Content

2.3 Gestaltungsparameter des Risikomanagementsystems im Konzern in:

Peter Kajüter

Risikomanagement im Konzern, page 139 - 246

Eine empirische Analyse börsennotierter Aktienkonzerne

1. Edition 2011, ISBN print: 978-3-8006-3440-8, ISBN online: 978-3-8006-4868-9, https://doi.org/10.15358/9783800648689_139

Bibliographic information
114 2  Gestaltung des Risikomanagementsystems im Konzern H1: Je größer der Konzern, desto höher ist die Bedeutung des Ziels Verbesserung der Entscheidungsgrundlagen (Risikotransparenz). Weiter ist davon auszugehen, dass das Ziel, die Kapitalkosten durch eine Verbesserung der Kreditwürdigkeit zu senken, dann besondere Relevanz hat, wenn die Risikotragfähigkeit gemessen an der Eigenkapitalquote gering ist. Eine solche Situation ist gleichbedeutend mit einem hohen Verschuldungsgrad und damit einem für Fremdkapitalgeber vergleichsweise hohen Risiko. Dieses wird sich regelmäßig in höheren Zinsforderungen niederschlagen, sodass der Reduzierung der Fremdkapitalkosten eine entsprechend hohe Bedeutung zukommt. Es bleibt folglich festzuhalten: H2: Je geringer die Risikotragfähigkeit (bzw. je höher der Verschuldungsgrad), desto bedeutsamer ist das Ziel, die Kapitalkosten durch eine Verbesserung der Kreditwürdigkeit zu senken. Schließlich kann auch der externe Kontext die Bedeutung beeinflussen, die den Zielen des Risikomanagements beigemessen wird. In einem turbulenten, sich schnell verändernden Umfeld werden Konzerne eher bestrebt sein, Maßnahmen zur Existenzsicherung, zur Verbesserung der Risikotransparenz oder zur Stärkung des Risikobewusstseins zu verfolgen, als in einem stabilen Umfeld. Vor diesem Hintergrund ist die folgende Hypothese zu testen: H3: Je höher die Umweltdynamik, desto bedeutsamer werden die Ziele des Risikomanagements beurteilt. Damit können die theoretischen Überlegungen zur zweiten Kategorie des Bezugsrahmens abgeschlossen werden. Der folgende Abschnitt 2.3 wendet sich nunmehr der Konzeptionalisierung und Operationalisierung des Risikomanagementsystems zu. 2.3 Gestaltungsparameter  des Risikomanagementsystems im Konzern Das Risikomanagementsystem lässt sich, wie im Bezugsrahmen aufgezeigt, in die drei Subsysteme Risikofrüherkennung, Risikobewältigung und interne Überwachung differenzieren. Diese Subsysteme erfassen primär prozessuale Gestaltungsparameter des Risikomanagements im Konzern und beziehen sich damit auf die Systemnutzung und Systemsicherung. Daneben existieren jedoch auch konstitutive Gestaltungsparameter für die Systembildung. Mit ihnen wird der allgemeine Rahmen für den Prozess des Risikomanagements im Konzern geschaffen.1 Da sie alle drei Subsysteme betreffen und grundlegenden Charakter haben, werden sie nachfolgend zuerst betrachtet. 1 Vgl. ähnlich Pollanz (1999), S. 397; Weber et al. (1999b), S. 1710; Wittmann (2000a), S. 793ff.; Burger/Buchhart (2002a), S. 13f. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 115 2.3.1 Bildung des Risikomanagementsystems im Konzern Zu den konstitutiven Gestaltungsparametern des Risikomanagementsystems im Konzern zählen die Formulierung der Risikostrategie, die Organisation des Risikomanagements, die Abgrenzung des Risikokonsolidierungskreises, die Integration in das Controllingsystem, die Bestimmung von Wesentlichkeitsgrenzen, die Auswahl der Objekte des Risikomanagements, die methodische Unterstützung sowie die Dokumentation des Risikomanagements. 2.3.1.1 Formulierung der Risikostrategie 2.3.1.1.1 Zum Begriff der Risikostrategie In der Literatur wird der Risikostrategie eine zentrale Bedeutung für das Risikomanagement zugesprochen, der Begriff selbst jedoch nicht einheitlich definiert.1 Daher ist es notwendig, zunächst begriffliche Klarheit zu schaffen und die Risikostrategie in den Kontext der Unternehmens- bzw. Konzernstrategie einzuordnen. Allgemein kennzeichnen Strategien Wege zur Umsetzung der Unternehmenspolitik.2 Diese enthält neben den langfristigen Unternehmenszielen auch unternehmenspolitische Grundsätze, die grobe Richtlinien für das Verhalten gegenüber den Stakeholdern definieren. Strategien sind aus diesen Zielen und Grundsätzen abzuleiten und weiter durch Maßnahmen zu konkretisieren. Zwischen den Unternehmenszielen und unternehmenspolitischen Grundsätzen, den Strategien und den konkreten Maßnahmen besteht somit ein hierarchisches Verhältnis. Da risikopolitische Ziele, wie in Abschnitt 2.2.1 dargelegt, Bestandteil der Unternehmensziele sind, ist auch die Risikostrategie als Teil der Unternehmensstrategie anzusehen.3 Sie bildet jenen Teil, der die angestrebten Wege zur Erreichung des Sicherheitsziels aufzeigt.4 Ausgangspunkt für die Formulierung der Risikostrategie sind die risikopolitischen Ziele und Grundsätze. Letztere umschreiben grundlegende Verhaltensregeln für den Umgang mit Risiken im Unternehmen. Da die Risikostrategie nur globale Aussagen zur Erreichung der risikopolitischen Ziele trifft, ist sie durch konkrete Maßnahmen zur Risikosteuerung zu operationalisieren. Abb. 2.3–1 zeigt den skizzierten Zusammenhang.5 1 Insgesamt lassen sich drei Begriffsverständnisse identifizieren. So wird unter Risikostrategie ein Oberbegriff für Maßnahmen zur Risikosteuerung (vgl. z.B. Brühwiler (1980), S. 56; Wall (2002), S. 380), der generelle Rahmen für das Risikomanagement (vgl. z.B. Wolf (2003a), S. 51ff.) oder ein Teil der Unternehmensstrategie (vgl. z.B. Lück (1998b), S. 1926) verstanden. Neben Risikostrategie findet sich im Schrifttum auch der Begriff Risikomanagementstrategie (vgl. Spannagl/Häßler (1999), S. 1827f.). 2 Vgl. Welge/Al‐Laham (2008), S. 6. 3 Vgl. dazu auch Lück (1998b), S. 1926; Scheffler (2000), S. 850; Burger/Buchhart (2002a), S. 27. 4 Vgl. Neubeck (2003), S. 71. 5 Hinzuweisen ist, dass die Begriffe Risikostrategie und risikopolitische Grundsätze im Schrifttum teilweise synonym verwendet werden (vgl. z.B. Vogler/Gundert (1998), S. 2379; Gleißner (2000), S. 1628). Daneben werden risikopolitische Grundsätze auch als Ergebnis und nicht als Ausgangspunkt der Risikostrategie angesehen (vgl. z.B. Diede‐ richs (2010), S. 18). 116 2  Gestaltung des Risikomanagementsystems im Konzern Die Festlegung risikopolitischer Ziele und Grundsätze sowie die Formulierung der Risikostrategie sind grundsätzlich Aufgaben der Unternehmensleitung.1 Im Konzern hat der Vorstand des Mutterunternehmens derartige Vorgaben für den Konzernverbund zu machen. Darüber hinaus können die Leitungsorgane der einzelnen Konzerngesellschaften möglicherweise für ihren Bereich eigenständige risikopolitische Ziele, Grundsätze und Strategien definieren. Nachfolgend wird auf die risikopolitischen Grundsätze und die Risikostrategie näher eingegangen. Konzernspezifische Maßnahmen zur Risikosteuerung werden dagegen in Abschnitt 2.3.3.1 diskutiert. 2.3.1.1.2 Festlegung risikopolitischer Grundsätze Risikopolitische Grundsätze manifestieren die grundlegende Haltung der Unternehmens- bzw. Konzernleitung zur Handhabung von Risiken. Sie zeigen, „inwieweit das Eingehen von Risiken unternehmenspolitisch gewünscht ist“2. Risikopolitische Grundsätze verdeutlichen damit die übergeordnete Risikoneigung des Unternehmens bzw. Konzerns, welche vor allem durch die obersten Entscheidungsträger geprägt wird.3 Exemplarisch sind nachfolgend die risikopolitischen Grundsätze des Beiersdorf-Konzerns genannt.4 Abb. 2.3–1: Risikostrategie im Kontext der Unternehmensstrategie 1 Vgl. Vogler/Gundert (1998), S. 2379; KPMG (1998), S. 10. 2 Wittmann (2000a), S. 796. Vgl. auch Hoitsch et al. (2005). 3 Vgl. Schorcht (2004), S. 77. 4 Für weitere Beispiele vgl. Hornung (1999), S. 72; Bitz (2000a), S. 22f.; Einhellinger (2000), S. 302f.; Graf (2002), S. 147f.; Diederichs et al. (2004), S. 191; Schorcht (2004), S. 78f.; Wolf (2004), S. 212; Kley (2011), S. 106. Risikopolitische Ziele  und Grundsätze Unternehmensziele und unternehmenspolitische Grundsätze RisikostrategieUnternehmensstrategie Maßnahmen zur Strategieumsetzung Maßnahmen zur Risikosteuerung 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 117 1 Risikopolitische Grundsätze können – wie das vorstehende Beispiel zeigt – allgemeine Normen enthalten oder aber inhaltlich auf einzelne besonders wichtige Risikobereiche (z.B. Währungsrisiken) ausgerichtet sein. Mit ihrer Formulierung und Kommunikation unterstreicht die Unternehmens- bzw. Konzernleitung die Bedeutung, die sie dem Risikomanagement beimisst.2 Die Grundsätze erfüllen dabei zwei zentrale Funktionen: • Zum einen tragen sie dazu bei, das Risikobewusstsein der Führungskräfte und Mitarbeiter zu verbessern.3 Hierbei geht es nicht darum, eine allgemeine Risikoaversion zu erzeugen.4 Vielmehr soll ein kontrollierterer Umgang mit Risiken erreicht und die Akzeptanz für das Risikomanagement erhöht werden. • Zum anderen wird durch die risikopolitischen Grundsätze die Handhabung von Risiken konzernweit vereinheitlicht.5 Es wird eine gemeinsame Sprache für Fragen des Risikomanagements geschaffen, welche die Kommunikation im Konzern erleichtert. Die Erfüllung dieser Funktionen setzt voraus, dass die risikopolitischen Grundsätze intern kommuniziert werden und bekannt sind. Dazu bietet es sich an, die Grundsätze z.B. in einem Risikomanagement-Handbuch zu dokumentieren. Erkenntnisse darüber, ob Konzerne über schriftlich dokumentierte risikopolitische Grundsätze verfügen, liegen bislang nicht vor. Daher wurde in dieser Studie zunächst nach der Existenz derartiger Grundsätze gefragt. Im positiven Falle wurde zudem um eine Einschätzung gebeten, wie vielen Führungskräften des Konzerns die Grundsätze bekannt sind (vgl. Frage A.2.2). Mit diesem zweiten Beispiel: Risikopolitische Grundsätze des Beiersdorf‐Konzerns1 – Unternehmerischer Erfolg ist mit dem bewussten Eingehen von Risiken verbunden. – Keine Handlung, Entscheidung oder Unterlassung darf ein existenzgefährdendes Risiko nach sich ziehen. – Die Risikosituation ist permanent zu überwachen. Risikoinduzierende Entwicklungen sind kritisch zu beobachten. – Ausmaß und Eintrittswahrscheinlichkeit bestehender Risiken sind durch steuernde Maßnahmen und Instrumente auf ein sinnvolles Maß zu reduzieren. – Risiken sind zu kommunizieren. Die Beiersdorf AG unterstützt eine offene Diskussion. – Jeder Mitarbeiter beteiligt sich aktiv am Risikomanagement. 1 Vgl. Diederichs et al. (2009), S. 267. 2 Vgl. KPMG (1998), S. 10f.; Diederichs (2010), S. 18. 3 Vgl. Kromschröder/Lück (1998), S. 1573; KPMG (1998), S. 10; Hornung et al. (1999), S. 319; Wittmann (2000a), S. 797; Adler/Düring/Schmaltz (2001), Rn. 13; Reichmann (2006), S. 623; Diederichs (2010), S. 17; Schorcht (2004), S. 77. 4 Vgl. Braun (1984), S. 58f.; Reichmann (2006), S. 623f. 5 Vgl. Wittmann (2000a), S. 797; Schorcht (2004), S. 78. 118 2  Gestaltung des Risikomanagementsystems im Konzern Teil der Frage sollte exploriert werden, inwieweit die Grundsätze nicht nur formuliert, sondern auch konzernweit kommuniziert werden. Da den risikopolitischen Grundsätzen die Funktion zukommt, dass Risikobewusstsein und die Akzeptanz für das Risikomanagement zu fördern, ist zu vermuten, dass Konzerne, die diesen Zielen eine hohe Bedeutung beimessen, sich auch eher um die Bekanntheit der risikopolitischen Grundsätze bemühen. Es kann somit folgende Hypothese formuliert werden: H4: Je höher die Bedeutung der Ziele Stärkung des Risikobewusstseins und Akzeptanz für das Risikomanagementsystem, desto umfassender sind die risikopolitischen Grundsätze im Konzern bekannt. 2.3.1.1.3 Ableitung der Risikostrategie Die Risikostrategie ist, wie erwähnt, Teil der Unternehmens- bzw. Konzernstrategie und kann nicht losgelöst von dieser formuliert werden. Zwischen beiden Strategien besteht ein enger Zusammenhang.1 So wird mit der Festlegung der grundlegenden strategischen Ausrichtung auf bestimmte Geschäfte (Produkt-/ Marktfelder) bereits eine wesentliche risikopolitische Entscheidung getroffen. Gleiches gilt für die regionale Geschäftsausrichtung, denn mit einer Internationalisierungsstrategie gehen regelmäßig Währungs- und Länderrisiken einher, die im Rahmen der Risikostrategie zu berücksichtigen sind. Aus diesem Grunde ist die Risikostrategie unter Beachtung der risikopolitischen Ziele und Grundsätze aus der Unternehmens- bzw. Konzernstrategie abzuleiten.2 Dabei ist zum einen zu bestimmen, welche Risiken selbst getragen werden sollen, und zum anderen, in welchem Ausmaß Risiken akzeptiert werden. Für den ersten Aspekt ist eine Differenzierung in Kern- und Randrisiken zweckmäßig.3 Kernrisiken stehen in unmittelbarem Zusammenhang mit dem Aufbau oder der Nutzung von Erfolgspotenzialen. Sie resultieren aus den Kernprozessen des Unternehmens bzw. Konzerns und können i.d.R. nicht oder nur eingeschränkt auf Dritte übertragen werden. In einem technologiebasierten Konzern gehören hierzu z.B. F&E-Risiken. Andere Risiken, die sich aus Unterstützungsprozessen ergeben, stellen dagegen Randrisiken dar. Dazu zählen z.B. Zins- und Währungsrisiken aus der Finanzierung. Solche Randrisiken können zumeist auf Dritte transferiert werden, wodurch das begrenzte Risikodeckungspotenzial zur Übernahme weiterer Kernrisiken genutzt werden kann. Im Hinblick auf das Ausmaß der Risikoübernahme lassen sich ausgehend von der grundsätzlichen Risikoneigung des Konzerns drei idealtypische Risikostra‐ tegien unterscheiden:4 • Risikofreudige  Strategie: Bei dieser Risikostrategie ist der Konzern bereit, große Risiken einzugehen, wenn diesen entsprechend große Chancen gegen- über stehen. Es wird somit ein sehr breites Spektrum der Schadensverteilung akzeptiert. Eine Absicherung von Risiken findet in begrenztem Umfang statt. 1 Vgl. Vogler/Gundert (1998), S. 2379; Deloach (2000), S. 93f.; Wittmann (2000a), S. 796. 2 Vgl. Vogler/Gundert (1998), S. 2379. 3 Vgl. Gleißner (2000), S. 1625f. 4 Vgl. Hoffmann (1985), S. 151f.; Sauerwein/Thurner (1998), S. 36; Neubeck (2003), S. 71. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 119 • Risikoscheue Strategie: Risiken werden in diesem Fall im Vergleich zu den Chancen stärker gewichtet. Es wird ein hohes Maß an Sicherheit angestrebt. Dabei entstehende Kosten für Maßnahmen zur Risikoreduktion werden bewusst in Kauf genommen. • Risikoneutrale Strategie: Hierbei handelt es sich um einen Mittelweg zwischen einer risikofreudigen und risikoscheuen Strategie. Die langfristige Sicherung der Marktposition und die Erzielung angemessener Gewinne werden mit einem ausgewogenen Einsatz risikopolitischer Maßnahmen verfolgt. Diese Risikostrategietypen dienen als grobe Leitlinien für die Wahl konkreter risikosteuernder Maßnahmen. Sie zielen darauf ab, die individuelle Risikoneigung der Entscheidungsträger, die auch durch situative Einflüsse bestimmt wird, zu harmonisieren.1 Da durch die genannten Risikostrategietypen nur recht allgemeine Aussagen zum angestrebten Ausmaß der Risikoübernahme getroffen werden, sind diese durch die Festlegung einer maximalen Verlustgrenze und durch Limite für bedeutsame Einzelrisiken zu ergänzen.2 Die maximale Verlustgrenze sollte sich am Risikodeckungspotenzial des Konzerns orientieren (z.B. an der Eigenkapitalquote). Als Obergrenze für Einzelrisiken kann beispielsweise bestimmt werden, dass nicht abgesicherte Währungsrisiken einen bestimmten Prozentsatz des geplanten Jahresumsatzes nicht überschreiten dürfen. Eine empirische Untersuchung aus dem Jahre 1999 zeigte, dass 55% der befragten börsennotierten Aktiengesellschaften keine Risikostrategie definiert hatten.3 Dies deutet darauf hin, dass die Risikostrategie vielfach lediglich einen impliziten Bestandteil der Unternehmens- bzw. Konzernstrategie darstellt. Weitergehende Erkenntnisse liegen im Bereich der Risikostrategie nicht vor. Aus diesem Grunde wurde im Rahmen dieser Studie zum einen erhoben, ob in den Konzernen eine explizit formulierte und schriftlich dokumentierte Risikostrategie existiert. Zum anderen sollte analysiert werden, welche Art der Risikostrategie verfolgt wird. Hierzu wurde eine fünfstufige Ratingskala vorgegeben, deren Extrema mit den beiden idealtypischen Ausprägungen „sehr risikoscheu“ und „sehr risikofreudig“ gekennzeichnet waren. Die Respondenten wurden dabei gebeten, die Risikostrategie ihres Konzerns auf diesem Kontinuum zu charakterisieren. Sofern ihnen dies – z.B. bei lediglich impliziter Risikostrategie – nicht möglich erschien, konnte auf die Kategorie „weiß nicht“ ausgewichen werden (vgl. Frage A.2.3). Neben dieser deskriptiven Bestandsaufnahme sollte zudem der Frage nachgegangen werden, ob und inwieweit bestimmte Konzernstrategien mit einer risikoscheuen bzw. risikofreudigen Strategie einhergehen. Angesichts der hohen, oft neuartigen Risiken, die i.d.R. mit einer Akquisitions-, Diversifikations- und Internationalisierungsstrategie verbunden sind, liegt die Vermutung nahe, dass 1 Vgl. Hinterhuber (1998), S. 12; zu den Determinanten des Risikoverhaltens von Individuen vgl. z.B. Kupsch (1973), S. 152ff.; Neubürger (1980), S. 44ff.; Sitkin/Pablo (1992). 2 Vgl. Lück (1998b), S. 1926; Bitz (2000a), S. 19; Gleißner (2000), S. 1628. 3 Vgl. Vogler et al. (2000), S. 1426. 120 2  Gestaltung des Risikomanagementsystems im Konzern eine intensive Verfolgung dieser Konzernstrategien eine risikofreudige Ausrichtung der Risikostrategie bedingt. Es wird daher folgender Zusammenhang prognostiziert: H5: Je intensiver eine Akquisitions-, Diversifikations- oder Internationalisierungsstrategie verfolgt wird, desto risikofreudiger ist die Risikostrategie des Konzerns. 2.3.1.2 Organisation des Risikomanagements 2.3.1.2.1 Zur Organisationsbedürftigkeit des Risikomanagements Neben der Formulierung der Risikostrategie bildet die Organisation des Risikomanagements einen zweiten konstitutiven Gestaltungsparameter für das Risikomanagementsystem im Konzern. Die Verantwortung für die Schaffung konzernweiter organisatorischer Regelungen zum Risikomanagement obliegt nach § 91 Abs. 2 AktG dem Vorstand des Mutterunternehmens.1 Hierbei handelt es sich um eine Gesamtverantwortung des Vorstands als Leitungsorgan, die zwar intern einem Vorstandsressort zugeordnet werden kann, gleichwohl aber die danach nicht zuständigen Vorstandsmitglieder nicht von ihrer Überwachungsaufgabe entbindet.2 Ohne seine Gesamtverantwortung aufzugeben, kann der Vorstand die Zuständigkeit für die Einrichtung und den Betrieb des Risikomanagementsystems auch an nachgeordnete Entscheidungsträger delegieren. Dies wird in aller Regel notwendig sein, da das Risikomanagement ein komplexes Aufgabenbündel darstellt, das in größeren Organisationen nur von mehreren Personen wahrgenommen werden kann. Eine solche arbeitsteilige Aufgabenerfüllung bietet für das Risikomanagement den Vorteil, dass das spezifische Wissen der verschiedenen Entscheidungsträger genutzt werden kann (z.B. für die Identifikation und Bewertung von Risiken). Da aber a priori nicht gewährleistet ist, dass die arbeitsteiligen Teilaufgaben auf ein übergeordnetes Gesamtziel ausgerichtet sind (z.B. die frühzeitige Erkennung bestandsgefährdender Entwicklungen), ist eine Abstimmung zwischen den einzelnen Teilaufgaben erforderlich. Dieser Koordinationsbedarf ist durch geeignete Regeln oder Mechanismen zu decken. In ihrer Gesamtheit bilden diese Regelungen einen formalen Rahmen, der das Verhalten der Aufgabenträger steuert. Die Gestaltung eines solchen Handlungsrahmens wird in der Organisationslehre als Organisation bezeichnet.3 Analog wird hier von der Organisation des Risikomanagements gesprochen. Um das geschaffene Regelungssystem, die Risikomanagementstruktur, beschreiben und empirisch erfassen zu können, müssen seine wesentlichen Merkmale aus der Vielzahl in der Realität beobachtbarer Eigenschaften ausgewählt werden. Eine solche Fokussierung auf zentrale Strukturdimensionen stellt eine wichtige Weichenstellung im Forschungsprozess dar, weil damit der im wei- 1 Vgl. Zimmer/Sonneborn (2001), S. 43; Neubeck (2003), S. 108f. 2 Vgl. Schäfer (2001), S. 98ff.; Zimmer/Sonneborn (2001), S. 43. 3 Dabei liegt ein instrumentaler Organisationsbegriff zugrunde. Vgl. zu diesem Organisationsverständnis vor allem Grochla (1978); Welge (1987); Kieser/Walgenbach (2010). 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 121 teren Verlauf analysierte Realitätsausschnitt festgelegt wird.1 Im Rahmen der vergleichenden Organisationsforschung werden mit der Spezialisierung und Koordination meist zwei zentrale Grunddimensionen unterschieden.2 Dieser Vorgehensweise wird auch hier gefolgt. 2.3.1.2.2 Spezialisierung 2.3.1.2.2.1 Begriffliche und konzeptionelle Grundlagen Spezialisierung bedeutet allgemein „die Zerlegung von größeren Aufgabenkomplexen in Teilaufgaben und die Übertragung dieser Teilaufgaben … auf bestimmte strukturelle Teileinheiten“3. Im vorliegenden Zusammenhang stellt das Risikomanagement einen zu zerlegenden Aufgabenkomplex dar.4 Einzelne Teilaufgaben sind dabei bestimmten organisatorischen Einheiten (Stellen, Abteilungen) bzw. den ihnen zugeordneten Personen zu übertragen. Die organisatorischen Einheiten und Personen können dann allgemein als Aufgabenträger oder konkret als Träger oder Akteure des Risikomanagements bezeichnet werden. Manche Teilaufgaben, wie z.B. die Prüfung des Risikomanagements, können auch von nicht dem Konzern angehörenden Akteuren, wie z.B. von Abschlussprüfern, wahrgenommen werden. Folglich ist zwischen konzerninternen und konzernexternen Akteuren zu differenzieren. Werden die Aufgaben des Risikomanagements konzerninternen Akteuren übertragen, so bestehen zwei grundsätzliche Gestaltungsalternativen, mit denen das Ausmaß der Spezialisierung bzw. Arbeitsteilung festgelegt wird. Diese Alternativen werden unter den Begriffen Zentralisierung bzw. Dezentralisierung diskutiert.5 Die vollständige Zentralisierung und die vollständige Dezentralisierung bilden dabei Extrempunkte auf einem Kontinuum möglicher Gestaltungsoptionen: • Zentralisierung bedeutet die Zusammenfassung gleichartiger Aufgaben in einer speziell dafür eingerichteten, eigenständigen organisatorischen Einheit im Konzern. Diese Stelle oder Abteilung hat dann über die Risikomanagement- Aufgaben hinaus keine weiteren Aufgaben zu erfüllen. In diesem Fall wird von einem (zentralen) institutionalen Risikomanagement gesprochen. 1 Vgl. Kieser/Walgenbach (2010), S. 70f. 2 Im deutschsprachigen Schrifttum finden sich auch Ansätze, die fünf bzw. drei Hauptdimensionen differenzieren (vgl. z.B. Welge (1987), S. 393ff., Kieser/Walgenbach (2010), S. 71ff.). Grundsätzlich lassen sich aber alle Strukturdimensionen auf die beiden auch hier betrachteten Grunddimensionen Spezialisierung und Koordination zurückführen (vgl. Grochla (1978), S. 31f.). 3 Grochla (1978), S. 33. Mit dieser Dimension wird das Ausmaß der Arbeitsteilung in einem Unternehmen oder Konzern beschrieben. 4 Theoretische Grundlage für die Zerlegung dieser Gesamtaufgabe bzw. für die Strukturdimension der Spezialisierung ist das sog. Analyse-Synthese-Konzept (vgl. Kosiol (1976), S. 81). Danach wird im Rahmen der Aufgabenanalyse die Gesamtaufgabe zunächst in ihre elementaren Bestandteile aufgespaltet. In der sich anschließenden Aufgabensynthese werden die Teilaufgaben dann zu verteilbaren Aufgabenbündeln zusammengefasst und organisatorischen Einheiten (Stellen, Abteilungen) zugeordnet. 5 Vgl. Kosiol (1976), S. 81ff.; Welge (1985), S. 462f. 122 2  Gestaltung des Risikomanagementsystems im Konzern • Dezentralisierung impliziert die Verteilung gleichartiger Aufgaben auf mehrere organisatorische Einheiten innerhalb des Konzerns, wobei wiederum zwei Möglichkeiten existieren: – Zum einen können organisatorische Einheiten gebildet werden, die ausschließlich oder überwiegend Risikomanagement-Aufgaben wahrnehmen (dezentrales, institutionales Risikomanagement). – Zum anderen lassen sich die Risikomanagement-Aufgaben auch vorhandenen organisatorischen Einheiten zusätzlich zu ihren eigentlichen Aufgaben zuweisen. Diese nicht-institutionalisierte Alternative kann als funktionales Risikomanagement bezeichnet werden. Aus diesen Überlegungen folgt, dass eine Institutionalisierung des Risikomanagements sowohl bei Zentralisierung als auch bei Dezentralisierung von Risikomanagement-Aufgaben möglich ist. Die Institutionalisierung führt dazu, dass die Primärorganisation um hierarchieübergreifende, auf das Risikomanagement spezialisierte Organisationseinheiten ergänzt wird. Diese Organisationseinheiten bilden eine Sekundärorganisation, die sich vor allem für koordinierende Aufgaben und die Lösung komplexer Probleme eignet.1 In der Literatur zum Risikomanagement wird in diesem Zusammenhang oftmals vom Separationskonzept gesprochen.2 Sach- und Risikomanagement-Aufgaben werden hierbei getrennt. Demgegenüber wird beim Integrationskonzept keine spezifische Sekundärorganisation geschaffen; Sach- und Risikomanagement-Aufgaben liegen gemeinsam in der Hand der Primärorganisation, was einem funktionalen Risikomanagement entspricht. Die Frage der Zentralisierung und Dezentralisierung des Risikomanagements stellt sich im Konzern jedoch nicht nur in Bezug auf die Bildung spezieller Stellen oder Abteilungen (Mikrostruktur), sondern auch im Hinblick auf die Arbeitsteilung zwischen der Konzernobergesellschaft und den Tochterunternehmen (Makrostruktur). So kann es beispielsweise sinnvoll sein, bestimmte Aufgaben des Risikomanagements in der Konzernobergesellschaft zu zentralisieren, um Synergieeffekte zu nutzen. Folglich sind im vorliegenden Zusammenhang zwei Ebenen der Zentralisierung bzw. Dezentralisierung zu unterscheiden. Die erste Ebene betrachtet die Spezialisierung der Mikrostruktur, die zweite jene der Makrostruktur im Konzern. Auf beide wird nachfolgend näher eingegangen. 2.3.1.2.2.2 Spezialisierung der Mikrostruktur Die vorstehend aufgezeigten Gestaltungsoptionen für die Mikrostruktur (zentrales vs. dezentrales und institutionales vs. funktionales Risikomanagement) sind jeweils mit verschiedenen Vor- und Nachteilen verbunden. Im Folgenden sollen diese gegenübergestellt werden. Darüber hinaus ist der Frage nachzugehen, welche Aufgabenträger im Rahmen eines funktionalen Risikomanagements mit Risikomanagement-Aufgaben betraut werden können. 1 Vgl. Redel (1982), S. 15ff.; Schulte‐Zurhausen (2010), S. 303ff. 2 Vgl. Farny (1979), S. 33ff.; Nolte/Hebestreit (1990), S. 139; Füser et al. (1999), S. 758; Bolsen‐ kötter (2001), Rn. 107ff.; Neubeck (2003), S. 109ff.; Diederichs (2010), S. 208ff. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 123 (1) Zentralisierung Die Zentralisierung des Risikomanagements kann grundsätzlich für alle oder nur für ausgewählte Aufgaben verfolgt werden. Ersteres würde dazu führen, dass lediglich eine organisatorische Einheit für das Risikomanagement im Konzern zuständig ist. Angesichts der damit einhergehenden Aufgabenfülle dürfte eine solche Lösung indes kaum praktikabel sein. Die Zentralisierung einzelner Aufgaben in einer Stelle oder Abteilung „zentrales Risikomanagement“ erscheint dagegen durchaus sinnvoll, da sie eine Reihe von Vorteilen bietet. Erstens können auf diese Weise die vielfältigen Einzelrisiken im Konzern aggregiert, auf Wechselwirkungen analysiert und zu einem Gesamtbild über die Risikolage zusammengefasst werden. Letztlich ermöglicht erst die Ermittlung eines solchen Gesamtrisikopotenzials und dessen Abgleich mit der Risikotragfähigkeit eine Aussage zur Bestandsgefährdung. Auf dieser Grundlage kann ein zentrales Risikomanagement zweitens die Konzernleitung mit adressatengerecht aufbereiteten Informationen über die Risikolage versorgen. Drittens können durch eine solche organisatorische Einheit risikopolitische Maßnahmen, wie z.B. der Abschluss von Versicherungen, konzernweit abgestimmt und dadurch ggf. Synergiepotenziale erschlossen werden.1 Schließlich ist ein zentrales Risikomanagement auch dafür prädestiniert, methodisches Know-how aufzubauen und weiter zu entwickeln und auf diese Weise andere Einheiten beim Risikomanagement zu unterstützen. Damit eine solche organisatorische Einheit die ihr übertragenen Aufgaben erfüllen kann, ist sie entsprechend hoch in der Konzernhierarchie anzusiedeln.2 Hierbei sind mehrere Alternativen denkbar. Zum einen kann das zentrale Risikomanagement als Stabsstelle bzw. -abteilung direkt dem Konzernvorstand unterstellt werden. Als solche hätte sie idealtypisch keine Entscheidungs- und Weisungsbefugnisse gegenüber den Linieninstanzen.3 Zum anderen besteht die Möglichkeit, für das zentrale Risikomanagement eine eigenständige Stelle innerhalb des Konzern- bzw. Beteiligungscontrollings, innerhalb der Finanzabteilung oder innerhalb anderer organisatorischer Einheiten einzurichten. Vorteilhaft wäre dabei möglicherweise die größere Nähe zu Bereichen, mit denen Schnittstellen bestehen (z.B. Informationsversorgungsfunktion des Controllings). (2) Dezentralisierung Im Falle der Dezentralisierung des Risikomanagements ist ebenfalls eine institutionale Ausprägung möglich. Es werden dann mehrere organisatorische Einheiten im Konzern eingerichtet, die dezentral im Stellengefüge angeordnet sind und ausschließlich oder überwiegend Aufgaben des Risikomanagements wahrnehmen. Eine solche Alternative erscheint vor allem für große, mehrstufige Konzerne eine denkbare Lösung. Hierbei würden z.B. in Zwischenholdings (Füh- 1 Vgl. Mugler (1979), S. 231; Herrmann (1986), S. 45ff.; Fasse (1995), S. 355; Diederichs (2010), S. 207. 2 Vgl. analog Braun (1984), S. 280; Diederichs (2010), S. 210. 3 Vgl. Kieser/Walgenbach (2010), S. 136; Schulte‐Zurhausen (2010), S. 176. 124 2  Gestaltung des Risikomanagementsystems im Konzern rungsholdings) oder in großen Tochtergesellschaften spezielle Stellen für das Risikomanagement etabliert (dezentrales,  institutionales  Risikomanagement). Diese Stellen können mit ähnlichen Aufgaben wie das zentrale Risikomanagement betraut werden. Um Effizienzverluste zu vermeiden, ist in diesem Fall eine eindeutige Kompetenzverteilung entscheidend. In der Literatur wird dazu das sog. Dotted-Line-Prinzip empfohlen.1 Nach diesem Prinzip werden die dezentralen Risikomanagement-Stellen dem zentralen Risikomanagement fachlich und dem jeweiligen Linienmanagement disziplinarisch unterstellt. Für das Risikomanagement muss jedoch nicht unbedingt eine spezielle Organisationseinheit geschaffen werden.2 Vielmehr können die Risikomanagement- Aufgaben im Rahmen der Dezentralisierung auch verschiedenen existierenden Stellen zusätzlich zu ihren originären Aufgaben zugewiesen werden. Für ein solches funktionales  Risikomanagement  kommen verschiedene Akteure in Betracht.3 Dies ist in erster Linie das Management der operativen Bereiche, welches für das Geschäft und die damit verbundenen Risiken verantwortlich ist. Da dieses i.d.R. die Risiken selbst am besten beurteilen kann, liegt es nahe, diesem auch die Identifikation und Bewertung der Risiken zu übertragen. Ebenso kann das Management Maßnahmen zur Risikosteuerung falls notwendig unmittelbar umsetzen. Für bestimmte Risiken, wie z.B. Währungsrisiken, Rechtsrisiken oder Schadensrisiken, können aber auch die Spezialkenntnisse von Fachabteilungen bedeutsam sein.4 Daher bietet es sich an, diese z.B. in die Bewältigung solcher Risiken einzubeziehen oder mit der Entwicklung von Grundsätzen für das Risikomanagement in ihren Teilbereichen zu betrauen. Aufgaben im Zusammenhang mit der Koordination des Risikomanagements und der Informationsversorgung über Risiken fallen in die Domäne des Controllings. Ihm wird deshalb in der Literatur eine zentrale Rolle im Risikomanagement zugesprochen.5 Dabei wird konstatiert, dass „Controlling richtig verstanden und angewandt auch Risikocontrolling ist“6, denn die Analyse von möglichen Zielabweichungen im Rahmen der Hochrechnung und die Erfassung von Risiken und Chancen im Rahmen der strategischen Planung gehören zu den klassischen Controllingaufgaben. Insbesondere für kleinere Unternehmen und Konzerne, für die aus Wirtschaftlichkeitsgründen die Einrichtung einer zentralen Risikomanagement-Stelle nicht vertretbar ist, erscheint es sinnvoll, dem Controlling die Koordination des Risikomanagements zuzuweisen. Die interne Prüfung des Risikomanagementsystems kann dagegen der internen Revision übertragen werden. Als prozessunabhängige Instanz stellt sie die für eine neutrale Prüfung notwendige Funktionstrennung sicher.7 1 Vgl. Braun (1984), S. 285f. 2 Vgl. Kromschröder/Lück (1998), S. 1575. 3 Vgl. Wittmann (2000a), S. 797ff. 4 Vgl. z.B. für die Rolle der Rechtsabteilung im Risikomanagement Kohler (2003). 5 Vgl. Müller/Seifert (1978), S. 21; Braun (1984), S. 286ff.; Hornung (1999), S. 69; Horváth/ Gleich (2000), S. 101ff.; Bolsenkötter (2001), Rn. 113; Reichmann (2006), S. 643ff.; Nevries/ Strauß (2008), S. 106ff.; Franz/Kajüter (2011), S. 486ff. 6 Horváth/Gleich (2000), S. 102. 7 Vgl. hierzu auch ausführlich Abschnitt 2.3.4.2.1. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 125 Die vorstehenden Überlegungen zeigen, dass bei einem funktionalen Risikomanagement grundsätzlich alle Entscheidungsträger Teilaufgaben aus dem Risikomanagementprozess wahrnehmen. Vorteilhaft erscheint dabei, dass auf diese Weise die Verantwortung aller Akteure für risikobewusstes Verhalten betont wird. Zudem werden keine zusätzlichen Kosten verursacht, da die vorhandenen Kapazitäten genutzt werden. Nachteilig könnte sich hierbei jedoch erweisen, dass dem Risikomanagement nicht immer die erforderliche Aufmerksamkeit zukommt, da dem operativen Tagesgeschäft Priorität vor den möglicherweise als „lästig“ empfundenen Aufgaben des Risikomanagements eingeräumt wird. Um dem entgegen zu wirken und zugleich bei dezentraler Aufgabenwahrnehmung eine zentrale koordinierende Einheit für das Risikomanagement zu etablieren, bietet sich die Bildung eines Risikomanagement‐Ausschusses an.1 Ein solcher Ausschuss (Lenkungskreis, Komitee) stellt ein hierarchieübergreifendes Gremium dar, dessen Mitglieder aus verschiedenen organisatorischen Einheiten des Konzerns stammen und gleichberechtigt zusammen arbeiten. Ein Risikomanagement-Ausschuss ist daher Teil der Sekundärorganisation und kann als eine Mischform zwischen Zentralisierung und Dezentralisierung interpretiert werden.2 Ein wesentliches Merkmal dieser flexiblen Organisationsform ist, dass sich die Mitglieder in diesem Gremium nur zu bestimmten Terminen treffen.3 Die Sitzungen können sowohl in einem festgelegten Zyklus als auch außerplanmäßig stattfinden. Letzteres kann z.B. bei gravierenden Veränderungen in der Risikolage angebracht sein. Dem Charakter des Risikomanagements als Daueraufgabe entsprechend sollte der Risikomanagement-Ausschuss zeitlich unbefristet eingerichtet werden.4 Neben einem Mitglied der Konzernleitung sollten Entscheidungsträger der operativen Bereiche, der zentralen Fachabteilungen, des Controllings und – falls vorhanden – des zentralen oder dezentralen Risikomanagements permanent im Risikomanagement-Ausschuss vertreten sein, um ihre unterschiedlichen Erfahrungen und Standpunkte in die Diskussion einzubringen.5 Durch eine solche interdisziplinäre Zusammensetzung bietet der Ausschuss den Vorteil, den Informationsstand der Entscheidungsträger über die wesentlichen Risiken im Konzern zu verbessern. Zudem können Risikointerdependenzen erkannt und Maßnahmen zur Risikosteuerung abgestimmt werden. Dies entbindet die jeweiligen Akteure indes nicht von ihrer Verantwortung für das Risikomanagement in ihrem Bereich. Vielmehr haben die Entscheidungen des Risikomanagement-Ausschusses für das Management i.d.R. Empfehlungscharakter.6 1 Vgl. Kendall (1998), S. 49ff.; Hornung et al. (1999), S. 322ff.; Schorcht (2004), S. 294; Reich‐ mann (2006), S. 641f.; Diederichs (2010), S. 212ff. 2 Vgl. Mugler (1979), S. 210; Diederichs (2010), S. 212. 3 Ausschüsse stellen insofern Kollegien dar. Vgl. hierzu Redel (1982); Mag (1992). 4 Grundsätzlich können Ausschüsse jedoch auch zeitlich befristet zur Bearbeitung von Sonderaufgaben gebildet werden (z.B. zur Einführung eines Risikomanagementsystems). 5 Fallweise kann zudem der Abschlussprüfer oder die interne Revision zu den Sitzungen hinzugezogen werden. Vgl. Hornung et al. (1999), S. 323; Reichmann (2006), S. 643. 6 Vgl. Diederichs (2010), S. 216. 126 2  Gestaltung des Risikomanagementsystems im Konzern Zusammenfassend bleibt festzuhalten, dass grundsätzlich verschiedene Akteure Aufgaben des Risikomanagements im Konzern wahrnehmen. Je nach Aufgabe bietet sich eher eine Zentralisierung bzw. Dezentralisierung an.1 Angesichts der vielfältigen Aufgabenträger kommt koordinierenden Stellen eine besondere Bedeutung zu. Sie sollen daher im Mittelpunkt der empirischen Erhebung stehen, die darauf abzielt, einen Einblick in die Spezialisierung der Mikrostruktur zu gewinnen. Vor dem Hintergrund der vorstehenden Ausführungen war im Einzelnen zu erheben, • wem innerhalb des Vorstands die Koordination des Risikomanagements obliegt (vgl. Frage A.1.1), • ob es einen Risikomanagement-Ausschuss im Konzern gibt, und wenn ja, wie häufig sich dieser trifft (vgl. Frage A.1.2), • ob in der Konzernobergesellschaft eine spezielle Stelle zur Koordination des Risikomanagements existiert (institutionales Risikomanagement) (vgl. Frage A.1.3) und • ob solche speziellen Stellen auch in Tochtergesellschaften eingerichtet sind (dezentrales institutionales Risikomanagement), und wenn ja, wie die Weisungsbefugnisse gegenüber diesen Stellen geregelt sind (vgl. Frage A.1.4). 2.3.1.2.2.3 Spezialisierung der Makrostruktur Im Konzern beschränkt sich die Frage der Spezialisierung nicht auf die Zentralisierung bzw. Dezentralisierung des Risikomanagements zwischen einzelnen Akteuren (Mikrostruktur), sondern schließt auch die Gestaltung der Arbeitsteilung zwischen der Konzernobergesellschaft und den Tochterunternehmen ein (Makrostruktur). Hierbei stehen zwei Aspekte der (De-)Zentralisierung im Mittelpunkt.2 Zum einen ist festzulegen, inwieweit den Tochterunternehmen Entscheidungsautonomie bei der Ausgestaltung des Risikomanagementsystems eingeräumt wird (Entscheidungsdezentralisierung). Zum anderen ist zu bestimmen, in welchem Ausmaß Aufgaben in der Konzernmutter zentralisiert bzw. an die Tochterunternehmen delegiert werden sollen (Aufgabendezentralisierung). Diese beiden zentralen Gestaltungsparameter werden im Weiteren näher betrachtet. (1) Entscheidungsdezentralisierung Das Ausmaß der Entscheidungsdezentralisierung im Konzern kommt in der Verteilung der Entscheidungsbefugnisse zwischen Mutter- und Tochterunternehmen zum Ausdruck.3 Je mehr Entscheidungsfreiräume die Muttergesellschaft ihren Tochterunternehmen bei der Gestaltung des Risikomanagementsystems gewährt, desto höher ist der Grad der Entscheidungsdezentralisierung. Behält sich die Muttergesellschaft dagegen die Entscheidungshoheit vor, liegt eine zentralisierte Entscheidungsstruktur vor. In diesem Fall ist gleichwohl 1 Vgl. Zellmer (1990), S. 24. 2 Vgl. Schmidt (1993a), S. 129; Theopold (1993), S. 190ff.; Mellewigt (1995), S. 102ff.; vgl. ferner allgemein zur Dezentralisierung in Konzernen Hungenberg (1995) und Maier (1997). 3 Vgl. Theopold (1993), S. 192; Maier (1997), S. 108. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 127 denkbar, dass die Tochtergesellschaften die Entscheidung des Mutterunternehmens durch vorherige Abstimmung beeinflussen können. Umgekehrt kann die grundsätzliche Entscheidungsautonomie der Tochterunternehmen auch durch zentrale Vorgaben eingeschränkt sein. Die Eigenständigkeit der Tochterunternehmen in Bezug auf ihr Risikomanagement ist somit in sehr unterschiedlichem Maße gestaltbar. Da es keine für alle Situationen optimale Form der Entscheidungsverteilung gibt, sind die Vor- und Nachteile der Zentralisierung bzw. Dezentralisierung im Einzelfall gegeneinander abzuwägen. Für eine Entscheidungsdezentralisation spricht in erster Linie die damit einhergehende Flexibilität für die Tochtergesellschaften. Sie ermöglicht es den Tochtergesellschaften, das Risikomanagement nach ihren individuellen Bedürfnissen auszurichten. Maßnahmen zur Risikosteuerung können schnell ergriffen werden, weil lange Abstimmungsprozesse entfallen. Zudem dürfte die Dezentralisation der Entscheidungskompetenz auch die Akzeptanz für das Risikomanagement fördern. Nachteilig ist demgegenüber, dass eine zu weitgehende Entscheidungsautonomie der Tochtergesellschaften die Einheitlichkeit des Risikomanagements im Konzern beeinträchtigt und dadurch zusätzlichen Koordinationsaufwand verursacht. Beispielsweise kann die individuelle Gestaltung des Risikoberichtswesens dazu führen, dass eine Verdichtung der Informationen über verschiedene Berichtsebenen nur nach gesonderter Aufbereitung möglich ist. Diese Überlegungen zeigen, dass das sinnvolle Ausmaß an Entscheidungsautonomie für die Tochtergesellschaften nicht pauschal zu bestimmen ist, sondern auch von dem jeweiligen Sachverhalt abhängt. Darüber hinaus dokumentieren empirische Befunde zur Konzernorganisation im Allgemeinen, dass der Grad der Entscheidungsdezentralisation insbesondere von der Konzernorganisationsform beeinflusst wird. So gewähren Holdingkonzerne ihren Tochterunternehmen i.d.R. einen höheren Grad an Entscheidungsautonomie als Stammhauskonzerne.1 Es ist zu vermuten, dass dies in gleicher Weise beim Risikomanagement zutrifft. Deshalb wird folgende Hypothese formuliert: H6: Das Risikomanagement weist in Holdingkonzernen einen höheren Grad an Entscheidungsdezentralisation auf als in Stammhauskonzernen. Weiter ist davon auszugehen, dass die Konzerngröße einen relevanten Kontextfaktor für das Ausmaß der Entscheidungsdezentralisation im Risikomanagement darstellt. In diesem Sinne wird in der Literatur für das Einheitsunternehmen konstatiert, der Vorstand sei bei „steigender Größe und Komplexität des Unternehmens … gezwungen, einen großen Teil des Risikomanagements dezentralen Entscheidern zu überlassen“2. Dies liegt darin begründet, dass eine zentrale Instanz bei zunehmender Größe des Unternehmens überfordert ist, alle Bereiche angemessen zu überblicken und z.B. zeitnah über die richtigen Maß- 1 Vgl. Theopold (1993), S. 195f.; Mellewigt (1995), S. 198ff. 2 Scheffler (2000), S. 850. Zur Größe als Kontextfaktor für die Organisation des Risikomanagements vgl. auch Zellmer (1990), S. 23. 128 2  Gestaltung des Risikomanagementsystems im Konzern nahmen zur Risikosteuerung zu entscheiden. Da dies analog auch für Konzerne gilt, lässt sich folgende Hypothese ableiten: H7: Je größer der Konzern, desto höher ist die Entscheidungsdezentralisation im Risikomanagement. In der Literatur wird zudem argumentiert, dass mit zunehmender Heterogenität des Leistungsprogramms das Erfordernis steigt, Entscheidungskompetenzen zu dezentralisieren.1 Auch hier besteht die Gefahr, dass eine zentrale Stelle die aus den unterschiedlichen Tätigkeitsfeldern resultierenden Risiken nicht mehr allein hinreichend beurteilen und über die notwendigen Maßnahmen entscheiden kann. Aus diesem Grunde wird folgender Zusammenhang prognostiziert: H8: In heterogenen Konzernen ist die Entscheidungsdezentralisation im Risikomanagement höher als in horizontalen und vertikalen Konzernen. Um das Ausmaß der Entscheidungsdezentralisation zu erheben, wurde danach gefragt, inwieweit die Tochtergesellschaften im Konzern selbstständig über die Ausgestaltung ihres Risikomanagements entscheiden können (vgl. Frage A.2.6). Der Grad an Entscheidungsdezentralisation wurde dabei für verschiedene Sachverhalte auf einer fünfstufigen Ratingskala gemessen. (2) Aufgabendezentralisierung Die Aufgabenverteilung zwischen der Konzernobergesellschaft und den Tochterunternehmen kann ebenfalls durch ein unterschiedliches Maß an (De-)Zentralisierung gekennzeichnet sein. Dabei ist der Grad der Aufgabendezentralisierung umso höher, je mehr Aufgaben an die Tochterunternehmen delegiert sind.2 Grundsätzlich sind auch mit der Zentralisierung bzw. Dezentralisierung von Risikomanagement-Aufgaben Vor- und Nachteile verbunden. Eine Zentralisierung von Aufgaben in der Konzernmutter erleichtert i.d.R. den Aufbau von methodischem Know-how, da Erfahrungen und Spezialkenntnisse gebündelt werden. Weiterhin kann durch die Zentralisierung die Einheitlichkeit in der Aufgabenwahrnehmung sichergestellt werden. Andererseits birgt die Aufgabenzentralisierung beim Risikomanagement aber auch die Gefahr, dass die zentrale Stelle mit der Wahrnehmung des konzernweiten Risikomanagements überlastet ist bzw. manche Aufgaben, wie z.B. die Risikoidentifikation, weniger gut erfüllen kann als die dezentralen Einheiten. Problematisch erscheint zudem, dass durch die Aufgabenzentralisierung möglicherweise das Risikobewusstsein der dezentralen Entscheidungsträger geschwächt wird. Es könnte der Eindruck entstehen, Risikomanagement sei primär eine Aufgabe der Konzernzentrale. Vor diesem Hintergrund wird eine zweckmäßige vertikale Arbeitsteilung beim Risikomanagement im Konzern durch die Art der jeweiligen Aufgabe bestimmt sein.3 Unabhängig von weiteren situativen Einflussgrößen lässt sich vermuten, 1 Vgl. Naumann (1993), S. 263. 2 Vgl. analog Theopold (1993), S. 190. 3 Dies gilt auch allgemein für Funktionen, wie z.B. Finanzen, Recht, Einkauf und Vertrieb, die in unterschiedlichem Maße zur Zentralisation im Konzern geeignet sind. Vgl. dazu Schulte (1992), S. 38ff.; Mellewigt (1995), S. 108ff. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 129 dass die Entwicklung von Methoden des Risikomanagements, die Analyse von Wechselwirkungen zwischen Einzelrisiken, deren Aggregation zur Risikolage des Konzerns sowie die Kontrolle der Risikolage eher zentral durchgeführt werden. Demgegenüber sind für die Identifikation und Bewertung von Risiken sowie die Umsetzung von Maßnahmen zur Risikosteuerung das Wissen und die Erfahrungen der dezentralen Einheiten unabdingbar. Diese Aufgaben eignen sich daher in besonderer Weise für die Delegation an die Tochterunternehmen. Wie die Aufgabenverteilung zwischen der Konzernobergesellschaft und den Tochterunternehmen geregelt werden kann, zeigt das folgende Beispiel des JEN- OPTIK-Konzerns. 1 Analog zur Entscheidungsdezentralisation ist davon auszugehen, dass der Grad der Aufgabendezentralisation beim Risikomanagement ebenfalls von der Konzernorganisationsform und der Größe des Konzerns abhängig ist.2 So ist in Holdingkonzernen eine stärkere Aufgabendezentralisierung zu erwarten als in Stammhauskonzernen. Zudem dürfte die Aufgabendezentralisierung tendenziell mit zunehmender Konzerngröße steigen. Dies ist ebenso mit wachsender An- Aufgabendezentralisation im JENOPTIK‐Konzern „Entsprechend des organisatorischen Aufbaus des JENOPTIK-Konzerns findet beim Risikomanagement eine klare Trennung der Aufgabenfelder und der Verantwortlichkeit zwischen der JENOPIK AG als Konzernholdinggesellschaft und den Tochtergesellschaften bzw. Teilkonzernen als operative Führungsgesellschaften der Unternehmensbereiche statt. … Der Konzernholding kommt die Aufgabe zu, ein ausreichendes Berichtswesen im Rahmen des Beteiligungscontrollings zu erstellen, das eine frühzeitige Identifizierung gefährdender Entwicklungen ermöglicht … Des Weiteren sind durch Konzern- und Rahmenrichtlinien geeignete Vorgaben an die Tochterunternehmen zu geben, die bei systematischer Anwendung zu einem sachgerechten und effektiven Risikomanagement führen. … Auf Konzernebene ist der Vorstand der JENOPTIK AG für die Prüfung der ordnungsgemäßen Durchführung der delegierten Risikomanagementaufgaben verantwortlich, wozu auch die Einrichtung eines Instrumentariums zur periodischen Überprüfung der Funktionsfähigkeit des RMS auf Teilkonzernebene gehört. Den Teilkonzernen bzw. Tochterunternehmen obliegt die Verpflichtung der Festlegung der Risikofelder, der Risikoerkennung und Risikoanalyse in allen Bereichen der Gesellschaft bzw. des Teilkonzerns und der anschließenden Risikodokumentation und der Risikoberichterstattung an die Konzernholding.“1 1 Einhellinger (2000), S. 304ff. 2 Diese Annahme wird auch durch empirische Befunde zur Aufgabenverteilung in Konzernen gestützt; vgl. dazu Mellewigt (1995), S. 104f. 130 2  Gestaltung des Risikomanagementsystems im Konzern zahl an Konzernstufen zu prognostizieren. Ferner ist zu erwarten, dass mit zunehmendem Diversifikationsgrad Aufgaben des Risikomanagements vermehrt an dezentrale Konzerneinheiten delegiert werden, da diese ihre spezifischen Risiken besser identifizieren und beurteilen können als eine zentrale Instanz. Schließlich kann vermutet werden, dass die Umweltdynamik die Aufgabenverteilung beim Risikomanagement determiniert. Bei hoher Umweltdynamik erscheint ein höheres Maß an Aufgabendezentralisation erforderlich als bei stabiler Umwelt, um so auf veränderte Rahmenbedingungen schnell reagieren zu können. Zusammenfassend sind folgende Hypothesen festzuhalten: H9: Holdingkonzerne dezentralisieren Aufgaben des Risikomanagements in stärkerem Maße als Stammhauskonzerne. H10: Je größer der Konzern, desto stärker werden Aufgaben des Risikomanagements dezentralisiert. H11: In mehrstufigen Konzern werden Aufgaben des Risikomanagements stärker dezentralisiert als in einstufigen Konzernen. H12: Je größer der Diversifikationsgrad des Konzerns, desto stärker werden Aufgaben des Risikomanagements dezentralisiert. H13: Bei hoher Umweltdynamik werden Aufgaben des Risikomanagements stärker dezentralisiert als bei geringer Umweltdynamik. Der Umfang der Aufgabendezentralisierung im Bereich des Risikomanagements wurde im Rahmen der empirischen Studie derart ermittelt, dass die Respondenten um eine Angabe gebeten wurden, von wem einzelne Aufgaben wahrgenommen werden (vgl. Frage A.2.7). Hierbei wurden die beiden Extrema der völligen Zentralisierung und völligen Dezentralisierung als Endpunkte einer Ratingskala vorgegeben. Damit können die Vorüberlegungen zur Dimension der Spezialisierung abgeschlossen werden. Nachfolgend wird die zweite Grunddimension der Organisation des Risikomanagements, die Koordination, betrachtet. 2.3.1.2.3 Koordination 2.3.1.2.3.1 Begriffliche und konzeptionelle Grundlagen Koordination gehört wie Risiko zu jenen Begriffen in der Betriebswirtschaftslehre, zu denen sehr vielfältige Begriffsverständnisse existieren.1 Gleichwohl herrscht Einigkeit darüber, dass Koordination neben der vorstehend betrachteten Spezialisierung ein Grundmerkmal von Organisationsstrukturen ist. Koordination stellt das Komplement zur Spezialisierung dar und umfasst als Strukturdimension „diejenigen organisatorischen Regeln, die die arbeitsteilige Aufgabenerfüllung im Hinblick auf die Ziele des Gesamtsystems ausrichtet und miteinander abstimmt“2. 1 Horváth sieht Koordination daher als einen der schillerndsten Begriffe der Betriebswirtschaftslehre an; vgl. Horváth (2009), S. 95. 2 Grochla (1978), S. 36. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 131 Koordinationsbedarf wird durch die Interdependenzen (Abhängigkeiten) und Schnittstellen (Berührungspunkte) zwischen verschiedenen Akteuren in der Mikrostruktur, aber auch zwischen den Konzerneinheiten in der Makrostruktur induziert. Aus diesen Interdependenzen und Schnittstellen resultieren Abstimmungsprobleme, die bei mangelnder Koordination zu Ineffizienzen führen. Bezogen auf die vorliegende Problemstellung heißt dies, dass die Ziele des Risikomanagements, wie z.B. die Verbesserung der Entscheidungsgrundlagen durch erhöhte Risikotransparenz, nicht oder nur eingeschränkt erreicht werden. Allgemein ist der Koordinationsbedarf umso höher, je größer der Konzern, die Arbeitsteilung, die Interdependenzen und die räumliche Distanz zwischen den Konzerneinheiten ist.1 Zur Deckung des Koordinationsbedarfs sind spezielle Maßnahmen, Mechanismen oder Instrumente erforderlich. In der organisationswissenschaftlichen Literatur wird eine Fülle solcher Koordinationsmechanismen diskutiert und auf unterschiedliche Art und Weise systematisiert.2 Speziell für die Koordination des Risikomanagements im Konzern liegen indes bislang keine fundierten Aussagen über geeignete Koordinationsmechanismen vor. Aus diesem Grunde sind im Folgenden allgemeine Überlegungen heranzuziehen und für den hier betrachteten Kontext zu konkretisieren. Aus einer Synthese der zahlreichen Systematisierungsversuche im Schrifttum lässt sich dabei eine Differenzierung in direkte und indirekte Koordinationsmechanismen ableiten.3 Direkte Mechanismen dienen in expliziter Weise zur Abstimmung zwischen interdependenten Einheiten. Sie fordern einen Abstimmungsprozess ausdrücklich ein, legen das Abstimmungsergebnis mehr oder weniger fest und sind entweder verbaler oder schriftlicher Natur. Dazu zählen persönliche Weisungen, Verfahrensrichtlinien, Pläne und Selbstabstimmung (vgl. Abb. 2.3–2). Unter indirekten Koordinationsmechanismen werden dagegen solche Instrumente verstanden, die eine mittelbare, derivative Koordinationswirkung aufweisen. Die Abstimmung ergibt sich hierbei durch das Verhalten einzelner Personen oder einer Gruppe. Zu diesen weichen Koordinationsmechanismen gehören die Standardisierung von Rollen und die Organisationskultur. Von der persönlichen Weisung bis zur Organisationskultur sind die in Abb. 2.3–2 genannten Koordinationsmechanismen durch eine abnehmende Einflussnahme auf die zu koordinierenden Einheiten gekennzeichnet. Sie werden im folgenden Abschnitt näher charakterisiert und für ihre Eignung zur Koordination des Risikomanagements im Konzern konkretisiert und beurteilt.4 1 Vgl. Kotter  et  al. (1979), S. 123; Schmidt (1993b), S. 115; Mellewigt (1995), S. 115; Staehle (1999), S. 555ff. 2 Vgl. hierzu im Überblick Welge (1987), S. 413; Bassen (1998), S. 100ff. Die Systematisierungsansätze sind dabei meist nicht überschneidungsfrei. 3 Vgl. Bassen (1998), S. 111ff. Andere Autoren sprechen auch von strukturellen und nichtstrukturellen Koordinationsmechanismen (vgl. Kieser/Kubicek (1992), S. 117ff.). 4 Hierbei wird in erster Linie auf die Koordination der Makrostruktur abgestellt. Die Ausführungen gelten aber grundsätzlich analog für die Abstimmung in der Mikrostruktur. 132 2  Gestaltung des Risikomanagementsystems im Konzern 2.3.1.2.3.2 Koordinationsmechanismen für das Risikomanagement Mit der persönlichen Weisung steht ein Koordinationsinstrument zur Verfügung, das auf einer zentralen Kompetenzverteilung beruht.1 Eine Instanz erteilt untergeordneten Akteuren allgemeine oder fallweise Anweisungen in mündlicher oder schriftlicher Form (Koordination durch Hierarchie). Die Anweisungen können sowohl zur vorausschauenden Abstimmung (sog. Vorauskoordination) als auch zur Reaktion auf Störungen (sog. Feed-back-Koordination) eingesetzt werden. Beispielsweise können Dienstvorschriften zur IT-Sicherheit erlassen werden, die als generelle Regelungen vorausschauend das Risiko des unberechtigten Zugriffs auf gespeicherte Daten reduzieren. Ebenso lässt sich die persönliche Weisung zur Koordination des Risikomanagements nutzen, um auf eine veränderte Risikolage mit risikosteuernden Maßnahmen zu reagieren. Solche fallweise Einzelanweisungen stellen ein sehr flexibles Koordinationsinstrument dar, können aber bei intensivem Gebrauch zu einer Überlastung der Instanzen führen. Ferner sind persönliche Weisungen oftmals mit dem Nachteil einer mangelnden Akzeptanz und Durchsetzbarkeit verbunden. Sie erscheinen daher zwar für schnell zu treffende Koordinationsentscheidungen zweckmäßig, sollten aber durch andere Mechanismen ergänzt werden, um mögliche dysfunktionale Wirkungen zu vermeiden. Einen ergänzenden oder alternativen Koordinationsmechanismus stellen standardisierte Verfahrensrichtlinien dar, die auch als Regeln oder Programme bezeichnet werden.2 Sie „schränken … durch restriktive Definition des Entscheidungsspielraums die Handlungsmöglichkeiten der Organisationsmitglieder dauerhaft ein“3. Im Gegensatz zur persönlichen Weisung werden durch Verfahrensrichtlinien generelle, personenunabhängige Regelungen geschaffen. Ihre koordinierende Wirkung liegt in der Standardisierung von Prozessen. Dies bie- Abb. 2.3–2: Koordinationsmechanismen 1 Vgl. Welge (1987), S. 415f.; Bassen (1998), 129ff.; Kieser/Walgenbach (2010), S. 102f.; Schulte‐ Zurhausen (2010), S. 234f. 2 Vgl. Bassen (1998), S. 126ff.; Kieser/Walgenbach (2010), S. 107ff.; Schulte‐Zurhausen (2010), S. 236ff. 3 Hoffmann (1980), S. 352. Koordinationsmechanismen direkte indirekte Persönliche Weisung Verfahrensrichtlinien Pläne Selbstabstimmung Standardisierung von Rollen Organisationskultur 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 133 tet bei gleichartigen und repetitiven Aufgaben den Vorteil, dass durch die Vorgabe von Entscheidungsroutinen der Zeitbedarf für die Suche nach geeigneten Lösungswegen sinkt.1 Der Geltungsbereich von Verfahrensrichtlinien kann sowohl konzernweit definiert als auch auf bestimmte organisatorische Einheiten im Konzern begrenzt werden. In der Literatur werden solche Richtlinien für das Risikomanagement als notwendig erachtet, um die dauerhafte Funktionsfähigkeit des Risikomanagementsystems sicherzustellen.2 Dazu bedürfen die Richtlinien der Schriftform und müssen den Mitarbeitern zugänglich gemacht werden. Verfahrensrichtlinien können grundsätzlich starr oder flexibel gestaltet werden. Flexible Richtlinien erlauben alternative Handlungsabläufe, was in einem Konzern von besonderer Bedeutung sein kann, um den individuellen Anforderungen der Konzernunternehmen Rechnung zu tragen. Schließlich können Verfahrensrichtlinien einen unterschiedlichen Detaillierungsgrad aufweisen. Grobe Richtlinien geben nur einen Rahmen vor, während detaillierte Richtlinien die Prozessabläufe differenziert und ausführlich festlegen. Ersteres erscheint für das Risikomanagement im Konzern besser geeignet, denn umfassende Vorgaben bergen eher die Gefahr nicht situationsgerecht zu sein und daher auf mangelnde Akzeptanz zu stoßen. Wie Verfahrensrichtlinien sind auch Pläne ein vorausschauendes Koordinationsinstrument.3 Im Gegensatz zu Verfahrensrichtlinien, die auf Dauer angelegt sind, enthalten Pläne Vorgaben für eine bestimmte Periode. Diese Vorgaben stellen Ziele dar, nach denen die Akteure ihr Handeln ausrichten. Die als Wesentlichkeitsgrenzen festgelegten Schwellenwerte oder die im Rahmen der Risikostrategie definierten Risikolimite für bedeutsame Einzelrisiken bilden solche Zielgrößen für das Risikomanagement im Konzern. Sie eröffnen den Akteuren Handlungsspielräume, identifizierte Risiken innerhalb der Schwellenwerte oder Risikolimite selbst zu steuern, lösen aber eine Berichtspflicht aus, sobald der Schwellenwert überschritten wird.4 Ein weiterer direkter Koordinationsmechanismus ist die Selbstabstimmung.5 Sie zeichnet sich wie die persönliche Weisung durch eine unmittelbare Kommunikation zwischen den betroffenen Akteuren aus, beruht jedoch im Gegensatz zu dieser auf dezentraler Kompetenzverteilung. Von einem unverbindlichen Informationsaustausch unterscheidet sich die Selbstabstimmung dadurch, dass sie formal vorgesehen und in ihrem Ergebnis verbindlich ist. Dabei kann der Anlass und die Häufigkeit der Abstimmung dem eigenen Ermessen der Betroffenen überlassen bleiben oder aber für bestimmte Probleme von einer höheren Instanz vorgeschrieben werden. Letzteres reduziert die Gefahr, dass eine Abstimmung unterbleibt, weil einzelne Akteure sie aus ihrer subjektiven Sicht nicht für notwendig 1 Vgl. Welge (1987), S. 427. 2 Vgl. Brebeck/Herrmann (1997), S. 389; Brebeck/Förschle (1999), S. 183; Pollanz (1999), S. 397f.; Diederichs (2010), S. 220. Vgl. ebenso IDW PS 340, Rn. 35. 3 Vgl. Bassen (1998), S. 122ff.; Kieser/Walgenbach (2010), S. 111ff.; Schulte‐Zurhausen (2010), S. 239. 4 Zur Festlegung der Wesentlichkeitsgrenzen vgl. ausführlich Abschnitt 2.3.1.5. 5 Vgl. Kieser/Walgenbach (2010), S. 103ff.; Schulte‐Zurhausen (2010), S. 235f. 134 2  Gestaltung des Risikomanagementsystems im Konzern erachten. Selbstabstimmung kann schließlich auch durch Koordinationsorgane (z.B. Kollegien) institutionalisiert werden. In diesem Fall erfüllt die koordinierende Einheit eine Doppelfunktion als Aufgabenträger und Koordinationsinstrument. Ein Beispiel hierfür ist der oben dargestellte Risikomanagement-Ausschuss. Darüber hinaus erscheint die Selbstabstimmung aber auch in den anderen Formen zur Koordination des Risikomanagements im Konzern geeignet. Neben den bisher betrachteten direkten Koordinationsinstrumenten können mit der Standardisierung von Rollen und der Unternehmenskultur auch indirekte Koordinationsmechanismen zum Einsatz gelangen. Unter der Standardisierung von Rollen wird die Vereinheitlichung von Prozessen durch Qualifikationsprogramme verstanden.1 Den Akteuren werden hierbei Kenntnisse über bestimmte Prozessabläufe und die dafür notwendigen Fähigkeiten vermittelt. Wenden die Akteure diese Kenntnisse und Fähigkeiten wie vorgesehen an, trägt dies zur Normierung von Handlungen bei. Eine solche Standardisierung von Rollen kann auch zur Koordination des Risikomanagements im Konzern genutzt werden, um z.B. die Vorgehensweise bei der Risikoidentifikation und -bewertung in den dezentralen Einheiten konzernweit zu vereinheitlichen. Dazu sind die erforderlichen methodischen Kenntnisse durch spezielle Risiko-Workshops oder im Rahmen allgemeiner Weiterbildungsprogramme zu vermitteln.2 Derartigen Qualifikationsmaßnahmen kommt in der Einführungsphase eines Risikomanagementsystems besondere Bedeutung zu. Um trotz Mitarbeiterfluktuation eine nachhaltige Standardisierung von Rollen sicherzustellen, erscheint jedoch auch eine feste Verankerung der Qualifikationsmaßnahmen zum Risikomanagement im Aus- und Weiterbildungssystem des Konzerns notwendig. Auf diese Weise kann ebenfalls ein Beitrag zur Förderung des Risikobewusstseins im Konzern geleistet werden. Als zweiter indirekter Koordinationsmechanismus ist die Organisationskultur zu nennen.3 Die Organisationskultur bildet das gemeinsame Werte- und Normensystem eines Unternehmens oder Konzerns. Es umfasst Wertvorstellungen, Verhaltensnormen und Denkmuster, die von den Organisationsmitgliedern verinnerlicht sind und nicht in Frage gestellt werden. Dadurch üben sie für das Verhalten der verschiedenen Akteure eine koordinierende Wirkung aus. Diese Wirkung ist allgemein umso höher, je stärker die Organisationskultur ausgeprägt ist. Einen zentralen Bestandteil der Organisationskultur stellt die Risikokultur dar. Sie beinhaltet die gemeinsamen Werte, Normen und Einstellungen, auf deren Basis die Risiken im Konzern gehandhabt werden.4 Ihr wird in der Literatur eine hohe Bedeutung dafür zugesprochen, dass „das formale Risikomanagementsystem tatsächlich mit Leben gefüllt ist und seinen Nutzen entfalten kann“5. 1 Vgl. Bassen (1998), S. 117ff.; Kieser/Walgenbach (2010), S. 126f. 2 Vgl. Jenni (1952), S. 48; Braun (1984), S. 76f.; Wittmann (2000a), S. 802. 3 Vgl. Bassen (1998), S. 114ff.; Kieser/Walgenbach (2010), S. 120ff.; Schulte‐Zurhausen (2010), S. 242ff. 4 Vgl. KPMG (1998), S. 8; Eggemann/Konradt (2000), S. 504; Lück (2000a), S. 1477; Wolf (2002b), S. 1733. 5 Wittmann (2000a), S. 818. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 135 Denn die Risikokultur beeinflusst die Bereitschaft der Akteure, Risiken bewusst wahrzunehmen, offen zu kommunizieren und eigenverantwortlich zu steuern. Da die Risikokultur – wie auch die Organisationskultur – langfristig entstandene und wirksame Werte und Normen umfasst, ist sie i.d.R. kurzfristig nicht veränderbar. Hierzu bedarf es vielmehr eines gezielten längerfristigen Prozesses, der z.B. durch Schulungsmaßnahmen gefördert werden kann. Insgesamt verdeutlichen die vorstehenden Ausführungen, dass zur Koordination des Risikomanagements im Konzern sehr unterschiedliche Mechanismen herangezogen werden können. Diese Vielfalt ist nicht zuletzt deshalb notwendig, weil auch die zu koordinierenden Entscheidungen und Aufgaben selbst sehr heterogen sind. Aus diesem Grunde erscheint ein kombinierter Einsatz verschiedener Koordinationsmechanismen im Konzern erforderlich. Problematisch erweist sich allerdings, dass bislang keine gesicherten Erkenntnisse zum effizienten Einsatz und zur effizienten Kombination der unterschiedlichen Instrumente vorliegen. So sind die Koordinationskosten, die durch den Einsatz der Koordinationsmechanismen entstehen, ebenso wenig bekannt wie der mit ihnen erzielte Koordinationsnutzen. Angesichts des Defizits an empirischen Erkenntnissen zur Koordination des Risikomanagements in Konzernen zielt die empirische Studie zum einen darauf ab, die Art und die Intensität der eingesetzten Mechanismen zu explorieren. Auf der Grundlage der vorangehenden Überlegungen wurden die Respondenten daher gebeten, die Einsatzintensität von sechs Koordinationsinstrumenten auf einer fünfstufigen Ratingskala zu beurteilen (vgl. Frage A.2.8). Zum anderen sollen mit Hilfe der erhobenen Daten Zusammenhänge zwischen dem Kontext und der Gestaltung der Koordination analysiert werden. Zu diesen Zweck lassen sich folgende Hypothesen formulieren: H14: Je stärker Entscheidungskompetenzen und Aufgaben beim Risikomanagement dezentralisiert werden, desto höher ist die Einsatzintensität von Maßnahmen zur Koordination des Risikomanagements. H15: Je größer der Konzern, desto intensiver werden Maßnahmen zur Koordination des Risikomanagements eingesetzt. H16: Je höher die Dynamik und Komplexität der Umwelt, desto höher ist die Einsatzintensität von Maßnahmen zur Koordination des Risikomanagements. Hypothese H14 stützt sich auf den Umstand, dass der Koordinationsbedarf mit zunehmend dezentraler Kompetenz- und Aufgabenverteilung steigt und somit einen intensiveren Einsatz von Koordinationsmechanismen erfordert. Die Hypothesen H15 und H16 leiten sich aus der ersten Basishypothese ab. Sie begründen sich ebenfalls durch den in der Literatur allgemein unterstellten zunehmenden Koordinationsbedarf bei wachsender Konzerngröße und steigender Dynamik und Komplexität der Umwelt.1 1 Vgl. Schmidt (1993b), S. 115; Mellewigt (1995), S. 115; Staehle (1999), S. 555ff.; im Zusammenhang mit dem Risikomanagement vgl. Weber/Liekweg (2001), S. 477ff.; Liekweg (2003), S. 204ff. 136 2  Gestaltung des Risikomanagementsystems im Konzern Nachdem nunmehr die beiden Grunddimensionen der Organisation des Risikomanagements, die Spezialisierung und die Koordination, umfassend erörtert sind, wendet sich der folgende Abschnitt einem weiteren konstitutiven Gestaltungsparameter für das Risikomanagement im Konzern zu. 2.3.1.3 Festlegung des Risikokonsolidierungskreises 2.3.1.3.1 Einzubeziehende Konzerngesellschaften Bei der Gestaltung des Risikomanagementsystems im Konzern stellt sich für das Mutterunternehmen neben der Formulierung der Risikostrategie und der Schaffung organisatorischer Regelungen ferner die Frage, wie das eigene Risikomanagementsystem zu einem solchen für den Konzern erweitert werden kann und welche Konzerngesellschaften dabei in das konzernweite Risikomanagementsystem einbezogen werden sollen.1 Grundsätzlich wird ein konzernweites Risikomanagementsystem ähnlich wie der Konzernabschluss derivativ aus den Risikomanagementsystemen der einzelnen Gesellschaften abgeleitet. Daher soll der Kreis der in das konzernweite Risikomanagementsystem integrierten Unternehmen in Anlehnung an die Konzernrechnungslegung als Risi‐ kokonsolidierungskreis bezeichnet werden.2 Die Risikomanagementsysteme der darin eingeschlossenen Konzerngesellschaften werden i.d.R. nach den Vorgaben der Konzernmutter eingerichtet, sind mit dem des Mutterunternehmens verzahnt und bilden in ihrer Gesamtheit das Risikomanagementsystem des Konzerns. Die Abgrenzung des Risikokonsolidierungskreises steht dem Mutterunternehmen nicht völlig frei. Vielmehr sind hierbei, wie bei der Darstellung der juristischen Grundlagen in Abschnitt 1.2.3.1.4 gezeigt, vor allem die sich aus § 91 Abs. 2 AktG ergebenden rechtlichen Anforderungen zu beachten. Danach sind alle in- und ausländischen Tochtergesellschaften in das konzernweite Risikomanagementsystem zu integrieren, von denen bestandsgefährdende Entwicklungen für das Mutterunternehmen ausgehen können. Auf welche Tochtergesellschaften dies zutrifft, ist nur im Einzelfall zu entscheiden. Dabei sind einerseits das Risikopotenzial der betreffenden Tochtergesellschaft und mögliche Wechselwirkungen der Risiken im Konzernverbund zu berücksichtigen. Andererseits ist die Frage, ob aus einer Tochtergesellschaft bestandsgefährdende Entwicklungen für das Mutterunternehmen resultieren können, auch von dessen Risikotragfähigkeit abhängig. Da diese Kriterien aber wenig operational sind, hat der Risikokonsolidierungskreis de facto grundsätzlich alle Tochtergesellschaften einzu- 1 Diese Frage stellt sich im Prinzip bereits bei der Organisation des Risikomanagements, denn in diesem Zusammenhang werden – wie vorstehend dargelegt – die Akteure und die Koordinationsmechanismen für das Risikomanagement im Konzern bestimmt. Aufgrund seiner besonderen Bedeutung wird dieser Aspekt jedoch hier als eigenständiger Gestaltungsparameter betrachtet. 2 Vgl. hierzu auch Kajüter (2011). Zum Risikokonsolidierungskreis zählen auch solche Gesellschaften, deren Risiken das Mutterunternehmen einzeln z.B. im Beteiligungscontrolling erfasst. Davon zu unterscheiden sind Beteiligungen, deren Risiken global als Risiko geringerer Beteiligungserträge oder des Wertverlusts der Beteiligung erfasst werden. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 137 schließen. Eine analoge Überlegung ergibt sich für Zweckgesellschaften aus dem durch das BilMoG neu gefassten § 290 Abs. HGB in Verbindung mit der Gesetzesbegründung zu § 91 Abs. 2 AktG sowie für Gemeinschaftsunternehmen mittelbar aus der Berichtspflicht des Vorstands an den Aufsichtsrat nach § 90 Abs. 1 AktG.1 Jenseits dieser rechtlichen Anforderungen verfügt das Mutterunternehmen bei der Abgrenzung des Risikokonsolidierungskreises über Gestaltungsmöglichkei‐ ten. Dabei ist es nicht an den Konsolidierungskreis für den Konzernabschluss gebunden. Vielmehr ist grundsätzlich auch die Integration assoziierter Unternehmen in das konzernweite Risikomanagementsystem möglich. Vor diesem Hintergrund sollen im Folgenden die in den Risikokonsolidierungskreis pflichtgemäß oder freiwillig einbezogenen Konzerngesellschaften und die mit ihrer Einbeziehung verbundenen Probleme näher beleuchtet werden. Bei der Einbeziehung von inländischen Tochtergesellschaften sind aus rechtlicher Sicht die juristischen Grenzen der Konzernleitungsmacht nach deutschem Recht zu beachten.2 Demgegenüber ist bei ausländischen Tochterunternehmen das jeweilige nationale Recht für die Ausübung der Konzernleitungsmacht maßgeblich.3 So weist z.B. Volkswagen darauf hin, dass die „seit dem 22. Juli 2008 konsolidierte Marke Scania … aufgrund von Gegebenheiten des schwedischen Gesellschaftsrechts derzeit nicht in das Risikomanagementsystem des Volkswagen-Konzerns integriert“4 ist. Zu prüfen ist im Fall von Auslandsgesellschaften weiter, ob aus den jeweiligen nationalen Vorschriften ggf. besondere Anforderungen an das Risikomanagement resultieren, die bei der Gestaltung des konzernweiten Risikomanagementsystems zu berücksichtigen sind.5 Möglicherweise können aber auch andere Faktoren – z.B. kulturelle Unterschiede – die Integration ausländischer Tochtergesellschaften in das Risikomanagementsystem der Konzernobergesellschaft erschweren.6 Aus wirtschaftlicher Perspektive dürften die Tochtergesellschaften im Vergleich zu den übrigen Konzernunternehmen die i.d.R. größte Bedeutung für das Risikomanagement im Konzern haben, da die Beteiligungsquote hier am höchsten ist. Werden Tochtergesellschaften neu gegründet oder akquiriert, ist ihre Integration in das Risikomanagementsystem des Konzerns sicherzustellen. Während dies bei Neugründungen unproblematisch erscheint, da in diesem Fall noch keine etablierten Systeme bestehen, müssen bei akquirierten Tochterunternehmen möglicherweise bestehende Risikomanagementsysteme an die Konzernstandards angepasst werden.7 Dabei sind unterschiedliche Intensitätsstufen der Integration 1 Vgl. Kajüter (2011), S. 161f. 2 Vgl. hierzu Abschnitt 1.2.3.1.4. 3 Vgl. Luchterhandt (1971), S. 127 bzw. 161; Semler (1996), S. 209f. 4 Volkswagen AG (2010), S. 183. 5 Dies könnte vor allem auf börsennotierte ausländische Tochtergesellschaften zutreffen. Vgl. dazu Abschnitt 1.2.3.2. 6 Vgl. Brebeck/Herrmann (1997), S. 386; Kajüter (2003a), S. 57ff. 7 Vgl. dazu allgemein für Planungs- und Kontrollsysteme Lazanowski/Huther (2003) sowie Dickmann (2010). 138 2  Gestaltung des Risikomanagementsystems im Konzern denkbar, je nach dem in welchem Umfang Entscheidungskompetenzen dezentral verteilt sind. Gemeinschaftsunternehmen (Joint Ventures) unterscheiden sich von Tochtergesellschaften dadurch, dass sie nicht unter der einheitlichen Leitung des Mutterunternehmens stehen, sondern auf vertraglicher Basis durch mindestens zwei rechtlich und wirtschaftlich voneinander unabhängige Unternehmen gemeinsam geführt werden.1 Ein Motiv für die Gründung von Gemeinschaftsunternehmen kann beispielsweise in der Risikoteilung zwischen den Partnern liegen.2 Dabei müssen die Beteiligungen der Partner nicht unbedingt paritätisch sein. Entscheidend ist vielmehr, dass die gemeinsame Führung tatsächlich ausgeübt wird, also z.B. die Grundsätze der Geschäftspolitik gemeinsam festgelegt werden.3 Die operative Führung kann indes durchaus zwischen den Partnerunternehmen geteilt werden, indem z.B. ein Partner die kaufmännische Führung und ein anderer die technische Führung übernimmt. Für die Einbeziehung von Gemeinschaftsunternehmen in den Risikokonsolidierungskreis eines Konzerns erscheint es zunächst bedeutsam, dass die Partner im Joint- Venture-Vertrag grundsätzlich vereinbaren, ein Risikomanagementsystem im Gemeinschaftsunternehmen einzurichten und wesentliche Risiken an die Partner zu berichten. Falls dann die kaufmännische Führung beim eigenen Konzern liegt, kann das Risikomanagementsystem im Gemeinschaftsunternehmen entsprechend der eigenen Konzernvorgaben ausgestaltet und in den Risikokonsolidierungskreis einbezogen werden. Liegt die kaufmännische Führung dagegen beim Partner oder haben die einzelnen Partnerunternehmen unterschiedliche Vorstellungen über die Ausgestaltung des Risikomanagementsystems für das Gemeinschaftsunternehmen, können sich ggf. Schnittstellenprobleme ergeben, die eine Anpassung der berichteten Informationen erforderlich machen. Ohne dass dazu eine gesetzliche Verpflichtung besteht, kann das Mutterunternehmen auch assoziierte Unternehmen in den Risikokonsolidierungskreis integrieren.4 Unter assoziierten Unternehmen werden allgemein solche Gesellschaften verstanden, auf die das Mutterunternehmen oder eine Tochtergesellschaft einen maßgeblichen Einfluss ausübt (§ 311 HGB, IAS 28.2).5 Indikatoren für das Vorliegen eines maßgeblichen Einflusses sind z.B. die finanzielle oder technologische Abhängigkeit des Beteiligungsunternehmens oder Mitspracherechte bei der Bestellung von Mitgliedern der Leitungs- und Aufsichtsorgane. Bei einem 1 Vgl. Gebhardt (1993), Sp. 1376. Die wirtschaftliche Unabhängigkeit der Partner impliziert, dass bei einem gemeinsam von z.B. zwei Tochtergesellschaften eines Konzerns geführten Unternehmen kein Gemeinschaftsunternehmen im hier definierten Sinne vorliegt. Zu den Merkmalen von Gemeinschaftsunternehmen vgl. ferner Baetge et al. (2011), S. 311f. 2 Vgl. Staudt (1995), S. 721. 3 Bei dem Begriff der „gemeinsamen Führung“ handelt es sich wie bei dem der „einheitlichen Leitung“ im Sinne von § 290 Abs. 1 HGB um einen unbestimmten Rechtsbegriff. Vgl. Gebhardt (1993), Sp. 1378. 4 Vgl. Wolf (2002a); Kajüter (2011), S. 161f. 5 Vgl. Busse von Colbe et al. (2010), S. 519ff.; Baetge et al. (2011), S. 335ff. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 139 Stimmrechtsanteil von mindestens 20% wird ein maßgeblicher Einfluss (widerlegbar) vermutet. Somit liegt die Beteiligungsquote bei einem assoziierten Unternehmen in aller Regel zwischen 20 und 50%.1 Aus dieser Konstellation heraus wird deutlich, dass der Konzern bei einem assoziierten Unternehmen nur Minderheitsgesellschafter ist und daher gewöhnlich nur eingeschränkt auf das Risikomanagement dieser Unternehmen Einfluss nehmen kann. Sofern beispielweise kein Risikomanagementsystem existiert, kann über Vertreter in den Leitungs- und Aufsichtsgremien versucht werden, auf die Einrichtung eines solchen hinzuwirken. In gewissen Situationen ist allerdings denkbar, dass der Konzern seine Vorgaben für das Risikomanagement auch im assoziierten Unternehmen durchsetzen kann. Dies könnte z.B. dann möglich sein, wenn sich die übrigen Anteile am assoziierten Unternehmen im Streubesitz befinden und das beteiligte Konzernunternehmen so relativ gesehen den größten Einfluss hat. Die Integration eines solchen assoziierten Unternehmens in den Risikokonsolidierungskreis erscheint geboten, sofern von diesem wesentliche Risiken für das Mutterunternehmen ausgehen können und eine langfristige Beteiligungsabsicht besteht.2 Bei einer Beteiligungsquote unter 20% wird eine Einbeziehung in den Risikokonsolidierungskreis in aller Regel aufgrund des mangelnden Einflusses scheitern und unter Wesentlichkeitsgesichtspunkten nicht erforderlich sein. Allerdings ist es unabdingbar, bei solchen Beteiligungen das Risiko geringerer Beteiligungserträge oder des Wertverlusts für das Mutterunternehmen global als solche zu berücksichtigen. Schließlich sind als besondere Formen unternehmerischer Tätigkeit Konsortien und Zweckgesellschaften (Special Purpose Entities) zu nennen. Erstere werden oftmals in der Bauindustrie für die Bearbeitung von Großprojekten gegründet und als Arbeitsgemeinschaft (ARGE) bezeichnet.3 Letztere verfolgen – wie ihr Name andeutet – einen eng definierten Zweck, der meist in der Optimierung der Finanzierung oder Haftungsbegrenzung liegt (z.B. Leasingobjektgesellschaften).4 Sowohl Konsortien als auch Zweckgesellschaften können erhebliche Risiken für einen Konzern bergen. Bei Ersteren erscheint die Einbeziehung in den Risikokonsolidierungskreis gleichwohl aufgrund ihrer zeitlichen Befristung bzw. spezifischen Natur problematisch. Daher bietet es sich an, Risiken dieser Gesellschaften aus der Sicht des Konzerns gesondert zu erfassen. Für Zweckgesellschaften ist in Abhängigkeit von deren konkreter Ausgestaltung im Einzelfall zu prüfen, ob ein Risikomanagementsystem gemäß den Konzernvorgaben eingerichtet werden kann oder die Risiken zentral vom Mutterunternehmen zu erfassen sind. In diesem Sinne stehen Zweckgesellschaften den Tochterunternehmen gleich. 1 Vgl. IAS 28.8 sowie Baetge et al. (2011), S. 342. 2 Vgl. Wolf (2002a), S. 799ff. 3 Vgl. Tecklenburg (2003), S. 49ff. Diese Kooperationsformen ohne rechtlich selbstständige Gesellschaft werden auch „contractual joint ventures“ oder „non equity joint ventures“ genannt; vgl. Gebhardt (1993), Sp. 1376. 4 Vgl. Brakensiek/Küting (2002), S. 209f.; Schruff/Rothenburger (2002), S. 755ff. 140 2  Gestaltung des Risikomanagementsystems im Konzern Erkenntnisse dazu, welche Gesellschaften in der Konzernpraxis in die konzernweiten Risikomanagementsysteme integriert werden, liegen bislang nicht vor. Aus diesem Grunde soll dieser Sachverhalt im Rahmen der empirischen Studie näher untersucht werden. Dabei fokussiert sich die Betrachtung auf die wesentlichen Beteiligungsarten, also auf Tochtergesellschaften, Gemeinschaftsunternehmen und assoziierte Unternehmen. Angesichts der besonderen Rahmenbedingungen bei ausländischen Tochtergesellschaften erscheint es sinnvoll, ihre Einbeziehung gesondert zu erheben. Schließlich sollen auch mögliche Gründe für die Nicht-Integration von Konzerngesellschaften exploriert werden (vgl. Frage A.2.5). In der Literatur werden, wie oben erwähnt, die rechtlichen Grenzen der Konzernleitungsmacht als mögliches Hemmnis für die Ausgestaltung konzernweiter Risikomanagementsysteme angeführt.1 Es wird dabei argumentiert, dass in faktischen Konzernen grundsätzlich geringere Möglichkeiten bestehen, konzerneinheitliche Vorgaben für ein Risikomanagementsystem durchzusetzen als in Vertragskonzernen. Dies könnte dazu führen, dass inländische Tochtergesellschaften, bei denen die einheitliche Leitung faktisch begründet ist, weniger häufig in das Risikomanagementsystem der Konzernmutter eingebunden werden als solche Tochterunternehmen, mit denen ein Beherrschungsvertrag existiert. Vor diesem Hintergrund ist anhand der empirischen Daten folgende Hypothese zum Einfluss der Leitungsmacht auf die Abgrenzung des Risikokonsolidierungskreises zu prüfen: H17: Vertragskonzerne integrieren inländische Tochtergesellschaften in einem höheren Maße als faktische Konzerne. 2.3.1.3.2 Rechtliche versus wirtschaftliche Einheiten Bei der vorstehenden Abgrenzung des Risikokonsolidierungskreises wurde auf die rechtlichen Einheiten abgestellt. Im Vordergrund stand die Legalstruktur des Konzerns mit seinen Tochtergesellschaften, Gemeinschaftsunternehmen und assoziierten Unternehmen (statuarische Organisation). Neben der Legalstruktur existiert aber in vielen Konzernen eine weitere Struktur, bei der wirtschaftliche Gesichtspunkte dominieren. Beispielsweise werden strategische Geschäftsfelder als Objekte der strategischen Planung gebildet oder Profit Center für die operative Steuerung eingerichtet. Auf diese Weise entsteht eine so genannte „Duale Organisation“, bei der die gesellschaftsrechtliche Struktur durch eine virtuelle, wirtschaftliche Struktur überlagert wird.2 Bei der Bildung des Risikomanagementsystems im Konzern ist daher auch zu entscheiden, an welcher Struktur sich die Abgrenzung des Risikokonsolidierungskreises bzw. die Ausrichtung des Risikomanagementsystems primär orientieren soll.3 1 Vgl. Abschnitt 1.2.3.1.4. 2 Vgl. Szypersky/Winand (1979), S. 199ff.; Grün (1989), Sp. 306ff.; Staehle (1999), S. 766ff. In der Literatur werden für die beiden Dimensionen unterschiedliche Begriffe verwendet. Vgl. dazu Borchers (2000), S. 124f. 3 Vgl. Saitz (1999), S. 84f. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 141 Grundsätzlich sind für das Verhältnis von rechtlichen und wirtschaftlichen Einheiten im Konzern drei Konstellationen möglich:1 • eine rechtliche Einheit ist mit einer wirtschaftlichen Einheit identisch, • eine rechtliche Einheit umfasst mehrere wirtschaftliche Einheiten, • mehrere rechtliche Einheiten bilden eine wirtschaftliche Einheit. Diese Gestaltungsoptionen sind in Abb. 2.3–3 exemplarisch anhand der strategischen Geschäftsfelder in einer Managementholding dargestellt. Die durchgezogenen Linien markieren dabei die Legalstruktur, während die gestrichelten Linien die wirtschaftliche Struktur kennzeichnen. Um Kompetenzkonflikte und einen erhöhten Koordinationsaufwand zu vermeiden, empfiehlt es sich, die rechtliche und die wirtschaftliche Struktur aufeinander abzustimmen. In größeren Konzernen kann dies z.B. durch die Bildung von Zwischenholdings als rechtliche Abbildung eines strategischen Geschäftsfelds erfolgen.2 Allerdings lässt sich in der Praxis eine vollständige Kongruenz zwischen beiden Dimensionen z.B. aus steuerlichen Gründen oder aufgrund von Minderheitsbeteiligungen nicht immer erreichen.3 Dies führt dazu, dass die wirtschaftliche Struktur oftmals im Mittelpunkt des Konzerncontrollings steht. „Das Controlling der juristischen Einheiten … tritt demgegenüber deutlich zurück“4. In einer solchen Situation liegt es nahe, auch das Risikomanagementsystem an der wirtschaftlichen Struktur des Konzerns auszurichten. Die im Rahmen des Risikomanagements betrachteten Einheiten (z.B. Geschäftsfelder, Regionen, Kernprozesse) sind dann kongruent mit den für die Konzernsteuerung relevanten Einheiten. Damit wird letztendlich auch dem Grundsatz gefolgt, dass sich 1 Vgl. Binder (1994a), S. 156f.; Borchers (2000), S. 126. Abb. 2.3–3: Rechtliche und wirtschaftliche Struktur im Konzern 2 Vgl. Hahn (1990), S. 179; Borchers (2000), S. 126. Bei dem in Abb. 2.3–3 dargestellten Beispiel würden in diesem Fall die Tochterunternehmen 3 und 4 durch eine Zwischenholding geführt, die für das strategische Geschäftsfeld 4 verantwortlich wäre. 3 Vgl. Wörn (1985), S. 141; Borchers (2000), S. 126. 4 Pausenberger (1994), S. 184. Für ein Fallbeispiel vgl. Hamprecht (1996), S. 215ff. Managementholding Tochterunternehmen 1 Tochterunternehmen 2 Tochterunternehmen 3 Tochterunternehmen 4 SGF 1 SGF 3 SGF 2 SGF 4 142 2  Gestaltung des Risikomanagementsystems im Konzern unternehmerische Verantwortung und Risikomanagementverantwortung decken müssen.1 Inwieweit Risikomanagementsysteme in Konzernen an rechtlichen, wirtschaftlichen oder an beiden Strukturen gleichzeitig ausgerichtet sind, wurde bisher nicht empirisch untersucht und wird daher in dieser Studie analysiert (vgl. Frage A.2.9). 2.3.1.4 Integration in das Controllingsystem In einem Konzern existieren verschiedene Führungs- oder Managementsysteme (z.B. das Planungssystem, das Qualitätsmanagementsystem und das Managementsystem für den Umweltschutz), die unterschiedliche Funktionen im Rahmen der strategischen und operativen Führung erfüllen. Auch das Risikomanagementsystem stellt ein Führungssystem dar. Wird ein solches im Konzern eingeführt, stellt sich die Frage, wie dieses in das Gesamtspektrum der Führungssysteme eingebunden werden soll. Auf der einen Seite besteht die Möglichkeit, das Risikomanagementsystem als eigenständiges, von den vorhandenen Führungssystemen getrenntes System zu konzipieren. Damit würde sich das Risikomanagementsystem von den übrigen Führungssystemen klar abgrenzen, was möglicherweise dessen Dokumentation und Prüfbarkeit erleichtern würde. Allerdings besteht in diesem Fall auch die Gefahr, dass das Risikomanagementsystem als „Fremdkörper“ empfunden wird, der in erster Linie zur Erfüllung gesetzlicher Anforderungen dient. Um dies zu vermeiden, wird in der Literatur eine enge Verknüpfung und Integration des Risikomanagementsystems mit anderen Führungssystemen gefordert.2 Dies gilt insbesondere für die Integration des Risikomanagementsystems in das bestehende Controllingsystem: „Um Risikomanagement im Unternehmen zu verankern, dürfen der Risikomanagementprozess und insbesondere die Risikoberichterstattung keine separaten Prozesse sein, sondern müssen in die vorhandenen Planungs- und Controllingprozesse integriert sein“3. Die Integration des Risikomanagementsystems weist somit zum Ersten eine prozessuale Dimension auf. Die einzelnen Aufgaben des Risikomanagementprozesses werden mit dem Controllingprozess gekoppelt. Beispielsweise wird die Risikoinventur im Rahmen der strategischen Planung durchgeführt. Zum Zweiten manifestiert sich die Integration des Risikomanagementsystems in instrumenteller Hinsicht, indem vorhandene Methoden der Planung und Kontrolle auch für das Risikomanagement genutzt werden. Ein Beispiel hierfür ist die bei der strategischen Planung eingesetzte SWOT-Analyse. Schließlich ist die institutionale Dimension zu nennen. Die Integration des Risikomanagementsystems führt hier zu einer simultanen Wahrnehmung von Sach- und Risikomanagementaufgaben durch die Akteure im Konzern (funktionales Risikomanagement).4 1 Vgl. Wittmann (2000a), S. 804. 2 Vgl. Vogler/Gundert (1998), S. 2382; Lehner/Schmidt (2000), S. 266; Wittmann (2000a), S. 807ff.; Schichold (2001a), S. 590f.; Löhr (2010), S. 309ff. 3 Wittmann (2000a), S. 810. Vgl. ebenso Wittmann (2001). 4 Vgl. hierzu Abschnitt 2.3.1.2.2. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 143 Insgesamt kann die Integration des Risikomanagementsystems unterschiedlich stark ausgeprägt sein. Eine vollständige Integration in das Controllingsystem des Konzerns bietet den Vorteil, dass Doppelarbeiten vermieden und etablierte Strukturen genutzt werden können. Zudem ist zu vermuten, dass bei einer integrativen Gestaltung des Risikomanagementsystems von diesem stärkere Impulse für die Steuerung des Konzerns ausgehen als dies bei einer Trennung vom Controllingsystem der Fall ist. Mit der Integration des Risikomanagementsystems in das vorhandene Controllingsystem dürfte daher ein höherer Nutzen einhergehen. Hiervon sind wiederum positive Effekte auf die Akzeptanz des Risikomanagementsystems bei den Entscheidungsträgern zu erwarten. Schließlich trägt eine integrative Gestaltung des Risikomanagementsystems vermutlich auch zu einem stärkeren Risikobewusstsein im Konzern bei. Vor dem Hintergrund dieser Überlegungen ist gemäß der zweiten Basishypothese ein Zusammenhang zwischen den angestrebten Zielen des Risikomanagements und dem Ausmaß der Integration des Risikomanagementsystems in das Konzerncontrollingsystem zu vermuten. Dies führt zu folgender Hypothese: H18: Je höher die Bedeutung der Ziele Sicherung des Konzernerfolgs, Stärkung des Risikobewusstseins sowie Wirtschaftlichkeit und Akzeptanz des Risikomanagementsystems, desto stärker ist das Risikomanagementsystem in das Konzerncontrollingsystem integriert. Um das Ausmaß zu erheben, in dem das Risikomanagementsystem in das Controllingsystem des Konzerns integriert ist, wurden die Respondenten gebeten, hierzu eine Einschätzung auf einer fünfstufigen Ratingskala abzugeben (vgl. Frage A.2.4). Einen weiteren konstitutiven Gestaltungsparameter für Risikomanagementsysteme bilden Wesentlichkeitsgrenzen. Ihre Notwendigkeit und Formen werden im folgenden Abschnitt dargelegt. 2.3.1.5 Bestimmung von Wesentlichkeitsgrenzen Konzerne sind einer Vielzahl von Risiken ausgesetzt, die jeweils eine sehr unterschiedliche Bedeutung haben können. Um sicherzustellen, dass die verantwortlichen Entscheidungsträger im Rahmen der internen Risikokommunikation nicht mit einer Fülle nebensächlicher Gefahrenpotenziale überschüttet werden, bedarf es einer Selektion bedeutsamer Risiken. Hierfür sind bei der Bildung des Risikomanagementsystems Wesentlichkeitsgrenzen zu definieren.1 Mit diesen werden Schwellenwerte festgelegt, ab denen identifizierte Risiken an die nächsthöhere Hierarchieebene zu berichten sind, um dort in den Entscheidungsprozessen berücksichtigt zu werden.2 Davon unberührt bleibt die Möglichkeit, zu implementierende Gegensteuerungsmaßnahmen an die berich- 1 Vgl. Vogler/Gundert (1998), S. 2381f.; Weber  et  al. (1999a), S. 17ff.; Martin/Bär (2002), S. 123f.; Schorcht (2004), S. 171ff.; IDW (2006), Rn. P51. 2 Daneben können Wesentlichkeitsgrenzen auch Vorgaben machen, ab wann Risiken überhaupt im Rahmen der Risikoidentifikation erfasst und dokumentiert werden sollen; vgl. Schorcht (2004), S. 171. 144 2  Gestaltung des Risikomanagementsystems im Konzern tende organisatorische Einheit zurückzudelegieren.1 Risiken, welche die vorgegebene Wesentlichkeitsgrenze nicht überschreiten, verbleiben dagegen grundsätzlich in der Verantwortung des jeweiligen Risk Owners und sind von diesem zu steuern. Die Festlegung von Wesentlichkeitsgrenzen trägt auf diese Weise einer Dezentralisierung der Führungsverantwortung Rechnung.2 Sie übt eine wichtige Filterfunktion aus und bestimmt die Effektivität und Wirtschaftlichkeit des Risikomanagementsystems.3 Die Ermittlung sachgerechter Wesentlichkeitsgrenzen erweist sich in der Praxis als schwierig, weil es einen allgemein gültigen Maßstab für die Wesentlichkeit von Risiken nicht gibt.4 Wesentlichkeitsgrenzen für das Risikomanagement können daher nur situativ bestimmt werden. Welche Werte und Kriterien im Einzelfall zu Grunde gelegt werden, liegt im Ermessen des Vorstands. Zu hoch definierte Wesentlichkeitsgrenzen bergen dabei die Gefahr, dass bedeutsame Risiken nicht weiter berichtet werden. Umgekehrt können zu niedrig angesetzte Schwellenwerte dazu führen, dass die Aufmerksamkeit der Entscheidungsträger auf irrelevante Risiken gelenkt wird. Da es bislang an gesicherten Erkenntnissen zur Ableitung optimaler Wesentlichkeitsgrenzen mangelt, lassen sich nur einige allgemeine Aussagen treffen. So erscheint es notwendig, bei der Festlegung der Wesentlichkeitsgrenzen die Risikotragfähigkeit des Konzerns bzw. einzelner Konzerngesellschaften zu berücksichtigen. Ferner sollten die Wesentlichkeitsgrenzen in Einklang mit der Risikostrategie des Konzerns stehen und mit dem Handlungsspielraum der jeweiligen dezentralen Entscheidungsträger abgestimmt sein.5 Schließlich ist zu bedenken, dass sich Einzelrisiken im Konzern kumulieren und dadurch zu einem existenzbedrohenden Risiko entwickeln können. Daher sind die Schwellenwerte für Einzelrisiken auf unteren Hierarchieebenen niedriger anzusetzen als der Wert, der eine Bestandsgefährdung implizieren würde. Wesentlichkeitsgrenzen können in Form quantitativer Wertgrößen und/oder qualitativer Kriterien festgelegt werden. Bei quantitativen Schwellenwerten lassen sich zwei grundlegende Gestaltungsoptionen differenzieren: • Zum einen ist zu definieren, ob sich die Schwellenwerte auf den potenziellen Schaden bei Risikoeintritt oder auf einen Schadenserwartungswert6 beziehen sollen. Ersteres bietet den Vorteil, dass damit der möglicherweise eintretende Schaden berücksichtigt wird. Allerdings bleibt dabei die Eintrittswahrscheinlichkeit unberücksichtigt, sodass auch unwahrscheinliche Risiken mit hohem Schadenpotenzial weiter berichtet würden. Beim Schadenserwartungswert 1 Vgl. Saitz (1999), S. 92. 2 Vgl. Buderath/Amling (2000), S. 141; Schorcht (2004), S. 172. 3 Vgl. Vogler/Gundert (1998), S. 2381. 4 Zum Begriff der Wesentlichkeit und der Problematik zur Bestimmung von Wesentlichkeitskriterien im Rahmen der externen Rechnungslegung und Prüfung vgl. Ossadnik (1993) bzw. Wolz (2004). 5 Vgl. Weber et al. (1999a), S. 17f. 6 Der Schadenserwartungswert errechnet sich durch Multiplikation des möglichen Schadens mit der Eintrittswahrscheinlichkeit; vgl. dazu auch Abschnitt 2.3.2.2.2. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 145 wird dies vermieden, dafür aber ein Wert zu Grunde gelegt, der nicht die vollständige Schadenshöhe im Falle des Risikoeintritts abbildet. • Zum anderen ist zu bestimmen, ob der Schwellenwert als absolute oder relative Größe vorgegeben werden soll. Für eine absolute Größe (in Geldeinheiten) spricht, dass diese leicht kommunizierbar ist. Nachteilig erscheint jedoch, dass diese stets an veränderte Rahmenbedingungen anzupassen ist. Bei einer relativen Größe wird der Schaden bzw. der Schadenserwartungswert in Relation zu einer Bezugsgröße gesetzt. Hierzu bieten sich z.B. der Plan-Umsatz, Plan-Gewinn oder das Plan-Eigenkapital der betreffenden Konzerneinheit an. So werden in der Literatur z.B. Grenzwerte für Bestandsgefährdungen von 50% des bilanziellen Eigenkapitals und für wesentliche Risiken von 10% des operativen Planergebnisses genannt.1 Derartige Schwellenwerte sind unmittelbar an die (operative) Planung gekoppelt und passen sich flexibel mit einer Veränderung der Bezugsgröße an. Da Risiken teilweise nicht oder nur schwer quantifizierbar sind, sollten neben quantitativen auch qualitative Wesentlichkeitsgrenzen in Form konkreter Be‐ richtskriterien formuliert werden.2 Diese können sich auf bestimmte Kennzahlen oder Frühwarnindikatoren beziehen. Auslöser einer Berichtspflicht können hierbei z.B. steigende Abbruchraten von Entwicklungsprojekten oder ein Rückgang beim Kundenzufriedenheitsindex sein.3 Ein pragmatischer Ansatz zur Festlegung von Wesentlichkeitsgrenzen besteht schließlich darin, einzelne Risikoklassen innerhalb eines Risikoportfolios als wesentlich zu deklarieren.4 Insgesamt sind Wesentlichkeitsgrenzen für alle Konzerneinheiten zu definieren, die in das konzernweite Risikomanagementsystem integriert sind. Da die Informationsasymmetrien zwischen der Konzernobergesellschaft und den Tochterunternehmen mit zunehmender Konzerngröße steigen und deshalb eine Informationsversorgung der Konzernspitze mit relevanten Risiken an Bedeutung gewinnt, werden Wesentlichkeitsgrenzen mit wachsender Konzerngröße umso dringlicher benötigt. Es ist daher davon auszugehen, dass Wesentlichkeitsgrenzen in großen Konzern eher implementiert sind als in kleinen Konzernen. Deshalb wird folgende Hypothese formuliert: H19: Je größer der Konzern, desto umfassender werden Wesentlichkeitsgrenzen (Schwellenwerte, Berichtskriterien) definiert. Zur Prüfung dieser Hypothese wurde das Ausmaß erhoben, in dem in den Tochtergesellschaften bzw. Geschäftsbereichen des Konzerns Schwellenwerte und Kriterien für die interne Risikoberichterstattung festgelegt sind (vgl. Frage A.3.3). Darüber hinaus wurden die Respondenten um eine Angabe gebeten, in welcher Form Schwellenwerte definiert sind. 1 Vgl. Eggemann/Konradt (2000), S. 504. Kritisch anzumerken ist, dass diese Grenzwerte sich aus theoretischer Sicht nicht begründen lassen. 2 Vgl. IDW PS 340, Rn. 11; Weber et al. (1999a), S. 19f. 3 Vgl. zu Funktionen der Kundenzufriedenheitsmessung Günter (2003), S. 297. 4 Vgl. Weber  et  al. (1999a), S. 27f.; Schorcht (2004), S. 174f. Zum Risikoportfolio vgl. Abschnitt 2.3.2.2.2. 146 2  Gestaltung des Risikomanagementsystems im Konzern 2.3.1.6 Objekte des Risikomanagements Ein Risikomanagementsystem ist stets auf bestimmte Objekte ausgerichtet, die im Rahmen des Risikomanagementprozesses identifiziert, bewertet, gesteuert, kontrolliert sowie dokumentiert und kommuniziert werden. Die Festlegung, auf welche Objekte das Risikomanagementsystem im Konzern ausgerichtet werden soll, gehört somit zu den konstitutiven Gestaltungsparametern des Risikomanagements. In diesem Zusammenhang ist zunächst die dem Risikomanagement zu Grunde liegende Risikodefinition von Bedeutung. Wie in Abschnitt 1.2.1.2 erläutert, sind ein enger und ein weiter Risikobegriff zu unterscheiden.1 Wird dem engen Risikobegriff gefolgt, ist das Risikomanagementsystem auf mögliche negative Zielabweichungen fokussiert. Diese Beschränkung auf Risiken i.e.S. entspricht dem Risikoverständnis des Gesetzgebers im KonTraG (§ 91 Abs. 2 AktG sowie §§ 289 und 315 HGB a.F.). Demgegenüber schließt der weite Risikobegriff auch mögliche positive Zielabweichungen ein. Risiken i.w.S. umfassen folglich neben den Risiken i.e.S. auch Chancen. Ein Risikomanagementsystem, das auf diesem weiten Risikoverständnis basiert, bildet folglich gleichermaßen Risiken und Chancen ab. Es geht damit über den nach § 91 Abs. 2 AktG geforderten Mindeststandard hinaus. Empirische Befunde einer im Jahr 2000 durchgeführten Industriestudie signalisieren jedoch, dass lediglich 30% der befragten Aktiengesellschaften Chancen im Risikomanagementsystem betrachten.2 Da aber Risiken und Chancen zwei Seiten einer Medaille darstellen und bei einer Fokussierung auf Risiken die Gefahr besteht, dass der systematischen Wahrnehmung von Chancen zu wenig Beachtung geschenkt wird, wird in der Literatur eine Ausrichtung des Risikomanagementsystems am weiten Risikobegriff – also ein Risiko- und Chancenmanagement – gefordert.3 Durch die mit dem BilReG neugefassten Vorschriften zur Lageberichterstattung, die seit 2005 eine Offenlegung wesentlicher Chancen und Risiken im (Konzern-)Lagebericht erfordern (§§ 289 und 315 HGB), hat diese Forderung Nachdruck erhalten.4 Weiterhin stellt sich die Frage, auf welche Risiken das Risikomanagementsystem im Konzern ausgerichtet werden soll. In der rechtswissenschaftlichen Literatur wird, wie in Abschnitt 1.2.3.1.2 dargelegt, überwiegend die Auffassung vertreten, dass eine Erfassung von bestandsgefährdenden Entwicklungen zur Erfüllung der gesetzlichen Anforderungen aus § 91 Abs. 2 AktG hinreichend sei.5 1 Vgl. auch Kless (1998), S. 93. 2 Vgl. INW/PwC (2000), S. 14. 3 Vgl. Weber et al. (1999a), S. 10ff.; Lück (2001), S. 2312ff.; Ruud/Bodenmann (2001), S. 526; Wolf (2002b), S. 1729f. Zum Defizit der Berücksichtigung von Chancen vgl. auch Steinle et al. (1997), S. 360. 4 Vgl. Kajüter (2004c), S. 432. Die Pflicht zur Risikoberichterstattung im Lagebericht besteht zwar unabhängig von der Verpflichtung nach § 91 Abs. 2 AktG, gleichwohl bildet das Risikomanagementsystem eine wesentliche Grundlage, um der Publizitätspflicht im Lagebericht nachzukommen. Vgl. auch Eggemann/Konradt (2000), S. 509; Hahn  et  al. (2000), S. 2621; Kajüter/Esser (2007). 5 Vgl. Hüffer (1998), S. 98ff.; Zimmer/Sonneborn (2001), S. 49ff.; Pahlke (2002), S. 1680ff.; He‐ fermehl/Spindler (2004), Rn. 23; Hüffer (2010), S. 476. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 147 Eine Orientierung an dieser Meinung führt dazu, dass das Risikomanagementsystem nur wenige zentrale Risiken fokussiert, die sich bestandsgefährdend erweisen können. Wird dagegen der im betriebswirtschaftlichen Schrifttum und in der Prüfungspraxis vorherrschenden Ansicht gefolgt, muss das Risikomanagementsystem alle wesentlichen Einzelrisiken systematisch erfassen. Dies gilt für quantifizierbare Risiken (z.B. Forderungsausfall) genauso wie für nicht oder nur schwer quantifizierbare Risiken (z.B. Imageschäden, Verlust von Schlüsselpersonen, Beeinträchtigung der Mitarbeitermotivation). Im Vergleich zu einer Beschränkung auf bestandsgefährdende Entwicklungen ist hierfür eine detailliertere Ausgestaltung des Risikomanagementsystems erforderlich. Zu wesentlichen Einzelrisiken zählen aus Konzernsicht auch solche Risiken, die für das Mutterunternehmen aus den Beteiligungsverhältnissen im Konzern resultieren. Hierbei handelt es sich im Wesentlichen um Haftungsrisiken für das Mutterunternehmen aufgrund von vertraglichen oder gesellschaftsrechtlichen Verpflichtungen. Obgleich innerhalb eines Konzerns mit rechtlich selbstständigen Kapitalgesellschaften grundsätzlich das Trennungsprinzip gilt, also nur das jeweilige Gesellschaftsvermögen der juristischen Personen haftet1, kann es dennoch unter bestimmten Voraussetzungen zur Haftung der Gesellschafter kommen.2 Es lassen sich diesbezüglich drei Ausnahmetatbestände differenzieren:3 • Erstens können sich Einstandspflichten des Mutterunternehmens z.B. aus Bürgschaften, Patronatserklärungen oder der Produkt- und Umwelthaftung ergeben (rechtsgeschäftliche und deliktische Haftung). • Zweitens ist das Mutterunterunternehmen bei Abschluss von Beherrschungsund Gewinnabführungsverträgen zum Verlustausgleich bzw. im faktischen Aktienkonzern zum Nachteilsausgleich verpflichtet (Leitungshaftung).4 • Drittens besteht die Gefahr, dass Kredite des Mutterunternehmens an (kreditunwürdige) Tochtergesellschaften als eigenkapitalersetzende Gesellschafterdarlehen klassifiziert und wie Haftkapital behandelt werden (Eigenkapitalhaftung). Der letztgenannte Aspekt kann bei einem konzernweiten Cash Pooling dazu führen, dass überlassene Finanzmittel nicht zurückgefordert werden können und dadurch die Liquiditätsversorgung im Konzern blockieren. Wie die Zusammenbrüche von AEG, Bremer Vulkan und Babcock Borsig zeigen, kann die Krise einer Konzerngesellschaft auf diese Weise auf den gesamten Konzern durchschlagen und auch gesunde Gesellschaften in die Insolvenz reißen (Dominoef- 1 Die Haftungsbeschränkung ergibt sich aus § 1 Abs. 1 S. 2 AktG bzw. § 13 Abs. 2 GmbHG. Zur Haftungsseparation als Maßnahme der Risikosteuerung im Konzern vgl. auch Abschnitt 2.3.3.1.3. 2 Dabei sind drei Konstellationen denkbar: Haftung des Mutterunternehmens für die Tochtergesellschaft („Haftung von oben nach unten“), Haftung der Tochtergesellschaft für das Mutterunternehmen („Haftung von unten nach oben“) sowie Haftung der Tochtergesellschaften untereinander. Aus Sicht des Mutterunternehmens ist vor allem der erstgenannte Fall von Bedeutung; vgl. ausführlich Drüke (1990). 3 Vgl. Krieger (1998), S. 80ff.; Lutter/Trölitzsch (2004), S. 272ff. 4 Vgl. hierzu auch Abschnitt 1.2.1.1.2. 148 2  Gestaltung des Risikomanagementsystems im Konzern fekt).1 Vor diesem Hintergrund bilden Risiken aus Beteiligungsverhältnissen ein zentrales Objekt des Risikomanagements im Konzern.2 Eine Betrachtung von wesentlichen Einzelrisiken wird aber grundsätzlich nur in solchen Fällen möglich sein, in denen das Mutterunternehmen einen detaillierten Einblick in die Konzerngesellschaft hat und z.B. aufgrund eines herrschenden Einflusses eine Berichtspflicht durchsetzen kann. Diese Voraussetzung ist bei Minderheitsbeteiligungen meist nicht gegeben. Das Risiko für den Konzern besteht hier in erster Linie darin, dass Beteiligungserträge ausfallen oder Beteiligungen an Wert verlieren. Dementsprechend können nicht nur Einzelrisiken, sondern auch das Gesamtrisiko des Wertverlusts einer Beteiligung ein Objekt des Risikomanagements darstellen. Es ist davon auszugehen, dass die Festlegung, auf welche Objekte das Risikomanagementsystem im Konzern ausgerichtet werden soll, von den Zielen des Risikomanagements beeinflusst wird. Bei einer Orientierung an den gesetzlichen Mindestanforderungen wird eine Beschränkung auf Risiken zu erwarten sein, während bei dem Bestreben, auch ökonomische Vorteile mit dem Risikomanagement zu erzielen, eine Betrachtung von Risiken und Chancen vermutet werden kann. Da die Ziele Sicherung des Konzernerfolgs, Verbesserung der Entscheidungsgrundlagen (Chancentransparenz) und Senkung der Kapitalkosten primär auf solche ökonomischen Vorteile gerichtet sind, ergibt sich folgende Hypothese: H20: Je höher die Bedeutung der Ziele Sicherung des Konzernerfolgs, Verbesserung der Entscheidungsgrundlagen (Chancentransparenz) und Senkung der Kapitalkosten, desto systematischer werden Chancen im Risikomanagementsystem erfasst. Um diese Hypothese zu prüfen, wurden die Respondenten um eine Beurteilung gebeten, inwieweit das Risikomanagementsystem in ihrem Konzern neben Risiken auch systematisch Chancen erfasst (vgl. Frage A.2.4). Die Fokussierung auf eine systematische Chancenerfassung liegt darin begründet, dass Chancen vielfach implizit im Rahmen der Geschäftstätigkeit betrachtet werden, ohne aber spiegelbildlich zu Risiken strukturiert erfasst und analysiert zu werden. Über diese grundlegende Ausrichtung des Risikomanagementsystems hinaus erscheint es für einen weitergehenden Einblick in die Objekte des Risikomanagements auch sinnvoll zu erheben, inwieweit die übrigen, oben erörterten Arten von Risiken erfasst werden (vgl. dazu Frage A.3.1 und A.3.2). 2.3.1.7 Methodische Unterstützung des Risikomanagements 2.3.1.7.1 Risikomanagement‐Instrumente Ein systematisches Risikomanagement im Konzern ist ohne eine methodische Unterstützung kaum denkbar. Daher bilden die Methoden, Techniken oder Instrumente des Risikomanagements einen weiteren konstitutiven Gestaltungspa- 1 Zu den Risiken bei einem konzernweiten Cash Management vgl. Burgard (2003), S. 49f.; Vetter/Stadler (2003), S. 8ff.; Vetter (2004), S. 312ff. Zum Cash Management im Konzern vgl. ferner Reichmann et al. (1996); Schierenbeck/Lister (2002a), S. 413ff. 2 Vgl. dazu auch IDW PS 340, Rn. 36. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 149 rameter des Risikomanagementsystems.1 Sichtet man die Literatur, wird indes deutlich, dass kein einheitliches Verständnis darüber existiert, was unter Instrumenten des Risikomanagements zu verstehen ist. Dies zeigt sich z.B. darin, dass oft auch Maßnahmen zur Risikosteuerung zu den Instrumenten des Risikomanagements gezählt werden und somit keine klare Differenzierung zwischen Methoden und Maßnahmen des Risikomanagements erfolgt.2 Weiterhin werden Risikomanagement-Instrumente von anderen betriebwirtschaftlichen Methoden unterschiedlich abgegrenzt. Dies betrifft insbesondere traditionelle Methoden der strategischen Planung, wie z.B. die Szenario-Technik, die auch der Handhabung von Risiken dienen und daher als Instrumente des Risikomanagements angesehen werden können.3 Vor diesem Hintergrund ist eine für die vorliegende Arbeit zweckmäßige Begriffsabgrenzung zu wählen. Hierzu bietet es sich an, am Risikomanagementprozess bzw. den darin subsumierten Aufgaben des Risikomanagements anzuknüpfen, denn zwischen den Instrumenten und Aufgaben lässt sich eine Mittel‐ Zweck‐Beziehung herstellen: Risikomanagement-Instrumente (= Mittel) werden zur Erfüllung der Risikomanagement-Aufgaben (= Zweck) eingesetzt.4 Die Instrumente haben dabei vor allem die Funktion, die im Rahmen der Aufgaben zu treffenden Entscheidungen vorzubereiten, zu unterstützen und zu fundieren. Risikomanagement-Instrumente erfüllen diese Funktion, indem sie entweder Informationen bereitstellen (z.B. Cashflow at Risk) oder eine bestimmte Vorgehensweise strukturieren (z.B. Checklisten).5 Nach dieser Definition stellen Maßnahmen zur Risikosteuerung keine Instrumente des Risikomanagements dar. Gleichwohl lässt sich das Abgrenzungsproblem zu anderen betriebswirtschaftlichen Methoden nicht völlig lösen, was darauf zurückzuführen ist, dass diese Methoden häufig in unterschiedlichen Bereichen verwendet werden und eine allgemeingültige, überschneidungsfreie Zuordnung daher nicht möglich ist.6 Aus diesem Grunde sind in der folgenden Synopse nur die wichtigsten im Schrifttum diskutierten Methoden zusammengefasst, die nach vorherrschender Meinung als Risikomanagement-Instrumente angesehen werden (vgl. Tab. 2.3–1).7 Die Gegenüberstellung der Instrumente und Aufgaben verdeutlicht dabei den postulierten Zusammenhang zwischen beiden Dimensionen und illustriert den Einsatzschwerpunkt der jeweiligen Instrumente. 1 Im Schrifttum werden die Begriffe Methode, Technik und Instrument sowie ähnliche Ausdrücke weitgehend synonym gebraucht. Dem wird auch hier gefolgt. 2 Vgl. dazu exemplarisch Mag (1981), Sp. 491ff.; Imboden (1983), S. 70ff.; Hornung  et  al. (1999), S. 322; Bleuel/Schmitting (2000), S. 104ff.; Diederichs (2010), S. 199ff. 3 Vgl. Holst (1998), S. 43ff.; Götze/Mikus (2001), S. 387ff.; Burger/Buchhart (2002b), S. 593ff. 4 Vgl. zu einer ähnlichen Argumentation Schweitzer/Friedl (1992), S. 158; Amshoff (1993), S. 276; Kajüter (2000), S. 223. 5 Vgl. zu Cashflow at Risk und Checklisten im Risikomanagement Winter, P. (2004); Hom‐ burg/Stephan (2004) bzw. Troßmann/Baumeister (2004), S. 79ff. 6 Vgl. dazu z.B. auch Töpfer (1976), S. 168; Welge (1988), S. 338f.; Amshoff (1993), S. 276; Hor‐ váth (2009), S. 182. 7 Vgl. Mikus (2001), S. 19ff.; Burger/Buchhart (2002a), S. 63ff.; Pedell (2004), S. 9f. 150 2  Gestaltung des Risikomanagementsystems im Konzern Es würde den Rahmen dieser Arbeit sprengen, alle in der Übersicht genannten Instrumente einzeln darzustellen und kritisch zu würdigen. Hierfür wird auf die angegebenen Literaturquellen verwiesen. Drei Aspekte sind jedoch an dieser Stelle hervorzuheben: • Erstens ist darauf hinzuweisen, dass viele der genannten Methoden eine hohe Komplexität aufweisen und ein spezifisches Know-how voraussetzen. Durch ihren Einsatz entstehen Kosten, die mit dem erzielten Nutzen abzuwägen sind. Problematisch ist dabei allerdings, dass sich die Kosten zwar zumindest näherungsweise durch spezielle Analysen ermitteln lassen, eine Quantifizierung des Nutzens dagegen kaum möglich ist. Empirisch fundierte Aussagen zur Effizienz des Methodeneinsatzes im Risikomanagement liegen daher bislang nicht vor.1 • Zweitens ist anzumerken, dass die meisten Instrumente jeweils nur spezifische Aufgaben unterstützen. Für eine umfassende methodische Unterstützung des Risikomanagements ist deshalb ein kombinierter Einsatz der verschiedenen Methoden erforderlich.2 Aufgabe Instrument Risiko‐ identifi‐ kation Risiko‐ bewer‐ tung aufgaben‐ über‐ greifend Literaturquellen Checklisten × Burger/Buchhart (2002a), S. 82ff. Brainstorming × Burger/Buchhart (2002a), S. 69ff. Fehlerbaumanalyse × Burger/Buchhart (2002a), S. 89ff. Risikoportfolio × Burger/Buchhart (2002a), S. 162ff. Scoring-Modelle × Burger/Buchhart (2002a), S. 156ff. Monte-Carlo- Simulation × Hertz (1964); Wolf (2003b) Sensitivitätsanalyse × Blohm/Lüder (1995), S. 250ff. Szenario-Technik × Götze (1991); Geschka (1999) Value at Risk × Diggelmann (1999); Ulmke/Schmale (1999) Cashflow at Risk × Winter, P. (2004) Risikoadjustierte BSC × Reichmann/Richter (2001); Wurl/Mayer (2001) Risikoadjustierte Kennzahlen × Fröhling (2000), S. 78ff.; Löw/Roggenbuck (2002) Tab. 2.3–1: Risikomanagement‐Instrumente 1 Vgl. allgemein für das interne Rechnungswesen Küpper (1993), S. 626. 2 Vgl. Mikus (2001), S. 21; Burger/Buchhart (2002a), S. 64. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 151 • Drittens ist zu bedenken, dass häufig verschiedene Varianten der einzelnen Instrumente existieren. Risikoportfolios können beispielsweise mit unterschiedlichen Dimensionen und unterschiedlicher Anzahl an Feldern erstellt werden.1 Ebenso sind verschiedene Konzepte für die risikoadjustierte Balanced Scorecard in der Literatur vorgeschlagen worden.2 Aus kontingenztheoretischer Sicht ist davon auszugehen, dass auch das Instrumentarium des Risikomanagements in Abhängigkeit vom Kontext unterschiedlich ausgestaltet wird. Ein starker Einfluss ist von der Konzerngröße zu vermuten.3 Diese Annahme stützt sich auf die Ergebnisse allgemeiner empirischer Studien zum Controlling, die in großen Unternehmen regelmäßig einen umfangreicheren Methodenapparat als in kleineren Unternehmen nachgewiesen haben.4 Begründen lässt sich dieser Sachverhalt damit, dass in großen Unternehmen oftmals spezifische Ressourcen für das Risikomanagement zur Verfügung stehen. Demgegenüber erweist sich in kleineren Unternehmen die Entwicklung und Pflege eines differenzierten Instrumentariums als unwirtschaftlich. Übertragen auf die hier interessierende Fragestellung des Risikomanagements im Konzern ist daher folgende Hypothese zu testen: H21: Je größer der Konzern, desto umfassender wird das Risikomanagement instrumentell unterstützt. Da die Instrumente des Risikomanagements dazu dienen, die Ausführung von Aufgaben zu unterstützen, dürfte ihr Einsatz auch vom Grad der Aufgabendezentralisierung determiniert werden. Diesbezüglich wurde oben unter Verweis auf empirische Befunde zur allgemeinen Aufgabenverteilung in Konzernen die Hypothese aufgestellt, dass Holdingkonzerne die Aufgaben des Risikomanagements in stärkerem Maße dezentralisieren als Stammhauskonzerne.5 Vor diesem Hintergrund lässt sich folgender Zusammenhang zwischen der Konzernorganisation und dem Einsatz der Risikomanagement-Instrumente prognostizieren: H22: In Holdingkonzernen ist die Einsatzintensität von Risikomanagement-Instrumenten in Tochtergesellschaften höher als in Stammhauskonzernen. Schließlich können von der externen Kontextsituation Einflüsse auf die methodische Unterstützung des Risikomanagements ausgehen. Eine turbulente Umwelt erfordert i.d.R. ein ausgefeilteres Instrumentarium, um Risiken zu handhaben. Dies gilt analog für eine heterogene Umwelt, in der viele verschiedene Faktoren bei der Entscheidungsfindung zu berücksichtigen sind. Es wird deshalb folgende Hypothese zum Einfluss der Dynamik und Komplexität der Umwelt auf den Methodeneinsatz formuliert: 1 Vgl. z.B. die Übersicht bei Burger/Buchhart (2002a), S. 162ff. 2 Vgl. Weber et al. (1999a), S. 31f.; Reichmann/Form (2000); Wurl/Mayer (2001); Broetzmann/ Oehler (2002); Oepping/Siemes (2003). 3 Vgl. Burger/Buchhart (2002a), S. 63. 4 Vgl. z.B. Kosmider (1994), S. 103ff. 5 Vgl. Hypothese H9 bzw. Abschnitt 2.3.1.2.2.3. 152 2  Gestaltung des Risikomanagementsystems im Konzern H23: Je höher die Dynamik und Komplexität der Umwelt, desto intensiver wird das Risikomanagement im Konzern instrumentell unterstützt. Angesichts der erwähnten Abgrenzungsprobleme und der damit einhergehenden Vielfalt an Risikomanagement-Instrumenten musste sich die Erhebung des in den Konzernen eingerichteten Methodenapparates auf die zentralen in Tab. 2.3–1 genannten Instrumente beschränken. Es wurde jedoch nicht nur der Einsatz der Methoden, sondern auch deren Einsatzhäufigkeit erhoben und dabei zwischen der Konzernzentrale und den Tochtergesellschaften differenziert (vgl. Frage A.3.8). 2.3.1.7.2 IT‐Unterstützung des Risikomanagements Die instrumentelle Ausgestaltung des Risikomanagementsystems im Konzern wird nicht nur durch die verschiedenen Methoden, sondern auch durch die IT- Unterstützung geprägt. Diese erleichtert insbesondere die Erfassung, Aggregation, Kommunikation, Dokumentation und Kontrolle von Risiken. Beispielsweise können durch eine Software ein einheitliches Erfassungsschema vorgegeben, Rechenschritte für die Aggregation von Einzelrisiken durchgeführt und Risikoinformationen an die Berichtsempfänger übermittelt werden. Dabei lassen sich i.d.R. Auswertungen nach verschiedenen Dimensionen (Risikoart, Geschäftsbereich, Tochtergesellschaft, Konzern etc.) erstellen und je nach Funktionalität der Software auch visuell darstellen. Weiterhin kann eine Software die Dokumentation des Risikomanagements übernehmen und die Kontrolle von Risiken durch automatisierte Abweichungsanalysen unterstützen. Während die IT-Unterstützung hierbei auf den Ablauf des Risikomanagementprozesses abstellt, besteht auch die Möglichkeit, diese auf einzelne Instrumente zu fokussieren, wie beispielsweise eine risikoadjustierte Balanced Scorecard.1 Für die IT-technische Umsetzung eines Risikomanagementsystems im Konzern gibt es zwei grundsätzliche Alternativen: • Selbst entwickelte Software: Zum einen kann eine eigene Risikomanagement- Software entwickelt werden. Diese kann auf einer Standardsoftware (z.B. Microsoft Office) beruhen oder als Intranet-Technologie konzipiert sein. Letzteres ermöglicht die Vernetzung der einzelnen Konzerneinheiten und bildet die Grundlage für den Aufbau eines zentralen Data Warehouse mit dezentraler Datenerfassung und -abfrage.2 • Spezialsoftware externer Anbieter: Zum anderen werden von Wirtschaftsprüfungsgesellschaften und Unternehmensberatungen spezielle Softwareprogramme für das Risikomanagement angeboten, auf die zurückgegriffen werden kann.3 In diesem Fall ist i.d.R. eine Anpassung der Standardlösung an die individuellen Anforderungen des Konzerns erforderlich. Zumeist sind auch hier intranet-basierte Lösungen möglich. 1 Vgl. Form/Hüllmann (2002); Diederichs/Kaminski (2003). 2 Vgl. Diederichs/Kaminski (2003), S. 704ff.; Ettmüller (2003), S. 694f. 3 Vgl. z.B. Diederichs/Kaminski (2003); Mosiek (2003); Schmitting/Siemes (2004). 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 153 Bei der Entscheidung für eine IT-Unterstützung des Risikomanagementsystems und der Wahl der einen oder anderen Alternative sind Kosten und Nutzen gegeneinander abzuwägen. Obgleich der Nutzen einer Software wie jener der Risikomanagement-Instrumente praktisch kaum quantifizierbar ist, erscheint unter Wirtschaftlichkeitsgesichtspunkten ein IT-gestütztes Risikomanagementsystem vor allem in größeren Konzernen vorteilhaft, da hier eine effiziente Erfassung, Aggregation und Kommunikation von Risiken auf manuellem Wege kaum möglich sein dürfte. Dies führt zur folgenden Hypothese: H24: Große Konzerne setzen häufiger eine Risikomanagementsoftware ein als kleine Konzerne. Auf der Grundlage der vorstehenden Überlegungen wurde im Rahmen der empirischen Studie danach gefragt, ob und wenn ja wie das Risikomanagementsystem konzernweit durch eine Software unterstützt wird (vgl. Frage A.2.10). 2.3.1.8 Dokumentation des Risikomanagementsystems Obgleich sich weder aus § 91 Abs. 2 AktG noch aus der Gesetzesbegründung eine Pflicht zur Dokumentation des Risikomanagementsystems ableiten lässt, wird eine solche in IDW PS 340, in der Literatur und in der Rechtsprechung übereinstimmend gefordert.1 Begründet wird die Notwendigkeit zu einer Doku‐ mentation des Risikomanagementsystems durch drei wesentliche Funktionen, welche die Dokumentation erfüllt:2 • Sicherungsfunktion: Die Dokumentation ist Voraussetzung für eine dauerhafte, personenunabhängige Funktionsfähigkeit des Risikomanagementsystems. • Rechenschaftsfunktion: Die Dokumentation ist für den Vorstand eine Grundlage um nachzuweisen, dass er seinen Sorgfaltspflichten nachgekommen ist.3 • Prüfbarkeitsfunktion: Die Dokumentation ist erforderlich, damit der Aufsichtsrat, der Abschlussprüfer und ggf. die interne Revision das Risikomanagementsystem prüfen können. Um diese Funktionen zu erfüllen, muss die Dokumentation des Risikomanagementsystems eine nachvollziehbare Beschreibung der organisatorischen Regelungen enthalten. Dazu gehören z.B. die Definition des Risikobegriffs und der Risikofelder sowie die Festlegung der Verantwortlichkeiten, Berichtswege und Maßnahmen zur Systemsicherung. Der Umfang und Detaillierungsgrad der Dokumentation hängen vor allem von der Größe des Konzerns ab.4 Die Darstellung 1 Vgl. IDW PS 340, Rn. 17f.; Kromschröder/Lück (1998), S. 1576; Kuhl/Nickel (1999), S. 135; Adler/Düring/Schmaltz (2001), Rn. 31f.; Bolsenkötter (2001), Rn. 124; Brühwiler (2001), S. 80f.; Brebeck (2002), Sp. 2075; Ballwieser (2003), S. 436; Baumeister/Freisleben (2003), S. 35f.; Müller/Schiegl (2003), S. 103; Weiss/Heiden (2003), Rn. 120; Diederichs et al. (2004), S. 196f.; LG München I (2007). 2 Vgl. Kromschröder/Lück (1998), S. 1576; Spannagl/Häßler (1999), S. 1832; Bolsenkötter (2001), Rn. 125. 3 In Streitfällen obliegt dem Vorstand nach § 93 Abs. 2 S. 2 AktG die Beweislast. 4 Vgl. IDW PS 340, Rn. 18; Bolsenkötter (2001), Rn. 127. 154 2  Gestaltung des Risikomanagementsystems im Konzern des Risikomanagementsystems kann in einem Risikomanagement-Handbuch oder in Form einer Konzernrichtlinie erfolgen.1 Ist das Risikomanagementsystem nicht oder nur unvollständig dokumentiert, kann dies zu Zweifeln an dessen Funktionsfähigkeit führen.2 Damit ggf. ein Nachweis über die Existenz und Anwendung des Risikomanagementsystems erbracht werden kann, bietet es sich an, die Systemdokumentation und die laufenden Risikoberichte über einen gewissen Zeitraum zu archivieren.3 Gesetzlich sind hierfür keine Aufbewahrungsfristen vorgeschrieben, weshalb es im Ermessen des Konzernvorstands liegt, solche zu definieren. Als Orientierungshilfe können hierbei die Fristen für die Aufbewahrung von Abschlüssen und sonstigen Organisationsunterlagen nach § 257 Abs. 4 HGB dienen. Danach sollten die Dokumentation des Risikomanagementsystems und die periodischen Risikoberichte zehn Jahre aufbewahrt werden.4 Die Notwendigkeit zur Dokumentation des Risikomanagements besteht grundsätzlich für alle Konzerne. Gleichwohl liegt die Vermutung nahe, dass der Dokumentation in der Konzernpraxis ein unterschiedlicher Stellenwert beigemessen wird und diese daher nicht immer vollständig vorliegt. Ein erklärender Faktor ist hier in der Konzerngröße zu sehen. Mit zunehmender Konzerngröße stehen eher spezifische Ressourcen für die Anfertigung und laufende Aktualisierung einer Risikomanagementdokumentation zur Verfügung. Zudem müssen organisatorische Regelungen einem größeren Kreis an Mitarbeitern bekannt gemacht werden, wozu sich eine schriftliche Dokumentation in besonderer Weise eignet. Es ist daher folgender Zusammenhang zu erwarten: H25: Je größer der Konzern, desto vollständiger ist das Risikomanagementsystem dokumentiert. Darüber hinaus kann die Ausgestaltung der Risikomanagementdokumentation auch von den Zielen des Risikomanagements beeinflusst werden. In der Literatur wird in diesem Zusammenhang darauf hingewiesen, dass die Dokumentation des Risikomanagementsystems zur Erhöhung des Risikobewusstseins im Konzern beitragen kann.5 Es ist daher zu vermuten, dass die Dokumentation umso vollständiger erstellt wird, je mehr Bedeutung dem Ziel Stärkung des Risikobewusstseins zugesprochen wird. Dies gilt analog für das Ziel der Prüfbarkeit des Risikomanagementsystems, für welche die Dokumentation eine notwendige Grundlage bildet. Hypothese H26 lautet daher: H26: Je höher die Bedeutung der Ziele Stärkung des Risikobewusstseins und Prüfbarkeit des Risikomanagementsystems, desto vollständiger ist das Risikomanagementsystem dokumentiert. 1 Vgl. Dörner/Doleczik (2000), S. 203. Zum Inhalt und Aufbau eines Risikomanagement- Handbuches vgl. Mott (2001), S. 225ff.; Wolf (2002d); Wolf/Runzheimer (2009), S. 188ff. 2 Vgl. IDW PS 340, Rn. 18; Giese (1998), S. 453f.; Brebeck (2002), Sp. 2085. 3 Vgl. IDW PS 340, Rn. 18. 4 Für die Risikoberichte wird analog zu den Handelsbriefen auch eine Aufbewahrungsfrist von sechs Jahren empfohlen. Vgl. Diederichs (2010), S. 46. 5 Vgl. Baumeister/Freisleben (2003), S. 36. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 155 Die Respondenten wurden in der empirischen Untersuchung darum gebeten einzuschätzen, inwieweit das Risikomanagementsystem in ihrem Konzern vollständig dokumentiert ist (vgl. Frage A.2.4). Dazu wurde wiederum eine fünfstufige Ratingskala vorgegeben. 2.3.2 Risikofrüherkennung im Konzern Das Risikomanagementsystem im Konzern beinhaltet neben den bisher betrachteten konstitutiven Gestaltungsparametern auch solche, die primär prozessualen Charakter haben und der Systemnutzung und Systemsicherung dienen. Diese Gestaltungsparameter wurden bei der Entwicklung des Bezugsrahmens in drei Subsysteme differenziert – die Risikofrüherkennung, die Risikobewältigung und die interne Überwachung des Risikomanagements. Sie stellen Teilschritte des Risikomanagementprozesses dar und stehen im Folgenden im Mittelpunkt. Dem prozessualen Ablauf entsprechend wird zunächst auf die Risikofrüherkennung eingegangen, welche die Risikoidentifikation, die Risikobewertung und die Risikokommunikation umfasst.1 2.3.2.1 Risikoidentifikation 2.3.2.1.1 Begriff und Formen Ziel der Risikoidentifikation ist es, die Informationsbasis für das Risikomanagement im Konzern zu schaffen. Dazu sind alle wesentlichen Risiken der Konzerngesellschaften möglichst vollständig zu erfassen und nach festgelegten Kategorien systematisch zu ordnen. Da nur erkannte Risiken bewertet, kommuniziert und bewältigt werden können, kommt dieser ersten Aufgabe im Risikomanagementprozess eine zentrale Bedeutung zu.2 An sie werden in der Literatur folgende Anforderungen gestellt:3 • Vollständigkeit: Die Risikoidentifikation muss eine lückenlose Aufdeckung aktueller (bestehender) und potenzieller (zukünftiger) Risiken gewährleisten. • Aktualität: Risiken sind so frühzeitig zu identifizieren, dass ihnen noch wirksam begegnet werden kann. • Wesentlichkeit: Es sollten nur wesentliche Risiken erfasst werden, um entscheidungsrelevante Informationen zu erheben und die Wirtschaftlichkeit der Risikoidentifikation zu wahren. 1 In der betrieblichen Praxis bestehen zwischen diesen Aufgaben vielfältige Interdependenzen, so dass eine klare Trennung z.B. zwischen der Risikoidentifikation und -bewertung nicht möglich ist. Um die spezifischen Merkmale der einzelnen Aufgaben aufzuzeigen, werden diese hier indes separat betrachtet. 2 Vgl. Braun (1984), S. 217; Härterich (1987), S. 40; Fasse (1995), S. 79; Kremers (2002a), S. 78; Romeike (2003c), S. 165; Reichmann (2006), S. 628; Diederichs (2010), S. 95f. 3 Vgl. Mugler (1979), S. 87ff.; Imboden (1983), S. 100f.; Fasse (1995), S. 79f.; Brebeck/Herrmann (1997), S. 384; Kromschröder/Lück (1998), S. 1574; Wolf/Runzheimer (2009), S. 41f.; Diederichs (2010), S. 97ff. 156 2  Gestaltung des Risikomanagementsystems im Konzern • Systematik: Die Risikoidentifikation bedarf eines strukturierten Ablaufs, damit gewährleistet ist, dass die wesentlichen Risiken vollständig und zeitnah erkannt werden. Diese Postulate stehen teilweise in einem konkurrierenden Verhältnis zueinander und erfordern daher in der Praxis Kompromisslösungen. Beispielsweise stehen die Forderungen nach Vollständigkeit und Aktualität insofern in einem Spannungsverhältnis, als durch den Wandel im Umfeld und in den internen Gegebenheiten des Konzerns stets neue Risiken entstehen können, die jedoch in einem frühen Stadium meist nur schwer erkennbar sind. Die Vollständigkeit der Risikoidentifikation kann daher ex-ante nicht abschließend festgestellt werden.1 Zudem wird sie durch den Wesentlichkeitsgrundsatz eingeschränkt. Problematisch ist auch, dass sich die Bedeutung eines Risikos oftmals nur schwer abschätzen lässt. So kann ein einzelnes Risiko für sich betrachtet zwar unwesentlich sein, sich aber kumuliert oder in Wechselwirkung mit anderen Risiken im Konzern durchaus als relevant erweisen.2 Aus diesen Grunde darf die Risikoidentifikation keine intuitive, sporadische Tätigkeit darstellen, sondern muss systematisch erfolgen. Dazu können mehrere Maßnahmen beitragen: • Erstens bietet sich eine Kombination der verschiedener Vorgehensweisen zur Risikoidentifikation an. Diesbezüglich können ein progressiver und ein retrograder Ansatz differenziert werden.3 Beide Vorgehensweisen beruhen auf der Erkenntnis, dass zwischen Risiken Ursache-Wirkungsbeziehungen bestehen. Die progressive Risikoidentifikation verfolgt ausgehend von den Risikoursachen (Risikoquellen) schrittweise die potenziellen Wirkungen auf die Unternehmens- bzw. Konzernziele. Die retrograde Risikoidentifikation geht demgegenüber von den Risikowirkungen, also den möglichen Zielverfehlungen, aus und analysiert iterativ die dafür ursächlichen Faktoren, indem z.B. kritische Prozesse auf potenzielle Risikoereignisse durchleuchtet werden. Progressive und retrograde Risikoidentifikation ergänzen sich gegenseitig und können daher kombiniert werden, um eine möglichst vollständige Risikoerfassung sicherzustellen. • Zweitens erscheint es sinnvoll, die Risikoidentifikation durch den kombinierten Einsatz von Risikomanagement‐Instrumenten zu unterstützen.4 Als Beispiele von den zahlreichen in der Literatur diskutierten Methoden zur Risikoidentifikation seien an dieser Stelle Checklisten, Brainstorming oder Fehlerbaumanalysen genannt.5 1 Vgl. Lachnit/Müller (2001), S. 370; Kremers (2002a), S. 78; Reichmann (2006), S. 629. 2 Vgl. IDW PS 340, Rn. 10; Diederichs (2010), S. 96. 3 Vgl. Mugler (1979), S. 90ff.; Imboden (1983), S. 102ff.; Schuy (1989), S. 116f.; Fasse (1995), S. 210; Wolf/Runzheimer (2009), S. 43; Diederichs (2010), S. 99f. 4 Vgl. Schenk (1998), S. 43ff.; Kremers (2002a), S. 79ff.; Diederichs (2010), S. 106ff. 5 Vgl. dazu auch Abschnitt 2.3.1.6.1. Checklisten sind standardisierte Fragebögen, die eine systematische Suche nach Risiken in vorgegebenen Risikofeldern ermöglichen (vgl. Gleißner (2001), S. 115ff.; Schorcht (2004), S. 113). Beim Brainstorming handelt es sich um eine Kreativitätstechnik, die auf die Risikoidentifikation angewandt eine spontane, un- 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 157 • Drittens darf die Risikoidentifikation kein einmaliger Vorgang sein, sondern muss kontinuierlich erfolgen, da stets neue Risiken entstehen und bekannte Risiken sich in ihrer Bedeutung verändern können. Eine strukturierte Risikoidentifikation muss folglich eine stichtagsbezogene und permanente Suche von Risiken beinhalten. • Viertens ist sicherzustellen, dass die identifizierten Risiken in den weiteren Phasen des Risikomanagementprozesses berücksichtigt werden. Dazu sind die identifizierten Risiken zu kategorisieren und verantwortlichen Entschei‐ dungsträgern (Risk Ownern) zuzuordnen. Nachfolgend werden die Aufgabenfelder im Rahmen der Risikoidentifikation ausführlicher erörtert. 2.3.2.1.2 Stichtagsbezogene Risikoidentifikation Eine Möglichkeit der Risikoidentifikation besteht in der systematischen Bestandsaufnahme aller wesentlichen Risiken des Konzerns zu einem bestimmten Stichtag. Eine solche Bestandsaufnahme wird in Anlehnung an die buchhalterische Inventur auch als Risikoinventur bezeichnet.1 Das Ergebnis der Risikoinventur bildet ein sog. Risikoinventar2, in dem die einzelnen Risiken nach Risikokategorien geordnet genannt sind. Im Rahmen der Risikobewertung kann das Risikoinventar um Angaben zur Eintrittswahrscheinlichkeit und zur potenziellen Schadenshöhe der Risiken ergänzt werden. Für die Risikoinventur im Konzern können zwei grundsätzliche Vorgehensweisen gewählt werden: • Zum einen kann die Risikoinventur durch die Konzernobergesellschaft (Konzernzentrale) für den gesamten Konzern zentral durchgeführt werden (topdown). • Zum anderen besteht die Möglichkeit, die Risikoinventur durch die Tochtergesellschaften bzw. Geschäftsbereiche selbst durchführen zu lassen und die Ergebnisse anschließend in einem Risikoinventar für den Konzern zusammen zu fassen (bottom-up). Beide Vorgehensweisen lassen sich auch miteinander kombinieren, indem für einige Konzerneinheiten die Risiken top-down in der Konzernobergesellschaft erhoben werden, während andere Konzerneinheiten ihre Risiken selbst bottom-up identifizieren. Top-down und bottom-up Ansatz sind mit Vor- und Nachteilen 1 gerichtete Suche nach Risiken unterstützt. Die Fehlerbaumanalyse ist schließlich eine Methode des Qualitätsmanagements, die ebenfalls zur Risikoidentifikation nutzbar ist. Sie dient in diesem Kontext dazu, die Ursachen von Risiken systematisch aufzudecken (retrograder Ansatz). 1 Vgl. IIR‐Arbeitskreis (1999), S. 191; Spannagl/Häßler (1999), S. 1830; Einhellinger (2000), S. 308f.; Lachnit/Müller (2001), S. 369; Neubeck (2003), S. 76. 2 Synonym werden auch die Begriffe Risikokatalog oder Risk Map verwendet (vgl. z.B. Einhellinger (2000), S. 308f.; Dahms (2003), S. 218). Einige Autoren differenzieren dagegen zwischen dem Risikokatalog als dem Ergebnis einer Sammlung von Einzelrisiken und dem Risikoinventar, was aus dem Risikokatalog unter Eliminierung von Doppel- und Mehrfachnennungen abgeleitet wird (vgl. z.B. Füser et al. (1999), S. 754). 158 2  Gestaltung des Risikomanagementsystems im Konzern verbunden. Durch eine top-down Risikoinventur kann eine einheitliche Risikoidentifikation und -kategorisierung sowie eine Erfassung der aus Konzernsicht relevanten Risiken sichergestellt werden. Vorteilhaft sind zudem die i.d.R. geringeren Kosten dieser Art der Risikoinventur, in die nur wenige Personen einbezogen sind. Letzteres stellt aber zugleich den zentralen Nachteil dieser Vorgehensweise dar. Vor allem in größeren Konzernen dürfte es aufgrund der bestehenden Informationsasymmetrien kaum möglich sein, alle wesentlichen Risiken der Tochtergesellschaften bzw. Geschäftsbereiche top-down zu identifizieren. Hinzu kommt, dass das Risikobewusstsein der dezentralen Einheiten durch eine zentral durchgeführte Risikoinventur vermutlich negativ beeinflusst wird. Aus diesem Grunde erscheint es insbesondere in größeren Konzernen sinnvoll und notwendig, die Risikoinventur bottom-up unter Einbeziehung der verschiedenen Konzerneinheiten durchzuführen. Diese Überlegungen lassen sich in folgender Hypothese zum Einfluss der Konzerngröße auf die Art der Risikoinventur zusammenfassen: H27: Je größer der Konzern, desto eher wird die Risikoinventur bottom-up durchgeführt. Mit der bottom-up orientierten Risikoinventur geht eine Dezentralisation der Risikoidentifikation einher. Da sich Holdingkonzerne, wie in Abschnitt 2.3.1.2.2.3 dargelegt, im Allgemeinen durch eine stärkere Dezentralisierung von Entscheidungskompetenzen und Aufgaben auszeichnen, ist davon auszugehen, dass auch die Konzernorganisation die Vorgehensweise bei der Risikoinventur determinieren wird. Konkret ist folgender Zusammenhang zu vermuten: H28: In Holdingkonzernen wird die Risikoinventur eher bottom-up durchgeführt als in Stammhauskonzernen. Die Risikoinventur bildet eine zentrale Aufgabe bei der Einführung eines Risikomanagementsystems. Um dem Postulat der Aktualität gerecht zu werden, ist es jedoch nicht ausreichend, die Risikoinventur als einmaligen Vorgang zu betrachten. Vielmehr ist eine Aktualisierung des Risikoinventars in regelmäßigen Zeitabständen erforderlich. Empirische Befunde signalisieren, dass die Zyklen der Risikoinventur bei börsennotierten Aktiengesellschaften variieren, wobei jährliche und quartalsweise Inventuren am häufigsten praktiziert werden.1 Über die Faktoren, welche die Frequenz determinieren, liegen bislang keine gesicherten Erkenntnisse vor. Es kann jedoch vermutet werden, dass eine hohe Umweltdynamik kürzere Inventurintervalle erfordert, da sich die Rahmenbedingungen schneller verändern. Daher wird folgender Zusammenhang prognostiziert: H29: Je höher die Umweltdynamik, desto häufiger wird eine Risikoinventur im Konzern durchgeführt. Um die Aufmerksamkeit bei der Risikoidentifikation auf relevante Risikoquellen zu lenken und der Gefahr einer unvollständigen Risikoidentifikation entge- 1 Vgl. Diederichs (2010), S. 76. Die Befunde beruhen allerdings auf einer relativ kleinen empirischen Basis von 55 börsennotierten Aktiengesellschaften. Danach führen 37% eine jährliche und 28% eine quartalsweise Risikoinventur durch. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 159 gen zu wirken, wird in der Literatur gefordert, sog. Risikofelder (Risikobereiche) zu definieren.1 Nach IDW PS 340 gehört die Festlegung von Risikofeldern, die zu bestandsgefährdenden Entwicklungen führen können, zu den nach § 91 Abs. 2 AktG erforderlichen Maßnahmen zur Risikofrüherkennung.2 Die inhaltliche Detaillierung liegt indes im Ermessen des Vorstands und hängt von den individuellen Gegebenheiten ab. Um die Ausgestaltung der stichtagsbezogenen Risikoidentifikation in den Konzernen zu analysieren, wurde vor dem Hintergrund vorstehender Überlegungen nach der Art und der Häufigkeit der Risikoinventur gefragt (vgl. Frage A.3.1). Daneben wurde erhoben, inwieweit der Risikoinventur konzernweit definierte Risikofelder zu Grunde liegen. 2.3.2.1.3 Permanente Risikoidentifikation Die ergänzend zur periodischen Risikoidentifikation notwendige kontinuierliche Suche und Erfassung von Risiken wird im Schrifttum unter dem Begriff der Frühaufklärung diskutiert.3 Diese umfasst „alle systematisch erfolgenden Aktionen der Wahrnehmung, Sammlung, Auswertung und Weiterleitung von Informationen über latent bereits vorhandene Risiken und/oder Chancen in einem so frühen Stadium, daß noch ausreichend Zeit für eine Planung und Realisierung von Reaktionsstrategien und (Gegen-)Maßnahmen verbleibt“4. Im Gegensatz zu diesem weiten Begriffsverständnis, das auch die Kommunikation der Risikoinformationen einschließt, wird an dieser Stelle auf die Erkennung und Erfassung von Risiken fokussiert. Allgemein werden drei Generationen der Frühaufklärung unterschieden: die Frühaufklärung anhand von Kennzahlen und Hochrechnungen, die Frühaufklärung anhand von Indikatoren und die Frühaufklärung anhand schwacher Signale.5 Hierbei handelt es sich indes weniger um eine Weiterentwicklung im chronologischen Sinne, sondern vielmehr um unterschiedliche Vorgehensweisen, die miteinander kombinierbar sind. Sie werden nachfolgend kurz skizziert.6 (1) Frühaufklärung anhand von Kennzahlen und Hochrechnungen Dieser Ansatz zur Risikoidentifikation zielt darauf ab, durch einen Zeit- oder Betriebsvergleich von Kennzahlen negative Entwicklungen zu erkennen und deren Ursachen zu erforschen. Damit können allerdings nur bereits eingetretene Entwicklungen aufgezeigt werden. Die Durchführung von Hochrechungen (Soll- Wird-Vergleiche) ist demgegenüber zukunftsorientiert und beruht auf einer 1 Vgl. Gleißner (2001), S. 111f.; Romeike (2003c), S. 167ff.; Weiss/Heiden (2003), Rn. 103. 2 Vgl. IDW PS 340, Rn. 7f. 3 Vgl. Kirsch/Trux (1979); Müller (1981); Krystek (1990); Krystek/Müller‐Stewens (1993); Loew (1999); Wolf (2002c). Teilweise wird auch der Begriff Früherkennung verwendet; vgl. z.B. Konrad (1991); Bertram (1993); Zurlino (1995); Baisch et al. (1998); Hahn/Krystek (2000). 4 Loew (1999), S. 23, in Original kursiv. Zu einer ähnlichen Definition vgl. Krystek (1990), S. 68. 5 Vgl. Hahn (1983); Klausmann (1983); Hahn/Klausmann (1986), S. 251ff. 6 Vgl. dazu auch Krystek/Müller (1999); Hahn/Krystek (2000). 160 2  Gestaltung des Risikomanagementsystems im Konzern Trendextrapolation. Der zu Grunde liegende Zeithorizont ist dabei i.d.R. eher kurzfristig. Auf diese Weise werden sich abzeichnende Entwicklungen zwar erkennbar, unerwartete Trendbrüche jedoch nicht signalisiert. Die Frühaufklärung anhand von Kennzahlen und Hochrechnungen ist deshalb für eine umfassende Risikoidentifikation allein nicht hinreichend. (2) Frühaufklärung anhand von Indikatoren Die indikatorbasierte Frühaufklärung beruht auf der Annahme, dass sich Risiken (und Chancen) mit zeitlichem Vorlauf durch wahrnehmbare Veränderungen in einer anderen Erscheinung oder Entwicklung erkennen lassen. Hierfür sind Indikatoren notwendig, die in einem kausalen Zusammenhang zu der verborgenen, nicht direkt beobachtbaren risikobehafteten Entwicklung stehen (z.B. der Auftragseingang als Indikator für das Konjunkturrisiko). Im Gegensatz zu der intern orientierten Frühaufklärung mit Kennzahlen ist die indikatorbasierte Frühaufklärung auch auf die externe Umwelt gerichtet. Abb. 2.3–4 stellt die einzelnen Teilaufgaben dieses Ansatzes dar. Danach sind zunächst Beobachtungsbereiche (Risikofelder) festzulegen sowie Indikatoren und Toleranzgrenzen zu bestimmen. Letztere dienen dazu, eine Warnung auszulösen, wenn die Indikatoren die Grenzwerte über- oder unterschreiten. Weiterhin sind organisatorische Regelungen für die Beobachtung, Analyse und Weiterlei- Abb. 2.3–4: Ablauf einer indikatorbasierten Frühaufklärung (Quelle: Hahn (1987), S. 147) 1) Ermittlung von Beobachtungsbereichen zur Erkennung von Risiken und Chancen  4) Festlegung von Aufgaben der Informationsverarbeitungsstelle(n) 5) Ausgestaltung der Informationskanäle 3) Festlegung von Sollwerten und Toleranzen je Indikator - Aufnahme und Überprüfung von Warnsignalen - Verarbeitungsprozesse (Modelleinsatz) - Weiterleitung von Frühwarninformationen 2) Bestimmung von Frühwarnindikatoren je Beobachtungsbereich  Suche nach Indikatoren Auswahl von Indikatoren erfolgt? nein ja 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 161 tung der Warnsignale zu treffen. Problematisch erweist sich bei diesem Ansatz vor allem, geeignete Indikatoren zu finden, die einen hinreichenden zeitlichen Vorlauf haben, eindeutig auf das Risiko hinweisen sowie rechtzeitig und mit angemessenem Aufwand verfügbar sind.1 Um alle Beobachtungsbereiche abzudecken, erscheint zudem ein umfassendes System an Frühwarnindikatoren erforderlich. (3) Frühaufklärung anhand von schwachen Signalen Grundlage der Frühaufklärung anhand von schwachen Signalen ist die These, dass Diskontinuitäten und daraus resultierende Risiken nicht abrupt auftreten, sondern sich durch unscharfe Informationen andeuten. Dieses von Ansoff in den 1970er Jahren entwickelte Konzept der schwachen Signale („weak signals“) greift auf Erkenntnisse der Diffusionstheorie zurück.2 Beispiele für schwache Signale sind die Verbreitung neuartiger Meinungen und Ideen, die plötzliche Häufung gleichartiger Ereignisse mit strategischer Relevanz oder Tendenzen in der Rechtsprechung und Gesetzgebung. Die Frühaufklärung umfasst dabei vor allem die Erfassung der schwachen Signale durch Scanning und Monitoring. Scanning stellt eine ungerichtete Suche nach schwachen Signalen im Konzernumfeld dar (360-Grad-Radar). Die identifizierten Signale sind anschließend durch Monitoring gezielt und kontinuierlich zu beobachten, um ein vertieftes Verständnis von dem entdeckten Phänomen zu gewinnen. Beide Aktivitäten können formalen oder informalen Charakter haben. Die Schwierigkeit dieses Ansatzes besteht darin, schwache Signale als solche zu erkennen und von irrelevanten Informationen zu trennen.3 Hinzu kommt, dass das Problembewusstsein der Entscheidungsträger für die schwachen Signale aufgrund deren Unschärfe und Neuartigkeit meist gering ausgeprägt ist und sich erst mit deren zunehmender Konkretisierung erhöht. Angesichts der spezifischen Probleme, die den drei Ansätzen immanent sind, wird in der Literatur deren Integration und kombinierte Anwendung gefordert.4 Zugleich wird aber auch auf die starke Diskrepanz zwischen den entwickelten Konzepten und deren Umsetzung in der Praxis hingewiesen.5 So deuten empirische Studien zwar darauf hin, dass die Frühaufklärung anhand von Kennzahlen und Hochrechnungen häufig integraler Bestandteil des Controllings ist6, die Frühaufklärung anhand von Indikatoren und schwachen Signalen jedoch eher 1 Vgl. zu diesen Anforderungen Krystek/Müller (1999), S. 181. Zur Auswahl von Indikatoren für die Frühaufklärung vgl. Müller (2001). 2 Vgl. Ansoff (1975), (1976), (1981); Krampe/Müller (1981); für eine kritische Analyse vgl. Simon (1986); Konrad (1991). 3 Vgl. Perlitz (1993), Sp. 682; Krystek/Müller (1999), S. 181; Schröder/Schiffer (2001), S. 974. 4 Vgl. Krystek (1990), S. 75; Haag (1993); Hahn/Krystek (2000), S. 93. Die Integration der Ansätze wird auch als vierte Entwicklungsstufe oder Generation angesehen; vgl. Müller (2001), S. 215ff. 5 Vgl. z.B. Rieser (1989), S. 41; Krystek (1990), S. 74; Bertram (1993), S. 20ff.; Baisch  et  al. (1998), S. 236; Loew (1999), S. 45. 6 Oftmals wird sie allerdings nicht als solche bezeichnet. 162 2  Gestaltung des Risikomanagementsystems im Konzern sporadisch und unstrukturiert erfolgt.1 Die Ursachen für diese Implementierungslücke sind vor allem in methodischen und organisatorischen Problemen zu sehen.2 So weisen die Konzepte in ihrer ursprünglichen Form eine geringe Praktikabilität auf und vernachlässigen die instrumentelle und institutionale Anbindung an vorhandene Systeme zur Unternehmens- oder Konzernsteuerung. Treffend bemerkt Rieser in diesem Zusammenhang: „Die Vorstellung eines totalen, die gesamte Umwelt überwachenden Frühwarnsystems, das (bildlich dargestellt) rechtzeitig seine Lichter aufblinken lässt, wenn Gefahren im Anzug sind oder wenn Chancen locken, kann wohl ins Reich der Illusionen verbannt werden“3. Durch die Anforderungen des § 91 Abs. 2 AktG hat die Diskussion um Frühaufklärung zur Identifikation von Risiken neue Impulse erfahren. Zudem erleichtert die zunehmende Verbreitung von Performance-Measurement-Konzepten (vor allem der Balanced Scorecard) den Auf- und Ausbau von Frühaufklärungsaktivitäten in der Praxis.4 Dabei ist analog zu den Überlegungen zur stichtagsbezogenen Risikoinventur zu vermuten, dass die Ausgestaltung der permanenten Risikoidentifikation von der Konzerngröße beeinflusst wird. Große Konzerne verfügen eher über die Ressourcen, um sich der Frühaufklärung systematisch zu widmen, als kleine Konzerne. Zudem dürfte die Frühaufklärung aufgrund der größeren Informationsasymmetrien in Großkonzernen einen höheren Stellenwert haben. Hypothese H30 lautet daher: H30: Je größer der Konzern, desto umfassender erfolgt eine permanente Risikoidentifikation durch Frühaufklärung. Eine weitere kontextuelle Relativierung könnte von der Umweltdynamik und der Wettbewerbsintensität ausgehen. In der Literatur wird die zunehmende Umweltdynamik regelmäßig als Begründung für die Notwendigkeit einer systematischen Frühaufklärung angeführt.5 Bei hoher Umweltdynamik kann sich, so die These, die Risikolage schnell ändern, sodass eine kontinuierliche Identifikation von Risiken besonders bedeutsam ist. Dies gilt in ähnlicher Weise für die Wettbewerbsintensität. Ein starker Wettbewerb erfordert eine entsprechend intensive Beobachtung der Konkurrenten, um wettbewerbsbezogene Risiken frühzeitig zu erkennen. Es wird deshalb folgender Zusammenhang prognostiziert: H31: Je höher die Umweltdynamik und die Wettbewerbsintensität, desto umfassender erfolgt eine permanente Risikoidentifikation durch Frühaufklärung. 1 Vgl. für spezielle empirische Studien zur Frühaufklärung Hahn/Klausmann (1979); Simon (1986); Geißler (1995); Zurlino (1995). Daneben haben Untersuchungen zur Planung und zum Controlling Teilaspekte der Frühaufklärung analysiert; vgl. dazu z.B. Töpfer (1976), 297f.; Amshoff (1993), S. 324ff.; Al‐Laham (1997), S. 134ff. Kritisch anzumerken ist, dass die Befunde dieser Studien nur schwer vergleichbar und nicht repräsentativ sind. 2 Vgl. Baisch et al. (1998), S. 237; Loew (1999), S. 45; Bea/Haas (2009), S. 328f. 3 Rieser (1989), S. 41. Ein ähnliches Urteil fällt Stubbart: „Environmental scanning is one of those many ideas that look good on the paper, but prove intractable in implementation“ (Stubbart (1982), S. 144). 4 Vgl. Hahn/Krystek (2000), S. 95. 5 Vgl. z.B. Haag (1993), S. 261f.; Schröder/Schiffer (2001), S. 971f. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 163 Um Art und Ausmaß der permanenten Risikoidentifikation zu erheben, wurden die Respondenten gebeten einzuschätzen, inwieweit die drei Formen der Frühaufklärung in ihrem Konzern praktiziert werden (vgl. Frage A.3.1). 2.3.2.1.4 Analyse und Systematisierung von Risiken Die Risikoidentifikation zielt, wie bereits erwähnt, darauf ab, Transparenz über die Risikolage zu schaffen. Da im Rahmen der Risikoidentifikation aber eine Vielzahl von Risiken erkannt werden können, ist es notwendig, diese zu ordnen, zu systematisieren und damit für die weiteren Schritte im Risikomanagementprozess überschaubar zu machen. Die Risikoidentifikation ist deshalb nicht bereits mit dem Erkennen von Risiken abgeschlossen, sondern beinhaltet weitere Teilaufgaben zur Erfassung der Risiken. Dazu gehört erstens die Analyse der Ri‐ sikoursachen. Diese dient zum einen dazu, eine möglichst vollständige Risikoidentifikation sicherzustellen. Durch die systematische Suche nach den Risikoursachen können vielfach aufgrund der zwischen Risiken bestehenden Ursache- Wirkungsbeziehungen weitere Risiken erkannt und ein vertieftes Verständnis von der Risikolage gewonnen werden. Zum anderen trägt die Analyse der Risikoursachen auch dazu bei, die Beeinflussbarkeit der Risiken zu klären. Dies erleichtert eine zweite Teilaufgabe, die Zuordnung der identifizierten Risiken zu ei‐ nem Risikoverantwortlichen („Risk Owner“). Diesem obliegt es in der Folge, das Risiko zu kontrollieren und ggf. Maßnahmen zur Risikosteuerung zu ergreifen. Deshalb sollten einem Risikoverantwortlichen nur solche Risiken zugeordnet werden, die er auch beeinflussen kann. Drittens sind die identifizierten Risiken einzelnen Risikokategorien zuzuordnen.1 Eine solche Kategorisierung der Risiken zeigt – unabhängig von der Risikobewertung – Risikoschwerpunkte auf und ermöglicht im weiteren Verlauf des Risikomanagementprozesses die Ableitung differenzierter risikosteuernder Maßnahmen. So sind beispielsweise für Finanzrisiken andere Maßnahmen erforderlich als für Risiken aus konzernspezifischen Beteiligungsverhältnissen. Ausgangspunkt für die Kategorisierung der Risiken können die festgelegten Risikofelder sein. Mit ihnen werden bereits grobe Risikokategorien definiert, die weiter untergliedert werden können. Aufgrund der Vielschichtigkeit und Komplexität der Risikosphäre besteht hierbei allerdings das Problem, eine stringente, überschneidungsfreie Risikosystematik zu finden, die eine eindeutige Zuordnung der Risiken gewährleistet.2 Die vorstehend skizzierten Aufgaben erscheinen vor allem dann besonders bedeutsam, wenn die Risikolage durch eine große Zahl an Risiken oder häufige Veränderungen derselben auf den ersten Blick schwer überschaubar ist. Dies dürfte in Großkonzernen und bei hoher Umweltdynamik eher zutreffen als in kleinen Konzernen und bei geringer Umweltdynamik. Analog zu den Überlegungen im vorangehenden Abschnitt lassen sich deshalb die folgenden beiden Zusammenhänge prognostizieren: 1 Vgl. Kromschröder/Lück (1998), S. 1575; Schierenbeck/Lister (2002a), S. 331ff.; Reichmann (2006), S. 630. 2 Vgl. Romeike (2003c), S. 168. 164 2  Gestaltung des Risikomanagementsystems im Konzern H32: Je größer der Konzern, desto eher werden Risiken auf ihre Ursachen hin analysiert sowie einem Risikoverantwortlichen und Risikokategorien zugeordnet. H33: Je höher die Umweltdynamik, desto eher werden Risiken auf ihre Ursachen hin analysiert sowie einem Risikoverantwortlichen und Risikokategorien zugeordnet. Darüber hinaus ist gemäß der zweiten Basishypothese zu vermuten, dass die Ziele des Risikomanagements die Analyse und Systematisierung der Risiken determinieren. Da mit diesen Teilaufgaben die Risikotransparenz und das Risikobewusstsein in aller Regel erhöht werden, liegt die Vermutung nahe, dass die Bemühungen, Risiken auf ihre Ursachen hin zu analysieren sowie einem Risikoverantwortlichen und Risikokategorien zuzuordnen positiv von der Bedeutung beeinflusst werden, die diesen beiden Zielen beigemessen wird. Daher wird folgende Hypothese formuliert: H34: Je höher die Bedeutung der Ziele Risikotransparenz und Stärkung des Risikobewusstseins, desto eher werden Risiken auf ihre Ursachen hin analysiert sowie einem Risikoverantwortlichen und Risikokategorien zugeordnet. Die Ausgestaltung der drei angesprochenen Teilaufgaben wurde in systematisch gleicher Weise wie die anderen Aufgaben der Risikoidentifikation erhoben (vgl. Frage A.3.1). Zusätzlich wurde um die Angabe gebeten, wie viele Hauptrisikokategorien im Konzern unterschieden werden. 2.3.2.2 Risikobewertung 2.3.2.2.1 Begriff und Formen An die Risikoidentifikation schließt sich die Bewertung der Risiken an. Ziel dieser zweiten Phase im Risikomanagementprozess ist es, die Bedeutung der identifizierten Risiken zu ermitteln und sie dementsprechend zu klassifizieren. Auf diese Weise wird eine Entscheidungsgrundlage für die Risikosteuerung geschaffen. Eine falsche Risikobewertung kann somit zu Fehlentscheidungen bei der Risikohandhabung führen. So besteht im Falle zu niedrig bewerteter Risiken die Gefahr, dass auf an sich erforderliche Maßnahmen zur Risikoreduktion verzichtet wird und dadurch bei Risikoeintritt unerwartet hohe Schäden entstehen. Werden Risiken umgekehrt zu hoch bewertet, so werden möglicherweise unnötige risikosteuernde Maßnahmen ergriffen, welche die Wirtschaftlichkeit des Risikomanagements beeinträchtigen. Um eine optimale Risikosteuerung zu gewährleisten, bedarf es folglich einer sorgfältigen Risikobewertung. An diese sind folgende Anforderungen zu stellen: • Objektivität: Die Risikobewertung sollte möglichst frei von subjektiven Einschätzungen sein. • Interpretierbarkeit: Die Risikomaße müssen von den Entscheidungsträgern im Konzern interpretierbar sein, da ansonsten ihre Akzeptanz gering ist.1 1 Vgl. Burger/Buchhart (2002a), S. 106. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 165 • Aktualität: Da die Risikosituation einem permanenten Wandel unterliegt, ist die Risikobewertung regelmäßig zu überprüfen und ggf. anzupassen. • Wirtschaftlichkeit: Die Kosten der Risikobewertung (z.B. für die Erhebung von Daten) sollten in einem angemessenem Verhältnis zum Nutzen stehen. Die erstgenannte Anforderung nach Objektivität der Risikobewertung stellt ein Ideal dar, das in der Praxis für die Mehrzahl der Risiken aufgrund fehlender Daten nicht bzw. nicht voll erfüllbar ist. Um dennoch eine möglichst weitgehende Approximation an das Ideal zu erreichen, sind z.B. durch eine Konzernrichtlinie einheitliche Maßstäbe für die Risikobewertung vorzugeben.1 Einen wesentlichen Aspekt stellt in diesem Zusammenhang die Berücksichtigung bereits ergriffener oder geplanter Maßnahmen zur Risikosteuerung dar. Diesbezüglich kann zwischen einer Brutto- und einer Nettobewertung unterschieden werden.2 Eine Bruttobewertung liegt vor, wenn die risikomindernden Effekte nicht in das Kalkül einfließen. Hierbei wird folglich das gesamte Risikopotenzial aufgedeckt. Bei der Nettobewertung wird hingegen das Restrisiko ermittelt, das nach Berücksichtigung der Risikosteuerungsmaßnahmen bestehen bleibt. Dieses Rest- oder Nettorisiko dient als Grundlage, um über ggf. erforderliche weitere risikosteuernde Maßnahmen zu entscheiden. Vor allem dann, wenn nicht sichergestellt ist, dass risikosteuernde Maßnahmen in dem prognostizierten Umfang greifen, sollten Informationen über Brutto- und Nettorisiken bereitgestellt werden. Die Risikobewertung kann auf unterschiedlichen Aggregationsebenen durchgeführt werden. Dabei reicht das Spektrum von der Bewertung eines einzelnen Risikos bis zur Bewertung des Gesamtrisikos einer Konzerneinheit oder gar des gesamten Konzerns. Hierauf wird im Weiteren detailliert eingegangen. 2.3.2.2.2 Bewertung von Einzelrisiken Die Bewertung von Einzelrisiken knüpft an der ursachen- und wirkungsorientierten Definition des Risikos an.3 Demzufolge können zwei primäre Bewertungsdimensionen differenziert werden. Mit der ersten Dimension, der Eintrittswahr‐ scheinlichkeit des Risikos, wird ursachenorientiert auf die unvollkommene Information über zukünftige Entwicklungen oder Ereignisse abgestellt. Die zweite Dimension beschreibt dagegen wirkungsorientiert die mögliche Schadenshöhe, also das Ausmaß der Zielverfehlung (die Tragweite) im Falle des Risikoeintritts. Eintrittswahrscheinlichkeit und Schadenshöhe bestimmen zusammen den Grad der Bedrohung, der von einem Risiko ausgeht. Sie charakterisieren insofern die Risikodringlichkeit.4 Aufgrund des dem Risiko immanenten Zukunftsbezugs liegen indes regelmäßig nur unvollkommene Informationen über die Ausprägungen der beiden Risikodimensionen vor. Daher ist es grundsätzlich erforderlich, aus Vergangenheitswerten mit Hilfe der Statistik Prognosen für die künftige Entwicklung abzulei- 1 Vgl. IDW (2006), P50. 2 Vgl. Eggemann/Konradt (2000), S. 505; IDW (2006), P52ff.; Diederichs (2010), S. 139f. 3 Vgl. zur Risikodefinition Abschnitt 1.2.1.2.1. 4 Vgl. Hölscher et al. (1996), S. 3f.; Kremers (2002a), S. 40. 166 2  Gestaltung des Risikomanagementsystems im Konzern ten und Wahrscheinlichkeitsverteilungen für Risiken zu ermitteln. Dies ist allerdings nur möglich, wenn hierfür zum einen eine hinreichend große empirische Datenbasis verfügbar ist und zum anderen gleiche oder zumindest ähnliche Rahmenbedingungen wie in der Vergangenheit zu erwarten sind.1 Beide Voraussetzungen sind in der Praxis aber nur selten erfüllt. So existiert z.B. eine hinreichende empirische Datenmenge i.d.R. für Wechselkurse und andere Kapitalmarktgrößen. Darüber hinaus kann für einige andere Sachverhalte, wie z.B. Maschinenstillstand und Krankheit von Mitarbeitern, ggf. auf interne oder externe Schadensstatistiken zurückgegriffen werden. Für die weitaus größte Zahl von Risiken sind hingegen keine objektiven (empirischen) Wahrscheinlichkeiten bestimmbar, so dass subjektive Schätzungen von sachkundigen Entscheidungsträgern unumgänglich sind.2 In Abhängigkeit vom Erfahrungswissen der Entscheidungsträger können die beiden Risikodimensionen entweder quantitativ (zahlenmäßig) bewertet oder qualitativ umschrieben werden. Ersteres erfordert einen höheren Wissensstand, da Punktwerte oder zumindest Bandbreiten für die Eintrittswahrscheinlichkeit und die mögliche Schadenshöhe verlässlich geschätzt werden müssen.3 Eine qualitative Beurteilung kann dagegen ordinal erfolgen, indem die Eintrittswahrscheinlichkeit und die potenzielle Schadenshöhe des Risikos z.B. jeweils als „sehr gering“, „gering“, „mittel“, „hoch“ und „sehr hoch“ charakterisiert werden. Um eine einheitliche Orientierung für die Risikobewertung im Konzern zu geben, sind in diesem Fall für die einzelnen Kategorien entsprechende Größenordnungen zu definieren (z.B. „sehr gering“ = Wahrscheinlichkeit < 10% bzw. Schaden bis 100 T€). Bei der Festlegung der Schadenshöhe ist dabei zu berücksichtigen, dass die absolute Höhe des möglichen Schadens nur bedingt einen Rückschluss auf dessen Bedeutung zulässt, denn je nach Perspektive (Konzern oder Tochtergesellschaft) kann ein Schaden von z.B. 100 T€ sehr gering oder aber durchaus hoch sein. Daher sind die Schadensklassen im Konzern differenziert für die verschiedenen Betrachtungsebenen zu definieren, indem der absolute Schaden in Relation zu einer Bezugsgröße, wie z.B. das geplante Betriebsergebnis oder Eigenkapital der Konzerneinheit, gesetzt wird. Auf der Grundlage von solchen differenzierten Bewertungsklassen kann ein Risiko je nach Betrachtungsebene unterschiedlichen Klassen zuzuordnen sein, da die Ausprägungen der Bezugsgrößen i.d.R. variieren. Eine quantitative Bewertung von Risiken oder zumindest ihre Einordnung in vorgegebene Bewertungsklassen ist Voraussetzung, um Risiken auf einer jeweils nächst höheren Konzernebene aggregieren und letztendlich aus Sicht der Konzernobergesellschaft zu einem Gesamtrisiko zusammenfassen zu können.4 „Eine 1 Vgl. Hölscher (2000b), S. 323. 2 Vgl. IDW (2006), Rn. 55. Zur Schwierigkeit der Bestimmung subjektiver Wahrscheinlichkeiten vgl. allgemein Pfohl (1977) und Ballwieser (1998), S. 369. 3 Voraussetzung ist zudem, dass die Ziele hinreichend operational und präzise definiert wurden, denn nur wenn die Zielhöhe festliegt, lässt sich auch das Ausmaß der Zielabweichung ermitteln; vgl. Braun (1984), S. 39. 4 Vgl. dazu den folgenden Abschnitt 2.3.2.2.3. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 167 rein qualitative Risikobewertung … ohne Hinterlegung mit konkreten Wertgrö- ßen ist daher in der Regel nicht hinreichend.“1 Sofern bei bestimmten Risiken, wie z.B. Imageschäden oder Verlust von Schlüsselpersonen, Wertangaben nicht verlässlich geschätzt werden können, sind ggf. Annahmen zu treffen und offen zu legen. Werden Eintrittswahrscheinlichkeit und mögliche Schadenshöhe eines Risikos quantitativ bestimmt, kann durch die multiplikative Verknüpfung der beiden Dimensionen der Schadenserwartungswert als Risikomaß errechnet werden. Dieser Wert ermöglicht eine Klassifizierung von Einzelrisiken und stellt eine Grundlage für bestimmte Formen der Risikoaggregation dar. Gleichwohl ist zu bedenken, dass durch die Zusammenfassung der beiden Bewertungsdimensionen zu einer einzigen Maßzahl wichtige Informationen für die ggf. notwendige Risikosteuerung verloren gehen.2 So führen Risiken mit geringer Eintrittswahrscheinlichkeit (z.B. 1%) und großem Schadenspotenzial (z.B. 900 Mio. €) zu demselben Schadenserwartungswert (9 Mio. €) wie Risiken mit sehr hoher Eintrittswahrscheinlichkeit (z.B. 90%) und kleinem Schadenspotenzial (z.B. 10 Mio. €), obgleich es sich um völlig unterschiedliche Risiken handelt, die unterschiedliche Maßnahmen zur Risikosteuerung erfordern. Aus diesem Grunde ist die Aussagekraft des Schadenserwartungswerts i.d.R. begrenzt; eine sinnvolle Interpretation ist nur bei einer integrativen Betrachtung von Eintrittswahrscheinlichkeit, Schadenshöhe und Schadenserwartungswert möglich.3 Dies gilt in gleicher Weise für die Berechnung von periodisierten  Erwartungswerten, bei der Schadenssummen und Eintrittshäufigkeiten geschätzt und z.B. auf ein Jahr bezogen werden.4 Das Ergebnis der Bewertung einzelner Risiken lässt sich in einem Risikoportfo‐ lio visualisieren.5 Hierbei handelt es sich um eine zweidimensionale Grafik, welche die Einzelrisiken entsprechend ihrer Eintrittswahrscheinlichkeit und möglichen Schadenshöhe darstellt (vgl. Abb. 2.3–5). Dadurch wird ein Überblick über die verschiedenen Risikopotenziale gegeben, wobei im Gegensatz zur Berechnung des Schadenserwartungswerts ein Informationsverlust vermieden wird. Je nach Datenverfügbarkeit können die Achsen des Portfolios metrisches oder ordinales Skalenniveau aufweisen. Innerhalb des Risikoportfolios sind die Risiken nach ihrer Dringlichkeit in drei Kategorien eingeteilt (A-, B- und C-Risiken). Diese Klassifizierung bildet eine Grundlage für die Ableitung von (weiteren) Maßnahmen zur Risikosteuerung. Besonderer Handlungsbedarf besteht bei A-Risiken, da von diesen die höchste 1 IDW (2006), Rn. 51. Ähnlich Diederichs (2010), S. 143. 2 Vgl. Hölscher (2000b), S. 325; Diederichs (2010), S. 143. 3 Vgl. Karten (1993), Sp. 3831; Lück (1998b), S. 1927; Hölscher (2000b), S. 325. 4 Vgl. dazu Füser et al. (1999), S. 755f.; Burger/Buchhart (2002a), S. 107ff.; Schierenbeck/Lister (2002a), S. 343ff.; Diederichs (2010), S. 146f. 5 Vgl. Hölscher (2000b), S. 325f.; Burger/Buchhart (2002a), S. 162ff. Synonym werden in der Literatur auch die Begriffe Risk Map (vgl. z.B. Hornung et al. (1999), S. 321; Bitz (2000a), S. 43; Schierenbeck/Lister (2002a), S. 351; Kajüter (2003b), S. 329) oder Risikomatrix (vgl. z.B. Reichmann/Form (2000), S. 193; Schorcht (2004), S. 160ff.) verwendet. 168 2  Gestaltung des Risikomanagementsystems im Konzern Bedrohung ausgeht. So wurde z.B. Risiko 3 durch den Abschluss einer Versicherung reduziert (vgl. Abb. 2.3–5). Das Risikoportfolio zeigt i.d.R. nur die Nettorisiken einer Konzerneinheit. Es kann sich je nach Ausrichtung des Risikomanagementsystems sowohl auf eine rechtliche Einheit (z.B. eine Tochtergesellschaft) oder auf eine wirtschaftliche Einheit (z.B. einen Geschäftsbereich) beziehen.1 Bei der Interpretation des Risikoportfolios ist zu bedenken, dass Wechselwirkungen zwischen den Einzelrisiken in der Darstellung nicht berücksichtigt sind.2 Zudem handelt es sich um eine statische Abbildung der Risikosituation, wohingegen sich Risiken im Zeitablauf hinsichtlich ihrer Eintrittswahrscheinlichkeit und ihrem potenziellen Schaden verändern können. Ferner kann sich der potenzielle Schaden über mehrere Jahre erstrecken. Das Risikoportfolio kann daher nur einen groben Überblick geben und auf besonders kritische Gefahrenpotenziale aufmerksam machen. Für die Ableitung konkreter Handlungsempfehlungen zur Risikosteuerung sind indes weitergehende Analysen erforderlich. Dabei können andere Instrumente zur Risikobewertung, wie z.B. Sensitivitätsanalysen, Scoring-Modelle oder die Szenario-Technik, unterstützend eingesetzt werden. Aus der vorstehenden Kritik an der statischen Betrachtung ergibt sich aber auch, dass bei der Risikobewertung neben der Eintrittswahrscheinlichkeit und der Schadenshöhe eine dritte Dimension, der Zeitbezug von Risiken, zu berücksichtigen ist. Diese Risikodimension leitet sich unmittelbar aus dem wirkungsorientierten Risikobegriff, also der möglichen Zielverfehlung, ab. Ziele müssen, Abb. 2.3–5: Risikoportfolio 1 Vgl. auch Abschnitt 2.3.1.3.2. 2 Vgl. Burger/Buchhart (2002a), S. 172ff.; Kajüter (2003c), S. 122; Diederichs (2010), S. 145. gering (<10%) mittel (10-50%) hoch (50-75%) sehr hoch (>75%) Eintrittswahrscheinlichkeit Schadenshöhe sehr hoch (> x Mio.€) hoch (> x Mio.€) mittel (> x Mio.€) gering (< x Mio.€) A-Risiken B-Risiken 1 2 3 4 5 6 1 Risiko 1 C-Risiken 3 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 169 damit ihre Erreichung kontrolliert werden kann, im Hinblick auf ihren Inhalt, ihr Ausmaß und ihren Zeitbezug (Zeitpunkt oder Zeitraum) konkretisiert werden. Folglich weisen auch die mit der Zielerreichung verbundenen Risiken eine zeitliche Komponente auf. Entsprechend der Differenzierung in kurz-, mittelund langfristige Ziele können z.B. kurz-, mittel- und langfristige Risiken unterschieden werden. Der Zeitbezug des Risikos beeinflusst auch dessen Tragweite, denn die potenzielle Zielabweichung steigt i.d.R. mit zunehmendem Zeithorizont.1 Weiterhin lassen sich ausgehend von den die Zielabweichungen auslösenden Entwicklungen und Ereignissen permanente und vorübergehende Risiken differenzieren. Erstere können jederzeit auftreten (z.B. Maschinenausfall, Konjunkturrückgang), Letztere indes nur einmalig zu bestimmten Zeitpunkten (z.B. Jahr-2000-Wechsel). Mit Bezug auf die kontingenztheoretische Basishypothese des Bezugsrahmens kann vermutet werden, dass die Risikobewertung im Konzern in Abhängigkeit von dessen Größe unterschiedlich systematisch erfolgt. Wie bei der Risikoidentifikation ist ein positiver Zusammenhang zwischen der Konzerngröße und dem Ausmaß der konzernweiten Beurteilung der Risiken im Hinblick auf die drei diskutierten Dimensionen (Eintrittswahrscheinlichkeit, Schadenshöhe, Zeitraum) zu erwarten. Es lässt sich daher folgende Hypothese festhalten: H35: Je größer der Konzern, desto systematischer werden Risiken im Konzern bewertet. Da die Risikobewertung auch dazu dient, die Entscheidungsgrundlagen zu verbessern und die Risikotransparenz zu erhöhen, dürfte ferner von der Bedeutung, die diesem Ziel beigemessen wird, ein Einfluss auf die Ausgestaltung der Risikobewertung im Konzern ausgehen. Es wird deshalb folgender Zusammenhang prognostiziert: H36: Je höher die Bedeutung des Ziels Verbesserung der Entscheidungsgrundlagen (Risikotransparenz), desto systematischer werden Risiken im Konzern bewertet. Um die Art und Weise der Risikobewertung zu erheben, wurde danach gefragt, inwieweit diese konzernweit im Hinblick auf die Eintrittswahrscheinlichkeit, die mögliche Schadenshöhe und einen einheitlichen Zeithorizont erfolgt (vgl. Frage A.3.2). Dabei wurde zudem um eine Angabe des Zeithorizonts gebeten. 2.3.2.2.3 Bewertung des Gesamtrisikos Neben den Einzelrisiken ist auch das Gesamtrisiko des Konzerns bzw. einer Konzerneinheit zu bewerten, da letztlich nur so fundierte Aussagen zur Bestandsgefährdung möglich sind. Das Gesamtrisiko bildet das Aggregat der vielfältigen Einzelrisiken und charakterisiert die Risikolage der betrachteten rechtlichen oder wirtschaftlichen Einheit. Um das Gesamtrisiko zu ermitteln, besteht zum einen die Möglichkeit, durch ein Rating die Bestandsfestigkeit (Widerstandskraft) eines Konzerns zu analysieren und diesen in eine Risikoklasse ein- 1 Vgl. Kremers (2002a), S. 40. 170 2  Gestaltung des Risikomanagementsystems im Konzern zuordnen. Ein Beispiel hierfür ist das Rating anhand von Bilanzen, das eine objektive Bonitätsbeurteilung und Insolvenzprognose auf der Grundlage der Abschlussdaten ermöglicht.1 Hierbei bleiben die identifizierten und (subjektiv) bewerteten Einzelrisiken unberücksichtigt (top-down Ansatz).2 Ein Rating bietet daher eine wichtige Grundlage für die Beurteilung des Gesamtrisikos eines Konzerns, erlaubt aber keine Risikobewertung auf mittleren Aggregationsstufen, wie z.B. dem Gesamtrisiko eines Geschäftsbereichs. Dazu ist eine Aggregation der Einzelrisiken (bottom-up Ansatz) erforderlich, die allerdings eine komplexe und problembehaftete Aufgabe darstellt.3 Dies liegt vor allem darin begründet, dass zwischen den zahlreichen Einzelrisiken vielfältige Interdependenzen bestehen, die bei der Ermittlung des Gesamtrisikopotenzials zu berücksichtigen sind. Zudem stellt sich im Konzern die Frage, ob und inwieweit bei Beteiligungen unter 100% die aus dieser Beteiligung resultierenden Einzelrisiken dem Konzern nur anteilig zuzurechnen sind. Nachfolgend werden zunächst verschiedene Formen der Risikoaggregation vorgestellt und anschließend diese Detailfragen diskutiert. 2.3.2.2.3.1 Formen der Risikoaggregation Bei der Aggregation von Einzelrisiken können eine qualitative und eine quantitative Vorgehensweise unterschieden werden. Die qualitative Risikoaggregation stellt auf eine Selektion der wesentlichen Einzelrisiken ab, welche das Gesamtrisiko der betrachteten Konzerneinheit maßgeblich determinieren. Das Gesamtrisiko wird hierbei nicht wertmäßig ermittelt, sondern durch eine Zusammenstellung einer begrenzten Zahl besonders bedeutsamer Einzelrisiken umschrieben. Die Zusammenstellung kann als Auflistung der wesentlichen Risiken („Top-10- Liste“) oder anhand des bereits bei der Einzelbewertung erwähnten Risikoportfolios erfolgen. Beispielsweise können, wie in Abb. 2.3–6 dargestellt, die Risikoportfolios einzelner Tochtergesellschaften oder Geschäftsbereiche zu einem Risikoportfolio für den Konzern zusammengeführt werden.4 Das Konzern- Risikoportfolio zeigt dann nur solche Risiken, die aus Konzernsicht wesentlich sind. Es handelt sich daher nicht um eine vollständige Abbildung des Gesamtrisikos.5 Die Aussagekraft eines aggregierten Konzern-Risikoportfolios wird weiter durch die bereits oben genannten allgemeinen Restriktionen von Risikoportfolios eingeschränkt. Eine qualitative Risikoaggregation anhand von Risikoportfolios ermöglicht deshalb nur grobe Tendenzaussagen zum Gesamtrisiko.6 Gleich- 1 Vgl. hierzu Baetge (1994); Baetge/Jerschensky (1999). Zur Kritik vgl. Burger/Schellberg (1994). 2 Dies gilt nicht analog für andere Ratingverfahren, die auch qualitative Aspekte einbeziehen. 3 Vgl. Lachnit/Müller (2001), S. 373f.; Gleißner (2004), S. 352ff.; Kajüter (2004b), S. 270; IDW (2006), P47. 4 Eine solche hierarchische Verdichtung verschiedener Risikoportfolios im Konzern setzt voraus, dass die Bewertungsklassen mit Wertgrenzen hinterlegt sind. 5 Vgl. Wolf (2002b), S. 1732. 6 Vgl. Freidank (2001), S. 614; Schorcht (2004), S. 178. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 171 wohl stellt es eine pragmatische Vorgehensweise dar, die eine Fokussierung auf die wesentlichen Einzelrisiken unterstützt und die relative Bedeutung der Einzelrisiken für die Risikolage aufzeigt. Die quantitative Risikoaggregation zeichnet sich dadurch aus, dass ausgehend von den Einzelrisiken ein Maß für das Gesamtrisiko einer Konzerneinheit ermittelt wird. Ein mögliches Maß ist der Gesamtschadenserwartungswert. Dieser errechnet sich durch Addition der Schadenserwartungswerte aller Einzelrisiken. Sofern alle Einzelrisiken quantitativ bewertet sind, lässt sich also grundsätzlich ein Wert für das Gesamtrisiko ermitteln, wobei eine Aggregation sowohl über verschiedene Konzerneinheiten als auch über verschiedene Risikoarten möglich ist (vgl. Tab. 2.3–2). Die auf den ersten Blick einfache und unproblematische Vorgehensweise liefert jedoch bei genauerer Betrachtung einen Wert mit begrenzter Aussagefähigkeit.1 Der Informationsverlust, der bereits bei der Berechnung des Schadenserwartungswerts für ein einzelnes Risiko entsteht, setzt sich bei der Addition der Schadenserwartungswerte fort. Aus einem Gesamtschadenserwartungswert von z.B. 174 500 € ist nicht erkennbar, welche Auswirkungen der Eintritt der Risiken hat. Ferner wird bei dieser einfachen Berechnung eine Binominalverteilung der Schäden unterstellt (Schaden tritt nicht ein oder Schaden tritt in genau der geschätzten Höhe ein), die nur selten gegeben ist.2 Schließlich werden Risikointerdependenzen auch hier nicht berücksichtigt. Ein aggregierter Schadenserwartungswert für eine Konzerneinheit oder den Gesamtkonzern kann daher allenfalls als grober Indikator dienen, um Risikoschwerpunkte zu erkennen oder Veränderungen der Risikosituation im Zeitablauf zu analysieren. Abb. 2.3–6: Qualitative Risikoaggregation anhand von Risikoportfolios 1 Vgl. dazu auch Gleißner (2004), S. 354. 2 Bei Zins- und Währungsrisiken sowie Nachfrageschwankungen ist eher von einer Normalverteilung auszugehen; vgl. Gleißner (2004), S. 354. Eintrittswahrscheinlichkeit Schadenshöhe 4 1 2 5 3 Eintrittswahrscheinlichkeit Schadenshöhe Eintrittswahrscheinlichkeit Schadenshöhe3 4 2 1 Eintrittswahrscheinlichkeit Schadenshöhe 2 3 2 1 4 3 2 1 Konzern-Risikoportfolio Risikoportfolios der Geschäftsbereiche 172 2  Gestaltung des Risikomanagementsystems im Konzern Eine andere Möglichkeit der Risikoaggregation ist die Risikosimulation.1 Bei diesem Ansatz wird mithilfe einer Monte-Carlo-Simulation anhand einer Plan-Gewinn- und Verlustrechnung das Gesamtrisikopotenzial eines Konzerns oder einer Konzerneinheit ermittelt. Dafür ist zunächst eine risikobehaftete Zielgröße festzulegen (z.B. Cashflow, EBITDA, EBIT, Jahresüberschuss), für die anschlie- ßend durch die Risikosimulation eine Wahrscheinlichkeitsverteilung berechnet wird. Aus dieser Wahrscheinlichkeitsverteilung der Zielgröße kann der Cash‐ flow at Risk als Maß für das Gesamtrisiko abgeleitet werden. Analog dem Value at Risk kennzeichnet der Cashflow at Risk den Höchstschaden, der mit einer vorgegebenen Wahrscheinlichkeit (Konfidenzniveau) in einem definierten Zeitraum nicht überschritten wird. Abb. 2.3–7 stellt das Grundprinzip der simulationsbasierten Risikoaggregation dar. Die wesentlichen Einzelrisiken sind den einzelnen Positionen der Plan-GuV zuzuordnen. Hierbei kann es sich um ereignisorientierte Risiken, die durch besondere Störungen (z.B. Maschinenschaden, Markteintritt eines Wettbewerbers) hervorgerufen werden, oder aber um verteilungsorientierte Risiken, die auf eine Vielzahl von Einzelstörungen zurückzuführen sind (z.B. Absatzschwankungen), handeln.2 Im Gegensatz zu den anderen Verfahren der Risikoaggregation können bei der Simulation auch Wechselwirkungen zwischen einzelnen Risiken berücksichtigt werden.3 Durch unabhängige Simulationsläufe wird das Planjahr mehrfach durchgerechnet, wobei der Eintritt ereignisorientierter Risiken bzw. die Ausprägung der Parameter verteilungsorientierter Risiken anhand von Zufallszahlen bestimmt wird. Die in den Simulationsläufen realisierten Ausprägungen der Zielgröße ergeben schließlich eine Wahrscheinlichkeitsverteilung, die ein differenziertes Bild der möglichen Ergebnisentwicklung darstellt. Die nachstehende Darstellung zeigt, dass sich die simulationsbasierte Risikoaggregation mit der Unternehmensplanung verknüpfen lässt. Die deterministische Planung wird damit zur stochastischen Planung.4 Vorteilhaft erscheint, dass In € Geschäfts‐ bereich A Geschäfts‐ bereich B Geschäfts‐ bereich C Geschäfts‐ bereich D Summe Risikoart 1 10 000 1 500 25 000 14 000 50 500 Risikoart 2 20 000 4 500 35 000 10 500 70 000 Risikoart 3 15 000 2 000 17 000 20 000 54 000 Summe 45 000 8 000 77 000 44 500 174 500 Tab. 2.3–2: Quantitative Risikoaggregation anhand von Schadenserwartungswerten 1 Vgl. Füser et al. (1999), S. 756f.; Gleißner/Meier (1999), S. 926ff.; Gleißner (2001), S. 125ff.; Romeike (2003d), S. 193ff. 2 Vgl. Füser et al. (1999), S. 756; Gleißner (2004), S. 355. Nach dem zentralen Grenzwertsatz konvergiert die Summe der Einzelstörungen gegen eine Normalverteilung. 3 Vgl. Gleißner (2001), S. 133. 4 Vgl. Gleißner/Grundmann (2003), S. 459ff. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 173 grundsätzlich alle Risiken bei der Simulation berücksichtigt werden können und daher mit dem Cashflow at Risk ein Maß für das Gesamtrisiko vorliegt.1 Andererseits weist das Verfahren eine hohe Komplexität auf, wodurch die Kennzahl Cashflow at Risk i.d.R. nur schwer kommunizierbar ist.2 Problematisch ist zudem, dass das Ergebnis der Simulation durch die subjektive Schätzung der Wahrscheinlichkeitsverteilungen der Risikofaktoren beeinflusst wird. Insgesamt bleibt festzuhalten, dass aufgrund der Vielzahl unterschiedlicher Risiken und der zwischen ihnen bestehenden Interdependenzen eine mathematisch exakte und eindeutige Lösung für die quantitative Risikoaggregation nicht möglich ist.3 Auch die Ergebnisse der quantitativen Risikoaggregation charakterisieren das Gesamtrisiko daher nur näherungsweise. Sowohl bei der qualitativen als auch bei der quantitativen Risikoaggregation ist schließlich zu bedenken, dass die Aussagefähigkeit der Ergebnisse maßgeblich von der verfügbaren Datenbasis beeinflusst wird. Bevor Einzelrisiken zu einem Gesamtrisiko aggregiert werden, sollten die von verschiedenen Entscheidungsträgern erfassten und bewerteten Einzelrisiken deshalb auf Plausibilität geprüft werden.4 Dazu bietet es sich an, die Risikoberichte dezentraler Konzerneinheiten untereinander oder im Zeitablauf zu vergleichen, um fehlende oder unplausibel bewertete Einzelrisiken aufzudecken. 1 Vgl. Burger/Buchhart (2002a), S. 144. 2 Vgl. Wolf (2002b), S. 1732. Abb. 2.3–7: Quantitative Risikoaggregation mit Hilfe der Monte‐Carlo‐Simulation  (in Anlehnung an: Gleißner (2001), S. 127) 3 Vgl. Gleißner (2001), S. 133; Schorcht (2004), S. 176. 4 Vgl. Martin/Bär (2002), S. 125; Kajüter (2004b), S. 269. R2 Ta rifl oh n‐ erh öhu ng en Plan-G&V2012 - a.o. Aufwendungen - Steuern = Gewinn nach Steuern Umsatz - Materialaufwand = Deckungsbeitrag - Personalaufwand - sonstige Aufwand - AfA +/- Finanzergebnis = ordentlicher Gewinn 1.000 600 400 200 100 50 0 50 0 -25 25 +10 950 -600 350 200 100 50 0 0 0 0 0 S1 950 -600 350 210 100 50 0 0 0 0 ‐10 S2 1.000 -600 400 210 100 50 0 40 -5 17,5 17,5 S3 ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- Sn... ‐5 ‐50 R1 Ab sat zpr eis ‐ sch wa nk un gen R3 Ma sch ine n ‐ sch ade n 174 2  Gestaltung des Risikomanagementsystems im Konzern Eine Aggregation von Einzelrisiken erscheint umso bedeutsamer, je zahlreicher die Risikobereiche und Risiken im Konzern sind. Da dies in aller Regel von der Konzerngröße abhängt, ist folgender Zusammenhang zu vermuten: H37: Je größer der Konzern, desto systematischer werden Risiken im Konzern aggregiert. Weiterhin dürfte die Risikoaggregation auch vom dem Ziel, die Entscheidungsgrundlagen durch höhere Risikotransparenz zu verbessern, beeinflusst werden. Die Einzelbewertung von Risiken stellt insofern nur einen ersten notwendigen Schritt dar, der um eine Verdichtung der Detailinformationen zu ergänzen ist, um Transparenz über die Gesamtrisikolage zu schaffen. Aus diesem Grunde gilt es, folgende Hypothese zu prüfen: H38: Je höher die Bedeutung des Ziels Verbesserung der Entscheidungsgrundlagen (Risikotransparenz), desto systematischer werden Risiken im Konzern aggregiert. Bisherige empirische Studien haben die Risikoaggregation nicht analysiert. Die vorliegende Untersuchung zielt daher zum einen darauf ab, das Ausmaß der systematischen Risikoaggregation zu erheben, um die vorstehenden Hypothesen zu prüfen. Darüber hinaus sollen zum anderen auch Erkenntnisse über die Art der Risikoaggregation und die Prüfung der zu Grunde liegenden Datenbasis gewonnen werden (vgl. Frage A.3.2). 2.3.2.2.3.2 Analyse von Risikointerdependenzen Im Rahmen der vorangehenden Ausführungen wurde bereits darauf hingewiesen, dass bei der Bewertung des Gesamtrisikos Interdependenzen (Abhängigkeiten) zwischen Einzelrisiken zu berücksichtigen sind. Liegen solche Interdependenzen zwischen zwei oder mehr Einzelrisiken vor, wird von abhängigen Risiken gesprochen, andernfalls von unabhängigen Risiken.1 Sind Risiken voneinander abhängig, lassen sich weiter kumulative und kompensatorische Wirkungen unterscheiden. Erstere entfalten ihre Wirkung häufig entlang der Wertschöpfungskette (Dominoeffekt) und verstärken sich i.d.R. gegenseitig.2 Kompensatorische Wirkungen sind demgegenüber eine Folge der Diversifikation. In beiden Fällen führen die Risikointerdependenzen dazu, dass die Summe der Einzelrisiken nicht identisch ist mit dem Gesamtrisiko. Im Konzern kommt der Analyse von Risikointerdependenzen besondere Bedeutung zu, da diese nicht nur innerhalb einer Konzerngesellschaft, sondern auch zwischen diesen existieren können. Bestehen kumulative Effekte zwischen Risiken verschiedener Konzerngesellschaften, kann z.B. ein isoliert betrachtet unwesentliches Risiko im Falle des Risikoeintritts weitere Risiken in anderen Konzerngesellschaften auslösen, die dann in der Summe wesentlichen oder gar bestandsgefährdenden Charakter für den Konzern erlangen.3 Solche kumulati- 1 Vgl. Burger/Buchhart (2002a), S. 5f.; Ziegenbein (2007), S. 64; Schröder (2008), S. 1981f. 2 Vgl. Brühwiler (2003), S. 136ff.; Reichmann (2006), S. 621f. 3 Vgl. Baumeister/Freisleben (2003), S. 33. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 175 ven Risikowirkungen sind vor allem bei starken internen Leistungsverflechtungen zu vermuten. Umgekehrt bietet die Konzernbildung auch die Möglichkeit zum Risikoausgleich durch produktorientierte oder geographische Diversifikation, so dass für eine Konzerngesellschaft wesentliche Risiken aufgrund der kompensatorischen Effekte aus Konzernsicht unbedeutend sind. Derartige Effekte treten z.B. regelmäßig bei Währungsrisiken im Konzern auf. Formal lassen sich zwischen Einzelrisiken bestehende Wechselbeziehungen durch Korrelationen beschreiben und in einer Korrelationsmatrix abbilden.1 Angesichts der vielfältigen dabei zu berücksichtigenden Beziehungszusammenhänge ist eine vollständige und exakte Erfassung aller Risikointerdependenzen in der Praxis indes nicht möglich.2 Es ist daher eine Fokussierung auf die wesentlichen Ursache-Wirkungsbeziehungen erforderlich. Dazu kann an die Analyse der Risikoursachen im Rahmen der Risikoidentifikation angeknüpft werden.3 Abb. 2.3–8 zeigt exemplarisch mögliche Formen von Ursache-Wirkungsbeziehungen in der Risikosphäre auf.4 So kann ein Risiko durch mehrere Ursachen bedingt sein, die allein oder gemeinsam die Zielerreichung gefährden (Fall A). Denkbar sind weiter mehrstufige Ursache-Wirkungsbeziehungen, wobei ein- 1 Vgl. Martin/Bär (2002), S. 102; Brühwiler (2003), S. 136f. 2 Vgl. Brebeck/Herrmann (1997), S. 384; Mikus (1998), S. 206; Lachnit/Müller (2001), S. 374; Becker et al. (2004), S. 1580. Abb. 2.3–8: Beispiele für Ursache‐Wirkungsbeziehungen  (in Anlehnung an: Mikus (1998), S. 205) 3 Vgl. dazu Abschnitt 2.3.2.1.4. 4 Vgl. dazu Schuy (1989), S. 67ff.; Mikus (1998), S. 204ff.; Romeike (2003b), S. 155f.; Schorcht (2004), S. 123ff. Transportschaden Fall A Ursache Risiko (Wirkung) Mangelnde Lieferfähigkeit Versorgungssicherheit Fehler bei der Stücklistenerstellung Fehlerhafte Bedarfsermittlung Versorgungssicherheit Fehlerhafte Bestellmengenplanung Fall B Fall C Fehlerhafte Bestellmengenplanung Versorgungssicherheit Kapitalbindung Kostenniveau Ursache Risiko (Wirkung) Ursache Wirkung/Ursache Wirkung/Ursache Risiko (Wirkung) 176 2  Gestaltung des Risikomanagementsystems im Konzern zelne Kettenglieder zugleich Ursache des nachfolgenden und Wirkung des vorangehenden Gliedes sind (Fall B). Schließlich kann eine Risikoursache auch mehrere Wirkungen bzw. Risiken induzieren (Fall C). Für die Analyse der Risikointerdependenzen gilt ähnlich wie bei der Aggregation der Einzelrisiken, dass diese zum einen von der Konzerngröße und zum anderen von der Bedeutung des Ziels Verbesserung der Entscheidungsgrundlagen (Risikotransparenz) beeinflusst werden dürfte. Deshalb können analog zu den obigen Überlegungen die beiden folgenden Hypothesen formuliert werden: H39: Je größer der Konzern, desto intensiver werden Risikointerdependenzen im Konzern analysiert. H40: Je höher die Bedeutung des Ziels Verbesserung der Entscheidungsgrundlagen (Risikotransparenz), desto intensiver werden Risikointerdependenzen im Konzern analysiert. Die Intensität der Analyse von Risikointerdependenzen wurde im Zusammenhang mit der Risikoaggregation erhoben, indem wiederum nach einer Einschätzung auf einer fünfstufigen Ratingskala gefragt wurde (vgl. Frage A.3.2). 2.3.2.2.3.3 Berücksichtigung von Beteiligungsquoten Mutterunternehmen halten oftmals Anteile an Tochtergesellschaften mit einer Quote von weniger als 100%.1 Im Konzern stellt sich daher bei der Risikoaggregation weiter die Frage, ob und inwieweit hierbei die Beteiligungsquoten zu berücksichtigen sind. Diese Frage ist in der Literatur bislang nicht diskutiert worden, erscheint aber für eine aussagekräftige Abschätzung des Gesamtrisikopotenzials bedeutsam. Zur Beantwortung der Frage bietet es sich an, auf die Konsolidierung im Konzernabschluss Bezug zu nehmen und ein vereinfachtes Beispiel eines Konzerns mit zwei Tochtergesellschaften TU1 und TU2 zu Grunde zu legen, an denen das Mutterunternehmen mit 100% bzw. 60% beteiligt ist. Vereinfachend sei bei der nachfolgend betrachteten Folgekonsolidierung nach der Neubewertungsmethode ferner unterstellt, dass die Beteiligungsbuchwerte genau dem anteiligen Eigenkapital entsprechen, also kein Goodwill und keine stillen Reserven oder stillen Lasten in den Bilanzen von TU1 und TU2 existieren. Wie in Tab. 2.3–3 in der Konsolidierungsspalte dargestellt, ist damit im ersten Schritt der Buchwert der Beteiligungen im Abschluss des MU mit dem anteiligen Eigenkapital von TU1 und TU2 zu verrechnen (500 Mio. € × 100% + 800 Mio. € × 60% = 980 Mio. €). Im zweiten Schritt ist aber auch zu berücksichtigen, dass den außenstehenden Gesellschaftern von TU2 40% des Eigenkapitals von TU2 und 40% des bei TU2 entstandenen Gewinns zustehen. Der Konzerngewinn beträgt damit nicht wie in der Summenbilanz angegeben 220 Mio. €, sondern nur 180 Mio. €. Dieses vereinfachte Beispiel zeigt, dass der Konzerngewinn von Risiken, die in TU2 schlagend werden und dessen Ergebnis belasten, nur anteilig getroffen wird, während Risiken, die bei TU1 eintreten, vollständig den Konzerngewinn 1 Vgl. zu empirischen Befunden Binder (1994b). 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 177 mindern. Aus Sicht der Einheitstheorie werden zwar auch die Minderheitsgesellschafter als Eigenkapitalgeber angesehen und die Anteile anderer Gesellschafter dem Eigenkapital des Konzerns zugerechnet1, gleichwohl erscheint für das Mutterunternehmen bei wirtschaftlicher Betrachtungsweise der für dessen Anteilseigner erwirtschaftete Gewinn von primärem Interesse. Diese Annahme geht, wie bei der Interessentheorie des Konzernabschlusses, von gegensätzlichen Interessen der Mehrheits- und Minderheitsgesellschafter aus und stellt die Sichtweise der Anteilseigner des Mutterunternehmens in den Vordergrund.2 Die Anteile anderer Gesellschafter haben dann Fremdkapitalcharakter. Folglich sind bei der Ermittlung des Gesamtrisikos die Risikopotenziale aus Tochterunternehmen (oder anderen Konzerngesellschaften) nur in Höhe der Beteiligungsquote zu berücksichtigen.3 Bei einer Aggregation der Einzelrisiken über die Schadenserwartungswerte4 ist ein Risiko aus TU2, welches einen Schadenserwartungswert von 100 T€ hat, somit nur mit 60 T€ bei der Berechnung des Gesamtrisikos aus Konzernsicht anzusetzen. Die empirische Erhebung des vorstehend diskutierten Gestaltungsparameters war darauf gerichtet, einen Einblick darin zu gewinnen, inwieweit Beteiligungsquoten beim Risikomanagement in der Konzernpraxis berücksichtigt werden. Da sich die Frage nur bei Existenz von Beteiligungsquoten unter 100% stellt, 1 Vgl. Busse von Colbe et al. (2010), S. 26; Baetge et al. (2011), S. 16. 2 Auch bei der Interessentheorie kann eine Vollkonsolidierung erfolgen, wenn auf die wirtschaftliche Einheit des Konzerns abgestellt wird; vgl. zur Interessentheorie bei Vollkonsolidierung Baetge et al. (2011), S. 19f. 3 Vgl. zu ähnlichen Überlegungen im Bereich der Konzernkostenrechnung Troßmann (2003), S. 52ff. 4 Vgl. dazu das Beispiel in Tab. 2.3–2. In Mio. € MU TU1  (100%) TU2  (60%) Summen‐ bilanz Konsolidierung Konzern‐ bilanz Aktiva Sonstiges Anlagevermögen Beteiligungen Umlaufvermögen 920 980 700 820 500 1 500 1 000 3.240 980 2 200 9801 3.240 2 200 Summe 2 600 1 320 2 500 6 420 5 440 Passiva Eigenkapital Gewinn Anteile anderer Gesellschafter Fremdkapital 1 000 100 1 500 500 20 800 800 100 1 600 2 300 220 3 900 9801+3202 402 3602 1 000 180 360 3 900 Summe 2 600 1 320 2 500 6 420 1 340 1 340 5 440 Tab. 2.3–3: Beispiel zur Kapitalkonsolidierung 178 2  Gestaltung des Risikomanagementsystems im Konzern wurde neben der Ratingskala auch eine ausweichende Antwortmöglichkeit („nicht vorhanden“) eröffnet (vgl. Frage A.3.2.). Damit sind die Gestaltungsparameter der Risikobewertung hinreichend erörtert. Der folgende Abschnitt wendet sich nunmehr der Risikokommunikation zu. 2.3.2.3 Risikokommunikation 2.3.2.3.1 Begriff und Formen Die Risikokommunikation (Risikoberichterstattung, Risiko Reporting) beinhaltet die Übermittlung von für das Risikomanagement relevanten Informationen zwischen verschiedenen Akteuren.1 Aus ökonomischer Sicht handelt es sich hierbei um ein Informations- und Kontrollinstrument, das dazu dient, Informationsasymmetrien zwischen Prinzipalen und Agenten (z.B. dem Vorstand und dezentralen Entscheidungsträgern) zu reduzieren und dadurch Agency-Kosten, die durch das Moral-Hazard-Problem entstehen, zu senken.2 Daneben bildet die interne Risikokommunikation auch aus rechtlicher Perspektive ein zentrales Element der Risikofrüherkennung im Konzern, denn nach § 91 Abs. 2 AktG muss der Vorstand sicherstellen, dass er von bestandsgefährdenden Entwicklungen frühzeitig Kenntnis erlangt. Aus dem Ziel, Informationsasymmetrien abzubauen und damit die Transparenz über die Risikolage zu erhöhen, ergibt sich die Aufgabe, die Entscheidungsträger im Konzern mit für sie relevanten Informationen über Risiken sowie die eingeleiteten und geplanten Maßnahmen zur Risikosteuerung zu versorgen. Diese Informationen bilden zum einen eine Entscheidungsgrundlage, um ggf. weitere risikosteuernde Maßnahmen zu veranlassen. Zum anderen können sie ex-post zur Kontrolle der Wirksamkeit ergriffener Maßnahmen herangezogen werden. Darüber hinaus ist die interne Risikoberichterstattung aber auch Bestandteil der Dokumentation des Risikomanagementsystems, mit welcher der Vorstand die Erfüllung seiner Sorgfaltspflichten nachweisen kann.3 Schließlich stellt sie eine wichtige Basis für die nach § 315 Abs. 1 HGB und DRS 5 obligatorische externe Risikoberichterstattung im Konzernlagebericht dar.4 Um diese Aufgaben erfüllen zu können, sind folgende Anforderungen an die interne Risikoberichterstattung im Konzern zu stellen:5 • Empfängerorientierung: Wie die Berichterstattung allgemein, so ist auch speziell die interne Risikoberichterstattung empfängerorientiert zu gestalten, um dem unterschiedlichen Informationsbedarf verschiedener Akteure zu entsprechen. 1 Die Begriffe Risikokommunikation, Risikoberichterstattung und Risiko Reporting werden im Folgenden synonym verwendet. 2 Vgl. dazu Abschnitt 1.4.4.5. 3 Vgl. dazu Abschnitt 2.3.1.8. 4 Vgl. Kajüter (2004c), S. 432. Mit dem BilReG wurden §§ 289 und 315 HGB dahingehend geändert, dass seit 2005 über wesentliche Chancen und Risiken zu berichten ist. Zur Reform der Lageberichterstattung durch das BilReG vgl. Kajüter (2004d). 5 Vgl. Brebeck/Herrmann (1997), S. 384; Burger/Buchhart (2002a), S. 179. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 179 • Vollständigkeit: Die Risikoberichterstattung muss alle wesentlichen Risikoinformationen für den jeweiligen Empfänger des Berichts enthalten. • Genauigkeit: Die Risikoinformationen sollten eindeutig und präzise sein, um Fehlinterpretationen und Fehlentscheidungen zu vermeiden. • Schnelligkeit: Da die Risikolage sich permanent verändert, sind die Risikoinformationen zeitnah zu übermitteln. • Wirtschaftlichkeit: Kosten und Nutzen der Risikoberichterstattung müssen in einem angemessenen Verhältnis zueinander stehen. Zwischen diesen Anforderungen bestehen – wie auch bei den Anforderungen an die Risikoidentifikation und -bewertung – Konflikte, so dass in der Praxis regelmäßig abzuwägen ist, welche Anforderung vorrangig berücksichtigt werden soll. Beispielsweise geht mit einer höheren Schnelligkeit oftmals eine Einbuße an Genauigkeit einher, weil an Stelle von Fakten lediglich grobe Schätzwerte berichtet werden.1 Entsprechend der vielschichtigen Prinzipal-Agenten-Beziehungen, die in einem Konzern existieren, lassen sich unterschiedliche Empfänger für interne Risikoberichte differenzieren. Auf einer ersten Ebene besteht eine Berichtsbeziehung innerhalb einer Tochtergesellschaft2 zwischen den dort tätigen Mitarbeitern und der Geschäftsleitung. Diese Beziehung unterscheidet sich nicht grundsätzlich von derjenigen in einem wirtschaftlich selbstständigen Einzelunternehmen. Im Konzern besteht aber eine zweite Berichtsbeziehung zwischen den einzelnen Tochtergesellschaften und dem Mutterunternehmen. Als Berichtsempfänger fungiert hier in erster Linie der Konzernvorstand, wobei der Informationsfluss i.d.R. über eine zentrale koordinierende Stelle (z.B. ein zentrales Risikomanagement oder das Konzerncontrolling) gebündelt und aufbereitet wird. In mehrstu- Abb. 2.3–9: Risikoberichterstattung im Konzern 1 Vgl. Stadler/Weißenberger (1999), S. 8. 2 Bei der Orientierung an wirtschaftlichen Einheiten gelten die folgenden Ausführungen analog für Geschäftsbereiche. Vorstand Mutterunternehmen Aufsichtsrat Tochterunternehmen A Geschäftsleitung Mitarbeiter Tochterunternehmen B Geschäftsleitung Mitarbeiter Tochterunternehmen C Geschäftsleitung Mitarbeiter Prinzipal Agent Prinzipal Agent Prinzipal Agent 180 2  Gestaltung des Risikomanagementsystems im Konzern figen Konzernen kann eine solche Verdichtung bereits auf einer Vorstufe (Teilkonzernebene) erfolgen, sodass eine weitere Berichtsbeziehung entsteht. Auf der obersten Ebene ist schließlich die Risikoberichterstattung vom Vorstand an den Aufsichtsrat einzuordnen. Abb. 2.3–9 stellt den skizzierten Informationsfluss für die Risikoberichterstattung im Konzern dar (bottom-up) und zeigt zugleich einen möglichen Rückfluss von Risikoinformationen von der Konzernmutter an die Tochtergesellschaften (top-down). Im Folgenden steht die Gestaltung der Risikoberichterstattung zwischen diesen Konzerneinheiten im Mittelpunkt. Ergänzend wird ebenso auf die Risikoberichterstattung an den Vorstand und Aufsichtsrat des Konzerns eingegangen. 2.3.2.3.2 Risikoberichterstattung zwischen Konzerneinheiten Die Gestaltungsparameter der Risikoberichterstattung im Konzern lassen sich prägnant in vier Fragen zusammenfassen:1 • Wer soll an wen berichten? • Was soll berichtet werden? • Wann soll berichtet werden? • Wie soll berichtet werden? Die erste Frage zielt auf die Festlegung der Berichtswege (Definition von Sender und Empfänger). Von vorrangiger Bedeutung ist die vertikale, bottom-up orientierte Risikoberichterstattung von den Tochtergesellschaften an das Mutterunternehmen (bzw. allgemein an übergeordnete Konzernebenen). Sie ist – sofern die Risiken nicht ausschließlich zentral durch die Konzernobergesellschaft erfasst werden – Voraussetzung, um den Vorstand, wie von § 91 Abs. 2 AktG gefordert, über bestandsgefährdende Risiken informieren zu können. Eine Beschränkung auf diese einseitige Risikokommunikation mag zwar den Informationsbedarf der Konzernobergesellschaft befriedigen, birgt aber die Gefahr, dass die Risikoberichterstattung von den untergeordneten Konzerneinheiten als Medium der Kontrolle empfunden wird und daher auf wenig Akzeptanz stößt. Aus diesem Grunde ist für ein regelmäßiges Feed-back an die berichtenden Konzerneinheiten zu sorgen. „Anspruch der dezentralen Bereiche ist es, über die Konsolidierung ihrer Risiken und die relative Bedeutung ihrer Einzelrisiken im Vergleich zu denen anderer Geschäftsbereiche informiert zu werden“2. Der topdown orientierte Informationsrückfluss kann neben den von der Berichtseinheit gemeldeten Risiken auch Informationen über die Risikolage anderer Berichtseinheiten umfassen. Letzteres erscheint vor allem dann bedeutsam, wenn intensive Leistungsverflechtungen und daraus resultierende Risikointerdependenzen zwischen den Konzerneinheiten bestehen. Die Rückmeldung kann dann möglicherweise auch eine horizontale Risikokommunikation zwischen den betroffenen Konzerneinheiten auslösen. Schließlich sind von einer Ergänzung der bottom-up orientierten Risikoberichterstattung um ein regelmäßiges top-down 1 Vgl. allgemein Blohm (1974), S. 13f.; Blohm (1980), Sp. 316; ähnlich Koch (1994), S. 59; Ede‐ rer (1995), S. 701; Küpper (2008), S. 199ff.; Weber/Schäffer (2011), S. 226ff. und speziell S. 247ff. 2 Mosiek (2003), S. 16. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 181 orientiertes Feed-back auch positive Effekte auf das Risikobewusstsein im Konzern zu erwarten. Mit der Frage, was berichtet werden soll, sind die Inhalte der Risikoberichterstattung angesprochen. Diese ergeben sich zum einen aus der Festlegung der Risikomanagement-Objekte.1 Werden Chancen im Rahmen des Risikomanagementsystems erfasst, bilden auch sie einen Gegenstand der Risikoberichterstattung. Andernfalls wird sich die interne Risikokommunikation auf Risiken (i.e.S.) beschränken. Zum anderen werden die Inhalte der Risikoberichterstattung durch die Informationsbedürfnisse der Adressaten bestimmt. Damit die Berichtsempfänger die Risiken bzw. Chancen in ihrer Bedeutung beurteilen können, müssen diese erläutert werden (z.B. durch die Angabe von Eintrittswahrscheinlichkeit, Tragweite und Maßnahmen).2 Zudem sind die Inhalte auf bedeutsame Sachverhalte zu fokussieren. Hierbei üben die Wesentlichkeitsgrenzen eine wichtige Filterfunktion aus, um eine Informationsüberflutung der Konzernobergesellschaft mit für diese unwesentlichen Risiken zu vermeiden.3 Weiterhin sind Art und Frequenz der Risikoberichterstattung festzulegen. Hierbei ist zwischen Standard-, Abweichungs- und Bedarfsberichten zu differenzieren.4 Standardberichte dienen der regelmäßigen Information der Entscheidungsträger über Risiken. Für sie sollten feste Berichtszyklen definiert werden.5 Dabei gilt es zu berücksichtigen, dass kurze Berichtsintervalle zwar eine zeitnahe Information ermöglichen, andererseits eine zu häufige Risikoberichterstattung aber auch unwirtschaftlich sein und bei den Berichtserstellern und -empfängern auf mangelnde Akzeptanz stoßen kann. Vor diesem Hintergrund sind die Berichtszyklen entsprechend der konzernspezifischen Gegebenheiten festzulegen. So kann es z.B. bei hoher Umweltdynamik sinnvoll sein, Risiken in kürzeren Intervallen zu berichten.6 Die zweckmäßige Frequenz hängt darüber hinaus auch von der Art des Risikos ab.7 Sich schnell und häufig verändernde Risiken (z.B. Währungsrisiken) erfordern eine häufigere Berichterstattung als solche, deren Bedrohungspotenzial nur einem geringen Wandel unterliegt. Während für Standardberichte feste Zyklen zu bestimmen sind, ist dies per Definition für Abweichungs- und Bedarfsberichte nicht möglich, da sie nur bei besonderen Anlässen bzw. auf Anfrage erstellt werden. Im Rahmen des Risikomanagements sind Abweichungsberichte in Form einer Ad-hoc-Berichterstattung (Sofortberichterstattung) von hoher Bedeutung.8 Sie dienen dazu, Entscheidungsträger unabhängig von formalen Berichtsstrukturen und institutionali- 1 Vgl. dazu Abschnitt 2.3.1.6. 2 Vgl. Saitz (1999), S. 93. 3 Vgl. Abschnitt 2.3.1.5 sowie Kajüter (2004b), S. 273. 4 Vgl. Göpfert (2002), Sp. 148f.; Küpper (2008), S. 195f. 5 Vgl. Henselmann (2001), S. 39. 6 Vgl. Weber et al. (1999a), S. 31; Diederichs (2010), S. 240; Weber/Schäffer (2011), S. 249f. 7 Vgl. Emmerich (1999), S. 1084; Burger/Buchhart (2002a), S. 177. 8 Vgl. Vogler/Gundert (1998), S. 2382; IDW (2006), Rn. P59; Diederichs (2010), S. 240f. Zu beachten ist auch, dass eine interne Risikomeldung möglicherweise zugleich eine Verpflichtung zur Veröffentlichung einer Ad-hoc-Meldung gemäß § 15 Abs. 1 WpHG auslösen kann. Vgl. dazu Neubeck (2003), S. 89ff. 182 2  Gestaltung des Risikomanagementsystems im Konzern sierten Berichtskanälen umgehend und direkt über bedeutsame Veränderungen der Risikolage, im Extremfall über ein bestandsgefährdendes Risiko, zu unterrichten. Auslöser für Ad-hoc-Risikoberichte sind bei der Bildung des Risikomanagementsystems festzulegen (z.B. das Überschreiten von Wesentlichkeitsgrenzen). Schließlich ist die Form der Risikoberichterstattung zu regeln, wobei im Hinblick auf die Informationsübermittlung zwischen einer schriftlichen und einer mündlichen Risikoberichterstattung unterschieden werden kann. Schriftliche Risikoberichte können als fokussierter eigenständiger Bericht etabliert oder in das reguläre unterjährige Berichtswesen, das die Ergebnisse des Geschäftsverlaufs darstellt, integriert werden.1 In der Literatur wird überwiegend die Ansicht vertreten, dass eine Integration der Risikoberichte in das vorhandene Berichtswesen vorzuziehen ist, da dies zusätzliche Kosten und zusätzliche „Papierflut“ vermeidet.2 Zudem werden die Risikoinformationen auf diese Weise in den unmittelbaren Zusammenhang mit den allgemeinen Kennzahlen für die Unternehmenssteuerung gestellt und vermutlich stärker bei der Entscheidungsfindung im Tagesgeschäft genutzt. Auf der anderen Seite spricht die Möglichkeit, den Stellenwert des Risikomanagements durch einen separaten Risikobericht besonders hervorzuheben, für einen eigenständigen Bericht. In beiden Fällen sollten die Risikoberichte konzernweit einheitlich aufgebaut sein, um eine Verdichtung der Risikoinformationen auf den verschiedenen Berichtsebenen im Konzern zu ermöglichen.3 Ein solcher einheitlicher Aufbau des Risikoberichtswesens erfordert eine Zentralisierung der diesbezüglichen Entscheidungsbefugnisse.4 In formaler Hinsicht gilt es weiter zu bedenken, dass die Darstellungsform des Risikoberichts dessen Aussagekraft und Verständlichkeit und damit auch dessen Akzeptanz durch die Berichtsempfänger wesentlich beeinflusst.5 Daher bietet es sich an, z.B. die im Rahmen der Risikobewertung erstellten Risikoportfolios zur Visualisierung für die interne Risikoberichterstattung zu nutzen. Abb. 2.3–10 zeigt exemplarisch den einheitlichen Aufbau eines Risikoberichts im RWE-Konzern.6 Die vorstehend betrachtete schriftliche Übermittlung der Risikoinformationen kann durch eine mündliche Risikokommunikation im Konzern ergänzt oder gar vollständig ersetzt werden. Persönliche Kontakte oder regelmäßige Gespräche zwischen den Entscheidungsträgern verschiedener Konzernebenen geben oftmals einen tiefergehenden und klareren Eindruck von der Risikolage.7 Ein 1 Vgl. Saitz (1999), S. 93; Kajüter (2004b), S. 273. 2 Vgl. z.B. Vogler/Gundert (1998), S. 2382; Spannagl/Häßler (1999), S. 1831; Eggemann/Konradt (2000), S. 505; Wittmann (2000b), S. 478, und (2001), S. 278; IDW (2006), Rn. P58; Diede‐ richs (2010), S. 235f. 3 Vgl. allgemein Scheffler (1993), S. 309. 4 Vgl. Abschnitt 2.3.1.2.2.3. 5 Vgl. Neuhäuser‐Metternich/Witt (2000), S. 309ff.; Diederichs (2010), S. 243. 6 Für Beispiele aus anderen Konzernen vgl. Helmke/Risse (1999), S. 282; Wittmann (2001), S. 279; Heinze/Kullmann  (2002), S. 134; Lohse (2002), S. 108ff.; Diederichs  et  al. (2009), S. 269ff. 7 Vgl. allgemein Scheffler (1993), S. 310. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 183 solcher direkter Informationsaustausch kann z.B. im Rahmen allgemeiner Durchsprachen der Geschäftsentwicklung oder aber bei Treffen des Risikomanagement-Ausschusses stattfinden. Es ist zu vermuten, dass eine solche mündliche, weniger formal gestaltete Risikokommunikation vor allem in kleineren Konzernen praktiziert wird, während in Großkonzernen der schriftliche Informationsfluss aufgrund der größeren hierarchischen oder geografischen Distanz zwischen den Entscheidungsträgern überwiegt. Für Zwecke der Dokumentation ist jedoch im Falle der mündlichen Risikokommunikation darauf zu achten, dass wesentliche Risiken im Nachhinein schriftlich festgehalten werden. Aus kontingenztheoretischer Sicht lassen sich auf der Grundlage der vorstehenden Ausführungen drei Hypothesen zur situativen Gestaltung der Risikoberichterstattung formulieren. Dabei ist eine Abhängigkeit von der Konzerngröße und der Umweltdynamik zu erwarten. Mit steigender Konzerngröße dürfte die konzerninterne Risikoberichterstattung stärker ausgeprägt und formalisiert sein, da die Informationsasymmetrien zwischen der Konzernmutter und den dezentralen Konzerneinheiten zunehmen. Weiter ist zu vermuten, dass die Umweltdynamik, wie oben erwähnt, die Frequenz der Risikoberichterstattung beeinflusst. Es sind daher folgende Hypothesen zu prüfen: H41: Je größer der Konzern, desto umfassender ist die Risikoberichterstattung konzernweit ausgestaltet. H42: Je größer der Konzern, desto höher ist der Anteil der schriftlich an die Konzernmutter kommunizierten Risiken. Abb. 2.3–10: Aufbau des Risikoberichts im RWE‐Konzern (Quelle: Coenen (2004), S. 101) Mittelfristplanung 20XX – 20XX Bezugsgrößen: Ø Betr. Erg. 0 Mio. € EK: 0 Mio. € Risiko‐Situation Risiko-Kategorien: M = Markt-, B = Betriebs-, F = Finanz-, U = Umfeldrisiken, S = Sonstige Risiken Schadensklassen: G = Gering, M = Mittel, S = Schwerwiegend, E = Existenzbedrohend Eintrittswahrscheinlichkeitsklassen: U = Unwahrscheinlich, M = Möglich, W = Wahrscheinlich, S = Sehr wahrscheinlich Unternehmensbereich XXX Ri si ko -Id en t-N r. Ri si ko -K at eg or ie Risiko‐ Beschrei‐ bung / Risiko‐ Ursache Risiko‐Bewertung Jahr 1 Jahr 2 Jahr 5Jahr 3 Jahr 4 Schadensentwicklung Netto-Schadenshöhe (in Mio. €) einmaliger Schaden Schadensklasse Eintrittswahrscheinlichkeit Risikosteuerung Anmerkungen 184 2  Gestaltung des Risikomanagementsystems im Konzern H43: Mit steigender Umweltdynamik werden Risiken in kürzeren Zeitintervallen berichtet. Da bislang keine Erkenntnisse zur Risikoberichterstattung zwischen Konzerneinheiten vorliegen, soll im Rahmen der empirischen Analyse zum einen ein grundsätzliches Bild von dessen Ausgestaltung gewonnen werden. Zum anderen sind die notwendigen Daten zur Prüfung der vorstehenden Hypothesen zu erheben. Die Respondenten wurden deshalb gebeten einzuschätzen, inwieweit Aussagen zur bottom-up und top-down orientierten Risikoberichterstattung zutreffen (vgl. Frage A.3.3). Dabei wurde auch nach der Berichtsfrequenz und -form gefragt. Die vorstehend betrachtete Risikoberichterstattung zwischen den Konzerneinheiten bildet die Grundlage für die Risikoberichterstattung an den Vorstand und Aufsichtsrat des Konzerns, die im Folgenden kurz skizziert wird. 2.3.2.3.3 Risikoberichterstattung an den Vorstand Da der Vorstand des Mutterunternehmens die Gesamtverantwortung für das Risikomanagementsystem im Konzern trägt, ist er der primäre Adressat der internen Risikoberichterstattung. Für die Gestaltung der an ihn gerichteten Risikoberichterstattung sind grundsätzlich dieselben Parameter (Inhalt, Art und Frequenz, Form) zu berücksichtigen wie bei der Risikoberichterstattung zwischen den Konzerneinheiten. Aufgrund der spezifischen Informationsbedürfnisse des Konzernvorstands sind diese Parameter jedoch teilweise anders auszugestalten. Im Hinblick auf den Inhalt der vorstandsbezogenen Risikoberichterstattung müssen nach § 91 Abs. 2 AktG zumindest bestandsgefährdende Entwicklungen an den Vorstand gemeldet werden. Aus betriebswirtschaftlicher Sicht erscheint es indes sinnvoll, den Vorstand über die Risikolage des Konzerns insgesamt zu informieren und dabei auch bedeutsame, aber nicht unmittelbar den Fortbestand gefährdende Risiken sowie Chancen, die sich signifikant auf die künftige wirtschaftliche Lage des Konzerns auswirken können, einzubeziehen. Dazu kann der Vorstand nach eigenem Ermessen Wesentlichkeitsgrenzen festlegen, um so eine Fokussierung auf relevante Sachverhalte sicherzustellen. Hierbei ist die Darstellung im Vergleich zu untergeordneten Berichtsebenen stärker zu verdichten. Weiterhin sind Art und Frequenz der Risikoberichterstattung an den Vorstand zu bestimmen. Es liegt nahe, die regelmäßige Risikoberichterstattung an die Berichtstermine der Konzerngesellschaften zu koppeln. Darüber hinaus ist die Möglichkeit zu einer Ad-hoc-Berichterstattung bei schwer wiegenden Veränderungen der Risikolage zu etablieren.1 In formaler Hinsicht gilt auch für die Risikoberichterstattung an den Vorstand, dass diese entweder in das allgemeine Vorstandsreporting integriert oder als separater Bericht gestaltet werden kann.2 Die Risikokommunikation kann daneben nicht nur schriftlich, sondern auch mündlich erfolgen. Letzteres dürfte vor allem 1 Vgl. Vogler/Gundert (1998), S. 2382; Lentfer (2003), S. 125. 2 Vgl. Neubeck (2003), S. 87. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 185 dann überwiegen, wenn der Vorstand, wie in kleineren Konzernen üblich, selbst in das operative Tagesgeschäft eingebunden ist. Allerdings besteht auch hier die Notwendigkeit zur Dokumentation. Der Problemstellung der Arbeit entsprechend stand im Rahmen der empirischen Erhebung die Risikoberichterstattung zwischen der Konzernmutter und den dezentralen Konzerneinheiten im Mittelpunkt. Gleichwohl wurde daneben auch die Häufigkeit der Risikoberichterstattung an den Vorstand exploriert (vgl. Frage A.3.4). In diesem Zusammenhang wurde zudem nach der Existenz einer Ad-hoc-Berichterstattung an den Vorstand gefragt. 2.3.2.3.4 Risikoberichterstattung an den Aufsichtsrat Der Aufsichtsrat ist im Rahmen seiner Überwachungsaufgabe nach § 111 Abs. 1 AktG verpflichtet, auch das Risikomanagementsystem des Konzerns zu überwachen.1 Zudem kann er gemäß § 107 Abs. 3 AktG einen Prüfungsausschuss einrichten, der u.a. das Risikomanagementsystem überwacht.2 In beiden Fällen ist er auf Informationen über die Risikolage und den Aufbau des Risikomanagementsystems angewiesen. Die benötigten Informationen kann er grundsätzlich aus verschiedenen Quellen beziehen, so z.B. aus dem Prüfungsbericht des Abschlussprüfers.3 Hierin ist nach § 321 Abs. 4 HGB in einem gesonderten Abschnitt auf die Ergebnisse der Prüfung des Risikomanagementsystems gemäß § 317 Abs. 4 HGB einzugehen. Gleichwohl kann der Prüfungsbericht die Informationsasymmetrien zwischen Vorstand und Aufsichtrat nur teilweise abbauen, da das Prüfungsobjekt des Abschlussprüfers enger gefasst ist als dasjenige des Aufsichtsrats.4 Aus diesem Grunde bildet die Berichterstattung des Vorstands über die Risikolage und das Risikomanagement im Konzern die primäre Informationsquelle für den Aufsichtsrat.5 Das Aktiengesetz regelt die Risikoberichterstattung des Vorstands gegenüber dem Aufsichtsrat nicht speziell. Dennoch ist unstrittig, dass sich eine diesbezügliche Berichtspflicht aus der allgemeinen Berichtspflicht des Vorstands nach § 90 AktG ableitet.6 Zudem stellt der DCGK klar, dass der Vorstand den Aufsichtsrat „regelmäßig, zeitnah und umfassend über alle für das Unternehmen relevanten Fragen der … Risikolage und des Risikomanagements“7 informiert. Um einen 1 Vgl. Abschnitt 1.2.3.1.1 sowie Claussen/Korth (2000), S. 328ff.; Salzberger (2000), S. 757; Gernoth (2001), S. 301; Pahlke (2002), S. 1680ff.; Lentfer (2003). Die Überwachungsaufgabe besteht ebenso bei Aufsichtsräten von Tochtergesellschaften; vgl. hierzu Abschnitt 2.3.4.2.2. 2 Vgl. AKEU/AKEIÜ (2009), S. 1279ff.; Lanfermann/Röhricht (2009), S. 887ff. 3 Vgl. Gros (2002), S. 164ff.; Kohlenbach (2003), S. 223ff. 4 Vgl. Lentfer (2003), S. 176. Im Gegensatz zum Abschlussprüfer muss der Aufsichtsrat nicht nur das Risikofrüherkennungs- und das Überwachungssystem prüfen, sondern auch die Risikobewältigung. Zudem hat er auch die Wirtschaftlichkeit des Risikomanagements zu überwachen. 5 Vgl. Gros (2002), S. 184. 6 Vgl. Scheffler (1994), S. 797, und (2000), S. 850; Gernoth (2001), S. 301ff.; Schichold (2001b), S. 402f.; Lentfer (2003), S. 176ff. 7 DCGK, Rn. 3.4. 186 2  Gestaltung des Risikomanagementsystems im Konzern stetigen Informationsfluss sicherzustellen, soll der Aufsichtsrat die Informations- und Berichtspflichten näher festlegen.1 Hierfür bietet es sich an, in die Geschäftsordnung für den Vorstand nach § 77 Abs. 2 AktG eine entsprechende Informationsordnung zu integrieren, die auch Inhalt, Form und Frequenz der Risikoberichterstattung konkretisiert.2 Inhaltlich ist der Aufsichtsrat zum einen über den Aufbau des Risikomanagementsystems im Konzern zu informieren. Beabsichtigte organisatorische Änderungen in Bezug auf das Risikomanagement sind ihm frühzeitig mitzuteilen, damit er den Vorstand im Sinne einer vorausschauenden Kontrolle beraten kann.3 Zum anderen bedarf der Aufsichtsrat Informationen über bestandsgefährdende und andere wesentliche Risiken des Konzerns. Darin sind ausdrücklich neben dem Mutterunternehmen auch Tochtergesellschaften und Gemeinschaftsunternehmen einzubeziehen (§ 90 Abs. 1 S. 2 AktG).4 Die Risikolage ist angemessen zu erläutern, wobei die Berichterstattung weder wichtige Informationen vorenthalten darf noch informativ überladen sein sollte. „Es kommt nicht auf die Menge der Detailinformationen, sondern auf die Qualität der Informationen hinsichtlich der Wesentlichkeit, Übersichtlichkeit und Zeitnähe an“5. In formaler Hinsicht kann die Risikoberichterstattung an den Aufsichtsrat in die allgemeine Berichterstattung des Vorstands integriert werden. Um dem Aufsichtsrat hinreichend Zeit zu geben, sich ein eigenständiges Bild von der Risikolage und dem Risikomanagementsystem zu machen, und darüber hinaus die Information dokumentieren zu können, bedarf die Risikoberichterstattung an den Aufsichtsrat i.d.R. der Textform.6 Mündliche Aussagen können nur ergänzenden Charakter haben oder bei besonderer Eile und Vertraulichkeit geboten sein.7 Wird die Risikoberichterstattung in die existierenden Berichte an den Aufsichtsrat integriert, richtet sich die Frequenz der Risikoberichterstattung nach der Häufigkeit und den Zeitpunkten für die allgemeine Berichterstattung. Die regelmäßigen Berichte sind dabei, sofern vom Aufsichtsrat nicht anders verlangt, an die Aufsichtsratssitzungen gekoppelt. Da diese bei börsennotierten Aktiengesellschaften nach § 110 Abs. 3 AktG zumindest viermal im Kalenderjahr stattfinden müssen, bietet sich ein quartalsmäßiger Berichtszyklus für die Risikoberichterstattung an den Aufsichtsrat an.8 Zumindest einmal jährlich sollte dabei auch über den Aufbau und die Funktionsweise des Risikomanagementsystems 1 Vgl. DCGK, Rn. 3.4; Preußner (2004), S. 306. 2 Vgl. Kromschröder/Lück (1998), S. 1576; Schichold (2001b), S. 403f.; Kohlenbach (2003), S. 225; Kropff (2003), S. 347; Lentfer (2003), S. 177. 3 Vgl. Schichold (2001b), S. 406. 4 Vgl. Kleindiek (2003), S. 591f. 5 Scheffler (1994), S. 798. 6 Mit dem Begriff der Textform, der in § 90 Abs. 4 AktG und im DCGK (Rn. 3.4) verwendet wird, wird auch die elektronische Übermittlung der Risikoberichte per E-Mail für zulässig erklärt; vgl. Theisen (2002), S. 36. 7 Vgl. Gros (2002), S. 185. 8 Vgl. Kohlenbach (2003), S. 224; Lentfer (2003), S. 178. Für bestandsgefährdende Risiken wird dagegen ein monatliches Berichtsintervall empfohlen. Vgl. Schichold (2001b), S. 407. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 187 sowie die Risikostrategie berichtet werden.1 Unabhängig davon sind wesentliche Verschärfungen in der Risikolage vom Vorstand ad-hoc an den Aufsichtsratsvorsitzenden zu melden.2 Die Risikoberichterstattung an den Aufsichtsrat wurde in der vorliegenden Studie analog zu jener an den Vorstand analysiert. Demnach wurde auch hier nach der Häufigkeit der Risikoberichterstattung und der Existenz einer Ad-hoc-Berichterstattung gefragt (vgl. Frage A.3.4). 2.3.3 Risikobewältigung im Konzern Mit der Risikofrüherkennung standen in den vorangehenden Abschnitten solche Aufgaben aus dem Risikomanagementprozess im Mittelpunkt, die der Schaffung einer informatorischen Grundlage für die Handhabung von Risiken dienen. Es handelt sich dabei zugleich um den Aufgabenbereich, der von § 91 Abs. 2 AktG erfasst wird. Davon zu trennen ist die Risikobewältigung, welche nicht zu den Pflichten des Vorstands nach § 91 Abs. 2 AktG gehört, wohl aber als Bestandteil der Sorgfaltspflichten nach § 93 AktG anzusehen ist.3 Die Risikobewältigung bildet deshalb ein zweites Subsystem des Risikomanagementsystems. Ihre beiden zentralen Aufgaben, die Risikosteuerung und die Risikokontrolle, stehen nachfolgend im Mittelpunkt. 2.3.3.1 Risikosteuerung 2.3.3.1.1 Begriff und Formen Die Risikosteuerung zielt darauf ab, die Gesamtrisikolage des Konzerns oder einzelner Konzerngesellschaften so zu beeinflussen, dass eine Bestandsgefährdung, aber auch wesentliche negative Auswirkungen auf die wirtschaftliche Lage vermieden werden. Da die Gesamtrisikolage eine wenig operationale Größe darstellt, richtet sich die Risikosteuerung auf die Handhabung der im Rahmen der Risikoidentifikation erfassten Einzelrisiken. Ihre Hauptaufgabe besteht in der Entwicklung, Auswahl, Umsetzung und Koordination von risikopolitischen Maßnahmen, die in Einklang mit der definierten Risikostrategie des Konzerns stehen.4 Die Risikosteuerung ist dabei als ein integraler Bestandteil der Unternehmens- und Konzernsteuerung anzusehen, denn oftmals sind geschäftspolitische Maßnahmen (z.B. die Gründung eines Joint Ventures) zugleich auch risikopolitische Maßnahmen.5 Infolgedessen ist das Spektrum möglicher Maßnahmen zur Risikosteuerung äu- ßerst vielfältig. In der Literatur existieren zahlreiche Versuche, diese Vielfalt durch eine Systematisierung der Maßnahmen überschaubar zu machen.6 Dieses 1 Vgl. Schichold (2001b), S. 406; Gros (2002), S. 181. 2 Vgl. Schichold (2001b), S. 407; Gros (2002), S. 182; Kohlenbach (2003), S. 247f. 3 Vgl. Abschnitt 1.2.3.1.2. 4 Vgl. zur Risikostrategie Abschnitt 2.3.1.1. 5 Vgl. Saitz (1999), S. 72; Diederichs (2010), S. 188. 6 Vgl. den Überblick bei Härterich (1987), S. 162ff. 188 2  Gestaltung des Risikomanagementsystems im Konzern Bestreben stand vor allem in der traditionellen Risikolehre im Vordergrund, findet sich aber auch bei neueren Arbeiten.1 Eine vollständige, überschneidungsfreie Systematik ist indes bislang nicht gelungen und erscheint angesichts der großen Fülle und Verschiedenartigkeit der Maßnahmen auch kaum möglich. Daher soll an dieser Stelle nur grob zwischen ursachen- und wirkungsorientierten Maßnahmen unterschieden werden.2 Diese häufig vorgenommene Differenzierung knüpft an der Definition des Risikobegriffs an. Ursachenbezogene Maßnahmen sind darauf gerichtet, die Eintrittswahrscheinlichkeit von Risiken zu reduzieren. Sie haben präventiven Charakter, da sie den Risikoeintritt – soweit möglich und wirtschaftlich sinnvoll – verhindern wollen. Demgegenüber zielen wirkungsorientierte Maßnahmen darauf ab, die negativen Konsequenzen, die ein Risikoeintritt mit sich bringt, zu mindern. Es handelt sich somit um reaktive Maßnahmen. Auf der Grundlage der Differenzierung in ursachen- und wirkungsorientierte Maßnahmen und unter Berücksichtigung, dass Risiken auch bewusst getragen werden können, lassen sich vier Handlungsalternativen für den Umgang mit Risiken unterscheiden:3 • Bei der Risikovermeidung wird der Eintritt eines Risikos ausgeschlossen, also die Eintrittswahrscheinlichkeit auf Null reduziert, indem risikobehaftete Geschäfte nicht eingegangen oder bestimmte Technologien nicht genutzt werden. Damit wird aber zugleich auf die Möglichkeit, Gewinne zu erzielen, ganz oder zumindest teilweise verzichtet. Die Risikovermeidung stellt deshalb nur eine selektiv nutzbare Handlungsoption dar. Sie kann z.B. dann sinnvoll sein, wenn Risiken existenzbedrohend sind und nicht durch andere Maßnahmen auf ein akzeptables Maß verringert werden können. • Bei der Risikoreduzierung wird die Wahrscheinlichkeit des Risikoeintritts und/oder die verursachte Schadenshöhe verringert. Zu diesem Handlungsfeld zählen folglich ursachen- und wirkungsorientierte Maßnahmen. Ein Beispiel für Erstere ist die Einrichtung von Firewalls in IT-Systemen, ein Beispiel für Letztere die regelmäßige Anfertigung von Sicherungskopien. Ein Spezialfall der Risikoreduzierung ist die Risikodiversifikation, mit der das Gesamtrisiko gesenkt wird. • Bei der Risikoüberwälzung werden Risiken durch vertragliche Vereinbarungen auf Dritte übertragen, die im Falle des Risikoeintritts den Schaden übernehmen. Für diese Absicherung ist i.d.R. ein Preis zu zahlen, der jedoch im Gegensatz zu dem potenziellen Schaden bekannt und kalkulierbar ist. Versicherungen, Bürgschaften, Kurssicherungsgeschäfte und spezielle Bedingungen in Kaufverträgen sind Beispiele für mögliche Formen der Risiko- 1 Vgl. z.B. Rogler (2002). 2 Vgl. Philipp (1967), S. 69ff.; Kremers (2002a), S. 84; Schorcht (2004), S. 183f.; Diederichs (2010), S. 188ff. 3 Vgl. Haller (1986a), S. 27; Burger/Buchhart (2002a), S. 49ff.; Kajüter (2003a), S. 56; Schorcht (2004), S. 184. Im Schrifttum werden die Handlungsalternativen teilweise anders bezeichnet und untergliedert; vgl. dazu z.B. Bleuel/Schmitting (2000), S. 104ff.; Diederichs (2010), S. 189ff. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 189 überwälzung. Die Nutzung dieser Handlungsalternative hängt von dem Angebot an Absicherungsgeschäften und der Verhandlungsmacht der Vertragspartner ab. • Schließlich besteht die Möglichkeit zur Risikoakzeptanz. Diese Alternative wird gewählt, wenn Risiken nicht vermieden, reduziert oder überwälzt werden. Das Selbsttragen von Risiken bietet sich vor allem bei solchen Risiken an, die in einem unmittelbaren Zusammenhang mit den Kernaktivitäten des Konzerns stehen, für die kein liquider Markt existiert, oder die eine nur geringe Tragweite haben.1 Für das insgesamt zu tragende Restrisiko sind hinreichende Risikodeckungsmassen in Form von Eigenkapital und Liquidität vorzuhalten, so dass der Fortbestand nicht gefährdet wird.2 Zur Steuerung der Risiken im Konzern sind die genannten Handlungsalternativen kombiniert zu verfolgen.3 In Abhängigkeit von der Art des Risikos, der Risikolage und der Risikostrategie des Konzerns können die Handlungsalternativen dabei eine unterschiedliche Gewichtung erfahren. Bei der Auswahl und Umsetzung konkreter Maßnahmen gilt es, nicht nur deren Wirtschaftlichkeit zu berücksichtigen, sondern auch mögliche Rückwirkungen auf andere risikorelevante Sachverhalte.4 Letzteres ist deshalb notwendig, weil – wie in Abschnitt 2.3.2.2.3.2 erörtert – zwischen einzelnen Risiken oftmals Interdependenzen bestehen, die bei der Risikosteuerung möglicherweise dazu führen, das eine Maßnahme ebenso auf andere Risiken wirkt. Im Konzern bestehen die genannten Handlungsalternativen auf zwei Ebenen – zum einen auf der Ebene der Tochtergesellschaften und Geschäftsbereiche und zum anderen auf der Ebene der Konzernzentrale. Vor dem Hintergrund der Problemstellung der Arbeit kommt den konzernspezifischen Möglichkeiten zur Ri‐ sikosteuerung besondere Bedeutung zu. Nachfolgend sollen daher drei zentrale Ansätze zur Risikosteuerung aus Sicht der Konzernzentrale dargestellt werden. Es handelt sich dabei um die Optimierung des Geschäftsportfolios unter Risikoaspekten, die Auslagerung von Risiken in rechtlich selbstständige Einheiten und die Gründung konzerneigener Versicherungsgesellschaften. Während die ersten beiden Maßnahmen Beispiele für die Risikoreduzierung darstellen, gehört Letztere in den Bereich der Risikoüberwälzung bzw. Risikoakzeptanz. 2.3.3.1.2 Optimierung des Geschäftsportfolios unter Risikoaspekten Mit der strategischen Ausrichtung des Konzerns auf bestimmte Geschäfte (Produkt-/Marktfelder) wird zugleich eine wesentliche risikopolitische Entscheidung getroffen, denn es wird implizit festgelegt, welchen Risiken der Konzern sich grundsätzlich aussetzen will, um Gewinne zu erzielen. In einer Gesamtschau besteht indes die Möglichkeit, das Geschäftsportfolio unter Risikoaspekten zu gestalten, indem z.B. risikoreiche Geschäfte verkauft oder ge- 1 Vgl. Kremers (2002a), S. 87. 2 Vgl. Hölscher (2002), S. 21ff.; Kremers (2002a), S. 244ff., und (2002b), S. 289ff.; Schierenbeck/ Lister (2002a), S. 362ff. 3 Vgl. Burger/Buchhart (2002a), S. 51; Diederichs (2010), S. 194. 4 Vgl. Bleuel/Schmitting (2000), S. 104; Schröder (2008), S. 1984. 190 2  Gestaltung des Risikomanagementsystems im Konzern zielt Risikodiversifikationseffekte zwischen verschiedenen Geschäftsfeldern genutzt werden. Eine Desinvestition risikoreicher Geschäfte kann zum einen dann geboten sein, wenn das Gesamtrisikopotenzial (gemessen an aggregierten Größen wie Cashflow at Risk oder Earnings at Risk) die vorhandenen Risikodeckungsmassen übersteigt. In diesem Fall wäre die Risikotragfähigkeit des Konzerns im Vergleich zum Risikopotenzial zu gering.1 Sofern die Risikodeckungsmassen nicht erhöht werden können (z.B. durch eine Eigenkapitalerhöhung), ist aus Konzernsicht eine Minderung des Risikopotenzials erforderlich, die u.a. über eine Desinvestition realisiert werden kann.2 Neben einer vollständigen Eliminierung von Geschäften aus dem Portfolio kommt dabei ggf. auch die Reduzierung von Beteiligungsquoten in Betracht. Zum anderen liegt die Desinvestition risikobehafteter Geschäfte nahe, wenn diese aus strategischer Sicht nicht (mehr) zu den Kernaktivitäten des Konzerns gehören. Die aus diesen Geschäften resultierenden Risiken stellen dann Randrisiken dar, welche die Risikodeckungsmassen belasten und den Ausbau des Kerngeschäfts möglicherweise behindern. Ein Beispiel für derartige Desinvestitionen ist der Verkauf von VIAG Interkom und anderen Beteiligungen im E.ON-Konzern. Die dabei realisierte Risikoreduktion führte im Jahr 2001 zu einer Senkung des Eigenkapitalkostensatzes im Konzern von 9,6% auf 9,1%.3 Eine andere Möglichkeit, das Geschäftsportfolio unter Risikoaspekten zu optimieren, besteht in der Risikodiversifikation. Hierbei werden Erkenntnisse der Portfoliotheorie genutzt, die gezeigt haben, dass durch die Streuung des Vermögens auf mehrere Wertpapiere, deren Risiko nicht vollständig positiv miteinander korreliert, eine Reduktion des Gesamtrisikos erzielbar ist.4 Dieser kapitalmarktorientierte Diversifikationseffekt lässt sich auf die Unternehmensbzw. Konzernebene übertragen. So reduziert eine stärkere Diversifikation i.d.R. das Gesamtrisiko eines Konzerns.5 Empirische Befunde signalisieren, dass dies auf eine Verringerung des unsystematischen Risikos zurückzuführen ist, wohingegen das systematische Risiko durch Diversifikation nicht beeinflusst wird.6 Diversifikationseffekte lassen sich im Konzern vor allem auf zwei Wegen erzielen: • Die produktbezogene Diversifikation beruht auf einem Risikoausgleich innerhalb des Leistungsprogramms. Beispielsweise können sich Konjunkturrisiken unterschiedlicher Produkte kompensieren. 1 Zur Prüfung der Risikotragfähigkeit im Zusammenhang mit dem Beteiligungserwerb im Konzern vgl. Kajüter (2004b), S. 276ff. 2 Vgl. Hornung et al. (2000), S. 156. 3 Vgl. E.ON (2001), S. 45. 4 Vgl. Perridon et al. (2009), S. 260ff. 5 Vgl. Wiemann/Mellewigt (1998), S. 566ff. 6 Vgl. Bühner (1983), S. 1029ff. Da sich das systematische Risiko eines Portfolios als gewichtetes Mittel des systematischen Risikos der Einzelanlagen ergibt, kann dieses jedoch im Konzern über die Investition in relativ risikoreiche oder risikoarme Geschäfte beeinflusst werden. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 191 • Die regionale Diversifikation basiert auf einer geografischen Streuung der Geschäftstätigkeit. Sie kann sich auf verschiedene Aktivitäten der Wertschöpfungskette beziehen (z.B. Errichtung von Produktionsanlagen an verschiedenen räumlich voneinander getrennten Standorten, Erschließung von Auslandsmärkten). Durch die regionale Diversifikation bieten sich international agierenden Konzernen weitergehende Möglichkeiten zur Risikosteuerung. Internationale Konzerne können, wie Untersuchungsergebnisse zeigen, durch länderübergreifende Diversifikation das systematische Risiko unter das nationale Niveau reduzieren.1 Auf diese Weise können sie gegenüber nationalen Konzernen Wettbewerbsvorteile erzielen, die im Rahmen der Risikoportfoliotheorie auch als Erklärungsansatz für die Entstehung internationaler Konzerne dienen.2 Erkenntnisse darüber, ob und inwieweit Konzerne ihr Geschäftsportfolio unter Risikoaspekten optimieren, liegen bislang ebenso wenig vor wie Erkenntnisse über die Einflussfaktoren einer solchen Risikosteuerung. Es lässt sich indes vermuten, dass ein Zusammenhang zwischen der Konzernstrategie und der Intensität der risikoorientierten Geschäftsportfoliooptimierung besteht. Dies gilt insbesondere für die Akquisitions-, Diversifikations- und Internationalisierungsstrategie, da mit diesen drei Strategietypen ein Risikoausgleich zwischen Geschäften in sachlicher oder regionaler Hinsicht angestrebt werden kann. Es soll daher folgende Hypothese geprüft werden: H44: Je intensiver eine Akquisitions-, Diversifikations- und Internationalisierungsstrategie verfolgt wird, desto intensiver wird das Geschäftsportfolio unter Risikoaspekten optimiert. Um den vermuteten Zusammenhang zu überprüfen, wurden die Respondenten um eine Einschätzung gebeten, wie intensiv ihr Konzern das Geschäftsportfolio unter Risikoaspekten optimiert (vgl. Frage A.3.7). Für die Beurteilung wurde wiederum eine fünfstufige Ratingskala vorgegeben. 2.3.3.1.3 Auslagerung von Risiken in rechtlich selbstständige Einheiten Die Geschäfte eines Unternehmens sind i.d.R. in unterschiedlichem Maße mit Risiken behaftet.3 Dabei können einzelne Geschäfte überdurchschnittlich hohe Risiken bergen, deren Eintritt den Fortbestand gefährden kann. Beispiele hierfür sind die Erschließung neuer Märkte mit hohen Investitionen in Forschung und Entwicklung sowie in den Aufbau von Kapazitäten, Geschäfte mit hohen Folgerisiken durch Verschuldenshaftung (z.B. Umweltkatastrophen) oder Projekte mit hohem Vorfinanzierungsbedarf beim Hersteller (z.B. im Großanlagen- oder Schiffsbau). Während eine rechtseinheitliche Kapitalgesellschaft mit ihrem gesamten Vermögen für alle Risiken unabhängig von deren Bedeutung haftet, besteht in einem Konzern die Möglichkeit, besonders riskante Geschäfte in recht- 1 Vgl. Rugman (1976); Duhnkrack (1984), S. 226. 2 Vgl. Stein (1998), S. 134ff. 3 Vgl. Binder (1994a), S. 56. 192 2  Gestaltung des Risikomanagementsystems im Konzern lich selbstständige Einheiten auszulagern und dadurch haftungsrechtlich von der Konzernmutter und anderen Konzerngesellschaften zu trennen. In diesem Zusammenhang wird auch von Haftungssegmentierung, Haftungsabschottung oder Haftungsseparation gesprochen.1 2 Die Haftungsseparation im Konzern beruht darauf, dass nicht der Konzern als wirtschaftliche Einheit, sondern die einzelnen rechtlich selbstständigen Konzerngesellschaften für ihre Verpflichtungen haften. Da es sich hierbei in aller Regel um Kapitalgesellschaften handelt, ist ihre Haftung auf das jeweilige Gesellschaftsvermögen beschränkt (§ 1 Abs. 1 AktG, § 13 Abs. 2 GmbHG). Im Ergebnis ist ein Konzern daher „durchzogen von einer Vielzahl haftungsabschottender Linien, die ihn haftungsrechtlich zu einem großen Raster gegeneinander abgegrenzter Risikokammern werden lassen“3. Die Möglichkeit einer solchen Haftungssegmentierung wird in der Literatur grundsätzlich als sinnvoll angesehen, da sie z.B. die Umsetzung innovativer, risikoreicher Geschäftsideen fördert.4 Aus gesamtwirtschaftlicher Sicht kann zudem verhindert werden, dass „das lo- Haftungsseparation: Beispiele „Konzernstrukturen, die offensichtlich eingeführt werden, um Risiken für wirtschaftliche Einheiten zu reduzieren, sind in der Stahlindustrie und Elektrizitätswirtschaft zu beobachten. In der Stahlindustrie haben große Unternehmen zunächst mit ihren hohen Rückflüssen aus dem Stahlgeschäft über Unternehmensaufkäufe zusätzliche Geschäftsbereiche aufgebaut. Als es dann zum Einbruch im Stahlgeschäft und einer erkannten Strukturkrise mit unsicherem Ausgang in der Branche kam, gliederten die Obergesellschaften ihre Stahlaktivitäten in selbstständige rechtliche Einheiten aus und lösten Beherrschungsverträge mit diesen auf, um die aufgebauten Tätigkeitsfelder der Obergesellschaften gegen Ansprüche aus dem Stahlgeschäft (Verlustübernahme, Erhaltung verlustbringender Arbeitsplätze im Stahlbereich, etc.) abzuschirmen. In der Elektrizitätswirtschaft gründen die gro- ßen Stromversorgungsunternehmen für jedes Kernkraftwerk, das sie allein oder gemeinsam als örtliche Produktionsstätte errichten, eine eigene GmbH. Auf diese Weise erleichtern sie nicht nur den Betrieb der Produktionsstätten als Gemeinschaftsunternehmen, sondern sie begrenzen auch ihre Haftung bezüglich technologischer Risiken auf das jeweils eingelegte Kapital der GmbH.“2 1 Vgl. Debus (1990), S. 2ff.; Hommelhoff (1991), S. 117ff.; Kallfass (1991), S. 33ff.; Binder (1994a), S. 56ff.; Schmidbauer (1998), S. 58; Theisen (2000), S. 615ff.; Lutter/Trölitzsch (2004), S. 271ff. 2 Kallfass (1991), S. 35. Zur Ausgründung von Unternehmensteilbereichen im Bereich der Hochtechnologie vgl. Bühner (1986), S. 2343; für ein weiteres Beispiel vgl. o.V. (1989). 3 Hommelhoff (1991), S. 117. 4 Vgl. Debus (1990), S. 181f.; Kallfass (1991), S. 33. Zur ökonomischen Analyse der beschränkten Haftung und des Haftungsdurchgriffs vgl. Lehmann (1986) und Roth (1986). 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 193 kale Feuer der Krise bei einer Einheit als Flächenbrand auf andere Einheiten übergreift“1. Andererseits besteht aber auch die Gefahr, dass die Haftungsseparation missbräuchlich eingesetzt wird und durch den Risikoeintritt entstehende Verluste auf Dritte – vor allem auf Gläubiger – abgewälzt werden. Aus diesem Grunde ist es aus rechtlicher Sicht erforderlich, die Grenzen der Haftungsseparation bzw. Maßstäbe für einen Haftungsdurchgriff (Haftungsverbund) zu definieren. Das Gesetz und die Rechtsprechung haben dementsprechend Ausnahmen von dem grundsätzlich geltenden Trennungsprinzip festgelegt. Als wichtigste Ausnahmen, die einen Haftungsdurchgriff bewirken, sind zu nennen:2 • der Abschluss von Unternehmensverträgen; Beherrschungs- oder Gewinnabführungsverträge sowie die Eingliederung sind mit einer Verpflichtung zum Verlustausgleich verbunden (§§ 302 Abs. 1, 324 AktG);3 • das Vorliegen eines qualifiziert faktischen Konzerns; nach der Rechtsprechung des BGH gilt in diesem Fall § 302 Abs. 1 AktG analog;4 • Abgabe von Bürgschaften, Patronatserklärungen, Liquiditätszusagen und ähnlichen Verpflichtungen; • die unzureichende Ausstattung der Gesellschaft mit Eigenkapital; • existenzvernichtende Eingriffe der Gesellschafter.5 Aussagen zum Stellenwert der Haftungsseparation in der Konzernpraxis sind mangels empirisch gesicherter Erkenntnisse nicht möglich. In der Literatur wird indes vermutet, dass der „Gedanke der Risikoabschottung … aus der Sicht der Praxis das vordringliche Motiv für die Konzernbildung“6 ist. Zudem kann die Dominanz faktischer Konzernbeziehungen7 als Indiz für die Bedeutung der Haftungsseparation angesehen werden. Angesichts des Defizits konkreter empirischer Befunde wurde im Rahmen der vorliegenden Studie erhoben, wie intensiv die Konzerne riskante Geschäfte in rechtlich selbstständige Beteiligungsgesellschaften mit beschränkter Haftung auslagern (vgl. Frage A.3.7). Vor dem Hintergrund oben genannter Gründe für einen Haftungsdurchbruch ist davon auszugehen, dass die Existenz von Unternehmensverträgen ein erklärender Faktor für den Verzicht auf die Auslagerung von riskanten Geschäften ist, da in diesem Fall eine Verlustausgleichspflicht besteht und die 1 Lutter/Trolitzsch (2004), S. 272. Vgl. auch Lutter (1984), S. 781ff.; Ordelheide (1986), S. 300. 2 Vgl. Lutter/Trolitzsch (2004), S. 272ff. Für weitere Ausnahmetatbestände sei auf das umfangreiche Schrifttum verwiesen; vgl. z.B. Krieger (1998), S. 80ff.; Theisen (2000), S. 622ff. Für das Risikomanagementsystem im Konzern bilden Haftungsrisiken aus Beteiligungsverhältnissen ein Objekt des Risikomanagements; vgl. dazu Abschnitt 2.3.1.6. 3 Ein Haftungsdurchgriff besteht in diesen Fällen jedoch nur „von oben nach unten“. Es haftet somit lediglich die Konzernobergesellschaft, nicht aber die Schwestergesellschaften für die Verluste des Tochterunternehmens, mit dem ein Unternehmensvertrag abgeschlossen wurde. 4 Vgl. Lutter (1990); Scheffler (1990); Theisen (2000), S. 628ff. 5 Vgl. Decher (2002); Lutter/Banerjea (2003). 6 Hommelhoff (1991), S. 117. 7 Vgl. dazu die Befunde bei Pahlke (1986), S. 79ff.; Debus (1990), S. 3. 194 2  Gestaltung des Risikomanagementsystems im Konzern Haftungsseparation durchbrochen wird. Es wird daher folgende Hypothese formuliert: H45: Je höher der Anteil vertraglicher Konzernbeziehungen, desto weniger intensiv werden riskante Geschäfte in rechtlich selbstständige Beteiligungsgesellschaften mit beschränkter Haftung ausgelagert. Da sich, wie oben erwähnt, die Haftungsseparation vor allem bei sehr risikoreichen Geschäften anbietet, kann ferner vermutet werden, dass sie in bestimmten Branchen besonders intensiv genutzt wird. Aufgrund fehlender Anhaltspunkte lässt sich indes nur allgemein Folgendes prognostizieren: H46: Die Auslagerung riskanter Geschäfte in rechtlich selbstständige Beteiligungsgesellschaften mit beschränkter Haftung wird in verschiedenen Branchen unterschiedlich intensiv verfolgt. 2.3.3.1.4 Gründung konzerneigener Versicherungsgesellschaften Eine weitere konzernspezifische Möglichkeit zur Risikosteuerung ist die Gründung einer konzerneigenen Versicherungsgesellschaft. Solche Versicherungsunternehmen, die als Tochterunternehmen von einer versicherungsfremden Konzernmutter gegründet werden, um in erster Linie Risiken der Konzerngesellschaften zu versichern, werden als Captive Insurance Companies, oder kurz als Captives, bezeichnet.1 Sie sind im Gegensatz zu Versicherungsvermittlungsgesellschaften als echte Versicherungsunternehmen lizenziert und unterliegen demzufolge auch der staatlichen Regulierung. Da sich hierdurch vor allem bei Erstversicherern hohe regulatorische Anforderungen ergeben, werden Captives zumeist als Rückversicherungsgesellschaften betrieben. In diesem Fall muss eine konzernfremde Versicherungsgesellschaft als Erstversicherer eingeschaltet werden, welche die Risiken zunächst übernimmt und dann mehr oder weniger vollständig an die Captive rückversichert.2 Da Captives als eigenständige Versicherungsunternehmen agieren, müssen sie auch wie diese aus den übernommenen Risiken ein Kollektiv bilden, in dem es zu einem Risikoausgleich kommt.3 Eine derartige Diversifikation ist umso eher erreichbar, desto größer der Konzern ist, dem die Captive angehört. Für kleinere Konzerne, bei denen der Risikoausgleich aufgrund des zu geringen Versicherungsvolumens nicht gewährleistet ist, besteht indes die Möglichkeit, gemeinsam mit anderen Konzernen eine Captive zu gründen (sog. Multi-Parent-Captive).4 1 Vgl. Wätke (1982), S. 1; Ackermann (1983), S. 35ff.; Hets (1995), S. 8f.; Berger (1998), S. 18; Brühwiler et al. (1999), S. 44ff.; Hölscher (2000b), S. 344; Eickstädt (2001), S. 101; Helten/Har‐ tung (2001), S. 558. Der Name „Captive“ resultiert aus dem Umstand, dass es sich um eine von der Konzernmutter beherrschte (wörtlich: „gefangene“) Versicherungsgesellschaft handelt; vgl. Meyer‐Kahlen (1988), S. 95. 2 Vgl. Eickstädt (2001), S. 102f. 3 Vgl. Ackermann (1983), S. 146ff.; Hölscher (2000b), S. 345. 4 Ggf. können auch Captive-Sonderformen, wie z.B. Rent-A-Captive und Captive-Accounts, eine zweckmäßige Lösung für Konzerne darstellen, für die sich die Gründung einer eigenen Captive wirtschaftlich nicht rechtfertigt. Vgl. dazu Eickstädt (2001), S. 104f. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 195 Zudem kann die Übernahme konzernfremder Risiken erwogen werden, um das Diversifikationspotenzial zu erweitern. Eine solche Öffnung der Captive für Dritte erfordert jedoch professionelle Strukturen, da die Qualität der übernommenen Risiken wegen der geringeren Informationen i.d.R. schwerer zu beurteilen ist (Moral-Harzard-Problem). Aus Konzernsicht werden Risiken, die in einer Captive versichert werden, nicht auf Dritte überwälzt. Vielmehr beeinflussen der Erfolg bzw. Misserfolg der Captive das Konzernergebnis. Insofern stellt eine Captive zunächst eine Maßnahme zum „organisierten Selbsttragen“1 von Risiken dar. Eine Risiko- überwälzung ergibt sich für den Konzern erst dann, wenn die Captive die Risiken auf ein Rückversicherungsunternehmen transferiert. Dieser direkte Zugang zum Rückversicherungsmarkt ist einer der zentralen Vorteile von Captives. Es können auf diese Weise i.d.R. bessere Konditionen vereinbart und Verträge flexibler gestaltet werden. Zudem profitiert der Konzern von einem guten eigenen Schadensverlauf selbst, da die von der Captive erzielten Gewinne das Konzernergebnis erhöhen.2 Hinzu kommen die im Vergleich zu einem traditionellen Versicherungsunternehmen allgemein geringeren Verwaltungskosten einer Captive sowie die Unabhängigkeit von zyklischen Prämienschwankungen des Versicherungsmarktes.3 Weitere Vorteile ergeben sich in steuerlicher Hinsicht. So dürfen Captives steuerlich anerkannte, versicherungstechnische Rückstellungen bilden.4 Ferner sind im Vergleich zum Selbsttragen der Risiken die Prämienzahlungen an die Captive i.d.R. als Betriebsausgabe steuerlich abzugsfähig. Wird die Captive in einer „Steueroase“ angesiedelt (sog. Offshore Captives), können schließlich Steuervorteile durch eine im Vergleich zum Mutterunternehmen geringere Gewinnbesteuerung erzielt werden.5 Captives versichern zumeist Haftpflicht- und Sachrisiken.6 Dabei werden insbesondere solche Risiken übernommen, für die bei externen Versicherungsgesellschaften keine Deckung angeboten wird oder keine angemessenen Prämienrabatte gewährt werden. Insgesamt wird ein völliger Verzicht auf die Inanspruchnahme externer Versicherungen aber auch bei Gründung einer Captive nicht möglich sein. Die Versicherung von Risiken in Captives stellt daher nur eine Alternative aus dem umfangreichen Spektrum risikopolitischer Maßnahmen dar. Zu bedenken ist ebenso, dass der Konzern die erwähnten Vorteile auch durch die Übernahme von Risiken erkauft. Vor allem die Übernahme von Fremdrisiken kann sich möglicherweise nachteilig auswirken. 1 Hölscher (2002), S. 19. 2 Vgl. Ackermann (1983), S. 52ff.; Manekeller (1992), S. 181; Helten/Hartung (2001), S. 559. 3 Vgl. Eickstädt (2001), S. 112; Helten/Hartung (2001), S. 558. 4 Vgl. Brühwiler et al. (1999), S. 46. 5 Captives europäischer Konzerne haben ihren Sitz daher häufig in Dublin oder Luxemburg. Zu den Vorteilen dieser Standorte vgl. Börner (1995), S. 8ff. 6 Vgl. Eickstädt (2001), S. 111. 196 2  Gestaltung des Risikomanagementsystems im Konzern 1 Da der Risikoausgleich in Captives eine hinreichend große Anzahl an Risiken voraussetzt, eignet sich die Gründung solcher Versicherungsgesellschaften primär für Großkonzerne. Aus kontingenztheoretischer Sicht ist somit davon auszugehen, dass die Unterschiede in der Nutzung von Captives in erster Linie von der Konzerngröße abhängen. Demnach ist folgender Zusammenhang zu prognostizieren: H47: Je größer der Konzern, desto intensiver werden Risiken in konzerneigene Versicherungsgesellschaften transferiert. Um diese Hypothese zu prüfen, wurden die Respondenten gebeten zu beurteilen, wie intensiv in ihrem Konzern Risiken in einer konzerneigenen Versicherungsgesellschaft (Captive) versichert werden (vgl. Frage A.3.7). 2.3.3.2 Risikokontrolle Die Risikosteuerung, welche wie oben erwähnt die Entwicklung, Auswahl, Umsetzung und Koordination risikopolitischer Maßnahmen umfasst, ist durch eine Risikokontrolle zu ergänzen, da nicht von vornherein sichergestellt ist, dass die Maßnahmen ihre gewünschte Wirkung entfalten und dadurch die angestrebte Risikolage erreicht wird. Kontrolle im Allgemeinen und Risikokontrolle im Speziellen werden in der Literatur unterschiedlich definiert und abgegrenzt.2 Gleichwohl besteht Einigkeit darüber, dass Kontrolle einen Vergleich zwischen Konzerneigene Versicherungsgesellschaften: Beispiel Celanese AG „Celanese konsolidiert zwei zu 100% gehaltene Versicherungsgesellschaften. Die Versicherungen stellen einen Schwerpunkt des globalen Risikomanagementprogramms von Celanese dar und beinhalten u.a. auch die eigene Versicherung von Sach-, Haftungs- und Mitarbeiterversicherungsrisiken. Die Versicherungsgesellschaften vergeben Versicherungen an Celanese-Gesellschaften, um eine konsistente Deckung trotz Kostenschwankungen im Versicherungsmarkt zu gewährleisten und um langfristige Versicherungskosten durch die Verminderung von Overhead-Kostenumlagen von Drittversicherern und von Versicherungssteuern und von Gebühren zu reduzieren. Die Versicherungen stellen Versicherungspolicen aus und verwalten die Schadensfallabwicklung. Das Versicherungsrisiko tragen die Versicherungsgesellschaften bis zu einer vom Vorstand genehmigten Höhe selbst; darüber hinausgehende Risiken werden bei Drittversicherern rückversichert. Eine der Versicherungsgesellschaften versicherte außerdem bestimmte Risiken von Drittparteien.“1 1 Celanese (2003), S. 94. 2 Anstelle von Risikokontrolle wird im Schrifttum teilweise auch der Begriff Risikoüberwachung synonym verwendet (vgl. z.B. Hornung et al. (1999), S. 321f.; Burger/Buchhart (2002a), S. 52ff.; Reichmann (2006), S. 638f.). Dem wird hier jedoch nicht gefolgt (vgl. dazu auch Abschnitt 2.3.4). 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 197 zwei oder mehreren Kontrollgrößen beinhaltet, von denen eine normativ vorgegeben wird.1 Dem engen Begriffsverständnis zufolge beschränkt sich Kontrolle auf diesen Vergleich, um so beispielsweise Informationen über das Ausmaß der Zielerreichung zu gewinnen. Die weite Begriffsauffassung, die auch im Weiteren zu Grunde gelegt wird, subsumiert unter Kontrolle dagegen auch die Analyse der ermittelten Abweichungen und ihrer Ursachen. Nach diesem weiten Kontrollbegriff hat die Risikokontrolle zwei zentrale Funktionen im Rahmen des Risikomanagements zu erfüllen.2 Zum einen geht es darum, die Realisation der risikopolitischen Maßnahmen sicherzustellen und eingetretene oder voraussehbare Abweichungen zu erkennen sowie ihre Ursachen zu identifizieren. Auf diese Weise sollen ggf. erforderliche Korrekturmaßnahmen rechtzeitig eingeleitet werden können (Steuerungsfunktion). Zum anderen zielt die Risikokontrolle aber auch darauf ab, Erfahrungswissen zu generieren, das die Informationsgrundlage für zukünftige Entscheidungen über risikopolitische Maßnahmen verbessert (Lernfunktion). Die Risikokontrolle lässt sich durch den Kontrollgegenstand, die Kontrollgrö- ßen, die Kontrollzeitpunkte und die Kontrollträger näher charakterisieren. Gegenstand der Risikokontrolle bildet zunächst das Gesamtrisiko des Konzerns oder einer Konzerngesellschaft, das sich nach Umsetzung der risikopolitischen Maßnahmen ergibt. Um einzelne Ursachen für Abweichungen erkennen zu können, ist eine Kontrolle des Gesamtrisikos indes nicht hinreichend. Hierzu ist es vielmehr erforderlich, an die im Rahmen der Risikostrategie für bedeutsame Einzelrisiken definierten Risikolimits und die im Rahmen der Risikoidentifikation erfassten Einzelrisiken anzuknüpfen. Dabei kann die Einhaltung der Risikolimits in Form eines Soll-Ist-Vergleichs kontrolliert werden.3 Sinnvoll erscheint darüber hinaus auch ein Ist-Ist-Vergleich, um Veränderungen von Risiken im Zeitablauf aufzudecken. Somit bilden Soll- und Istwerte die zentralen Kontrollgrößen. Im Hinblick auf die Kontrollzeitpunkte lassen sich keine allgemeingültigen Aussagen treffen. In der Literatur werden zwar mindestens vierteljährliche Kontrollen gefordert4, allerdings können je nach Art des Risikos und der Gesamtrisikolage auch kürzere Kontrollintervalle geboten sein. Kontrollträger sollte in erster Linie der für das Risiko verantwortliche Entscheidungsträger sein (Eigenkontrolle). Ergänzend dazu bieten sich Fremdkontrollen z.B. im Rahmen der Prüfung des Risikomanagementsystems durch die Konzernrevision an.5 Die Risikokontrolle in Form eines Soll-Ist- oder Ist-Ist-Vergleichs stellt eine Er‐ gebniskontrolle dar, die zu bestimmten Zeitpunkten durchgeführt wird. Im Mittelpunkt der Risikokontrolle können aber auch die risikopolitischen Maßnah- 1 Vgl. Frese (1968), S. 53; Kromschröder (1972), S. 21ff.; Töpfer (1976), S. 84; Pfohl/Stölzle (1997), S. 3. 2 Vgl. Mensch (1991), S. 118f.; Schorcht (2004), S. 221. 3 Vgl. Schierenbeck/Lister (2002a), S. 370. 4 Vgl. Schorcht (2004), S. 226. 5 Vgl. dazu Abschnitt 2.3.4.2.1. 198 2  Gestaltung des Risikomanagementsystems im Konzern men stehen1; in diesem Fall hat die Risikokontrolle den Charakter einer Maßnahmenkontrolle. Eine solche Kontrolle erscheint aus zwei Gründen bedeutsam. Erstens bietet sie Anhaltspunkte für die möglichen Ursachen der beobachteten Abweichungen. Beispielsweise kann die nicht realisierte Risikoreduktion in einer unvollständigen Umsetzung oder mangelnden Wirksamkeit der geplanten Maßnahmen begründet liegen. Zweitens kann die Maßnahmenkontrolle auch eine Grundlage bilden, um die Wirtschaftlichkeit der Risikosteuerung zu analysieren. Probleme dürfte dabei aber vor allem die Abschätzung des Nutzens risikopolitischer Maßnahmen bereiten. Bei der Risikokontrolle im Konzern sind zwei Ebenen zu unterscheiden. Da der Kontrollträger, wie erwähnt, grundsätzlich mit dem Risikoverantwortlichen identisch sein sollte, sind die Risiken in den Tochtergesellschaften bzw. Geschäftsbereichen durch die dort tätigen Entscheidungsträger zu kontrollieren. Sie können i.d.R. Abweichungsursachen besser erkennen und, falls erforderlich, zeitnah Korrekturmaßnahmen einleiten. Andererseits ist aufgrund des Moral- Harzard-Problems nicht immer sichergestellt, dass die Maßnahmen in dezentralen Einheiten auch tatsächlich umgesetzt werden. Gegenläufige Interessen oder andere Prioritäten im Tagesgeschäft sind mögliche Gründe dafür. Deshalb erscheint es notwendig, in der Konzernobergesellschaft die Maßnahmenumsetzung in diesen dezentralen Einheiten zu verfolgen. Dies dürfte umso bedeutsamer sein, je größer der Konzern und damit die Informationsasymmetrie zwischen Konzernzentrale und dezentralen Konzerneinheiten ist. Folglich lässt sich folgender Zusammenhang vermuten: H48: Je größer der Konzern, desto intensiver wird die Umsetzung von geplanten risikopolitischen Maßnahmen dezentraler Einheiten kontrolliert. Zur Prüfung dieser Beziehung wurden die Respondenten um eine Einschätzung gebeten, wie intensiv die Umsetzung der Maßnahmen von der Konzernzentrale verfolgt wird (vgl. Frage A.3.7). 2.3.4 Interne Überwachung des Risikomanagements im Konzern Neben der Risikofrüherkennung und der Risikobewältigung bildet die interne Überwachung dieser Aufgabenfelder das dritte Subsystem des Risikomanagementsystems. Die Notwendigkeit einer internen Überwachung der Risikofrüherkennung resultiert unmittelbar aus der zweistufigen Verpflichtung des § 91 Abs. 2 AktG. Danach hat der Vorstand nicht nur ein Risikofrüherkennungssystem einzurichten, sondern auch dessen Funktionsfähigkeit sicherzustellen.2 Aus der allgemeinen Überwachungsaufgabe des Vorstands, die Teil seiner originären Geschäftsführungsaufgabe nach § 76 AktG ist3, ergibt sich jedoch auch eine Pflicht zur Überwachung der Risikobewältigung. 1 Vgl. Wall (2002), S. 378f.; Schorcht (2004), S. 226. Teilweise wird die Risikokontrolle auch explizit als „Kontrolle der Durchführung zur Risikosteuerung ergriffener Maßnahmen“ (Reichmann (2006), S. 638) definiert. 2 Vgl. hierzu Abschnitt 1.2.3.1.2. 3 Vgl. Semler (2004), S. 177ff. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 199 In der Literatur wird der Begriff der internen Überwachung nicht einheitlich definiert. Vor allem die Termini internes Überwachungssystem und internes Kontrollsystem werden teilweise synonym verwendet, teilweise aber auch unterschiedlich abgegrenzt.1 Im Folgenden wird unter interner Überwachung ein Bündel an Aufgaben und Maßnahmen verstanden, das dazu dient, die Zuverlässigkeit der betrieblichen Prozesse unter Beachtung des Wirtschaftlichkeitsprinzips sicherzustellen.2 Während die interne Überwachung grundsätzlich nicht auf bestimmte Prozesse beschränkt ist, steht im Folgenden die Überwachung der Risikomanagementprozesse im Mittelpunkt. Dabei lassen sich in Abhängigkeit davon, ob die Überwachung systemintern oder systemextern erfolgt, eine prozessintegrierte und eine prozessunabhängige interne Überwachung des Risikomanagements differenzieren.3 Die prozessintegrierte  Über‐ wachung umfasst organisatorische Sicherungsmaßnahmen und Kontrollen, während die prozessunabhängige Überwachung durch die Konzernrevision und Aufsichtsräte in Tochterunternehmen ausgeübt wird (vgl. Abb. 2.3–11).4 Beide Formen der internen Überwachung erfüllen eine Präventiv- und eine Korrekturfunktion.5 Erstere besteht darin, dass durch die Existenz der internen Überwachung normkonformes Verhalten der Entscheidungsträger gefördert wird, da diese damit rechnen müssen, dass ein abweichendes Verhalten erkannt 1 Begründet liegt dies u.a. in dem Einfluss der Diskussion im angloamerikanischen Raum. Dort werden interne Überwachungsaktivitäten unter der Bezeichnung „Internal Control“ subsumiert (vgl. Abschnitt 1.2.3.2). Der Begriff „control“ ist aber wesentlich weiter gefasst als das deutsche Wort „Kontrolle“; es bezieht vor allem die Steuerung und Lenkung von Prozessen mit ein. Dem folgt der im Jahr 2001 veröffentlichte IDW PS 260, indem er das interne Kontrollsystem in das interne Steuerungs- und das interne Überwachungssystem differenziert. 2 Vgl. zu einer ähnlichen Definition Lück (2003), S. 347. 3 Vgl. allgemein IDW PS 260, Rn. 6; Buderath/Amling (2000), S. 129ff. Abb. 2.3–11: Interne Überwachung des Risikomanagementsystems im Konzern 4 Die Überwachung durch Tochteraufsichtsräte kann insofern der internen Überwachung zugeordnet werden als diese Mandate oftmals von Mitgliedern des Konzernvorstands wahrgenommen werden. Die Überwachung durch den Konzernaufsichtsrat ist demgegenüber als externe Überwachung anzusehen. Vgl. dazu auch Abschnitt 2.3.4.2.2. 5 Vgl. Peemöller/Richter (2000), S. 27; Neubeck (2003), S. 103; Weiss/Heiden (2003), Rn. 116; ähnlich Hömberg (2002), Sp. 1230. Interne Überwachung des Risikomanagements Prozessintegrierte Überwachung Prozessunabhängige Überwachung Organisatorische Sicherungsmaßnahmen Kontrollen Konzernrevision Aufsichtsrat 200 2  Gestaltung des Risikomanagementsystems im Konzern und sanktioniert wird. Die Korrekturfunktion zielt dagegen auf die Aufdeckung und Beseitigung von Mängeln bei der Risikofrüherkennung und Risikobewältigung ab. Die interne Überwachung des Risikomanagements im Konzern wird ergänzt durch die externe Überwachung, vor allem durch die Prüfung des Risikomanagements durch den Abschlussprüfer und den Aufsichtsrat bzw. Prüfungsausschuss des Konzerns.1 Objekt der externen Überwachung ist dabei auch die interne Überwachung. Im Folgenden wird die externe Überwachung jedoch nur am Rande betrachtet, soweit sich Schnittstellen zur internen Überwachung ergeben. Im Mittelpunkt der weiteren Ausführungen stehen vielmehr die Gestaltungsparameter der prozessintegrierten und der prozessunabhängigen internen Überwachung des Risikomanagements im Konzern. 2.3.4.1 Prozessintegrierte Überwachung des Risikomanagements Im Rahmen der prozessintegrierten Überwachung werden allgemein organisatorische Sicherungsmaßnahmen und interne Kontrollen unterschieden. Diese beiden Formen der prozessintegrierten Überwachung lassen sich auch heranziehen, um die Funktionsfähigkeit des Risikomanagementsystems im Konzern sicherzustellen. Unter organisatorischen  Sicherungsmaßnahmen werden Regelungen in der Aufbau- und Ablauforganisation verstanden, welche Fehler im Risikomanagementprozess verhindern und eine ordnungsgemäße Durchführung des Risikomanagements im Konzern gewährleisten.2 Hierzu gehören in erster Linie Konzernrichtlinien zu risikorelevanten Themen. Konzernrichtlinien standardisieren betriebliche Vorgänge, die an verschiedenen Stellen anfallen, und geben damit Hilfestellung für deren Abwicklung. Auf die zentrale Bedeutung einer Konzernrichtlinie zum Risikomanagementsystem wurde bereits im Zusammenhang mit der Koordination des Risikomanagements hingewiesen.3 Über eine solche grundlegende Richtlinie hinaus können auch weitere Richtlinien zu Teilaspekten, wie z.B. zur Versicherung von Risiken, zur IT-Sicherheit, zum Umweltschutz, zur Compliance, als organisatorische Sicherungsmaßnahmen für das Risikomanagement erlassen werden. Sofern das Risikomanagementsystem IT-gestützt ist, stellen auch Zugriffsregelungen hierauf eine mögliche organisatorische Sicherungsmaßnahme dar. Weiter zählt eine Funktionstrennung („Vier-Augen-Prinzip“) zwischen verschiedenen Aufgaben des Risikomanagements, insbesondere zwischen der Risikofrüherkennung und -bewältigung auf der einen Seite und der internen Überwachung auf der anderen Seite, zu den organisatorischen Sicherungsmaßnahmen für das Risikomanagement im Konzern. Ein zweiter Gestaltungsparameter für die prozessintegrierte Überwachung bilden in den Risikomanagementprozess eingebettete interne Kontrollen.4 Diese 1 Vgl. hierzu z.B. Giese (1998) und (2000); Dobler (2001); Gernoth (2001); Lentfer (2003); Lan‐ fermann/Röhricht (2009). 2 Vgl. allgemein Lück (1998a), S. 9f., und (2003), S. 148f. 3 Vgl. Abschnitt 2.3.1.2.3. 4 Vgl. allgemein Lück (1998a), S. 10, und (2003), S. 349f.; Weiss/Heiden (2003), Rn. 114. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 201 zeichnen sich dadurch aus, dass der Überwachungsträger in den Arbeitsablauf involviert ist und darüber hinaus zugleich für den überwachten Prozess und dessen Überwachung verantwortlich ist. Interne Kontrollen sollen ebenso wie die organisatorischen Sicherungsmaßnahmen die Wahrscheinlichkeit des Eintritts von Fehlern vermindern. Sie können sowohl manuell von den prozessabhängigen Personen als auch automatisiert durch Softwareprogramme durchgeführt werden. Beispiele für in den Risikomanagementprozess integrierte Kontrollen sind die Überprüfung der Einhaltung von Terminen und Wesentlichkeitsgrenzen für die interne Risikoberichterstattung sowie Plausibilitätskontrollen zur Vollständigkeit der Risikoberichterstattung dezentraler Einheiten. Im Gegensatz zur Risikokontrolle, die oben als Ergebniskontrolle charakterisiert wurde, handelt es sich bei diesen Kontrollen um Verfahrenskontrollen. Eine spezielle Art von integrierten Kontrollen sind Self-Audits. Hierbei handelt es sich um eine eigenverantwortliche Prüfung von Prozessen durch die am Prozess beteiligten Personen.1 Grundlage eines Self-Audit sind i.d.R. Checklisten oder Handbücher, welche die zu kontrollierenden organisatorischen Regelungen enthalten. Die Einhaltung der Regelungen ist dann von der mit dem Self- Audit betrauten Person zu bestätigen. Diese als Möglichkeit zur Dezentralisierung und Effizienzsteigerung der internen Revision entwickelte Methode lässt sich auch beim Risikomanagementsystem im Konzern anwenden. Zu kontrollierende Sachverhalte des Risikomanagementsystems in den Konzerngesellschaften können z.B. die Definition von Wesentlichkeitsgrenzen, die Benennung von Risikomanagement-Koordinatoren oder die Festlegung von Frühwarnindikatoren sein. Diese und andere Aspekte können in einer Self-Audit-Checkliste zusammengefasst werden und beispielsweise von den Geschäftsleitungen oder anderen Entscheidungsträgern der Konzerngesellschaften in regelmäßigen Abständen (z.B. jährlich) zur Selbstkontrolle vorgelegt werden. Auf diese Weise kann die Bedeutung des Risikomanagements hervorgehoben und ein Anstoß zur Behebung eventuell bestehender Defizite gegeben werden. Vor allem für kleinere und mittelgroße Konzerne, bei denen eine Institutionalisierung der internen Revision aus Wirtschaftlichkeitsgründen nicht sinnvoll ist, bieten Self- Audits eine mögliche Alternative. Nachteilig könnte indes sein, dass sie als zusätzliche Arbeitsbelastung empfunden werden und daher auf mangelnde Akzeptanz bei den betroffenen Entscheidungsträgern stoßen. Aus ökonomischer Sicht ist davon auszugehen, dass die mit wachsender Konzerngröße zunehmenden Informationsasymmetrien zwischen der Konzernobergesellschaft und den anderen Konzernunternehmen eine intensivere Überwachung des Risikomanagements erfordern. Es ist deshalb zu vermuten, dass die konkrete Ausgestaltung der prozessintegrierten Überwachung des Risikomanagementsystems durch die Konzerngröße beeinflusst wird.2 Diese kontextuelle Relativierung führt zu folgender Hypothese: H49: Je größer der Konzern, desto intensiver erfolgt eine prozessintegrierte Überwachung des Risikomanagementsystems. 1 Vgl. Lück/Jung (1994), S. 151; Reinecke/Wagner (2000), S. 196f.; Wagner/Mikat (2000), S. 146. 2 Vgl. Lück (2003), S. 347. 202 2  Gestaltung des Risikomanagementsystems im Konzern Ferner liegt die Vermutung nahe, dass die Intensität prozessintegrierter Überwachung auch von der Umweltdynamik abhängt. Eine hohe Dynamik in der Umwelt bedingt eine höhere Unsicherheit, der mit geeigneten Sicherungsmaßnahmen und Kontrollen begegnet werden kann. Es wird daher folgender Zusammenhang prognostiziert: H50: Je höher die Umweltdynamik, desto intensiver erfolgt eine prozessintegrierte Überwachung des Risikomanagementsystems. Zur Überprüfung dieser Hypothesen wurde im Rahmen der empirischen Studie danach gefragt, wie intensiv Sicherungsmaßnahmen und Kontrollen eingesetzt werden, um die Funktionsfähigkeit des Risikomanagementsystems konzernweit sicherzustellen (vgl. Frage A.4.1). Hierbei wurden mit Konzernrichtlinien zu risikorelevanten Themen, in das Risikomanagementsystem integrierten Kontrollen und Self-Audits drei zentrale Überwachungsmaßnahmen zur Einschätzung vorgegeben. Zudem wurde mit einer Kategorie „sonstige“ die Möglichkeit zur Angabe weiterer Überwachungsformen eröffnet. Da es sich bei der prozessintegrierten Überwachung auch um eine klassische Domäne der internen Revision handelt, wurde diese Frage auch in den zweiten Fragebogen zur Prüfung des Risikomanagements durch die interne Revision aufgenommen (vgl. Frage B.3.1), um auf diese Weise eine zweite Einschätzung zu diesem Themenkomplex zu erhalten. 2.3.4.2 Prozessunabhängige Überwachung des Risikomanagements Während die vorstehend betrachteten prozessintegrierten Überwachungsmaßnahmen – mit Ausnahme der Self-Audits – kontinuierlich Anwendung finden, wird die prozessunabhängige Überwachung i.d.R. zu mehr oder weniger regelmäßigen Zeitpunkten durchgeführt. Der Überwachungsträger nimmt hierbei eine neutrale Rolle ein, da er selbst nicht für den zu prüfenden Prozess verantwortlich ist. Als prozessunabhängige interne Überwachungsträger für das Risikomanagementsystem sind im Folgenden die Konzernrevision und Aufsichtsräte in den Tochtergesellschaften zu betrachten. 2.3.4.2.1 Überwachung durch die Konzernrevision 2.3.4.2.1.1 Zur Rolle der Konzernrevision im Risikomanagement Die Konzernrevision stellt wie die interne Revision in einem Einzelunternehmen eine unabhängige Instanz dar, die der Konzernleitung unterstellt ist und in ihrem Auftrag Prüfungen zur Ordnungsmäßigkeit und Zweckmäßigkeit der Prozesse und Strukturen im Konzern durchführt.1 Die Konzernrevision ist somit die interne Revision des Konzerns.2 Ihr Prüfungsfeld erstreckt sich – im Rahmen der 1 Neben dieser institutionalen Sichtweise kann Konzernrevision auch im funktionalen Sinne als interne, prozessunabhängige Überwachungsaufgabe im Konzern verstanden werden; vgl. Lindner (2001), S. 175. 2 Vgl. Breng (1955), S. 352; Hofmann (1972), S. 64; Zünd (1973), S. 190ff.; Theisen (2000), S. 242; Obermayr (2003), S. 12ff. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 203 gesellschaftsrechtlichen Möglichkeiten – auf alle Konzerngesellschaften. Obgleich es im Ermessen des Vorstands liegt, wie er die Funktionsfähigkeit des Risikomanagementsystems überwacht, liegt es aufgrund der Stellung und des Aufgabengebiets der internen Revision nahe, diese auch mit der Prüfung des Risikomanagementsystems zu betrauen. Eine gesetzliche Verpflichtung, eine Revisionseinheit im Konzern einzurichten und das Risikomanagementsystem durch diese prüfen zu lassen, besteht indes nicht, da weder § 91 Abs. 2 AktG noch die dazugehörige Gesetzesbegründung eine derartige Vorgabe machen.1 Aus diesem Grunde kann der Vorstand auch selbst eine Prüfung durchführen oder diese Aufgabe an andere Stellen delegieren (z.B. an das Controlling). Sofern diese Stellen am Risikomanagementprozess beteiligt sind, ist allerdings keine prozessunabhängige, neutrale Prüfung gewährleistet. Vor diesem Hintergrund hat die interne Revision mit den durch das KonTraG konkretisierten Anforderungen an das Risikomanagement an Bedeutung gewonnen.2 Doch auch international wird der internen Revision eine zentrale Rolle im Risikomanagement zugesprochen.3 So fordern die „Standards for the Professional Practice of Internal Auditing“ des amerikanischen Institute of Internal Auditors (IIA) eine Unterstützung des Risikomanagements durch die interne Revision: „The internal audit activity should assist the organization by identifying and evaluating significant exposures to risk and contributing to the improvement of risk management and control systems. … internal audit activity should monitor and evaluate the effectiveness of the organization’s risk management system.“4 In Deutschland hat das Deutsche Institut für Interne Revision im Jahr 2001 den IIR Revisionsstandard Nr. 2 „Prüfung des Risikomanagement durch die Interne Revision“ veröffentlicht, um der Praxis eine Orientierungshilfe für die interne Prüfung des Risikomanagementsystems an die Hand zu geben.5 Danach soll die interne Revision die Existenz, Ordnungsmäßigkeit, Funktionsfähigkeit und Zweckmäßigkeit des Risikomanagementsystems prüfen.6 Ebenso weist das IDW in IDW PS 340 auf die Prüfung des Risikomanagementsystems durch die interne Revision hin, die damit auch zum Prüfungsobjekt des Abschlussprüfers nach § 317 Abs. 4 HGB wird. Neben der Prüfungsaufgabe kann die interne Revision ferner an der Konzeption und Implementierung des Risikomanagementsystems beratend mitwir- 1 Vgl. Kajüter (2003a), S. 67; Neubeck (2003), S. 104; Weiss/Heiden (2003), Rn. 113. 2 Vgl. Amling/Bischof (1999), S. 59; Heinhold/Wotschofsky (2002), Sp. 1221. 3 Vgl. Ruud/Linsi (1999), S. 1152f.; Ruud/Bodenmann (2001), S. 526. 4 IIA (2002), S. 14. Diese berufsständische Verlautbarung trat am 1.1. 2002 in überarbeiteter Fassung in Kraft und wurde vom Deutschen Institut für Interne Revision übernommen; vgl. Peemöller (2002). 5 Vgl. IIR (2001a). Kritisch anzumerken ist, dass dieser Revisionsstandard sich stark an die Konzeption des Risikomanagementsystems von Lück (2003) anlehnt (zur Kritik an dieser Konzeption vgl. Abschnitt 1.4.2.2) und terminologisch nicht mit dem zuvor vom IDW entwickelten Prüfungsstandard IDW PS 340 abgestimmt ist. 6 Vgl. IIR (2001a), Rn. 12ff. 204 2  Gestaltung des Risikomanagementsystems im Konzern ken.1 Hierfür erscheint sie aufgrund ihres tätigkeitsbedingt guten Überblicks über bestehende Abläufe und Strukturen des Konzerns besonders prädestiniert. Durch die Begleitung des Implementierungsprozesses können zudem eventuell bestehende Schwächen der Konzeption erkannt, Verbesserungsvorschläge für die Weiterentwicklung abgeleitet und erste Anhaltspunkte für spätere Prüfungen gewonnen werden. Die laufende Koordination des Risikomanagementsystems im Konzern sollte dagegen nicht der Konzernrevision übertragen werden, da dies mit ihrer neutralen, prozessunabhängigen Position nicht zu vereinbaren ist.2 Analog zu den Überlegungen bei der prozessintegrierten Überwachung ist davon auszugehen, dass auch die Existenz einer Konzernrevision und damit die Prüfung des Risikomanagementsystems durch diese von der Konzerngröße determiniert wird. Mit zunehmender Konzerngröße wächst die Distanz zwischen der Konzernleitung und den dezentralen Entscheidungsträgern und erschwert die Führung. Die Überwachung wird damit umso wichtiger, kann gleichzeitig aber weniger gut von der Konzernleitung selbst ausgeübt werden. Es ist daher folgender Zusammenhang zu vermuten: H51: Je größer der Konzern, desto eher erfolgt eine prozessunabhängige Überwachung des Risikomanagementsystems durch die Konzernrevision. Um diese Hypothese prüfen zu können, wurde im Rahmen der empirischen Erhebung danach gefragt, ob das Risikomanagementsystem durch die interne Revision geprüft wird (vgl. Frage A.4.2). Da die interne Revision auf unterschiedliche Art und Weise im Konzern institutionell verankert sein kann, wurden dabei drei in der Literatur diskutierte Organisationsformen als Antwortalternativen vorgegeben (zentrale Revision in der Konzernmutter, dezentrale Revisionsabteilungen in den Tochtergesellschaften, eine konzerneigene, rechtlich selbstständige Revisionsgesellschaft).3 Sofern keine Prüfung des Risikomanagementsystems durch die interne Revision stattfindet, standen ebenfalls mehrere Antwortmöglichkeiten zur Wahl (Prüfung durch die interne Revision geplant, Prüfung durch Vorstand, Prüfung durch andere Abteilung, Prüfung nur durch Wirtschaftsprüfer oder sonstige Personen, z.B. externe Dienstleister). In einer Umfrage unter Mitgliedern des Deutschen Instituts für Interne Revision im Jahre 2003 wurde das Thema Risikomanagement von 70% der Respondenten als besonders aktuell für den Berufsstand eingestuft.4 Es stand damit an erster Stelle vor anderen Themen wie der Prüfung des internen Kontrollsystems oder der Zusammenarbeit mit dem Abschlussprüfer. Im Gegensatz zu der hohen Bedeutung des Risikomanagements für die interne Revision liegen bislang keine 1 Vgl. IIR (2001a), Rn. 6; Kromschröder/Lück (1998), S. 1575f.; Amling/Bischof (1999), S. 58f.; IIR‐Arbeitskreis „Interne Revision in der Versicherungswirtschaft“ (1999), S. 196; Bumbacher/ Hodel (2000), S. 1055; Schneider (2000), S. 204; Bolsenkötter (2001), Rn. 121; Lück/Henke (2004), S. 10; Diederichs (2010), S. 231. 2 Vgl. IIR (2001a), Rn. 6; Bolsenkötter (2001), Rn. 121; Diederichs (2010), S. 231. 3 Vgl. zu diesem Gestaltungsalternativen Breng (1955), S. 353; Obermayr (2003), S. 92f. 4 Vgl. Lück/Henke (2004), S. 3f. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 205 empirisch fundierten Erkenntnisse über die Prüfung des Risikomanagementsystems durch die interne Revision vor. Auch allgemein ist, wie die Analyse des Forschungsstandes in Abschnitt 1.4.3 gezeigt hat, die empirische Forschung auf dem Gebiet der internen Revision sehr gering ausgeprägt. Aus diesem Grunde erscheint es sinnvoll, diesem Defizit mit der vorliegenden Studie dadurch entgegen zu wirken, dass die Prüfung des Risikomanagementsystems durch die interne Revision eingehender betrachtet und empirisch analysiert wird. Angesichts des geringen Erkenntnisstandes hat dieser Teil der empirischen Studie primär explorativen Charakter. Er ist, wie in Abschnitt 1.5.2.5 erwähnt, zudem nur für einen Teil der Stichprobe relevant, da nicht alle Konzerne eine interne Revision institutionalisiert haben. Um zunächst einen Einblick in die organisatorische Eingliederung und die Größe der internen Revision im Konzern zu gewinnen, wurde im Rahmen des zweiten, an die Konzernrevision gerichteten Fragebogens zum Ersten nach den Revisionseinheiten und der Anzahl der dort beschäftigten Revisoren gefragt (vgl. Frage B.1.1 und B.1.2). Darüber hinaus wurde die Rolle der internen Revision im Risikomanagement erhoben. Dazu wurde gefragt, ob und wenn ja in welchem Ausmaß die interne Revision an der Konzeption und Weiterentwicklung, der Implementierung, der laufenden Betreuung/Koordination und der Prüfung des Risikomanagementsystems im Konzern beteiligt ist (vgl. Frage B.2.1). Schließlich wurde das Jahr der erstmaligen Prüfung des Risikomanagementsystems und der Umfang der für dieses Aufgabengebiet eingesetzten Personalkapazität erfragt (vgl. Frage B.2.6 und B.2.10). Diese Angaben zielten darauf ab, die Erfahrung der Konzerne in diesem Bereich und die ihm beigemessene Bedeutung zu explorieren. Nachfolgend werden nunmehr verschiedene Einzelaspekte der Risikomanagementsystemprüfung detaillierter beleuchtet, wobei der Fokus der Problemstellung der Arbeit entsprechend auf konzernrelevanten Fragestellungen liegt. 2.3.4.2.1.2 Prüfung des Risikomanagementsystems durch die Konzernrevision Zu den in diesem Abschnitt betrachteten Fragen der Risikomanagementsystemprüfung gehören der Kreis der durch die interne Revision geprüften Konzerngesellschaften, das Ausmaß der Zentralisierung der Prüfung, Form und Frequenz sowie Inhalte derselben, die Berichterstattung über die Prüfungsergebnisse und die Abstimmung der internen Revision mit dem Abschlussprüfer. (1) Kreis der geprüften Konzerngesellschaften Für die Prüfung des Risikomanagementsystems durch die interne Revision kommen grundsätzlich all jene Konzerngesellschaften in Betracht, die auch in das konzernweite Risikomanagementsystem integriert sind. In Abschnitt 2.3.1.3.1 wurden diesbezüglich vor allem die Einbeziehung von Tochtergesellschaften, Gemeinschaftsunternehmen und assoziierten Unternehmen diskutiert und die Möglichkeiten und Grenzen einer Integration dieser Gesellschaften aufgezeigt. Neben Zweckmäßigkeitsüberlegungen waren dabei auch rechtliche Restriktionen zu berücksichtigen. Ähnlich verhält es sich bei der Prüfung des Risikomanagementsystems, die i.d.R. von der zentralen Revision in der Konzernmutter gesteuert wird. Hierbei erscheint es sinnvoll, die Auswahl der zu prüfen- 206 2  Gestaltung des Risikomanagementsystems im Konzern den Konzerngesellschaften von deren Risikopotenzial abhängig zu machen. Daneben stellt sich die grundlegende Frage, ob und inwieweit die zentrale Revision überhaupt berechtigt ist, das Risikomanagementsystem in den einzelnen inund ausländischen Konzerngesellschaften zu prüfen. Da es ein gesetzliches Prüfungsrecht der Konzernmutter gegenüber den Tochtergesellschaften im deutschen Recht nicht gibt, hängt die Prüfung letztlich von den jeweiligen Einflussmöglichkeiten des Mutterunternehmens ab.1 Im Eingliederungs- und Vertragskonzern kann die Konzernmutter von ihrem allgemeinen Weisungsrecht Gebrauch machen.2 Beim faktischen Aktienkonzern bedürfen Prüfungshandlungen in einem abhängigen Unternehmen dagegen der Zustimmung durch dessen Vorstand.3 Im Falle ausländischer Konzerngesellschaften werden die Prüfungsmöglichkeiten der internen Revision durch die faktischen Machtverhältnisse sowie das jeweilige nationale Gesellschaftsrecht bestimmt. Unabhängig davon kann ein Prüfungsrecht in der Satzung oder im Gesellschaftsvertrag vertraglich vereinbart werden. Dies bietet sich vor allem dann an, wenn die betreffenden Unternehmen über keine eigene interne Revision verfügen oder wenn es sich um Gemeinschaftsunternehmen oder bedeutsame Minderheitsbeteiligungen handelt.4 Vor diesem Hintergrund wurde im Rahmen der empirischen Studie zum einen danach gefragt, bei welchem Anteil der Tochterunternehmen, Gemeinschaftsunternehmen und assoziierten Unternehmen das Risikomanagementsystem durch die interne Revision geprüft wird (vgl. Frage B.2.2). Zum anderen wurde um eine Einschätzung gebeten, wie häufig die Prüfung der zentralen Revision auf faktischem Einfluss, Beherrschungsvertrag oder Vereinbarungen in der Satzung bzw. im Gesellschaftsvertrag beruht (vgl. Frage B.2.4). (2) Zentralisierung der Prüfung Sind die Konzerngesellschaften bestimmt, in denen das Risikomanagementsystem geprüft werden soll, ist weiter zu klären, von wem die Prüfung durchgeführt wird. Diese Frage stellt sich immer dann, wenn neben der zentralen Revision in der Konzernmutter auch dezentrale Revisionseinheiten in den Konzerngesellschaften vor Ort existieren. In diesem Fall ist über das Ausmaß der Zentralisierung bzw. Dezentralisierung der Prüfung zu entscheiden.5 Für eine Zentralisierung der Prüfungsaufgaben sprechen die leichtere Durchsetzbarkeit einheitlicher Prüfungsstandards, die Möglichkeit zur Bündelung von spezifischem Know-how im Bereich Risikomanagement sowie der bessere Überblick über die Gesamtrisikolage des Konzerns. Letztere kann bedeutsam sein, um In- 1 Vgl. Schoppel (1998), S. 203; Kajüter (2003a), S. 68. 2 Dies ist ebenso bei einer abhängigen GmbH per Gesellschafterbeschluss möglich. 3 Vgl. Götz (1998), S. 538; Löbbe (2003), S. 213. 4 Vgl. Zünd (1992), Sp. 1050; Schoppel (1998), S. 203; Heinhold/Wotschofsky (2002), Sp. 1226. 5 Vgl. zu dieser organisatorischen Frage auch Abschnitt 2.3.1.2.2. Für die Vor- und Nachteile der Zentralisierung bzw. Dezentralisierung der Konzernrevision im Allgemeinen vgl. Freiling (1972), S. 361; Hayn (1977), S. 196; Giezendanner (1992), S. 183f.; Zünd (1992), Sp. 1053; Reinecke (1995), S. 421ff.; Heinhold/Wotschofsky (2002), Sp. 1226; Lindner/Dum‐ storf (2004), S. 18ff.; Peemöller/Husmann (2004), S. 448f. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 207 terdependenzen zwischen Risiken verschiedener Teilkonzerne oder Gesellschaften zu erkennen. Andererseits bietet aber auch die Delegation der Prüfungsaufgaben an dezentrale Revisionsstellen Vorteile, die bei einer Zentralisierung der Risikomanagementsystemprüfung nicht wahrgenommen werden können. Die Vorteile der Dezentralisierung liegen insbesondere in der besseren Kenntnis der lokalen Revisoren über die Risikolage des zu prüfenden Unternehmens sowie dessen rechtliche, wirtschaftliche und kulturelle Umwelt.1 Vorteilhaft sind weiterhin die geringeren Kosten der Prüfungsdurchführung (z.B. aufgrund geringerer Reisekosten) sowie die i.d.R. größere Akzeptanz dezentraler Revisionseinheiten, welche die Effektivität und Effizienz der Prüfung fördert. Angesichts dieser unterschiedlichen Argumente ist im Einzelfall abzuwägen, in welchem Ausmaß die Prüfungsaufgaben zu (de)zentralisieren sind. Dabei ist auch eine gemeinsame Prüfung von zentraler und dezentraler Revision möglich. Von der Aufgabenzentralisierung ist die Entscheidungszentralisierung abzugrenzen. Auch wenn die Prüfung von dezentralen Revisionseinheiten durchgeführt wird, kann die Entscheidung über den Zeitpunkt, die Inhalte und den Ablauf der Risikomanagementsystemprüfung der zentralen Revision der Konzernmutter vorbehalten bleiben. Dies erleichtert i.d.R. die Koordination der Prüfung im Konzern, sichert einheitliche Standards und wahrt die Interessen der Konzernobergesellschaft. Auf der anderen Seite bietet die Gewährung von Entscheidungsautonomie den Vorteil, dass sich die dezentralen Revisionseinheiten gewöhnlich stärker mit den Prüfungszielen identifizieren. Um das Ausmaß der Zentralisierung empirisch zu analysieren, wurde sowohl nach der Aufgaben- als auch nach der Entscheidungszentralisierung gefragt. Im Hinblick auf Erstere wurde eine fünfstufige Ratingskala vorgegeben, deren Endpunkte die völlige Zentralisierung bzw. Dezentralisierung der Prüfungsdurchführung kennzeichneten (vgl. Frage B.2.3). Das Ausmaß der Entscheidungsautonomie, das den Tochterunternehmen in Bezug auf die interne Prüfung des Risikomanagementsystems eingeräumt wird, wurde anhand von drei Entscheidungstatbeständen (Festlegung von Prüfungszyklen, Prüfungsschwerpunkten, Prüfungsablauf) ebenfalls auf einer Ratingskala erhoben (vgl. Frage B.2.5). (3) Form und Frequenz der Prüfung Die Prüfung des Risikomanagementsystems durch die interne Revision stellt eine Systemprüfung dar.2 Gegenstand einer solchen Prüfung sind nicht einzelne Risiken oder einzelne Prozesse ihrer Handhabung, sondern das Risikomanagementsystem als Ganzes.3 Im Mittelpunkt stehen dabei die allgemeinen Systemabläufe, wobei die Annahme zugrunde liegt, dass ein ordnungsgemäß funktionierendes Risikomanagementsystem auch ordnungsgemäße Ergebnisse produziert. Es handelt sich insofern bei der Prüfung des Risikomanagementsystems um eine indi- 1 Vgl. Kajüter (2003a), S. 69. 2 Vgl. Kromschröder/Lück (1998), S. 1576; Pfitzer/Schmidt (2002), Sp. 2343f. Dies gilt in gleicher Weise für die Prüfung durch den Abschlussprüfer; vgl. dazu IDW PS 340, Rn. 19; Marten et al. (2007), S. 286ff. 3 Vgl. zur Systemprüfung allgemein Pfitzer/Schmidt (2002). 208 2  Gestaltung des Risikomanagementsystems im Konzern rekte Prüfung. Sie findet ihre Grenze darin, dass auch Systemprüfungen die Durchführung von Einzelfallprüfungen niemals völlig ersetzen können. Beide Prüfungsformen ergänzen sich vielmehr gegenseitig, um auf wirtschaftliche Art und Weise zu einem möglichst sicheren Prüfungsurteil zu gelangen. Die Prüfung des Risikomanagementsystems kann als eigenständige Systemprüfung durchgeführt oder in die regulären Prüfungen der internen Revision integriert werden. Ersteres bietet den Vorteil, dass die Prüfung des Risikomanagementsystems von den anderen Prüfungen zeitlich entzerrt wird und so besondere Aufmerksamkeit erlangt. Zudem können in diesem Fall die Ergebnisse einer zeitlich vorgelagerten Prüfung in die allgemeine Prüfungsplanung der Konzernrevision einfließen. Andererseits sind separate Systemprüfungen aber mit größeren Aufwand verbunden, vor allem dann, wenn Risikomanagementsysteme in ausländischen Tochtergesellschaften geprüft werden. Zur Frequenz einer internen Prüfung des Risikomanagementsystems werden in der Literatur nur allgemeine Aussagen gemacht; es wird eine Prüfung in „angemessenen Zeitabständen“1 gefordert. Der Revisionsstandard Nr. 2 des IIR weist darauf hin, dass die Häufigkeit der Prüfungen „u.a. in Abhängigkeit von der Komplexität der Wertschöpfung, Unternehmensgröße und Dynamik der Unternehmensentwicklung festzulegen“2 ist. Da sich der Aufbau und der Ablauf eines Risikomanagementsystems nach dessen Implementierung i.d.R. nur inkrementell verändern, erscheint eine jährliche vollständige Systemprüfung in allen Konzerngesellschaften nicht erforderlich.3 Vielmehr dürfte es im Regelfall ausreichen, die wesentlichen Änderungen des Systems im Rahmen der turnusmäßigen Prüfungen zu beurteilen und zu dokumentieren und umfassendere Systemprüfungen in bestimmten Prüfungszyklen vorzunehmen. Die Festlegung der Prüfungszyklen kann sich dabei auch an der Risikolage der zu prüfenden Gesellschaft orientieren. Da bislang zu den vorstehend diskutierten Aspekten keine empirischen Befunde vorliegen, wurden die Respondenten danach gefragt, in welcher Form und wie häufig unter normalen Umständen das Risikomanagementsystem in den Konzerngesellschaften von der internen Revision geprüft wird (vgl. Frage B.2.7). (4) Inhalte der Prüfung Im Rahmen der Systemprüfung bilden der Aufbau, die Funktionsfähigkeit und die Wirtschaftlichkeit des Risikomanagementsystems zentrale zu prüfende und zu beurteilende Merkmale. Die Prüfung geht somit über eine formale Ordnungsmäßigkeitsprüfung hinaus, da sie auch eine inhaltliche Beurteilung des implementierten Risikomanagementsystems einschließt. Dies betrifft z.B. die Frage, ob die geplanten oder ergriffenen Maßnahmen zur Risikobewältigung sachgerecht und wirtschaftlich sinnvoll sind. Gerade in diesem Aspekt geht die Prüfung des Risikomanagementsystems durch die interne Revision über jene des Abschlussprüfers hinaus, der nach § 317 Abs. 4 HGB lediglich die Existenz, 1 Kromschröder/Lück (1998), S. 1576. 2 IIR (2001a), Rn. 14. 3 Vgl. allgemein Pfitzer/Schmidt (2002), Sp. 2348. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 209 Eignung und Funktionsfähigkeit der Risikofrüherkennung und die interne Überwachung derselben zu prüfen hat.1 Einzelne durch die interne Revision zu prüfende Teilaspekte des Risikomanagementsystems werden in dem IIR Revisionsstandard Nr. 2 genannt.2 Danach ist insbesondere zu prüfen, ob • die Verantwortlichkeiten für das Risikomanagement klar geregelt sind, • das Risikomanagementsystem dokumentiert ist, • die tatsächlichen Abläufe dem definierten System entsprechen, • alle wesentlichen Risiken erfasst sind, • die Risiken plausibel bewertet sind, • alle berichtspflichtigen Risiken tatsächlich intern berichtet wurden, • geplante risikopolitische Maßnahmen umgesetzt worden sind, • die risikopolitischen Maßnahmen zweckmäßig und wirtschaftlich sinnvoll sind, • die Maßnahmen zur Verbesserung des Risikomanagementsystems umgesetzt worden sind. Während die vorstehend aufgeführten Sachverhalte grundsätzlich in jeder Konzerngesellschaft zu prüfen sind und sich daher nicht grundlegend von der Prüfung in einem Einzelunternehmen unterscheiden, sind aus Konzernsicht weitere Aspekte zu berücksichtigen, die einer Prüfung durch die zentrale Revision bedürfen. Dazu gehört u.a. die Frage, ob alle wesentlichen Konzerngesellschaften in das Risikomanagementsystem der Konzernmutter integriert sind. Dieser Frage kommt vor allem dann besondere Bedeutung zu, wenn Tochtergesellschaften neu gegründet oder akquiriert wurden oder sich größere Veränderungen in den Beteiligungsverhältnissen ergeben haben. Um die Vollständigkeit des Risikokonsolidierungskreises zu prüfen, kann z.B. auf die Angaben zum Beteiligungsbesitz gemäß § 285 Nr. 11 und § 313 HGB zurückgegriffen werden.3 Weitere durch die zentrale Revision im Konzern zu prüfende Aspekte sind die vollständige Erfassung von Risiken aus Beteiligungsverhältnissen und die sachgerechte Aggregation der Einzelrisiken verschiedener Konzerngesellschaften. Um einen detaillierteren Einblick in die Inhalte der Prüfung zu gewinnen, wurde im Rahmen der empirischen Studie um eine Einschätzung gebeten, wie häufig bzw. intensiv die skizzierten Sachverhalte durch die interne Revision geprüft werden (vgl. Frage B.2.8 und B.2.9). (5) Berichterstattung über Prüfungsergebnisse Da die Konzernrevision den Auftrag zur Prüfung des Risikomanagementsystems vom Konzernvorstand erhält, ist es konsequent, dass sie diesen über die Prüfungsergebnisse informiert. Auf der Grundlage der Prüfungsberichte kann 1 Vgl. zur Abgrenzung des Prüfungsgegenstandes nach § 317 Abs. 4 HGB auch IDW PS 340, Rn. 6. 2 Vgl. IIR (2001a), Rn. 15ff. 3 Vgl. IIR (2001a), Rn. 21. 210 2  Gestaltung des Risikomanagementsystems im Konzern der Konzernvorstand die Beseitigung festgestellter Schwachpunkte veranlassen und so seiner Überwachungsverantwortung gerecht werden. Fraglich ist, ob die zentrale Revision auch den Konzernaufsichtsrat und den Prüfungsausschuss (Audit Committee)1 von den Ergebnissen der Risikomanagementsystemprüfung informieren sollte. Diese Frage wird im Bereich der Corporate Governance kontrovers diskutiert.2 Auf der einen Seite wird argumentiert, dass der Aufsichtsrat und der Prüfungsausschuss ihre Überwachungsaufgaben umso besser erfüllen können, je umfassender sie über das interne Überwachungssystem und damit vor allem über die Arbeit der internen Revision informiert sind. Dem wird im angloamerikanischen Raum oftmals dadurch Rechnung getragen, dass die interne Revision dem Audit Committee unterstellt wird, das auf diese Weise einen direkten Zugang zu den Prüfungsergebnissen der internen Revision erhält.3 Im deutschen System der Corporate Governance ist eine Unterstellung der internen Revision unter den Aufsichtsrat oder den Prüfungsausschuss indes problematisch, da sie der dualistischen Unternehmensverfassung widerspricht.4 Durch den Einfluss auf die Prüfungsplanung würden der Aufsichtsrat oder der Prüfungsausschuss selbst Führungsfunktionen übernehmen. Zudem bestünde bei einer direkten Berichterstattung der internen Revision an das Aufsichtsorgan die Gefahr, dass das Vertrauensverhältnis zwischen interner Revision und Vorstand beeinträchtigt wird. Gleichwohl wird in der Literatur ein Informationsmonopol des Vorstands abgelehnt und eine Hinzuziehung des Revisionsleiters zu bestimmten Tagesordnungspunkten der Aufsichtsratssitzungen für sinnvoll und zulässig erachtet.5 Dies gilt vor allem für Themen, die das Risikomanagementsystem im Konzern betreffen. Im Rahmen der empirischen Studie wurde daher danach gefragt, wie intensiv der Konzernvorstand, aber auch der Konzernaufsichtsrat und – sofern vorhanden – das Audit Committee durch die interne Revision über ihre Ergebnisse der Prüfung des Risikomanagementsystems informiert werden (vgl. Frage B.2.12). (6) Abstimmung mit dem Abschlussprüfer Die vorstehend skizzierte Prüfung des Risikomanagementsystems durch die interne Revision ist ein Aufgabengebiet, das enge Berührungspunkte und Überschneidungen mit der für börsennotierte Aktiengesellschaften gesetzlich vorgeschriebenen externen Prüfung des Risikomanagementsystems durch den Abschlussprüfer aufweist (§ 317 Abs. 4 HGB). Um Doppelarbeiten zu vermeiden 1 Die Einrichtung eines Prüfungsausschusses (Audit Committee) ist nach § 107 Abs. 2 AktG möglich und wird vom DCGK empfohlen (Rn. 5.3.2). Zu Audit Committees vgl. allgemein Richter (2002). 2 Vgl. z.B. Lück (2002), S. 258; Berens/Schmitting (2003), S. 370; Kropff (2003), S. 349; Theisen (2003), S. 1428; Lück/Henke (2004), S. 11ff.; AKEU/AKEIÜ (2009), S. 1282; Lanfermann/Röh‐ richt (2009), S. 890. 3 Vgl. Amling/Bischof (1999), S. 48; Schneider (2000), S. 205. 4 Vgl. Schneider (2000), S. 205; Lück/Henke (2004), S. 12. 5 Vgl. Schichold (2001b), S. 413; Kropff (2003), S. 349f.; Lentfer (2003), S. 194ff. Ältere empirische Befunde belegen, dass eine solche Berichterstattung von Vorständen deutscher Konzerne überwiegend skeptisch beurteilt wird; vgl. Coenenberg et al. (1997), S. 992. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 211 und eine wirtschaftliche Prüfungsdurchführung zu gewährleisten, ist es deshalb sinnvoll und erforderlich, dass sich interne Revision und Abschlussprüfer miteinander abstimmen.1 Den Rahmen hierfür geben berufsständische Verlautbarungen des IIR und IDW, welche Grundsätze für die Zusammenarbeit interner und externer Prüfer entwickelt haben.2 Danach kann der Abschlussprüfer bei seiner Prüfung des Risikomanagementsystems auf die Prüfungsergebnisse der internen Revision zurückgreifen. Die Prüfung der internen Revision kann diejenige des Abschlussprüfers jedoch nicht ersetzen. Dieser bleibt weiterhin für seine Prüfungstätigkeit verantwortlich, kann aber die Intensität seiner Prüfung nach pflichtgemäßem Ermessen reduzieren oder verstärken und unter Berücksichtigung der Prüfungsergebnisse der internen Revision eigene Schwerpunkte setzen.3 Umgekehrt sollte sich ebenso die interne Revision bei ihrer Prüfung des Risikomanagementsystems auf die Ergebnisse des Abschlussprüfers stützen.4 Die Prüfung des Risikomanagementsystems durch die internen Revision ist aber, wie oben erwähnt, inhaltlich weiter angelegt, da sie auch eine Beurteilung der Zweckmäßigkeit und Wirtschaftlichkeit der risikopolitischen Maßnahmen beinhalten sollte. Schließlich ist zu berücksichtigen, dass die interne Revision ihren Prüfungsauftrag durch den Konzernvorstand, der Abschlussprüfer den seinen durch den Konzernaufsichtsrat erhält, wodurch sich ggf. unterschiedliche Prüfungsschwerpunkte ergeben können. Die Abstimmung zwischen interner Revision und Abschlussprüfer kann in zeitlicher, inhaltlicher und organisatorischer Hinsicht erfolgen. Im Rahmen der empirischen Studie wurde die Intensität der Abstimmung zwischen beiden Prüfern daher in Bezug auf die Festlegung der Prüfungszyklen, der Prüfungsschwerpunkte und des Prüfungsablaufs erhoben (vgl. Frage B.2.13). 2.3.4.2.2 Überwachung durch Aufsichtsorgane im Konzern 2.3.4.2.2.1 Zur Rolle des Aufsichtsrats im Risikomanagement Der Aufsichtsrat hat allgemein die Aufgabe, den Vorstand bei der Leitung des Unternehmens zu beraten und zu überwachen (§ 111 Abs. 1 AktG; DCGK, Rn. 5.1.1). Im Konzern erweitert sich diese Aufgabe gegenüber dem Einzelunternehmen auf die Konzernleitung.5 Sie schließt, wie in Abschnitt 1.2.3.1.1 erwähnt, auch die Überwachung des Risikomanagementsystems im Konzern ein, da die nach § 91 Abs. 2 AktG geforderten Maßnahmen zur Risikofrüherkennung und deren Überwachung sowie die Maßnahmen zur Risikobewältigung zu den Lei- 1 Vgl. IIR (2001a), Rn. 9; Bolsenkötter (2001), Rn. 148ff.; Diederichs (2010), S. 234. Zur Zusammenarbeit von interner Revision und Abschlussprüfer vgl. allgemein Freiling/Lück (1990); Hofmann (1991). 2 Vgl. IIR (2001b) und IDW PS 321. 3 Vgl. AK „Externe und interne Überwachung der Unternehmung“ (2000); Bolsenkötter (2001), Rn. 149; Diederichs (2010), S. 234. 4 Vgl. IIR (2001a), Rn. 9. 5 Vgl. Scheffler (1994), S. 796ff.; Semler (1996), S. 233ff. 212 2  Gestaltung des Risikomanagementsystems im Konzern tungsaufgaben des Vorstands nach § 76 AktG gehören.1 Die Überwachung des Risikomanagementsystems durch den Aufsichtsrat ist dabei auf die Rechtmä- ßigkeit, Ordnungsmäßigkeit, Zweckmäßigkeit und Wirtschaftlichkeit der vom Vorstand getroffenen Maßnahmen gerichtet.2 Sie geht damit über die Prüfung des Abschlussprüfers nach § 317 Abs. 4 HGB hinaus und wird durch diese nicht ersetzt.3 Vielmehr unterstützt der Abschlussprüfer durch seine Prüfung die Überwachung des Aufsichtsrats. Neben der Kontrolle ergriffener Maßnahmen ist der Aufsichtsrat ebenso zur Be‐ ratung des Vorstands in Fragen des Risikomanagements verpflichtet. Hierauf weist der DCGK ausdrücklich hin (DCGK, Rn. 5.2). Die Beratungspflicht geht jedoch nicht soweit, dass der Aufsichtsrat selbst ein Konzept für das Risikomanagementsystem im Konzern entwickeln oder konkrete Maßnahmen zur Beseitigung von eventuell bestehenden Mängeln ausarbeiten muss.4 Er hat vielmehr den Vorstand durch konstruktives Feedback zu unterstützen und darauf zu achten, dass die von der Konzernrevision oder dem Abschlussprüfer im Rahmen ihrer Prüfung eventuell aufgedeckten Defizite beim Risikomanagementsystem behoben werden. Ignoriert der Vorstand diese Defizite, ist der Aufsichtsrat dazu verpflichtet, den Vorstand zu ihrer Beseitigung zu drängen. Hierzu kann er in einem ersten Schritt durch formalen Beschluss (§ 108 Abs. 1 AktG) eine Stellungnahme verfassen, in der er den Vorstand zur Verbesserung des Risikomanagementsystems auffordert. Kommt der Vorstand dem nicht nach, besteht die Möglichkeit einer Abberufung des entsprechenden Vorstandsmitglieds, sofern eine grobe Pflichtverletzung vorliegt (§ 84 Abs. 3 AktG).5 Dies dürfte immer dann zutreffen, wenn kein Risikomanagementsystem existiert oder dieses den Anforderungen nach § 91 Abs. 2 AktG nicht genügt. Hält der Aufsichtsrat dagegen lediglich andere als die vom Vorstand ergriffenen Maßnahmen für zweckmäßiger oder wirtschaftlicher, stellt dies keinen Grund für eine Abberufung eines Vorstandsmitglieds dar. Nach h.M. ist der Aufsichtsrat in diesem Fall aber dennoch zu einer entsprechenden Stellungnahme verpflichtet.6 Um die Überwachung des Risikomanagementsystems zu intensivieren, kann der Aufsichtsrat einen Prüfungsausschuss  (Audit Committee) einrichten, das sich u.a. mit Fragen des Risikomanagements befasst (§ 107 Abs. 3 AktG; DCGK, Rn. 5.3.2).7 Neben vorbereitenden und koordinierenden Tätigkeiten, wie z.B. der Ausarbeitung von Entscheidungsvorlagen und der Abstimmung der Prüfungspläne von interner Revision und Abschlussprüfer, kann der Aufsichtsrat 1 Vgl. Kohlenbach (2003), S. 211ff.; Lentfer (2003), S. 80ff. 2 Vgl. Gernoth (2001), S. 301; Kindler/Pahlke (2001), S. 76ff.; allgemein Semler (1996), S. 106ff.; Lutter (2002), Sp. 122; Potthoff/Trescher (2003), S. 127ff. 3 Vgl. Hachmeister (1999), S. 1453; Mattheus (1999), S. 694; Kohlenbach (2003), S. 221. 4 Vgl. Lentfer (2003), S. 203f. 5 Ferner besteht grundsätzlich auch die Möglichkeit zur Einberufung einer Hauptversammlung, sofern die Aktionäre über konkrete Gefahren für das Unternehmen oder den Konzern unterrichtet werden müssen. Vgl. dazu Lentfer (2003), S. 228ff. 6 Vgl. Semler (1996), S. 115f. Ein Schweigen des Aufsichtsrats würde demgegenüber als Zustimmung zu werten sein. 7 Vgl. auch AKEU/AKEIÜ (2009); Lanfermann/Röhricht (2009). 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 213 dem Audit Committee auch Entscheidungskompetenzen übertragen (DCGK, Rn. 5.3.4).1 Dadurch werden die übrigen Aufsichtsratsmitglieder indes nicht von ihrer eigenen Überwachungspflicht entbunden. Aus diesem Grunde muss das Audit Committee dem Aufsichtsrat regelmäßig über seine Arbeit berichten (§ 107 Abs. 3 AktG). Dies schließt auch eine Bewertung des Risikomanagementsystems ein.2 Sofern im Konzern auch in den Tochtergesellschaften Aufsichtsorgane existieren, sind diese ebenso zur Überwachung des Risikomanagements verpflichtet wie der Aufsichtsrat der Konzernmutter.3 Allerdings bestehen Unterschiede zwischen den beiden Überwachungsebenen, da der Aufsichtsrat stets nur „seinen“ Vorstand überwacht. Ferner ist zwischen einer vertraglich abhängigen und einer faktisch abhängigen Tochtergesellschaft zu differenzieren. Im Vertragskonzern hat der Tochteraufsichtsrat zum einen das Risikomanagement des eigenen Unternehmens zu überwachen und ist zum anderen auch in die Überwachung des konzernweiten Risikomanagementsystems eingebunden, da er prüfen muss, ob sein Vorstand die Weisungen der Konzernleitung einhält, also das Risikomanagementsystem entsprechend der Konzernvorgaben umgesetzt hat.4 Der Aufsichtsrat der Konzernobergesellschaft kann sich deshalb bei seiner Überwachung des konzernweiten Risikomanagementsystems auf die Überwachung der Tochteraufsichtsräte stützen.5 Im faktischen Konzern muss der Vorstand des abhängigen Unternehmens den Weisungen der Konzernleitung nicht folgen, weshalb die Einhaltung der Weisungen nicht Gegenstand der Überwachungspflicht des betreffenden Aufsichtsrats ist. Gleichwohl muss der Aufsichtsrat eines faktisch konzernierten Tochterunternehmens im Interesse der eigenen Gesellschaft sicherstellen, dass diese in das konzernweite Risikomanagementsystem integriert ist und auf diese Weise über Risiken aus dem Konzernverbund informiert wird.6 Darüber hinaus müssen Konzern- und Tochteraufsichtsrat im faktischen Konzern darauf achten, dass die Konzernleitung nicht derart auf die Tochtergesellschaft einwirkt, dass die Schwelle zum 1 Bestimmte Entscheidungstatbestände, wie z.B. die Einberufung einer Hauptversammlung oder die Bestellung von Vorstandsmitgliedern, sind hiervon ausgenommen (§ 107 Abs. 3 AktG). 2 Vgl. Lentfer (2003), S. 247. 3 Die Bildung von Aufsichtsräten in Tochtergesellschaften ist nicht generell zwingend, sondern hängt von deren Rechtsform und den Regeln der Mitbestimmung ab (vgl. Pott‐ hoff/Trescher (2003), S. 10ff.). Während Tochterunternehmen in der Rechtsform der AG stets über einen Aufsichtsrat verfügen, sind Tochtergesellschaften in der Rechtsform der GmbH nur dann dazu verpflichtet einen solchen einzurichten, wenn der Gesellschaftsvertrag (§ 52 GmbHG) oder die gesetzlichen Vorschriften der Mitbestimmung (§ 6 MitbestG; §§ 76, 77 BetrVG) dies verlangen. Bei Personenunternehmen kann ein aufsichtsratsähnlicher Beirat gebildet werden (vgl. Scheffler (2000), S. 840). Die folgenden Ausführungen fokussieren das Aktienrecht, da diesem eine Vorbildfunktion für Aufsichtsorgane in Unternehmen mit anderer Rechtsform zukommt. 4 Vgl. Scheffler (1994), S. 799. 5 Vgl. Kohlenbach (2003), S. 252ff.; allgemein Hommelhoff (1996), S. 157. 6 Vgl. Kohlenbach (2003), S. 272f. 214 2  Gestaltung des Risikomanagementsystems im Konzern qualifiziert faktischen Konzern überschritten und damit die Haftungsseparation zwischen den Konzerngesellschaften durchbrochen wird.1 Zur Erfüllung seiner Überwachungsaufgabe kann der Tochteraufsichtsrat grundsätzlich auf dieselben Informationsquellen zurückgreifen wie der Konzernaufsichtsrat. Im Gegensatz zu der regelmäßigen Vorstandsberichterstattung (§ 90 Abs. 1 AktG) und dem Einsichts- und Prüfungsrecht (§ 111 Abs. 2 AktG)2 wird ein Prüfungsbericht des Abschlussprüfers nach § 321 Abs. 4 HGB allerdings nur zur Verfügung stehen, wenn eine freiwillige oder – sofern die Tochtergesellschaft selbst börsennotiert ist – pflichtgemäße Prüfung des Risikomanagementsystems stattgefunden hat. Zusammenfassend ist festzuhalten, dass beim Aufsichtsrat im Konzern (mindestens) zwei Überwachungsebenen existieren, sofern auch die Tochtergesellschaften über ein Aufsichtsorgan verfügen. Konzern- und Tochteraufsichtsrat ergänzen sich im Sinne einer vernetzten Aufsichtsratsüberwachung3; beiden obliegt – mit unterschiedlichem Fokus – die Überwachung des Risikomanagementsystems im Konzern. Angesichts vielfach bestehender Personalunion zwischen Mitgliedern des Konzernvorstands und Mitgliedern der Töchteraufsichtsräte kann die Aufsichtsratsüberwachung in Tochtergesellschaften auch als Maßnahme der internen Überwachung charakterisiert werden. Auf den Beitrag personeller Verflechtungen zur internen Überwachung des Risikomanagementsystems wird im folgenden Abschnitt näher eingegangen. 2.3.4.2.2.2 Personelle Verflechtungen Unter personellen Verflechtungen zwischen Organmitgliedern wird die gleichzeitige Wahrnehmung von Leitungs- bzw. Überwachungsfunktionen in Mutterund Tochterunternehmen eines Konzerns verstanden.4 Aus theoretischer Sicht lassen sich solche Formen der Personalunion mit Hilfe der Neuen Institutionen- ökonomie erklären.5 Der Agency-Theorie zufolge besteht z.B. zwischen dem Vorstand der Konzernmutter (Prinzipal) und dem Vorstand oder Aufsichtsrat eines Tochterunternehmens (Agent) eine Prinzipal-Agenten-Beziehung, wobei der Prinzipal damit rechnen muss, dass der Agent eigene Ziele verfolgt, die denen der Konzernleitung widersprechen. Die aus diesem Agency-Problem resultierenden Agency-Kosten, z.B. in Form von Überwachungskosten, können durch personelle Verflechtungen reduziert werden. In ähnlicher Weise tragen personelle Verflechtungen zu einer Reduktion der Transaktionskosten im Konzern bei, da aufgrund geringerer Informationsasymmetrien z.B. die Kosten für die Beschaffung von Informationen zur Anbahnung von Entscheidungen verringert werden. 1 Vgl. Hommelhoff (1996), S. 154f. 2 Das Einsichts- und Prüfungsrecht nach § 111 Abs. 2 AktG ist auf das eigene Unternehmen beschränkt. Der Konzernaufsichtsrat hat somit kein konzernweites Einsichts- und Prüfungsrecht. Vgl. dazu Kleindiek (2003), S. 592; Löbbe (2003), S. 297ff. 3 Vgl. Hommelhoff (1996). 4 Vgl. Albach/Kless (1982), S. 959; Müller/Pfeiffer (1985), S. 49f.; Schmidt (1993b), S. 121; Mel‐ lewigt (1995), S. 127. 5 Vgl. Holtmann (1990), S. 40ff. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 215 Rechtlich sind drei Formen der Personalunion zulässig:1 • Vorstandsmitglied der Muttergesellschaft ist zugleich Mitglied im Aufsichtsrat der Tochtergesellschaft, • Vorstandsmitglied der Muttergesellschaft ist zugleich Mitglied im Leitungsorgan der Tochtergesellschaft, • Aufsichtsratsmitglied der Muttergesellschaft ist zugleich Mitglied im Aufsichtsrat der Tochtergesellschaft. Die vierte theoretisch mögliche Personalunion zwischen einem Aufsichtsratsmitglied der Konzernmutter und einem Vorstandsmitglied einer Konzerntochter ist gesetzlich verboten (§ 100 Abs. 2 Nr. 2 AktG). Unzulässig sind weiter Überkreuzverflechtungen (§ 100 Abs. 2 Nr. 3 AktG), die zu einer gegenseitigen Überwachung zweier Organe führen würden.2 Trotz der mit personellen Verflechtungen ggf. verbundenen Probleme3, können diese auch einen wichtigen Beitrag für die Durchsetzung und Überwachung des Risikomanagements im Konzern leisten. Vorstands-Doppelmandate können beispielsweise eine konzernweit einheitliche Ausgestaltung des Risikomanagementsystems erleichtern, da der Konzernvorstand in der Tochtergesellschaft die Konzernvorgaben selbst umsetzen kann.4 Zudem ist der Konzernvorstand durch das Doppelmandat unmittelbar über die Risiken der Tochtergesellschaft informiert. Dies gilt analog für die Personalunion zwischen Konzern- und Töchteraufsichtsräten. Besondere Bedeutung für die interne Überwachung des Risikomanagementsys‐ tems im Konzern kommt der personellen Verflechtung zwischen Vorstand der Konzernmutter und Aufsichtsrat der Tochter zu. Die Wahrnehmung von Tochteraufsichtsratsmandaten stellt für den Konzernvorstand eine Möglichkeit dar, mit der er der nach § 91 Abs. 2 AktG geforderten Pflicht zur internen Überwachung des Risikofrüherkennungssystems nachkommen kann. Er kann sich durch die Personalunion selbst davon überzeugen, dass das Leitungsorgan des Tochterunternehmens ein funktionsfähiges Risikomanagementsystem eingerichtet und dies nach den Konzernvorgaben ausgestaltet hat. Sofern dies nicht der Fall ist, kann er seine Mitgliedschaft im Tochteraufsichtsrat dazu nutzen, hierauf mit den oben genannten Mitteln (z.B. Stellungnahme des Aufsichtsrats) hinzuwirken.5 Vor dem Hintergrund obiger Überlegungen, nach denen personelle Verflechtungen zum Abbau von Informationsasymmetrien beitragen und Agency-Kosten reduzieren, ist davon auszugehen, dass der Beitrag, den eine Personalunion zwi- 1 Vgl. Holtmann (1990), S. 3ff.; Schmidt (1993b), S. 121f. 2 Weitere Restriktionen für personelle Verflechtungen im Konzern ergeben sich durch die personenbezogene Begrenzung der Aufsichtsratsmandate nach § 100 Abs. 2 Nr. 1 AktG. 3 Vgl. z.B. von Werder (1989b), S. 38f.; Decher (1990), S. 80ff.; Holtmann (1990), S. 69ff.; Scheffler (1994), S. 799; Löbbe (2003), S. 63ff. 4 Dies dürfte vor allem für faktische Konzernbeziehungen bedeutsam sein, da hier kein Weisungsrecht wie im Vertragskonzern existiert; vgl. hierzu Abschnitt 1.2.3.1.4. 5 Vgl. Kohlenbach (2003), S. 264. 216 2  Gestaltung des Risikomanagementsystems im Konzern schen Konzernvorstand und Tochteraufsichtsrat zur Überwachung des Risikomanagements im Konzern leistet, von der Konzerngröße abhängt. Mit wachsender Konzerngröße wird die Überwachung des Risikomanagements zunehmend schwieriger, sodass personelle Verflechtungen umso relevanter sein dürften. Es ist daher folgende Hypothese zu prüfen: H52: Je größer der Konzern, desto stärker trägt die Personalunion zwischen Konzernvorstand und Tochteraufsichtsrat zur Überwachung des Risikomanagements im Konzern bei. Zur Prüfung dieses Zusammenhangs wurde zum einen das Ausmaß erhoben, in dem personelle Verflechtungen im Konzern existieren (vgl. Frage A.4.3). Dabei wurden alle drei Formen der Personalunion untersucht, um einen Einblick in deren relative Bedeutung zu gewinnen. Zum anderen wurde um eine Einschätzung gebeten, in welchem Maße die personelle Verflechtung von Konzernvorstand und Tochteraufsichtsrat zur Überwachung des Risikomanagements im Konzern beiträgt (vgl. Frage A.4.4). 2.3.4.2.2.3 Zustimmungsvorbehalte Als Instrument der präventiven Überwachung steht dem Aufsichtsrat das Recht zu, bestimmte Arten von Geschäften von seiner Zustimmung abhängig zu machen.1 Seit dem In-Kraft-Treten des TransPuG im Jahre 2002 ist der Aufsichtsrat verpflichtet, von diesem Recht Gebrauch zu machen, sofern nicht bereits die Satzung Zustimmungsvorbehalte definiert (§ 111 Abs. 4 AktG). Zustimmungsvorbehalte bewirken, dass der Vorstand die betreffenden Geschäfte erst nach vorheriger Billigung durch den Aufsichtsrat vornehmen darf. Auf diese Weise wird sichergestellt, dass der Aufsichtsrat über die geplanten Maßnahmen informiert wird und diese ggf. durch Verweigerung der Zustimmung verhindern kann.2 Welche Geschäfte unter Zustimmungsvorbehalt gestellt werden, liegt im Ermessen des Aufsichtsrats. Es kann sich hierbei sowohl um Rechtsgeschäfte handeln als auch um interne Leitungsmaßnahmen des Vorstands, wie z.B. Veränderungen in der Organisation.3 Dementsprechend kann der Aufsichtsrat auch die Einrichtung und Veränderung des Risikomanagementsystems als zustimmungspflichtig definieren.4 In der Literatur besteht indes Einigkeit dahingehend, dass nur Geschäfte mit besonderer Tragweite unter Zustimmungsvorbehalt gestellt werden sollten, um die eigenverantwortliche Leitung durch den Vorstand zu beachten und zu erhalten.5 In diesem Sinne spricht auch der DCGK von „Geschäf- 1 Vgl. Götz (1990), S. 633ff.; Scheffler (1994), S. 798; Semler (1996), S. 120ff.; Löbbe (2003), S. 302ff. 2 Führt der Vorstand das Geschäft trotz verweigerter Zustimmung des Aufsichtsrats aus, so handelt er pflichtwidrig. Bei verweigerter Zustimmung kann sich der Vorstand aber an die Hauptversammlung wenden. Stimmt diese dem Geschäft mit mindestens Dreiviertelmehrheit zu, ersetzt dieser Beschluss die fehlende Zustimmung des Aufsichtsrats (§ 111 Abs. 4 AktG). 3 Vgl. Semler (1996), S. 120; Löbbe (2003), S. 303. 4 Vgl. Lentfer (2003), S. 211. 5 Vgl. Semler (1996), S. 128. 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 217 ten von grundlegender Bedeutung“ (Rn. 3.3). Hierzu gehören z.B. der Erwerb oder die Veräußerung einer Beteiligung an einem anderen Unternehmen, der Abschluss von Unternehmensverträgen oder Entscheidungen über die Risikostrategie des Konzerns. Folglich dienen Zustimmungsvorbehalte auch der Überwachung des Risikomanagements. Im Konzern können Zustimmungsvorbehalte des Konzernaufsichtsrats sich nicht nur auf das Mutterunternehmen, sondern auch auf die Tochtergesellschaften beziehen. Dem konzernweiten Zustimmungsvorbehalt unterliegen dabei allerdings nicht die Entscheidungen der Leitungsorgane der Töchter, da deren Überwachung nicht dem Konzernaufsichtsrat obliegt.1 Erfasst werden durch den konzernweiten Zustimmungsvorbehalt vielmehr die Maßnahmen des Konzernvorstands, die in den Tochterunternehmen realisiert werden. Sollen die Entscheidungen der Tochtervorstände von der Zustimmung des Aufsichtsrats abhängig gemacht werden, so sind hierfür entsprechende Zustimmungsvorbehalte durch den Tochteraufsichtsrat festzulegen. Dies gilt im Übrigen auch für Tochtergesellschaften in der Rechtsform der GmbH, sofern diese über einen Aufsichtsrat verfügen.2 Berücksichtigt man, dass Tochteraufsichtsräte, wie im vorherigen Abschnitt dargelegt, mit Mitgliedern des Konzernvorstands besetzt sein können, so können Zustimmungsvorbehalte in den Tochteraufsichtsräten auch als Instrument zur internen Überwachung des Risikomanagements herangezogen werden. Es ist zu vermuten, dass dieses präventive Kontrollinstrument vor allem in Großkonzernen eingesetzt wird, da hier eher Aufsichtsräte in den Tochtergesellschaften existieren dürften. Im Rahmen der empirischen Studie wurde nur allgemein nach der Existenz von Zustimmungsvorbehalten gefragt (vgl. Frage A.4.5), um deren Verbreitung in der Praxis zu erheben. Auf eine detailliertere Analyse des Ausmaßes und der Inhalte von Zustimmungsvorbehalten wurde verzichtet, da sich beim Pretest herausstellte, dass die Respondenten hierzu keine verlässlichen Antworten geben konnten. 2.3.5 Zwischenfazit: Möglichkeiten und Grenzen  des Risikomanagements im Konzern In den vorangehenden Abschnitten wurden die verschiedenen konstitutiven und prozessualen Gestaltungsparameter für das Risikomanagement im Konzern ausführlich hergeleitet und jeweils einzeln erläutert. Abb. 2.3–12 gibt nunmehr einen zusammenfassenden Überblick über die diskutierten Gestaltungsparameter, die in ihrer Gesamtheit das Risikomanagementsystem im Konzern bilden. Durch die unterschiedliche Ausprägung und Kombination der Parameter besteht die Möglichkeit, Risikomanagementsysteme individuell auszugestalten, um den situativen Anforderungen gerecht zu werden. 1 Vgl. Götz (1990), S. 646ff.; Scheffler (1994), S. 798; Hoffmann‐Becking (1995), S. 339ff.; Lenz (1997), S. 451ff.; Schmidt (1998), S. 79f.; Kleindiek (2003), S. 594; Löbbe (2003), S. 304ff. 2 Sowohl § 52 Abs. 1 GmbHG als auch die mitbestimmungsrechtlichen Vorschriften verweisen auf § 111 Abs. 4 AktG. 218 2  Gestaltung des Risikomanagementsystems im Konzern Bevor im folgenden Abschnitt ein Maßstab zur Beurteilung unterschiedlicher Risikomanagementsysteme entwickelt wird, sollen die Grenzen des Risikomanagements im Konzern nicht unerwähnt bleiben. Einzelne Problemfelder wurden bereits im Verlauf der Arbeit kurz angesprochen. Dazu gehören interna‐ tional unterschiedliche rechtliche Anforderungen an die Risikofrüherkennung und interne Überwachung. Wie in Abschnitt 1.2.3.2 dargelegt, können sich für international agierende deutsche Konzerne vor allem bei der Inanspruchnahme ausländischer Kapitalmärkte besondere Anforderungen an das Risikomanagement ergeben. Inwieweit solche Anforderungen einer konzerneinheitlichen Gestaltung von Risikomanagementsystemen entgegenstehen, ist bisher nicht empirisch analysiert worden. Sofern die regulatorischen Vorgaben keine spezifischen Vorschriften enthalten, sondern nur Mindeststandards definieren, dürfte eine konzernweite Standardisierung des Risikomanagementsystems eher unproblematisch sein. Möglicherweise bereitet jedoch, wie am Beispiel des SOA deutlich wird, die Abgrenzung der nach unterschiedlichen Rechtssystemen geforderten internen Kontroll- und Risikomanagementsysteme Schwie- Abb. 2.3–12: Gestaltungsparameter des Risikomanagements im Konzern • Formulierung der Risikostrategie • Organisation des Risikomanagements (Spezialisierung und Koordination) • Abgrenzung des Risikokonsolidierungskreises • Integration des Risikomanagementsystems in das Controllingsystem • Bestimmung von Wesentlichkeitsgrenzen • Auswahl der Objekte des Risikomanagements • Entwicklung von Risikomanagement-Instrumenten • Dokumentation des Risikomanagements Risikofrüherkennung Interne Überwachung Bildung des Risikomanagementsystems Risikobewältigung • Risikoidentifikation - stichtagsbezogene Risikoinventur - permanente Frühaufklärung - Analyse und Systematisierung der Risiken • Risikobewertung - Einzelrisiken - Gesamtrisiko (Risikoaggregation, Analyse von Risikointerdependenzen, Beteiligungsquoten) • Risikokommunikation - Risikoberichterstattung zwischen Konzerneinheiten - Risikoberichterstattung an den Vorstand - Risikoberichterstattung an den Aufsichtsrat • Risikosteuerung - Handlungsalternativen - Konzernspezifische Maßnahmen • Risikokontrolle - Ergebniskontrolle - Maßnahmenkontrolle • Prozessintegrierte Überwachung - Organisatorische Sicherungsmaßnahmen - Kontrollen (Verfahrenskontrollen) • Prozessunabhängige Überwachung - Überwachung durch die interne Revision - Überwachung durch Aufsichtsorgane (Personelle Verflechtungen, Zustimmungsvorbehalte) 2.3  Gestaltungsparameter des Risikomanagementsystems im Konzern 219 rigkeiten und verursacht zusätzliche Kosten durch den Aufbau von parallelen Systemen. Für internationale Konzerne können ferner aus kulturellen Unterschieden zwischen verschiedenen Ländern besondere Herausforderungen an das Risikomanagement resultieren.1 Kulturbedingte Unterschiede äußern sich im Controlling z.B. im Formalisierungsgrad der Planungs- und Kontrollprozesse.2 Eine stark formalisierte Risikofrüherkennung kann demzufolge in ausländischen Konzerngesellschaften, die aufgrund ihrer Landeskultur informelle Controllingprozesse präferieren, auf Widerstände stoßen.3 Die systematische Risikoerfassung nach konzerneinheitlichen Standards wird in solchen Tochterunternehmen möglicherweise nicht nur als eine überflüssige Belastung empfunden, sondern auch als eine zusätzliche, durch nationale Vorurteile bedingte Kontrolle.4 Bei mangelnder Akzeptanz besteht aber die Gefahr, dass die Risikoidentifikation unvollständig bleibt. Darüber hinaus signalisieren empirische Befunde, dass Unternehmen in Spanien und Italien gelassener mit Risiken umgehen als solche in anderen Ländern Europas.5 Derartige Unterschiede können möglicherweise in der ohnehin subjektiv geprägten Risikobewertung zusätzliche Verzerrungen herbeiführen. Doch selbst wenn Risiken in den ausländischen Tochtergesellschaften vollständig identifiziert und realistisch bewertet werden, ist nicht auszuschließen, dass sie kulturell bedingt verspätet oder lückenhaft an die Konzernzentrale kommuniziert werden. Gerade im asiatischen Kulturraum beeinflusst die mentalitätsbedingte Angst vor einem „Gesichtsverlust“, der sich bei nicht erfüllten Erwartungen einstellt, oftmals das Berichtsverhalten.6 Risikoberichte ausländischer Konzerngesellschaften können somit ggf. wesentliche Risiken nicht oder nur geschönt darstellen. Schließlich unterliegt auch die Interpretation der an die Muttergesellschaft berichteten Risiken kulturellen Störfaktoren.7 So kann beispielsweise eine ethnozentrische Voreingenommenheit der Mitarbeiter in der Konzernzentrale dazu führen, dass Risikoinformationen unbewusst so interpretiert werden, dass sie bestehende Vorurteile bestätigen und damit letztlich die subjektiv präferierte Entscheidung stützen. Insgesamt verdeutlichen diese Überlegungen, dass eine Reihe von Störfaktoren, die auch als Informationspathologien bezeichnet werden8, dazu führen können, dass trotz existierender Systeme zur Identifikation, Bewertung und Kommunikation von Risiken diese oftmals nicht adäquat in unternehmerischen Entscheidungen berücksichtigt werden. 1 Vgl. Kajüter (2003a), S. 60ff. 2 Vgl. Pausenberger/Roth (1997), S. 592ff. 3 Empirische Befunde signalisieren z.B., dass japanische Unternehmen weniger auf formale Planungs- und Kontrollprozesse zurückgreifen als amerikanische; vgl. dazu Ueno/ Wu (1993). 4 Vgl. Kicherer (1981), S. 246. 5 Vgl. March (2002), S. 14. 6 Vgl. Liedl (1994), S. 121; Pausenberger/Roth (1997), S. 593. 7 Vgl. Pausenberger/Glaum (1993), S. 617. 8 Vgl. Macharzina (1984); Bleuel/Schmitting (2000), S. 103. 220 2  Gestaltung des Risikomanagementsystems im Konzern Während die bisher angesprochenen Problemfelder international agierende Konzerne betreffen, existieren weitere, die ebenso für nationale Konzerne relevant erscheinen. So können auch konzernweite Risikomanagementsysteme nicht verhindern, dass die Erhebung, Weiterleitung und Verwendung von Risikoinformationen durch Interessenunterschiede zwischen der Konzernmutter und den Tochterunternehmen beeinträchtigt wird.1 Beispielsweise können Letztere daran interessiert sein, ein Risiko nicht an die Konzernmutter zu melden, um die Bildung ergebnisbelastender Rückstellungen zu vermeiden. Derartige Agency- Konflikte können zwar durch die Gestaltung entsprechender Anreizsysteme, die eine offene Kommunikation fördern, reduziert, aber wohl nicht völlig beseitigt werden. Grenzen bei der Gestaltung von Risikomanagementsystemen können schließlich auch methodisch bedingt sein. Wie die Ausführungen zur instrumentellen Unterstützung des Risikomanagements in Abschnitt 2.3.1.6 gezeigt haben, weisen vor allem die neueren Methoden eine erhebliche Komplexität auf, was ihre Anwendbarkeit einschränkt. Zudem mangelt es in einigen Bereichen, wie z.B. bei der Risikoaggregation, an praktikablen Verfahren. Eine unzureichende methodi‐ sche Unterstützung des Risikomanagements kann aber nicht nur in dem generellen Defizit an geeigneten Instrumenten, sondern auch in der fehlenden Nutzung bewährter Methoden begründet sein. Darüber hinaus sind der Vereinheitlichung der methodischen Unterstützung des Risikomanagements im Konzern insoweit Grenzen gesetzt, als der Einfluss des Mutterunternehmens beschränkt ist (z.B. bei Gemeinschaftsunternehmen) oder in diversifizierten Konzernen unterschiedliche Anforderungen an das Risikomanagement bestehen (z.B. bei Tochtergesellschaften aus dem Industrie- und Finanzdienstleistungssektor). Die An‐ wendung unterschiedlicher Methoden im Konzern verursacht aber zusätzlichen Aufwand für die Entwicklung und Pflege des Instrumentariums und beeinträchtigt vermutlich auch die Effektivität des Risikomanagements. Ein letzter Aspekt stellt das Fehlen geeigneter Frühwarnindikatoren für die permanente Risikoidentifikation dar. Wie in Abschnitt 2.3.2.1.3 erwähnt, lassen sich für viele Risiken nur bedingt Frühwarnindikatoren definieren, sodass eine rechtzeitige Reaktion auf sich abzeichnende Gefahren nicht immer möglich ist. Zusammenfassend zeigen die vorstehenden Ausführungen, dass sowohl technisch-methodische als auch menschlich-soziale Faktoren der Leistungsfähigkeit von Risikomanagementsystemen Grenzen setzen. Aus diesem Grunde stellen Risikomanagementsysteme kein Allheilmittel gegen Bestandsgefährdungen und Insolvenzen dar. Dies dokumentieren auch die Schieflagen von Unternehmen und Konzernen nach In-Kraft-Treten des KonTraG (z.B. KarstadtQuelle, AGIV, Walter Bau) bzw. während der globalen Finanz- und Wirtschaftskrise (z.B. IKB Deutsche Industriebank, Arcandor). Da bislang keine empirischen Befunde zur praktischen Relevanz der vorstehend genannten Grenzen des Risikomanagements vorliegen, wurden die Respondenten im Rahmen dieser Studie gebeten, das Ausmaß, in dem die genannten Sachverhalte die Wirksamkeit ihres Risikomanagementsystems beeinträchtigen, auf 1 Vgl. Kajüter (2003a), S. 59f.; Neubeck (2003), S. 103. 2.4  Effizienz des Risikomanagementsystems im Konzern 221 einer fünfstufigen Ratingskala einzuschätzen (vgl. Frage B.3.2). Um ein möglichst neutrales Urteil zu erlangen, wurde diese Frage an die Konzernrevision gerichtet. Nachdem nunmehr die ersten drei Kategorien des Bezugsrahmens, der Kontext, die Ziele und das System des Risikomanagements, eingehend erörtert sind, wendet sich der folgende Abschnitt der vierten und letzten Kategorie, der Risikomanagement-Effizienz, zu. 2.4 Effizienz des Risikomanagementsystems im Konzern 2.4.1 Entwicklung eines Effizienzkonstrukts Um Aussagen zum Erfolg von Risikomanagementsystemen treffen zu können, bedarf es eines einheitlichen, validen Beurteilungsmaßstabes. Die Analyse des Forschungsstandes offenbarte diesbezüglich ein erhebliches konzeptionelles und empirisches Defizit. Bisherige Untersuchungen blendeten die Frage der Leistungsfähigkeit oder des Erfolgs von Risikomanagementsystemen regelmä- ßig aus. Für die vorliegende Studie ist daher auf diesem Gebiet Pionierarbeit zu leisten, wobei jedoch auf Forschungsbeiträge aus der Organisationslehre und dem Controlling aufgebaut werden kann. Obwohl die Messung des Erfolgs von betrieblichen Gestaltungsmaßnahmen zu den zentralen Fragen der betriebswirtschaftlichen Forschung gehört, hat sich bislang weder eine einheitliche Terminologie noch eine geschlossene Theorie herausgebildet.1 Zumeist werden für Erfolg die Begriffe Effizienz oder Effektivität verwendet.2 Dabei bezeichnet Effektivität die grundsätzliche Eignung einer Maßnahme zur Zielerreichung, während unter Effizienz das Ausmaß der Erreichung angestrebter Ziele verstanden wird. Eng zusammen mit dem Erfolgsbegriff hängt der Ansatz zur Erfolgsmessung. In der Literatur werden für die Ebene der Gesamtorganisation insbesondere folgende Ansätze differenziert:3 • Der Zielansatz geht davon aus, dass Organisationen Ziele verfolgen, und definiert Erfolg (Effizienz) als Grad der Zielerreichung. Grundlage der Erfolgsbeurteilung bilden deduktiv abgeleitete oder empirisch ermittelte Ziele. • Der Systemansatz erweitert diese Sicht und schließt die Beurteilung der Fähigkeit ein, Ressourcen zu erwerben, interne Systemstabilität zu wahren und mit der Umwelt zu interagieren. Dadurch entsteht ein abstraktes, mehrdimensionales Erfolgskonstrukt, das auf die langfristige Überlebensfähigkeit der Organisation abstellt. 1 Vgl. Fessmann (1980), S. 25ff.; Grabatin (1981), S. 17ff.; Amshoff (1993), S. 438; Fritz (1995), S. 217ff. 2 Vgl. Fessmann (1980), S. 27f.; Amshoff (1993), S. 438ff. Seltener finden sich demgegenüber die Begriffe Leistungsfähigkeit oder Performance. Vgl. dazu z.B. Maier (2001), S. 231ff.; Zimmermann (2001), S. 167ff. 3 Vgl. Fessmann (1980), S. 210ff.; Fritz (1995), S. 219f.; Zimmermann (2001), S. 168f.

Chapter Preview

References

Zusammenfassung

"Wer sich für Risikomanagement im Konzern interessiert, kommt an [diesem Buch] nicht vorbei. Kajüter hat eine Lücke besetzt in einem wichtigen und sehr praxisrelevanten Fragenbereich". Die Wirtschaftsprüfung 23/2012

Die empirische Studie zum Risikomanagement.

Dieses neue Werk stellt die Ergebnisse einer umfangreichen Studie zu Risikomanagementsystemen börsennotierter Aktienkonzerne vor und entwickelt anhand der empirischen Daten eine Typologie von Risikomanagementsystemen in Konzernen. Darauf aufbauend werden aus der Vielfalt an Gestaltungsmöglichkeiten fünf Typen konzernweiter Risikomanagementsysteme herausgearbeitet.

Der Nutzen

Die konkrete Analyse offenbart Unterschiede in der Wirksamkeit der Risikomanagementsystemtypen und zeigt dadurch differenzierte Gestaltungsempfehlungen für die Implementierung von Risikomanagementsystemen in Konzernen auf.

Pressestimmen

"Die vorliegende Ausarbeitung ist eine überaus empfehlenswerte, mitunter spannende Lektüre, die sich an ein breites Fachpublikum richtet. So hat es der Autor verstanden, Praktiker mit Entscheidungshilfen und unternehmensspezifischen Empfehlungen zu versorgen, ohne den wissenschaftlichen Tiefgang vermissen zu lassen. Eine herausragende Arbeit, der man möglichst viele Leser wünscht." Der Betriebswirt 1/2013