Content

6.3 Risikomanagement und -controlling in:

Péter Horváth

Controlling, page 722 - 727

12. Edition 2011, ISBN print: 978-3-8006-3878-9, ISBN online: 978-3-8006-4455-1, https://doi.org/10.15358/9783800644551_722

Series: Vahlens Handbücher der Wirtschafts- und Sozialwissenschaften

Bibliographic information
6.3 Risikomanagement und -controlling 711 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 711 des in Abb. 6.6 dargestellten Revisionshandbuches gibt Auskunft über Aufbau- und Ablauforganisation der zu prüfenden Gebiete. Dies geschieht in Form von Ablaufdiagrammen sowie mittels einer „Kontroll-Matrix“, die die vorgesehenen Kontrollarten je Prüfungsgebiet darstellt. 6.3 Risikomanagement und -controlling 6.3.1 Controlling zur Unterstützung des Risikomanagements Der Prozess des Risikomanagements besteht aus drei Phasen: r Risikoanalyse, r Risikoplanung und -steuerung r Risikoüberwachung. Einen Überblick über diese Phasen und die jeweils wesentlichen Instrumente gibt Abb. 6.7. Abb. 6.6: Beispiel der Strukturen eines Revisionshandbuches („RHB“) einer Bank (Hahn 1991, S. 163) 6 Corporate Governance712 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 712 Die Rolle des Controllings im Risikomanagementprozess ist so zu gestalten, dass in allen Phasen des Risikomanagements eine controllingseitige Unterstützung erfolgen kann. Es geht insgesamt darum, das Controllingsystem um Risikoaspekte zu ergänzen. Planung und Kontrolle sowie Informationsversorgung sind nicht allein an Chancen auszurichten, sondern auch an Risiken. Im Folgenden wollen wir die drei Phasen des Risikomanagementprozesses von der Controllingperspektive heraus kurz darstellen. 6.3.2 Controlling zur Risikoanalyse Ausgangspunkt der Analyse der Risiken ist deren Identifikation. Hierzu eignet sich sowohl eine durch das Management initiierte Top-Down-orientierte als auch eine durch die Mitarbeiter initiierte Bottom-up-getriebene Vorgehensweise. Empfehlenswert (wenngleich auch aufwendig) ist eine Kombination beider Verfahren. In der Praxis des Aufbaus eines Risikomanagementsystems hat sich eine durch gezielte Bottom-up-Analysen unterstützte Top-Down-Identifikation und Bewertung der Risiken als sinnvoll und nützlich erwiesen. Eine solche Vorgehensweise unterstützt auch die ganzheitliche Sichtweise von Einzelrisiken. Sinnvoll ist jeweils der Einsatz unterstützender Checklisten und Tools. Eingesetzt werden besonders Checklisten zur Erfassung aller unternehmensrelevanten Risikoarten. Hierzu gibt es in der Literatur bereits viele Beispiele. Ziel der Analysen ist zunächst die Herausarbeitung und Bewertung von bestandsgefährdenden Risiken sowie solcher Risiken mit einem wesentlichen Einfluss auf die Vermögens-, Finanz- und Ertragslage eines Unternehmens. Eine weitere Unterscheidung bzw. Differenzierung der Risiken erscheint jedoch erforderlich. So sollte zwischen mehr strategischen sowie mehr operativen Risiken unterschieden werden. Zu beachten ist P ro ze ß p h as e In st ru m en te Signalaufnahme und -verfolgung, Verfahrens- und Arbeitsanweisungen, Integration in bestehende Informationssysteme, Systemprüfung – Management Review, Handlungsvorgaben, Audit Committee Risiko Assessment (-strategie, -kultur, -politik), Wirtschaftlichkeits- -analysen (Nutzwert-Analysen), Balanced Scorecard, Simulationsmodelle, Planbilanzen, Budgetierung, Aktionsplan, Soll/Ist-Vergleich – prozessab- und -unabhängig Voranalyse (Interviews, Unterlagensichtung, Fragebogen, Rundgang), Schadensauswertung, Kommunikation, Szenario Technik, Value at risk, Risk Map, ABC-Analyse, Scoringmodelle, Monitoring Teams, Sensitivitätsanalysen, Ursachen-Wirkungsanalyse Risiko-Analyse Risikoplanung und -steuerung Identifizieren Risiko- überwachung Quantifizieren Aggregieren Risikoreporting Risik n gement-Hand uchoma a b P ro ze ss p h as e In st ru m en te Abb. 6.7: Phasen des Risikomanagements mit den jeweils eingesetzten Instrumenten (Horváth, Gleich 2000, S. 110) 6.3 Risikomanagement und -controlling 713 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 713 hierbei, dass letztgenannte einfacher als die erstgenannten Risiken zu identifizieren sind, was mit deren starkem Zukunftsbezug zusammenhängt. Wichtige Impulse können hierbei von Instrumenten des strategischen Controllings sowie insbesondere der Früherkennung ausgehen. Denkbar ist beispielsweise der Einsatz der Szenario-Technik, von Ursache-Wirkungs-Analysen und auch Monitoring-Teams zur systematischen Identifikation von Risiken. Die monetäre Bewertung der identifizierten Risiken erfordert die Kenntnis des Risikoausmaßes und der erwarteten Eintrittswahrscheinlichkeit des einzelnen Risikos. Zur Einordnung der Risiken (sowie auch zu deren späteren Steuerung) eignet sich der Einsatz einer Risk Map (vgl. Abb. 6.8). Die Risk Map wird oftmals auch als Risikomatrix bezeichnet. Das Spektrum der die Phase der Risikoanalyse unterstützenden Instrumente ist insgesamt betrachtet ein sehr großes und reicht von einfachen Schätzungen bis Barwertberechnungen. Einen umfassenden Überblick über Methoden und Instrumente der Risikoanalyse bieten Schmitz und Wehrheim (2006). Ist das Volumen der Einzelrisiken bekannt und sind diese monetär bewertet, sind diese Informationen unternehmensweit bzw. in den gewünschten Verdichtungsstufen zu aggregieren und gebündelt darzustellen. Die Verdichtung der Risikopositionen ist eine sehr anspruchsvolle Aufgabe, die erfahrener Controller bedarf. Hilfreich sind auch hierbei einige Instrumente für die Darstellung der verdichteten Risikoinformationen. 6.3.3 Controlling zur Risikoplanung und -steuerung Basis für die Risikoplanung und -steuerung ist der Konsens im Management über eine Risikostrategie bzw. über risikopolitische Grundsätze, die im Einklang mit der Unternehmens- oder Geschäftsfeldstrategie stehen. Hierzu sind zunächst risikobezogene Zielfestlegungen durchzuführen. Für Berichterstattung relevante Risiken,die in der Steuerungsverantwortung des Top Managements sind Brutto-Risiken Netto-Risiken Eintrittswahrscheinlichkeit Schadenshöhe hoch mittel gering gering mittelhoch hoch Risiko 1 Risiko 2 Risiko 3 Risiko 4 Für Berichterstattung relevante Risiken die in der Steuerungsverantwortung der SGE-Leiter sind Abb. 6.8: Beispiel einer Risk Map (Horváth, Gleich 2000, S. 112) 6 Corporate Governance714 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 714 Strategiebezogen gibt es die Möglichkeiten der mehr impliziten Berücksichtigung sowie der mehr expliziten Berücksichtigung von Risikoaspekten in den Strategien (vgl. Abb. 6.9). Die implizite Berücksichtigung kann zum einen durch Formulierung traditioneller Strategien mit Risikoeffekten oder die Integration von Risikoaspekten in die Strategie erfolgen. Eine explizite Risikoberücksichtigung mündet schließlich in die Formulierung einer speziellen Risikostrategie z.B. auf Unternehmens- oder Abteilungsebene. Ausgehend von den im Rahmen der Planung ebenfalls durchzuführenden Festlegungen, welches Risikoausmaß in welchen Geschäftsfeldern bzw. bezogen auf das gesamte Unternehmen getragen wird, inkl. der Verantwortungslimite der einzelnen Managementmitglieder, sind die Einzelrisiken mithilfe der notwendigen und verfügbaren internen und externen Früherkennungsinformationen zu beplanen und in den strategischen Planungsprozess einzubringen. Für die Risikoplanung können beispielsweise unterstützend auch Simulationsmodelle aufgebaut werden, die Alternativszenarien von Risikosituationen berechnen. Die Überleitung der Ergebnisse in eine Planbilanz ist der logisch folgende Schritt. Die Überleitung zur Budgetierung ist strategisch über den erweiterten Einsatz der Balanced Scorecard realisierbar. Diese kann das Bindeglied zur allgemeinen strategischen Planung sein und die speziellen Planungen der Chancen und Risiken eines Geschäftsfelds unterstützen. Sowie die Budgetierung der Maßnahmen zur Erreichung der strategischen Ziele erfolgt, können auch die Risiken je Perspektive identifiziert und das Risikospektrum je Perspektive in der Budgetierung berücksichtigt werden. Für die Berücksichtigung der Risiken im operativen Steuerungssystem ist z.B. die Einführung einer oder mehrerer spezieller Kostenarten „Kalkulatorische Risiko- bzw. Wagniskosten“ denkbar. Damit könnten auch produktspezifische Risiken in der Kalkulation planerisch berücksichtigt werden. Die beiden nachfolgenden Kapitel verdeutlichen, inwieweit die Instrumente „mehr implizite Risikoberücksichtigung“... ...durch Formulierung ...durch Formulierung traditioneller Strategien spezieller Risikoaspekte mit „Risikomanagementeffekten“ in traditionellen Strategien Unternehmensgesamtstrategien Geschäftsbereichsstrategien Funktionale Strategien ... Bsp. Produktionstechnologiestrategie mit Flexibilitätsaspekten „explizite Risikoberücksichtigung“ Formulierung von speziellen Risikostrategien Bsp. Produktionsstrategie mit Berücksichtigung von Risikoaspekten (Maschinenstillstand/Ausschuss/...) Risikoziele und -analysen Bsp. Produktionsrisikostrategie als Handlungsmuster für Produktionsstörungen Abb. 6.9: Möglichkeiten zur Berücksichtigung von Risikoaspekten in der Strategieformulierung (Horváth, Gleich 2000, S. 113) 6.3 Risikomanagement und -controlling 715 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 715 der Balanced Scorecard sowie die Kostenrechnung, insbesondere die Kostenartenrechnung, risikobezogen ausgebaut werden können. Auf die Risikosteuerung selbst hat das Controlling nur mittelbar Einfluss, da dies Aufgabe des Managements sein sollte. Dieses bekommt risikobezogene Soll-Ist-Vergleiche oder ergänzende Informationen je Anwendungsumfeld vom Controlling oder dem jeweils verantwortlichen Risikomanager zur Verfügung gestellt. Die Reaktion auf mögliche Abweichungen sowie die Initiierung von Maßnahmen zur Reduzierung möglicher nicht gewünschter Abweichung obliegt in der Regel allein den Führungskräften. Hierbei werden die in der Abbildung 6.10 skizzierten Steuerungsalternativen in der Literatur diskutiert bzw. in der praktischen Anwendung unterschieden. 6.3.4 Controlling zur Risikoüberwachung und -dokumentation Eng gekoppelt an die Risikoplanung und -steuerung ist deren Überwachung und Dokumentation. Ein regelmäßiges und empfängerorientiertes Berichtswesen hilft bei der systematischen Überwachung der Risiken. Letztendlich mündet das Reporting der Risiken in die im KonTraG geforderte Darstellung der Risiken der zukünftigen Entwicklung im Lagebericht. Zunächst ist zu klären, wie umfangreich das Berichtswesen sowie der Empfängerkreis sein sollte. Hierbei ist zunächst zu selektieren, wer im Unternehmen Risiken zu tragen hat und demzufolge auch über Risiken und Risikoausmaß informiert werden sollte. Dies werden, in unterschiedlichem Ausmaß, die einzelnen Führungskräfte im Unternehmen sein. Diese Führungskräfte sollten über die definierten Risiken in ihrem Verantwortungsumfeld regelmäßig informiert werden. Hierzu eignen sich Standardberichte, die zyklisch den Berichtsempfängern zugestellt werden. Ausnahmeberichte sind dann zu erstellen, wenn risikobezogene Planwerte innerhalb eines Verantwortungsbereichs wesentlich überschritten werden oder neu identifizierte Risiken mit beträchtlichem Volumen auftreten. Analysierte Risiken Riskovermeidung vermindern Schadensverhütung begrenzen Riskobegrenzung selbsttragen Risikotragung versichern Riskoabsicherung – Risikoabwälzung – Risikoteilung – Risikostreuung – Risikokompensation Abb. 6.10: Möglichkeiten zur Risikosteuerung 6 Corporate Governance716 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 716 Ferner sind Schwellenwerte zu definieren, ab wann die übergeordneten Verantwortungsträger (z.B. Vorstände oder Geschäftsführer) über die Ausmaße der Risiken zu informieren sind. Das Controlling hat in seiner Risikomanagementfunktion dafür Sorge zu tragen, dass bei Abweichungen ermittelt und dokumentiert wird, in welcher Art und Weise die Verantwortungsträger darauf reagiert haben. Die Qualität und Funktionsfähigkeit der Maßnahmen werden dahingehend nicht vom Controlling überwacht, da diese Aufgabe der Internen Revision zufällt. Angebracht erscheint neben den verschiedenen Formen der Kontrolle im Risikomanagement (z.B. Ergebnis-, Planfortschritts-, Ziel-, Prämissen- oder Verhaltenskontrollen) auch die Überprüfung der Adäquanz der eingesetzten Risikomanagement-Instrumente durch die Interne Revision. Darüber hinaus ist es ihre Aufgabe, sich um Risiken zu kümmern, die durch organisatorische Sicherungsmaßnahmen und interne Kontrollen ausgeschaltet werden können. Solche Risiken fallen besonders in den Bereichen Datenverarbeitung sowie im Produktionsumfeld im Hinblick auf die Arbeits- und Umweltsicherheit an. 6.4  Interne Revision und Risikomanagement in der Praxis 6.4.1 Überblick Um den Stand der Praxis bezüglich der Funktion Interne Revision kennenzulernen, wollen wir zunächst die „Standards für die berufliche Praxis der Internen Revision“, wie sie vom Deutschen Institut für Interne Revision e.V. (IIR) 2001 formuliert wurden, wiedergeben. Dies wollen wir anhand einer breiten empirischen Untersuchung über den Stand der Internen Revision im deutschsprachigen Raum vertiefen. Hierauf folgen zwei Praxisbeispiele von internationalen Großunternehmen, die den State of the Art eines modernen Risikomanagements und einer Internen Revision sehr gut wiedergeben: r Risikomanagement bei der Daimler AG, r Risikomanagement und Interne Revision der Siemens AG. 6.4.2 Standards für die berufliche Praxis der Internen Revision Die Interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft. Die Interne Revision erfüllt ihre Aufgaben unter unterschiedlichen rechtlichen und gesellschaftlichen Rahmenbedingungen in Unternehmen, deren Geschäftszweck, Größe und Struktur differieren. Die entspre-

Chapter Preview

References

Zusammenfassung

Der Klassiker zum Controlling.

Controlling: umfassend und bewährt

Auch nach über dreißig Jahren verfolgt dieses Buch weiterhin das ehrgeizige Ziel, mit jeder Neuauflage den »State of the Art« in Wissenschaft und Praxis des Controllings wiederzugeben. Unverändert geblieben ist dabei die Intention dieses Standardwerkes. Es liefert eindeutige Antworten auf drei umfassende Fragen:

* Was ist die Grundidee des Controllingkonzepts?

* Welche Aufgaben umfasst die Controllingfunktion?

* Wie wird die Controllingfunktion organisatorisch realisiert?

Höchste Autoren-Kompetenz

Prof. Dr. Dr. h.c. mult. Péter Horváth gehört zu den renommiertesten Persönlichkeiten im Controlling. Er ist Vorsitzender des Aufsichtsrates einer Managementberatung und Gründungsherausgeber der Zeitschrift für Controlling.