E-Mail), um den Informations- und Kommunikationsfluss zwischen den am Risikomanagement beteiligten Funktionen sicherstellen zu können. Von zentraler Bedeutung ist auch ein flexibler Aufbau, damit das IT-gestützte Risikomanagementsystem den kontinuierlichen Unternehmensveränderungen (etwa durch Akquisition eines Unternehmens) angepasst werden kann. Um die Anforderungen der unterschiedlichen Benutzergruppen (u.a. der Risikomanager und der Unternehmensleitung) optimal berücksichtigen zu können, sollte ein IT-gestütztes Risikomanagement auch verschiedene Sichten auf die Daten anbieten. Um die Auswirkungen von Risikoeintritten oder die Wirksamkeit geplanter • risikopolitischer Maßnahmen nachvollziehen zu können, ist es schließlich wünschenswert, dass das IT-gestützte Risikomanagementsystem aufgrund der Komplexität der Aufgabe die Modellierung und Simulation von Szenarien gestattet. Dazu ist es erforderlich, Wahrscheinlichkeitsverteilungen erfassen und mit ihnen rechnen zu können. Die wichtigsten möglichen Anforderungen an ein IT-gestütztes Risikomanagementsystem lassen sich also folgendermaßen zusammenfassen: 434 Sinnvoll sind insbesondere XML-Schnittstellen und Schnittstellen zu Excel. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 270 6. Risikoüberwachung, Risiko-Controlling und die Organisation 435 Siehe Gleißner/Romeike, 2005, S. 245 und Gleißner/Romeike, 2005a. Anforderungen an ein IT-gestütztes Risikomanagementsystem aus Abbildung 82: betriebswirtschaftlicher und methodischer Sicht435 Betriebswirtschaftliche und methodische Anforderungen • Erstellung eines Risikoinventars als Gesamtübersicht der Risiken • Priorisierung von Risiken (z.B. nach Relevanz) • Zuordnung eines für die Überwachung zuständigen Risikoverantwortlichen (Risk Owner) • Zuordnung der wichtigsten organisatorischen Regelungen – speziell zur Risiko- überwachung (z.B. Überwachungsturnus etc.) • Strukturierte Erfassung sämtlicher wesentlicher Risikobewältigungsmaßnahmen (z.B. auch sämtliche Versicherungen) • Zuordnung von Risikobewältigungsmaßnahmen zu jedem Risiko, die die Möglichkeiten für die Verminderung oder den Transfer dieses Risikos beschreiben („Maßnahmencontrolling“) • Flexibilität hinsichtlich der Art der quantitativen Beschreibung von Risiken (z.B. mittels Normalverteilung oder nach Schadenshöhe und Eintrittswahrscheinlichkeit) • Zuordnung von Risiken zur Unternehmensplanung („Welche Planabweichungen werden durch die Risiken verursacht?“) • Die Korrelation von Risiken – sowohl über die Zeit (Autokorrelationen) als auch zwischen den Risiken – sind funktional abzubilden, so dass sie bei der Simulation berücksichtigt werden können • Die aggregierte Auswirkung aller Risiken auf die Zielgrößen des Unternehmens (wie z.B. den Gewinn oder den Free Cashflow) sind mittels Simulation zu ermitteln • Berechnung des Eigenkapitalbedarfs, anderer Risikokennzahlen (CVaR), erforderlicher Liquiditätsreserven sowie eines risikoadjustierten Kapitalkostensatzes für eine wertorientierte Unternehmensführung • Nutzung von Risikoinformationen, z.B. für Investitionsrechnung, Ratingprognosen etc. Technische Anforderungen • Möglichkeit der Abbildung von Konzernstrukturen • System-Logiken zur Abbildung von Work-Flows (Arbeitsprozesse) • Verfügbarkeit von aktuellen Daten zu jedem beliebigen Zeitpunkt • Schnittstellen für Datenimport und -export • Bereitstellung eines dezentralen und anwenderorientierten Risiko-Reportings (risikospezifische E-Mails im Rahmen der Ad-hoc-Berichterstattung, verdichtete Reports für Geschäftsführung bzw. Vorstand) • (Revisionssichere) Aufzeichnung der Datenhistorie sämtlicher Risiken und Risikoüberwachungstätigkeiten • Autorisierungs- und Datenschutzkonzepte Investitionssicherheit, Service und Kosten • Stabilität, Innovationskraft und zukünftige Strategie des Softwareanbieters • Referenzkunden • Kosten für Lizenzen • Customizing • Einführung, Schulung, Wartung Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2716.9 IT-Systeme und Software zur Unterstützung 6.9.3 Fallbeispiele für IT-Unterstützung: Strategie-Navigator und Risiko-Kompass436 Der Risiko-Kompass ist ein Software-basiertes Hilfsmittel, das die Unternehmensführung beim Risikomanagement und bei der Einschätzung des eigenen Ratings („indikatives Rating“) unterstützt – aber zugleich eine Vielzahl weiterer, flankierender Funktionalitäten aufweist. Da für die Beurteilung des Ratings eines Unternehmens bekanntlich Erkenntnisse über die finanzielle Situation, die Erfolgspotenziale, die Branche und insbesondere auch die Risiken erforderlich sind, unterstützt der Risiko-Kompass (www.Risiko-Kompass.de) eine umfangreiche Unternehmensanalyse (inklusive detaillierter Jahresabschlussanalyse). Die Software bietet darüber hinaus auch Hilfestellung bei der Erstellung einer risikoorientierten Unternehmensplanung („stochastische Planung“). Durch verschiedene Erweiterungsmodule zum Risiko-Kompass kann der Leistungsumfang erheblich ergänzt oder als Baustein einer umfassenden, entscheidungsunterstützenden Unternehmensführungssoftware den „Strategie-Navigator“ genutzt werden. Das Zusatzmodul (add-in) „Unternehmensbewertung“ enthält leistungsfähige Verfahren zur Bewertung des Unternehmens auf Grundlage der Discounted Cashflow-Methode, wobei die im Bereich der Unternehmensplanung erfassten Daten ebenso wie die Risikoinformationen ausgewertet werden. Ergänzend zur traditionellen Bewertungstechnik (mit der Ableitung 436 Teilweise in enger Anlehnung an Gleißner/Schmidt, 2007. Als Beispiel für eine konzernweite RMIS-Lösung sei auf Hempel/Gleißner, 2006 verwiesen. Derartige komplexe Systeme weisen weitere Funktionen auf, z.B. bezüglich dezentraler Nutzung, Datenschutz und Autorisierung und revisionssicherer Aufzeichnung historischer Daten. 437 Aus dem „Strategie-Navigator“ der FutureValue Group AG, einer Software, die neben „strategischem Controlling“ (Balanced Scorecard) speziell Risikoinformationen für simulationsbasierte Bewertung und Ratingprognosen nutzt. Planungssicherheit einer simulationsbasierten Abbildung 83: Bewertung grafisch verdeutlicht437 Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 272 6. Risikoüberwachung, Risiko-Controlling und die Organisation von Kapitalkostensätzen über das CAPM) kann auch der für unvollkommene Kapitalmärkte (speziell bei Fehlen von Kapitalmarktinformationen) hilfreiche „Risikodeckungsansatz der Bewertung“ genutzt werden (vgl. Kapitel 7.3). Durch ein Checklisten-gestütztes Verfahren zur Identifikation der maßgeblichen Risiken eines Unternehmens schafft der Risiko-Kompass zunächst Transparenz hinsichtlich der Risikosituation (Risikoinventar). Alle für das Unternehmen maßgeblichen Risiken können dabei (auch unterschieden in einzelne unabhängige Szenarien) hinsichtlich Schadenshöhe und Eintrittswahrscheinlichkeit quantitativ bewertet werden. Der Risiko-Kompass hilft, KonTraG-orientierte Risikomanagementsysteme in Unternehmen abzubilden. Dazu werden verschiedene Funktionalitäten zur Identifikation, Analyse, Bewertung, Überwachung und Steuerung von Risiken zur Verfügung gestellt. Da sich die Risikosituation eines Unternehmens im Zeitverlauf ändert, unterstützt der Risiko-Kompass den Aufbau eines Risikomanagementsystems, das orientiert an den Vorgaben des Kontroll- und Transparent-Gesetzes (KonTraG) für jedes Risiko erfasst, in welcher Weise dieses laufend zu überwachen ist. Dabei wird beispielsweise jedem Risiko zugeordnet, wer für die Überwachung verantwortlich ist, in welchem Turnus das Risiko zu überwachen ist und welche Frühwarnindikatoren kritische Entwicklungen bezüglich eines Risikos anzeigen. Für das Risiko relevante und schon existierende Dokumente (z.B. QM- Richtlinien, etc.) können als Datei dem jeweiligen Risiko zugeordnet werden, was den schnellen Zugriff auf relevante Infos ermöglicht und eine doppelte Erfassung vermeidet. Werden Schwellenwerte von definierten Frühwarnin- Darstellung der Überwachung eines RisikosAbbildung 84: Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2736.9 IT-Systeme und Software zur Unterstützung dikatoren überschritten, die eine kritische Entwicklung des Risikos anzeigen, wird die Anzeige von grün („kein Handlungsbedarf“) auf gelb („baldiger Handlungsbedarf“) bzw. rot („sofortiger Handlungsbedarf“) umgestellt. Um den Umgang mit einem Risiko zu unterstützen und auf eine Optimierung der Risikoposition hinzuwirken, wird zudem ein Controlling von präventiven und reaktiven Maßnahmen hinsichtlich jedes Risikos angeboten und in einer To- Do-Liste zusammengefasst. Die Risikoaggregation sollte mindestens einmal jährlich durchgeführt werden. Als Zeitpunkt empfiehlt sich i.d.R. das Ende des vorausgehenden Geschäftjahres oder der Anfang des zu betrachtenden Geschäftsjahres, wenn die Arbeiten zum Jahresabschluss beendet und die Planung und Budgetierung des Folgejahres aufgestellt sind, da diese Daten als Grundlage für die Risikoaggregation benötigt werden (vgl. vertiefend Kapitel 4). Nicht direkt zuordenbare, außerordentliche Schadenswirkungen von Risiken (z.B. Haftpflichtfälle) werden dabei in der Position „außerordentliches Ergebnis“ zusammengefasst. Auf diese Weise können mittels Risikoaggregationsverfahren Bandbreiten für die wichtigsten Plangrößen – beispielsweise das Betriebsergebnis (EBIT) – berechnet werden. Dabei wird mit Hilfe dieser Technik auch der risikobedingte Eigenkapitalbedarf für eine angestrebte Ratingstufe berechnet und die Wahrscheinlichkeit für den kompletten Verzehr des tatsächlich vorhandenen Eigenkapitals und eine Illiquidität berechnet. To-do-Liste im RisikomanagementAbbildung 85: Risiko Relevanz Letzte Überwachung Überwachungszyklus Tage überschritten Frühwarnindikator Risiken durch Abhängigkeit von einzelnen Lieferanten 3 01.03.2005 Quartal 165 Beschaffungsmarktrisiken (Preis), Materialkostenschwankungen 3 03.01.2005 Halbjahr 132 Risiken durch Absatzmengenschwankungen 4 03.01.2005 Halbjahr 132 gelb Risiken durch Absatzpreisschwankungen 4 03.01.2005 Halbjahr 132 grün Risiken aus der Produkthaftpflicht 4 09.05.2005 Quartal 95 gelb Risiken durch Forderungsausfälle 3 31.07.2005 Monat 73 Währungsrisiken 2 01.08.2005 Monat 72 Zinsänderungsrisiken 3 01.08.2005 Monat 72 Risiken durch Abhängigkeit von einzelnen Kunden 4 13.12.2004 Jahr –27 rot Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 274 6. Risikoüberwachung, Risiko-Controlling und die Organisation St o ch as ti sc h es U n te rn eh m en sm o d el l ( R is ik o -K o m p as s/ St ra te g ie N av ig at o r) A b b ild u n g 8 6: Konkret ist im Risiko-Kompass und im Strategie-Navigator das Unternehmensmodell gemäß Abbildung 86 zu Grunde gelegt, mit den dargestellten Beziehungen der simulierten Größen von Plan-GuV und Plan-Bilanz.438 Für die Darstellung und den Vergleich der Risikoposition bietet sich das sog. Risiko-Cockpit an (siehe Abbildung 87). An dieser Stelle können die wichtigsten Risiko-Kennzahlen berechnet und mit den Vorperioden verglichen werden. Aus diesen Ergebnissen können wichtige 438 Siehe Gleißner/Schmidt, 2007. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2756.9 IT-Systeme und Software zur Unterstützung Informationen für die Entscheidungsunterstützung gewonnen werden. Es kann beispielsweise gezeigt werden, ob zur Deckung der vorhandenen Risiken das Eigenkapital ausreicht. Der Liquiditätsbedarf und die Wahrscheinlichkeiten für Überschuldung oder Illiquidität geben Aufschluss über das angemessene Rating (gemäß Planung) und insgesamt die Stabilität des Unternehmens. Diese Risikokennzahlen und deren Auswertungen sowie das aktualisierte Risikoinventar bieten sich als Bestandteile eines regelmäßigen Risiko-Reportings an die Unternehmensführung an. Des Weiteren sollten auch die neuen Einzelrisiken sowie Veränderungen bei den bestehenden Risiken im Report aufgeführt werden. Die Abbildung 88 fasst beispielhaft zusammen, welche Prozessschritte im Risikomanagement zu bestimmten Zeitpunkten durch die verschiedenen in dem Risikomanagementprozess involvierten Personen (Stellung) mit Hilfe einer Software, wie dem Risiko-Kompass, durchzuführen sind. Neben der Unterstützung und organisatorischen Verankerung des Risikomanagements bietet der Risiko-Kompass weitere Funktionalitäten, die für die Zukunftssicherung eines Unternehmens wesentlich sind und spezielle Berührungspunkte zum Risikomanagement aufweisen. Risiko-Cockpit (Ausschnitt)Abbildung 87: Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 276 6. Risikoüberwachung, Risiko-Controlling und die Organisation Prozessschritt Vorgehensweise mit Risiko- Kompass Person Zeitpunkt/Turnus Identifikation und Bewertung neuer Risiken Identifikation Checkliste Risikoanalyse Geschäftsführung, Fachexperten, Risikomanager jedes Quartal Relevanzeinschätzung Risikoanalyse, Relevanz Geschäftsführung, Fachexperten, Risikomanager jedes Quartal Bewertung Risikoanalyse, Bewertung Geschäftsführung, Fachexperten, Risikoverantwortlicher jedes Quartal Regelungen zur fortlaufenden Überwachung Regelungen bei den jeweiligen Risiken erfassen Risikomanager, Risikobeauftragte jedes Quartal Maßnahmen zur Risikobewältigung Regelungen bei den jeweiligen Risiken erfassen Risikobeauftragte, Risikomanager jedes Quartal Überprüfung und fortlaufende Überwachung bestehender Risiken Überprüfung bestehender Risiken Risikoanalyse, Risiko-Inventar Risikobeauftragte in Absprache mit dem Risikomanager Jährlich Überprüfung der Regelungen zur Überwachung bestehender Risiken Verantwortlichkeiten, Prüfung, Überwachungszyklus, etc. Risikomanager in Absprache mit den Risikoverantwortlicher Jährlich Laufende Überwachung bestehender Risiken aktuelle Angaben zur Handhabung und Frühwarnindikatoren Risikoverantwortlicher Kontinuierlich gemäß Überwachungszyklus Überprüfung des Versicherungsschutzes Versicherungs- übersicht Versicherungsbeauftragter; ggf. Risikoverantwortlicher und Risikomanager Jährlich, Kündigungsfristen berücksichtigen Bestimmung der aktualisierten Gesamtrisikoposition Risikoaggregation Durchlaufen der Aggregation im Risiko-Kompass Risikomanager jährlich, nach Erstellung der Planung und (Neu-) Bewertungen der Risiken Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2776.9 IT-Systeme und Software zur Unterstützung Eine Jahresabschlussanalyse, die auch auf in der Software generierte Plan-Jahresabschlüsse angewendet werden kann, zeigt die wesentlichen Informationen zu Kapitalbindung, Liquidität, Rentabilität und Finanzrisiko. Eine wesentliche Fähigkeit des Risiko-Kompasses besteht darin, die Unsicherheiten in einer chancen- und risikoorientierten („stochastischen“) Planung explizit aufzuzeigen.440 So können wichtige Plangrößen – beispielsweise der erwartete Umsatz des nächsten Jahres – explizit Risiken zugeordnet werden, welche die realistische Bandbreite für diese Kennzahlen beschreiben (Verteilungsannahme). Auf diese Weise wird es durch eine Aggregation der betrachteten Risiken (Monte-Carlo-Simulation) möglich, die Planungssicherheit und den Gesamtrisikoumfang des Unternehmens zu bewerten und Ratingprognosen zu erstellen. Die folgenden Erläuterungen zeigen – am Beispiel einer Software – die enge Beziehung von Risiko zu Rating und Unternehmensplanung. Zur Vorbereitung auf das Rating durch Kreditinstitute oder Rating-Agenturen fasst der Risiko-Kompass plus Rating die Bewertung der Erfolgspotenziale, das Risikoinventar und die ratingrelevanten Finanzkennzahlen der Jahresabschlussanalyse („Finanzrating“) mit einer Bewertung der Branchenattraktivität zusammen, um so eine Abschätzung der Rating-Stufe des Unternehmens (indikatives Rating) zu erreichen (zur Methodik: Abschnitt 7.1).441 439 Vgl. Gleißner/Rinne, 2004. 440 Im Strategie-Navigator ist ergänzend eine mehrperiodige Simulation und eine simulationsbasierte Bewertung von Strategien möglich, wobei die unsichere volkswirtschaftliche Entwicklung (Konjunktur, Zins, Rohstoffpreise) explizit berücksichtigt werden kann (zu Risikofaktorenmodell vgl. Abschnitt 4.4). 441 Das hierbei zugrunde gelegte Verfahren orientiert sich auch an den Erkenntnissen eines Forschungsprojektes, das die WIMA GmbH, unterstützt durch die FutureValue Tabellarische Zusammenfassung von AktivitätenAbbildung 88: 439 Prozessschritt Vorgehensweise mit Risiko-Kompass Person Zeitpunkt/Turnus Risikoreporting Informationen aus dem „Risiko- Cockpit“ an die Geschäftsleitung berichten Risikomanager jährlich, nach aktualisierter Risikoaggregation und orientiert am Turnus des Managementreportings Dokumentation der aktualisierten Risikoinformationen Dokumentation Archivierung der in den Risiko- Kompass eingegebenen Informationen, Ausdruck, ggf. Weiterverarbeitung in einem Risikomanagement-Handbuch Risikobeauftragte, Risikomanager jährlich, nach Bedarf Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 278 6. Risikoüberwachung, Risiko-Controlling und die Organisation Das Ratingverfahren im Risiko-Kompass basiert auf den „klassischen“ Teilbereichen P1 Finanzrating, und P3 Perspektiven (Erfolgspotenziale, Branchenrating, Bankbeziehung). Zusätzlich fließen die Risiken und Ergebnisse der Simulation der Risiken im Kontext der Unternehmensplanung (Teilbereich P2) mit ein. Die Verdichtung erfolgt im „Gesamtrating“. Abbildung 89 zeigt den RiKo-Rating- Ansatz im Überblick. Beim „Finanzrating“ handelt es sich um die bekannte Bewertung von Kennzahlen, die auf der traditionellen Jahresabschlussanalyse basieren und Aussagen zur Vermögens-, Ertrags- und Liquiditätslage zulassen. Diese Daten haben neben der Verfügbarkeit vor allem den Vorteil der Objektivität und des quantitativen Charakters. Für eine zukunftsorientierte Bonitätsprüfung sind die gewonnenen Daten jedoch nicht ausreichend. Bei der Beurteilung der Ausfallwahrscheinlichkeit (bzw. der Kreditwürdigkeit) müssen nämlich Aussagen zur zukünftigen Entwicklung des Unternehmens gemacht werden; die Kennzahlen der Jahresabschlussanalyse beruhen jedoch auf Vergangenheitswerten. Es werden Kennzahlen genutzt, die sich im Rahmen empirischer Analysen als (langfristige) Insolvenz-Indikatoren erwiesen haben (siehe z.B. Altman-Z-Score)442. Zudem erlauben Kennzahlen wie die Eigenkapitalquote auch Rückschlüsse auf die Risikotragfähigkeit eines Unternehmens. Die gewonnenen Kennzahlen wer- Group AG mit der TU Dresden (IAWW), durchgeführt hat. Im Rahmen einer Initiative des Sächsischen Ministeriums für Wirtschaft und Arbeit (SMWA) in den Jahren 2001 bis 2004 sollten sächsische Mittelständler bei der Vorbereitung auf das bankinterne Rating unterstützt werden, siehe Blum/Gleißner/Leibbrand, 2005. 442 Quelle: Altman, 2000 und Bemmann, 2007. P1: Finanzkennzahl -Anal R i G esam t- Rat ing kur m it langf P3: Perspekt -Br -Er f -Bankbezi P2: Unternehm ens si -kur -m it -l Zukunft R isi Zukunft - -m it -langf Ri Unternehmensplanung zur Abschätzung der Insolvenzgefährdung. : nznzahlenlyse siken e am rzfristiges Rating i telfristiges Rating gfristiges Rating rspektiven Branchenrating Er olgspotenziale B nkbeziehungen rnehmensimulation kurzfristig mittelfristig langfristig unftspotenziale ikoadjustierte unftspotenziale kurzfristig ttelfristig langfristig Ko-Rating-Ansatz: Integration einer risikoorientierten Der RiKo-Rating-Ansatz im ÜberblickAbbildung 89: Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2796.9 IT-Systeme und Software zur Unterstützung den im sogenannten Finanzrating (Bilanzrating) verdichtet, wie Abbildung 90 zeigt. Das Finanzrating wurde dabei so konstruiert, dass es eine Vielzahl üblicher Ratingansätze (z.B. der Kreditinstitute und Ratingagenturen) im Mittel gut abbildet („Benchmark-Rating“). Die Kennzahlen werden im Anhang erläutert. Zur Generierung des Rating-Urteils aus den einzelnen Kriterien bzw. Teilratings werden die Bewertungen zum Finanzrating, zu den Bankbeziehungen, zum Branchenrating und zu den Erfolgspotenzialen insgesamt mit statischen Gewichten versehen und zu einer Gesamtkennzahl – dem „Zukunftspotenzial“ – addiert. Diese Teilratings, alle gemessen auf einer Skala zwischen 1 und 5, haben ihren Schwerpunkt in der Bestimmung bzw. Prognose des erwarteten Ertragsniveaus. Die Bewertung des Zukunftspotenzials kann unmittelbar in eine Rating-Note umgesetzt werden. Schließlich gilt es im Rahmen der Bestimmung des (indikativen) Rating-Urteils die individuellen Risiken zu bewerten, die den Erfolg des Unternehmens potenziell gefährden können. Die Checklisten-geführte Identifikation der Unternehmensrisiken mündet dabei nicht nur in einer Relevanzbewertung (auf einer Skala von 1 bis 5). Der Risiko-Kompass ermöglicht zudem – wie erwähnt –, für jedes Risiko auch eine quantitative Beurteilung (z.B. hinsichtlich Schadenshöhe und Eintrittshäufigkeit) vorzunehmen, wobei verschiedene denkbare Schadensszenarien unterschieden werden können. Wo sinnvoll, bietet der Risiko- Finanzrating mit Rating-Prognose-AbbildungAbbildung 90: Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 280 6. Risikoüberwachung, Risiko-Controlling und die Organisation Kompass darüber hinaus auch die Möglichkeit, Risiken als Schwankungen bzw. Planabweichungen (normal verteilte) zu beschreiben. Es lässt sich mit Hilfe einer stochastischen Unternehmensplanung unmittelbar auf die Wahrscheinlichkeit der Überschuldung bzw. Zahlungsunfähigkeit eines Unternehmens schließen (P2) (vgl. weiterführend Abschnitt 7.1). Die aus dem Unternehmensplanungsmodell (Simulation) abgeleiteten Erkenntnisse hinsichtlich des Ratings können mit den „traditionellen“ Rating-Kriterien auf Wunsch verbunden werden. Insofern bietet der Risiko-Kompass sowohl die Möglichkeit, ein bankennahes, traditionelles Rating abzubilden, als auch innovative, zukunftsorientierte Rating-Einschätzungen auf Basis der Planung des Unternehmens selbst anzuzeigen. Beim bisherigen Stand der von Kreditinstituten implementierten Ratingverfahren ist Letzteres aber vor allen Dingen für die Unternehmensführung selbst von großer Bedeutung, um die Konsequenzen ihrer Zukunftsplanung und der Risiken – die die Kreditinstitute bestenfalls rudimentär berücksichtigen – auf die zukünftige Entwicklung ihrer Ratings rechtzeitig anzuzeigen. Insgesamt ist der Risiko-Kompass443 als Instrument konzipiert, das durch integrierte Instrumente der Unternehmensleitung bei der Identifikation, der Bewertung und dem Umgang mit den Risiken hilft. Ergänzend bietet der Risiko-Kompass mit Hilfe einer risikoorientierten Unternehmensplanung (Risikoaggregationsverfahren) zudem die Möglichkeit, den Gesamtrisikoumfang (und damit das Rating) bei verschiedenen möglichen Zukunftsszenarien im Sinne einer zukunftsorientierten, auf der Unternehmensplanung aufbauenden Rating-Prognose einzuschätzen, und so Chancen gegen Gefahren (Risiken) abzuwägen. So kann die Unternehmensleitung die Auswirkungen verschiedener Maßnahmen auf die Rating-Note simulieren (Rating-Prognose). Auch das Ratingänderungsrisiko, das bei einer Verschlechterung der Konditionen im Extremfall zur Insolvenz, mindestens aber zu gestiegenen Finanzierungskosten führt, kann so abgeschätzt werden. Nötigenfalls können Maßnahmen zur Verbesserung des Ratings vorgenommen werden, zum einen über die Verbesserung des Zukunftspotenzials, und zum anderen über die Reduzierung der Gesamtrisikoposition. Die Existenz des Ratingänderungsrisikos zeigt die Wichtigkeit einer solchen Rating-Prognose, um auf drohende Änderungen rechtzeitig reagieren zu können (vgl. dazu Abschnitt 7.1). Am Beispiel der vorgestellten Software wird deutlich, dass Risikoinforma tionen prinzipiell immer erhoben werden, um mögliche Konsequenzen für die zukünftige Unternehmensentwicklung – hier aufgezeigt für das Rating – einzuschätzen und darauf reagieren zu können. Eine Risikomanagement-Software sollte dazu beitragen, die Risikoinformationen entscheidungsorientiert bereitzustellen. Die methodischen Grundlagen für die Nutzung von Risikoinformationen für Rating, wertorientierte Unternehmensführung, Akquisitation oder Investitionsrechnung werden im folgenden Kapitel 7 näher betrachtet. 443 Beim „StrategieNavigator mit integriertem Risikokompass“ wird auch ein wertorientiertes, strategisches Management- und Kennzahlensystem mit einbezogen. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 2816.10 Literatur zur Praxis 6.10 Literatur zur Praxis von Risikomanagementsystemen Im Folgenden ist weiterführende Literatur zur Praxis der Risikomanagementsysteme verschiedener Unternehmen zusammengestellt. Bauer AG: • Gleißner/Mott/Schenk (2007a): Das Risikomanagement in der Bauwirtschaft – Praktische Umsetzung am Beispiel der Bauer AG, in: ZRFG, 04/2007, S. 179– 185. Bayern AG: • Romeike (2010): Blick hinter die Kulissen: Bayer AG: Risikomanagement als Teil der Unternehmenssteuerung, Quelle: RiskNET, 4. Mai 2010, http://www. risknet.de/index.php?RDCT=df572d49a92663af4a41 Bayrische Immobilien AG: • Gleißner/Hinrichs/Sieger (2002): Risikomanagement in der Immobilienwirtschaft, in: Controller Magazin, Heft 2/2002, S. 176–184. BMW AG: • Sommerfeld/Steurer (2008): Integriertes Chancen- und Risikomanagement bei der BMW Group, in: Deutsche Gesellschaft für Risikomanagement e.V., Risikoaggregation in der Praxis, Springer, 2008, S. 93–106. Coca-Cola Erfrischungsgetränke AG: • Tegethoff/Gleißner/Ewen (2003): Das Risikomanagementsystem der Coca- Cola Erfrischungsgetränke AG (CCE AG) 2000, in: „Risikomanagement im Unternehmen“, Gleißner, W. (Hrsg.), Loseblattsammlung, 8. Aktualisierung, 2003, Kapitel 11-5, S. 1–26. Energie Baden-Württemberg AG: • Schulten (2010): Quo Vadis Risikomanagement, in: Controlling, Heft 4/5, S. 231–237. Enders/Vetter/Wagner (2008): Risikoaggregationsmethoden im Risikomanagement der EnBW, in: Deutsche Gesellschaft für Risikomanagement e.V., Risikoaggregation in der Praxis, Springer, 2008, S. 149–161. Gleißner/Pflaum (2008): Risiken konzernweit managen – Die organisatorische Verankerung des Risikomanagements bei EnBW, in: Roselieb/Dreher (Hrsg.), Krisennavigator, Krisenmanagement in der Praxis, von erfolgreichen Krisenmanagern lernen, 2008, S. 181–208. FutureValue Group AG: • Sautter (2002): Risikomanagement in der Unternehmensberatung: Das Fallbeispiel FutureValue Group AG, in: Gleißner (Hrsg.), Risikomanagement im Unternehmen, Loseblattwerk, 6. Aktualisierung, Kognos, S. 1–26. Freudenberg-Gruppe: • Romeike (2010): Blick hinter die Kulissen: Risikomanagement bei der Freudenberg-Gruppe, Quelle: RiskNET, 19. Mai 2010, http://www.risknet.de/ index.php?RDCT=559bd98cf61ce5f65232 Beiersdorf AG: • Diedrichs/Eberenz/Eickmann (2009): Risikomanagement der Beiersdorf AG, in: Controlling, 4–5/2009, S. 265–272. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer 282 6. Risikoüberwachung, Risiko-Controlling und die Organisation Hugo Boss AG: • Romeike (2010): Blick hinter die Kulissen: Risikomanagement bei Hugo Boss, Quelle: RiskNET, 29. April 2010, http://www.risknet.de/index.php?RDCT= 5c2e4179ec9360fceb4d Kabel Deutschland AG: • Gleißner/Mott/Kiese (2007): Risikomanagement bei der Kabel Deutschland Gruppe, in: www.RiskNET.de, 25.Oktober 2007, S. 1–7. LEONI AG: • Huber (2006): Das globale Risikomanagementsystem der LEONI AG, in: Gleißner (Hrsg.), Risikomanagement im Unternehmen, Loseblattwerk, 17. Aktualisierung, Kognos, S. 1–16. METRO Group AG: • Romeike (2010): Risikomanagement bei der METRO Group, Quelle: RiskNET, 28. Mai 2010, http://www.risknet.de/index.php?RDCT=73de5ac1dde99d7fa 9b6 OMV AG: • Gleißner/Schrei/Wolfrum (2009): Neue Ansätze im Risikomanagement der OMV: Bewertung und Aggregation von Risiken als Basis einer wertorientierten Steuerung, in: Controller Magazin, Mai/Juni 2009, S. 93–99. SAP AG: • Metzger (2008): Die Aggregation von Risiken bei der SAP AG, in: Deutsche Gesellschaft für Risikomanagement e.V., Risikoaggregation in der Praxis, Springer, 2008, S. 51–75. Scope International Life Sciences Hamburg AG: • Geist/Lienhard (2003): Praxisbericht über die Einführung des „Risiko-Kompas™“ bei der Scope International Life Sciences Hamburg AG, in: Gleißner (Hrsg.), Risikomanagement im Unternehmen, Loseblattwerk, 9. Aktualisierung, Kognos, S. 17–40. Vattenfall AG: • Hempel/Gleißner (2006): Effizienz im Risikomanagement durch IT-Unterstützung, in: ZRFG, Heft 2/2006, S. 83–90. Durchholz (2008): Erfahrungen mit der Aggregation von Risiken bei Vattenfall Europe, in: Deutsche Gesellschaft für Risikomanagement e.V., Risikoaggregation in der Praxis, Springer, 2008, S. 133–147. Voith: • Schmidt (2003): Das Management von Projektrisiken im Anlagenbau – ein Fallbeispiel der Voith Siemens Hydro Power Generation GmbH & Co. KG, in: Gleißner (Hrsg.), Risikomanagement im Unternehmen, Loseblattwerk, Kognos, S. 1–22 Vossloh AG: • Semmler (2001): Risikoaggregation als Vorraussetzung für eine wertorientierte Unternehmensführung bei der Vossloh AG, in: Gleißner, W./Meier, G. (Hrsg.), Wertorientiertes Risikomanagement für Industrie und Handel, Gabler Verlag, 2001, S. 447–455. Vahlen – Allgemeine Reihe – Gleißner, Grundl. d. Risikomanagements im Unternehmen, 2. Aufl. – Herstellung: Frau Deuringer

Chapter Preview

References

Zusammenfassung

Mit besseren Risikoinformationen zu fundierteren Entscheidungen

Bei einer nicht sicher vorhersehbaren Zukunft lassen sich nicht alle Risiken vermeiden – aber die Planungssicherheit lässt sich verbessern und Risiken sollten bei unternehmerischen Entscheidungen berücksichtigt werden.

Der Umgang mit Risiken ist die zentrale Herausforderung für jede Unternehmensführung. In diesem praxisorientierten Fachbuch werden Ihnen alle wichtigen Methoden der Risikoidentifikation, der quantitativen Bewertung von Risiken, der Risikoaggregation und Risikobewältigung sowie die organisatorischen Strukturen von Risikomanagementsystemen für eine kontinuierliche Überwachung von Risiken vorgestellt. Dabei wird dargestellt, wie wesentliche Basisaufgaben für das Risikomanagement hocheffizient im Rahmen von Controlling, strategischem Management und Budgetierung abgedeckt werden können.

Der Leser erfährt zudem, wie Informationen zum Risikoumfang genutzt werden z.B. für Finanzierungsplanung, risikogerechte Investitionsbewertung oder die Berechnung von Kapitalkosten.

Aus dem Inhalt:

* Unternehmensstrategie, Risikopolitik und Risikokultur

* Risikoanalyse und Risikoaggregation

* Risikobewältigung und Risikosteuerung

* Risikoüberwachung und die Organisation des Risikomanagements

* Risikoinformationen für das Rating und wertorientierte Unternehmensführung

* Anhang: Definitionen der Kennzahlen des Finanzratings

Über den Autor:

Dr. Werner Gleißner ist Vorstand der FutureValue Group AG. Das Risikomanagement gehört zu seinen Forschungs- und Beratungsschwerpunkten.

Die CD zum Buch:

Mit der beiliegenden CD erhalten Sie zahlreiche Checklisten, Excel-Tools und Software (z.B. Strategie Navigator-Risikomanagement Edition).

„Durch den logischen Aufbau des Buches, durch die inhaltliche Verknüpfung mit Value Management, Unternehmenssteuerung und Controlling, durch die zahlreichen Abbildungen und den weitgehenden Verzicht auf üppiges Formelwerk wird dieses Buch zu einem informativen Ratgeber und nützlichen Helfer für jeden Praktiker.“ Prof. Dr. Rainer Kalwait zur Vorauflage in Risk, Compliance & Audit