Content

3.3 Befunde zu den Gestaltungsparametern des Risikomanagements in:

Peter Kajüter

Risikomanagement im Konzern, page 268 - 373

Eine empirische Analyse börsennotierter Aktienkonzerne

1. Edition 2011, ISBN print: 978-3-8006-3440-8, ISBN online: 978-3-8006-4868-9, https://doi.org/10.15358/9783800648689_268

Bibliographic information
244 3  Empirische Analyse des Risikomanagements im Konzern Zusammenfassend bleibt festzuhalten, dass sich kontextuelle Unterschiede in der Bedeutung der Risikomanagement-Ziele nachweisen lassen. Damit kann die Basishypothese BH1 diesbezüglich als bestätigt angesehen werden. 3.3 Befunde zu den Gestaltungsparametern  des Risikomanagements Die dritte Kategorie des Bezugsrahmens erfasst das Risikomanagementsystem, welches durch konstitutive und prozessuale Gestaltungsparameter beschrieben wurde. Dieser im Rahmen der Konzeptionalisierung in Abschnitt 2.3 gewählten Differenzierung wird auch im Weiteren bei der Darstellung und Interpretation der empirischen Befunde gefolgt. Dabei werden auch Zusammenhänge zwischen dem Kontext bzw. den Zielen und der Gestaltung der Risikomanagementsysteme analysiert. Zu diesem Zweck wurden aus den Basishypothesen BH1 und BH2 Einzelhypothesen abgeleitet, die nachfolgend anhand der empirischen Daten zu prüfen sind. Analog zu Abschnitt 2.3 werden die konstitutiven Gestaltungsparameter zur Bildung des Risikomanagementsystems zuerst betrachtet, bevor anschließend die prozessualen Aspekte der Risikofrüherkennung, Risikobewältigung und der internen Überwachung in den Mittelpunkt rücken. Unabhän‐ gige Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Umweltdynamik 4,7 < 4,7 136 154 6,57 6,30 2,358 0,019 Sicherung der Existenz 0,170 0,004 4,7 < 4,7 136 154 5,02 4,60 2,349 0,020 Sicherung des Konzernerfolgs 0,097 0,098 4,7 < 4,7 136 154 6,38 6,06 3,027 0,003 Risiko-transparenz 0,201 0,001 4,7 < 4,7 136 154 4,49 4,11 1,960 0,051 Chancen-transparenz 0,093 0,113 4,7 < 4,7 136 154 5,82 5,42 3,215 0,001 Stärkung des Risikobewusstseins 0,221 0,000 4,7 < 4,7 136 154 4,21 3,66 2,764 0,006 Senkung der Kapitalkosten 0,176 0,003 Tab. 3.2–3: Zusammenhang zwischen Umweltdynamik  und Bedeutung von Risikomanagement‐Zielen 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 245 3.3.1 Bildung des Risikomanagementsystems im Konzern 3.3.1.1 Formulierung der Risikostrategie Ein erster konstitutiver Gestaltungsparameter für das Risikomanagementsystem im Konzern ist die Risikostrategie. Diese trifft, wie in Abschnitt 2.3.1.1.1 erläutert, Aussagen zur Erreichung der angestrebten risikopolitischen Ziele. Sie kann dabei auf schriftlich fixierten risikopolitischen Grundsätzen beruhen, die allgemeine Verhaltensregeln für den Umgang mit Risiken im Konzern aufzeigen. Die empirischen Befunde signalisieren, dass 80% der Konzerne risikopolitische Grundsätze definiert und schriftlich dokumentiert haben (vgl. Frage A.2.2). Das Ausmaß, in dem diese Grundsätze bei den Führungskräften im Konzern bekannt sind, wird indes unterschiedlich beurteilt. Tab. 3.3–1 zeigt die auf einer fünfstufigen Ratingskala erhobene Einschätzung der Respondenten (1 = sehr wenigen bekannt, …, 5 = allen bekannt). Daraus ist ersichtlich, dass rund zwei Drittel der Befragten der Auffassung sind, die risikopolitischen Grundsätze seien bei allen oder fast allen Führungskräften im Konzern bekannt. Inwieweit diese Einschätzung die Realität zutreffend widerspiegelt oder durch eine zu optimistische Sicht verzerrt ist, lässt sich anhand der vorliegenden Daten nicht beantworten. Im Weiteren ist der im Rahmen der theoretischen Vorüberlegungen prognostizierte Zusammenhang zwischen den Zielen des Risikomanagements und dem Ausmaß der Bekanntheit der risikopolitischen Grundsätze zu prüfen. Vor dem Hintergrund, dass die risikopolitischen Grundsätze dazu dienen, das Risikobewusstsein und die Akzeptanz für das Risikomanagementsystem zu fördern, wurde folgende Hypothese formuliert: H4: Je höher die Bedeutung der Ziele Stärkung des Risikobewusstseins und Akzeptanz für das Risikomanagementsystem, desto umfassender sind die risikopolitischen Grundsätze im Konzern bekannt. Die in Tab. 3.3–2 zusammengefassten Befunde bestätigen Hypothese H4. Sowohl die t-Tests als auch die Korrelationsanalysen liefern hoch signifikante Ergebnisse in der prognostizierten Richtung. Risikopolitische Grundsätze werden somit vor allem dann umfassend bekannt gemacht, wenn das Risikobewusstsein und die Akzeptanz für das Risikomanagement im Konzern gefördert werden sollen. In Bezug auf die Risikostrategie zeigen die Untersuchungsergebnisse, dass lediglich 95 der 290 Konzerne (33%) ihre Risikostrategie schriftlich dokumentiert haben (vgl. Frage A.2.3). In der Mehrzahl der Konzerne existiert somit keine Ratingskala 1  sehr wenigen bekannt 2 3 4 5  allen bekannt n 9 10 56 78 78 231 % 3,9 4,3 24,2 33,8 33,8 100 Tab. 3.3–1: Bekanntheit der risikopolitischen Grundsätze bei Führungskräften im Konzern 246 3  Empirische Analyse des Risikomanagements im Konzern formalisierte Risikostrategie. Vielmehr bildet diese zumeist einen impliziten Bestandteil der Konzernstrategie. Eine differenzierte Betrachtung nach Größenklassen offenbart, dass 42% der Großkonzerne, aber nur 27% der mittelständischen Konzerne ihre Risikostrategie schriftlich dokumentiert haben. In Großkonzernen ist die Risikostrategie offensichtlich häufiger formalisiert als in mittelständischen Konzernen. Bemerkenswert ist weiterhin, dass bis auf zwei Ausnahmen alle 95 Konzerne, die ihre Risikostrategie schriftlich dokumentiert haben, auch über schriftlich fixierte risikopolitische Grundsätze verfügen. Andererseits zeigen die empirischen Befunde aber auch, dass 48% der Konzerne zwar ihre risikopolitischen Grundsätze, nicht aber ihre Risikostrategie schriftlich dokumentiert haben. Abb. 3.1–1 visualisiert die Ergebnisse im Hinblick auf die in der Risikostrategie zum Ausdruck kommende Risikoneigung. Sieben Respondenten konnten hierzu keine Beurteilung abgeben. Von den 283 antwortenden Konzernen charakterisierten die Hälfte ihre Risikostrategie als risikoneutral und je 25% als (sehr) risikoscheu bzw. risikofreudig. Die extremen Ausprägungen wurden dabei nur selten gewählt. Differenziert nach Branchen ergeben sich keine statistisch signifikanten Unterschiede, obgleich Konzerne, die ihre Risikostrategie als (sehr) risikofreudig kennzeichnen, in den Sektoren Energiewirtschaft (45%), Chemie/Pharma (32%), Elektro/Elektronik (36%) und Datenverarbeitung (37%) überdurchschnittlich häufig vertreten sind. Da die Risikostrategie nicht unabhängig von der Konzernstrategie formuliert werden kann, wurde im Rahmen der theoretischen Überlegungen in Abschnitt 2.3.1.1.3 ein Zusammenhang zwischen Konzernstrategien und der Risikoneigung der Risikostrategie vermutet. Konkret wurde folgende Hypothese aufgestellt: H5: Je intensiver eine Akquisitions-, Diversifikations- oder Internationalisierungsstrategie verfolgt wird, desto risikofreudiger ist die Risikostrategie des Konzerns. Unabhängige  Variable Trennkri‐ terium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Bedeutung Ziel Risikobewusstsein 5,6 < 5,6 139 92 4,14 3,51 4,585 0,000 Bekanntheit Grundsätze 0,374 0,000 Bedeutung Ziel Akzeptanz 5,1 < 5,1 97 134 4,18 3,69 3,672 0,000 Bekanntheit Grundsätze 0,254 0,000 Tab. 3.3–2: Zusammenhang zwischen der Bedeutung von Risikomanagement‐Zielen  und der Bekanntheit der risikopolitischen Grundsätze im Konzern 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 247 Die Prüfung dieser Hypothese mittels t-Tests und Korrelationsanalysen führt zu dem Ergebnis, dass der prognostizierte Zusammenhang nur hinsichtlich der Diversifikationsstrategie nachgewiesen werden kann (vgl. Tab. 3.3–3). Allerdings ist der Zusammenhang hier nur schwach ausgeprägt (r=0,18**). Eine Erklärung für diesen Befund könnte darin liegen, dass die Konzerne zwar grundsätzlich Konzernstrategien verfolgen, die mit hohen Risiken einhergehen, andererseits aber dennoch vielfach eine risikoneutrale oder risikoscheue Haltung einnehmen. Dies kann sich bei einer Internationalisierungsstrategie z.B. darin äußern, dass zur Erschließung ausländischer Märkte Joint Ventures gegründet werden, durch die Risiken mit dem Partner geteilt werden. Abb. 3.3–1: Risikostrategie Unabhängige  Variable Trenn‐ kriterium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Akquisitionsstrategie 3,0 < 3,0 193 97 2,93 2,96 –0,224 0,823 Risiko-strategie –0,039 0,511 Diversifikationsstrategie 2,4 < 2,4 123 166 3,07 2,84 2,141 0,033 Risiko-strategie 0,177 0,003 Internationalisierungsstrategie 3,5 < 3,5 176 114 2,99 2,86 1,262 0,208 Risiko-strategie 0,081 0,172 Tab. 3.3–3: Zusammenhang zwischen Konzernstrategien und der Risikostrategie 2 23 50 24 1 0 10 20 30 40 50 60 1 2 3 4 5 % sehr risikoscheu sehr risikofreudig risikoneutral n=283 248 3  Empirische Analyse des Risikomanagements im Konzern 3.3.1.2 Organisation des Risikomanagements Die Bildung eines Risikomanagementsystems im Konzern erfordert weiterhin die Schaffung von organisatorischen Strukturen für das Risikomanagement. Um diese Strukturen empirisch erheben zu können, wurden sie in Abschnitt 2.3.1.2 durch die beiden Grunddimensionen der Organisation, die Spezialisierung und die Koordination, konzeptionalisiert. Im Rahmen der Spezialisierung geht es um die Arbeitsteilung im Risikomanagement, die durch die Zentralisierung bzw. Dezentralisierung bestimmt wird. Hierbei lassen sich im Konzern zwei Ebenen differenzieren, zum einen die einzelnen Träger des Risikomanagements als organisatorische Einheiten (Mikrostruktur) und zum anderen die Arbeitsteilung zwischen dem Mutterunternehmen und den Tochtergesellschaften (Makrostruktur). Im Folgenden werden die Befunde zu diesen beiden Bereichen dargestellt, bevor anschließend die Ergebnisse zur Koordination des Risikomanagements im Konzern skizziert werden. 3.3.1.2.1 Spezialisierung 3.3.1.2.1.1 Spezialisierung der Mikrostruktur Im Rahmen der konzeptionellen Überlegungen wurde dargelegt, dass es sich beim Risikomanagement um ein umfassendes Aufgabenbündel handelt, das von verschiedenen Akteuren im Konzern wahrgenommen wird. Aus diesem Grunde standen bei der empirischen Erhebung solche organisatorischen Einheiten im Mittelpunkt, die mit der Koordination des Risikomanagements betraut sind. Zunächst wurde erhoben, wem auf Vorstandsebene die Koordination des Risikomanagements obliegt (vgl. Frage A.1.1). Wie aus Abb. 3.3–2 ersichtlich, ist bei 26% der Konzerne der Gesamtvorstand für die Koordination des Risikomanagements zuständig. Dies entspricht der im Gesetz definierten Gesamtverantwortung des Vorstands für die aus § 91 Abs. 2 AktG resultierenden Pflichten. Gleichwohl ist eine ressortmäßige Aufgabenverteilung ohne Entbindung von der Gesamtverantwortung zulässig. Dem folgt die überwiegende Zahl der Konzerne. So obliegt die Koordination des Risikomanagements bei 14% der Kon- Abb. 3.3–2: Koordination des Risikomanagements auf Vorstandsebene Gesamtvorstand (26%) Vorstandsvorsitzender (14%) Finanzvorstand (51%) Sonstige (9%) 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 249 zerne dem Vorstandsvorsitzenden und bei 51% dem Finanzvorstand. 9% der Konzerne haben sonstige Zuordnungen getroffen. In diese Kategorie fallen Konzerne, bei denen eine Personalunion zwischen dem Vorstandsvorsitzenden und dem Finanzvorstand besteht, ein Alleinvorstand existiert oder die Zuständigkeit einem anderen als den genannten Vorstandsressorts zugeordnet ist. Eine differenzierte Betrachtung nach der Konzerngröße zeigt, dass in GRK und GMK der Finanzvorstand überdurchschnittlich oft mit der Koordination des Risikomanagements betraut wird (ca. 60%). In KMK ist die Koordination dagegen ebenso oft dem Gesamtvorstand wie dem Finanzvorstand übertragen (jeweils ca. 40%). Folglich findet beim Risikomanagement mit zunehmender Konzerngröße eher eine funktionale Spezialisierung innerhalb des Vorstands statt. Weiter wurde danach gefragt, ob unterhalb des Vorstands ein spezieller Ausschuss für Fragen des Risikomanagements im Konzern existiert (vgl. Frage A.1.2). Ein solcher Risikomanagement‐Ausschuss kann bei dezentraler Aufgabenwahrnehmung wichtige koordinierende Aufgaben übernehmen. Zudem kann er zu einem Erfahrungsaustausch unter den Mitgliedern verschiedener Konzerneinheiten beitragen und deren Informationsstand über Risiken im Konzern verbessern. Die Befunde dokumentieren, dass 34% der Konzerne einen Risikomanagement-Ausschuss eingerichtet haben. Der Anteil von Konzernen mit Risikomanagement-Ausschuss nimmt mit steigender Konzerngröße zu. In KMK und GMK beträgt der Anteil 22% bzw. 36%, in GRK dagegen 44%. Ein Indikator für den Stellenwert der Risikomanagement-Ausschüsse ist die Regelmäßigkeit ihrer Treffen. Daher wurden auch die Sitzungszyklen erhoben. Zwei Drittel der Ausschüsse tagen regelmäßig, wobei der vierteljährliche Rhythmus dominiert (vgl. Abb. 3.3–3). Treffen in monatlichen und jährlichen Intervallen finden sich demgegenüber nur bei wenigen Konzernen. Bemerkenswert ist, dass ein Drittel der Risikomanagement-Ausschüsse sich nur bei Bedarf trifft. Dies deutet darauf hin, dass diese Ausschüsse nicht für einen kontinuierlichen Erfahrungsaustausch, sondern zur Abstimmung in besonderen Situationen dienen. Ihnen kommt offensichtlich eine geringere Bedeutung zu als den regelmä- ßig tagenden Lenkungskreisen. Weiter sind sonstige Sitzungszyklen zu beobachten, unter die z.B. kombinierte regelmäßige und bedarfsweise Treffen fallen. Abb. 3.3–3: Sitzungszyklen des zentralen Risikomanagement‐Ausschusses im Konzern %n=99 monatlich vierteljährlich halbjährlich bei Bedarf jährlich sonstige 11 33 5 12 33 5 0 10 20 30 40 250 3  Empirische Analyse des Risikomanagements im Konzern Da der Vorstand – unbeschadet seiner Gesamtverantwortung – die operative Koordination des Risikomanagements auch an nachgeordnete Entscheidungsträger delegieren kann, wurde ferner erhoben, wie die Koordination des Risikoma‐ nagements auf der Managementebene in der Konzernobergesellschaft geregelt ist (vgl. Frage A.1.3). Im Falle einer Delegation an nachgeordnete Entscheidungsträger bestehen zwei grundsätzliche Gestaltungsalternativen – die Einrichtung spezieller Stellen (institutionales Risikomanagement) oder die Übertragung der Koordinationsaufgaben an bestehende organisatorische Einheiten (funktionales Risikomanagement). Die Auswertung der Untersuchungsergebnisse zeigt, dass fast alle Vorstände Koordinationsaufgaben delegieren (vgl. Tab. 3.3–4). Lediglich bei sieben Konzernen existiert unterhalb des Vorstands keine für die Koordination des Risikomanagements im Konzern verantwortliche Stelle. In sechs dieser Konzerne nimmt der Vorstand die Koordination ausschließlich selbst wahr, in einem Konzern ist diese Aufgabe an einen externen Dienstleister übertragen worden. Die Befunde zeigen weiter, dass 39 von 283 Konzernen (14%) die Koordinationsaufgaben in einer eigenständigen organisatorischen Einheit zentralisiert haben (institutionales Risikomanagement). Hierbei handelt es sich zu 46% um eigenständige Stabsstellen. Mit je 21% sind zudem auch Risikomanagement-Stellen innerhalb des Konzerncontrollings oder der Konzernrevision recht verbreitet. Differenziert nach Konzerngröße wird deutlich, dass sich unter den 39 Konzernen zu 80% Großkonzerne befinden. Doch auch immerhin 20% der mittelständi- Gesamt Funktional Institutional n % n % n % Eigenständige Stabsstelle 18 6 – – 18 46 Konzern-/Beteiligungscontrolling 155 53 147 61 8 21 Finanzabteilung 44 15 42 17 2 5 Konzernrevision 17 6 9 3 8 21 Konzernrechnungswesen 4 2 2 1 2 5 Rechtsabteilung 5 2 5 2 – – Qualitätsmanagement 10 4 10 4 – – Vorstandsstab 7 2 7 3 – – Sonstige 23 8 22 9 1 2 Zwischensumme 283 98 244 100 39 100 Keine Stelle 7 2 – – – – Summe 290 100 – – – – Tab. 3.3–4: Koordination des Risikomanagements 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 251 schen Konzerne haben die institutionale Gestaltungsvariante gewählt. Wie die Interviewpartner erläuterten, sind diese Stellen jedoch teilweise nur mit Teilzeitkräften besetzt. Mit 86% stellt das funktionale Risikomanagement die häufigste Organisationsform dar. Innerhalb dieser Gruppe dominiert die Übertragung der Koordinationsaufgaben an das Konzerncontrolling (61%). Damit wird die dem Controlling in der Literatur zugesprochene zentrale Rolle bestätigt.1 In 17% der Konzerne, welche die Koordination vorhandenen Organisationseinheiten übertragen, geschieht dies an die Finanzabteilung. Weiterhin werden die Konzernrevision (3%), das Konzernrechnungswesen (1%), die Rechtsabteilung (2%), das Qualitätsmanagement (4%) oder Vorstandsstäbe (3%) mit der Koordination des Risikomanagements betraut. In die Kategorie „Sonstige“ fallen u.a. Investor Relations, Einkauf/Materialwirtschaft oder Organisationsabteilungen, denen vereinzelt ebenfalls die Koordination des Risikomanagements obliegt. Trotz der Dominanz des Controllings ergibt sich somit insgesamt eine sehr heterogene Funktionszuordnung.2 Kritisch zu beurteilen ist dabei die Übertragung der Koordinationsaufgaben an die Konzernrevision, da hierdurch eine Funktionstrennung („Vier-Augen-Prinzip“) zwischen der Koordination und der internen Prüfung des Risikomanagements nicht gewährleistet ist.3 Schließlich wurde die Spezialisierung des Risikomanagements auch in Bezug auf die Tochtergesellschaften untersucht (vgl. Frage A.1.4). Spezielle Stellen zur Koordination des Risikomanagements existieren in den Tochtergesellschaften von 16 Konzernen (6%). Hierbei handelt es sich um 14 Großkonzerne und zwei große mittelständische Konzerne, die in einzelnen Tochtergesellschaften hauptamtliche Risikomanagement-Koordinatoren beschäftigen. Zehn der 16 Konzerne sind zwei- oder mehrstufig strukturiert. Ein dezentrales institutionales Risikomanagement findet sich somit vor allem in großen, mehrstufigen Konzernen, die über größere Tochtergesellschaften verfügen, die eigene Stellen für das Risikomanagement wirtschaftlich rechtfertigen. In der weit überwiegenden Zahl der Konzerne obliegt die Koordination des Risikomanagements in den Tochtergesellschaften dagegen dem dezentralen Controlling. Hinsichtlich der Weisungsbefugnisse gegenüber dezentralen Risikomanagementstellen ist festzuhalten, dass 11 der 16 Konzerne das Dotted-Line-Prinzip implementiert haben, während die Stellen in vier Konzernen sowohl fachlich als auch disziplinarisch der Tochtergesellschaft unterstellt sind. Nur in einem Konzern sind die dezentralen Risikomanagementstellen fachlich und disziplinarisch an die Weisungen der Konzernzentrale gebunden. Die empirischen Befunde bestätigen folglich das in der Literatur präferierte Dotted-Line-Prinzip.4 1 Vgl. z.B. Braun (1984), S. 286ff.; Horváth/Gleich (2000), S. 101ff.; Franz/Kajüter (2011), S. 486ff. 2 Aufgrund dieser Tatsache war es im Rahmen der Datenerhebung notwendig, die Risikomanagement-Koordinatoren so weit wie möglich persönlich zu kontaktieren, um den richtigen Ansprechpartner ausfindig zu machen. Vgl. dazu Abschnitt 1.5.2.5. 3 Dies gilt gleichermaßen für die funktionale und die institutionale Gestaltungsvariante. Zur internen Prüfung des Risikomanagementsystems durch die Konzernrevision vgl. ausführlich Abschnitt 3.3.4.2.1. 4 Vgl. Braun (1984), S. 285f. 252 3  Empirische Analyse des Risikomanagements im Konzern 3.3.1.2.1.2 Spezialisierung der Makrostruktur Neben die Arbeitsteilung zwischen einzelnen Akteuren tritt im Konzern die Gestaltung der Arbeitsteilung zwischen dem Mutterunternehmen und den Tochtergesellschaften. Die Frage der Zentralisierung bzw. Dezentralisierung stellt sich dabei zum einen in Bezug auf die Entscheidungskompetenzen und zum anderen im Hinblick auf einzelne Aufgaben des Risikomanagements. Beide Aspekte wurden empirisch erhoben. (1) Entscheidungsdezentralisierung Entscheidungsautonomie der Tochtergesellschaften bei der Gestaltung des Risikomanagementsystems ist aus Konzernsicht mit Vor- und Nachteilen verbunden, so dass sich ein sinnvolles Maß an Entscheidungsfreiheit nicht allgemeingültig bestimmen lässt. Es erschien daher erforderlich, die Entscheidungsverteilung zwischen Mutter- und Tochterunternehmen durch mehrere Indikatoren zu operationalisieren, die sich auf unterschiedliche Entscheidungsfelder beziehen. Insgesamt wurden neun zentrale Sachverhalte vorgegeben, zu denen die Respondenten um eine Einschätzung des Ausmaßes an Entscheidungsautonomie der Tochtergesellschaften gebeten wurden (vgl. Frage A.2.6). Tab. 3.3–5 fasst die Befunde zusammen und verdeutlicht, dass die Tochtergesellschaften in den einzelnen Bereichen über ein unterschiedliches Maß an Entscheidungsautonomie verfügen. Die geringste Entscheidungsdezentralisation liegt bei der Prüfung des Risikomanagementsystems durch die interne Revision vor, die höchste bei der Auswahl der Maßnahmen zur Risikoreduktion. Darüber hinaus zeigt Tab. 3.3–5 die Häufigkeitsverteilung der einzelnen Antworten, wobei die am häufigsten genannten Antwortkategorien grau hervorgehoben sind. Tochtergesellschaften entscheiden  selbstständig über … MW SA 1 2 3 4 5 Prüfung des RMS durch die interne Revision 1,34 0,75 80 8 9 3 0 die Form ihres internen Risikoberichtswesens 1,88 1,26 59 16 12 6 7 die Festlegung ihrer Risikostrategie 1,98 1,16 48 22 18 8 4 Schwellenwerte für ihre interne Risikoberichterstattung 2,08 1,33 51 16 15 10 8 die Anwendung von Risikomanagement- Methoden 2,10 1,25 45 21 16 13 5 ihre Risikomanagement-Organisation 2,17 1,35 48 15 16 14 7 Art und Umfang des Versicherungsschutzes 2,21 1,23 40 20 23 11 5 das Ausmaß der akzeptierten Risiken 2,34 1,09 29 26 31 11 3 Maßnahmen zur Risikoreduktion 2,95 1,14 15 15 36 27 7 Anmerkung: Skala 1 = trifft nicht zu, …, 5 = trifft voll zu; Angaben: relative Häufigkeiten (%), n=290, Prüfung durch interne Revision n=86 Tab. 3.3–5: Entscheidungsautonomie der Tochtergesellschaften 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 253 Insgesamt fällt auf, dass eine relativ geringe Entscheidungsdezentralisation vorliegt. Dies liegt vermutlich in dem Streben nach einer konzernweit einheitlichen Gestaltung der Risikomanagementsysteme begründet. Vor allem die Frage der Prüfung durch die interne Revision wird überwiegend zentral entschieden. Ebenso ist die Entscheidungskompetenz über die Form des Risikoberichtswesens stark zentralisiert. Auf diese Weise soll offensichtlich eine reibungslose Verdichtung der Risikoinformationen im Konzern sichergestellt werden. Die vergleichsweise größte Entscheidungsautonomie wird den Tochtergesellschaften bei der Risikosteuerung gewährt. Dies gilt für die Art und den Umfang des Versicherungsschutzes, das Ausmaß der akzeptierten Risiken und die Wahl der risikosteuernden Maßnahmen. Da in diesen Bereichen der Nutzung des Erfahrungswissens dezentraler Entscheidungsträger besondere Bedeutung zukommt, ist die relativ hohe Entscheidungsautonomie nachvollziehbar. Sie entspricht einer Kongruenz von Geschäfts- und Risikoverantwortung. Auf der Grundlage von Basishypothese BH1 wurden im Rahmen der theoretischen Vorüberlegungen verschiedene Hypothesen zur Kontextabhängigkeit der Entscheidungsdezentralisation abgeleitet. Zum Ersten wurde folgender Zusammenhang zwischen der Konzernorganisationsform und dem Ausmaß an Entscheidungsdezentralisation beim Risikomanagement prognostiziert: H6: Das Risikomanagement weist in Holdingkonzernen einen höheren Grad an Entscheidungsdezentralisation auf als in Stammhauskonzernen. Stammhaus‐ konzern Holding‐ konzern Tochtergesellschaften entscheiden  selbstständig über … MW SA MW SA t‐Wert Sig. ihre Risikomanagement-Organisation 2,11 1,39 2,25 1,29 –0,91 0,36 die Festlegung ihrer Risikostrategie 1,82 1,14 2,17 1,16 –2,53 0,01 die Form ihres internen Risikoberichtswesens 1,84 1,28 1,92 1,24 –0,54 0,59 Schwellenwerte für ihre interne Risikoberichterstattung 1,94 1,26 2,26 1,40 –2,07 0,04 die Anwendung von Risikomanagement- Methoden 2,04 1,26 2,17 1,23 –0,84 0,40 das Ausmaß der akzeptierten Risiken 2,19 1,13 2,52 1,03 –2,59 0,01 Maßnahmen zur Risikoreduktion 2,79 1,18 3,15 1,06 –2,66 0,01 Art und Umfang des Versicherungsschutzes 2,25 1,33 2,18 1,11 0,48 0,63 Gesamtindex zur Entscheidungsautonomie 2,12 0,85 2,33 0,85 –2,03 0,04 Anmerkung: Skala 1 = trifft nicht zu, …, 5 = trifft voll zu; n=290 Tab. 3.3–6: Entscheidungsautonomie in Abhängigkeit von der Konzernorganisation 254 3  Empirische Analyse des Risikomanagements im Konzern Zur Prüfung dieser Hypothese wurde ein Gesamtindex zur Entscheidungsautonomie als einfaches arithmetisches Mittel der einzelnen Einschätzungen gebildet. Dabei blieb das Entscheidungsfeld „Prüfung des Risikomanagements durch die interne Revision“ unberücksichtigt, da nur in 86 der 290 Konzerne eine Revisionseinheit existiert und dieser Bereich somit nicht für alle Konzerne entscheidungsrelevant ist. Der Gesamtindex hat einen Wert von 2,2. Die Mittelwertvergleiche durch t-Tests signalisieren, dass die Entscheidungskompetenzen für das Risikomanagement in Holdingkonzernen signifikant stärker dezentralisiert sind als in Stammhauskonzernen (vgl. Tab. 3.3–6). Hypothese H6 kann daher als bestätigt gelten, auch wenn bei einer differenzierten Betrachtung bei vier der acht Entscheidungsfelder die Unterschiede zwischen Stammhaus- und Holdingkonzernen statistisch nicht signifikant sind. In diesen Teilbereichen spielt die Konzernorganisation offenbar weniger eine Rolle. Vielmehr dominieren die Art des Sachverhalts und die damit verbundenen Vor- oder Nachteile der Entscheidungsdezentralisation. Beispielsweise ist ein konzernweit einheitliches Risikoberichtswesen im Holdingkonzern ebenso Voraussetzung für die Informationsverdichtung zur Konzernspitze hin wie im Stammhauskonzern. Weiterhin wurde die Konzerngröße als relevanter Kontextfaktor für das Ausmaß der Entscheidungsdezentralisation im Risikomanagement angesehen. Diesbezüglich wurde folgende Hypothese formuliert: H7: Je größer der Konzern, desto stärker ist die Entscheidungsdezentralisation im Risikomanagement ausgeprägt. Um den vermuteten Zusammenhang zu prüfen, wurde sowohl eine Varianzanalyse nach Größenklassen als auch eine Korrelationsanalyse zwischen der Anzahl der Mitarbeiter und dem Grad der Entscheidungsautonomie (gemessen an dem Gesamtindex) durchgeführt. Die in Tab. 3.3–7 dargestellten Ergebnisse stützen die Hypothese H7 auf hoch signifikantem Niveau. Mit zunehmender Konzerngröße wird den Tochtergesellschaften mehr Entscheidungsfreiheit beim Risikomanagement eingeräumt. Auf diese Weise wird dem mit der Konzerngröße i.d.R. wachsenden Bedarf an flexiblen Ausgestaltungsmöglichkeiten, die eine Anpassung des Risikomanagementsystems an die individuellen Anforderungen der Tochtergesellschaften erlauben, Rechnung getragen und die Konzernmutter von Entscheidungsaufgaben entlastet. Abh.  Variable Unabh. Variable Varianzanalyse Korrelationsanalyse Entscheidungsdezentralisation Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 2,43 2,23 1,98 7,510 0,001 0,312 0,000 Tab. 3.3–7: Entscheidungsautonomie in Abhängigkeit von der Konzerngröße 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 255 Als dritter Einflussfaktor für das Ausmaß der Entscheidungsautonomie beim Risikomanagement wurde das Leistungsprogramm angesehen. Da bei einem heterogenen Leistungsprogramm mehr unterschiedliche Anforderungen zu berücksichtigen sein dürften als bei einem weitgehend homogenen Leistungsprogramm, ist davon auszugehen, dass die Entscheidungsdezentralisation in heterogenen Konzernen besonders stark ausgeprägt ist. Dementsprechend ist folgende Hypothese zu prüfen: H8: In heterogenen Konzernen ist die Entscheidungsdezentralisation im Risikomanagement höher als in horizontalen und vertikalen Konzernen. Die Befunde der einfaktoriellen Varianzanalyse bestätigen Hypothese H8 (vgl. Tab. 3.3–8). Die Entscheidungsautonomie beim Risikomanagement unterscheidet sich bei den drei Konzernarten im Durchschnitt hoch signifikant voneinander, wobei sie von horizontalen über vertikale zu heterogenen Konzernen zunimmt. (2) Aufgabendezentralisierung Die Aufgaben des Risikomanagements lassen sich in sachlogischer Reihenfolge als Prozess darstellen, der die Analyse, Steuerung und Kontrolle von Risiken umfasst. Zur Risikoanalyse gehören verschiedene Teilaufgaben, wie z.B. die Identifikation und Bewertung von Risiken, wobei auch Wechselwirkungen zwischen einzelnen Risiken zu untersuchen und Einzelrisiken zu aggregieren sind. Daneben ist die Entwicklung von Methoden zum Risikomanagement eine systembildende Aufgabe. Da sich diese Aufgaben des Risikomanagements in unterschiedlichem Maße zur Zentralisierung bzw. Dezentralisierung im Konzern eignen, wurden die Respondenten gebeten, auf einer fünfstufigen Ratingskala die Aufgabenverteilung zwischen der Konzernzentrale und den Tochtergesellschaften anzugeben (vgl. Frage A.2.7). Die beiden Extrema der Ratingskala kennzeichneten die ausschließlich zentrale (=1) bzw. ausschließlich dezentrale (=5) Aufgabenwahrnehmung. Für den Fall, dass bestimmte Aufgaben gar nicht wahrgenommen werden, wurde eine entsprechende Antwortkategorie eröffnet. Tab. 3.3–9 zeigt die Mittelwerte, Standardabweichungen sowie die Häufigkeitsverteilung der Antworten für die einzelnen Aufgaben des Risikomanagements. Die am häufigsten genannten Antwortkategorien sind grau schattiert. Abhängige Variable Unabhängige Variable Varianzanalyse Entscheidungsdezentralisation Leistungsprogramm n MW F-Wert Signifikanz des F-Wertes horizontaler Konzern vertikaler Konzern heterogener Konzern 192 68 30 2,10 2,33 2,68 7,059 0,001 Tab. 3.3–8: Entscheidungsautonomie in Abhängigkeit vom Leistungsprogramm 256 3  Empirische Analyse des Risikomanagements im Konzern Konform mit den Vorüberlegungen werden die verschiedenen Aufgaben in unterschiedlichem Maße dezentralisiert. Der höchste Zentralisationsgrad liegt bei der Entwicklung von Methoden zum Risikomanagement vor. Dies ist insofern nachvollziehbar, als auf diese Weise eine konzernweit einheitliche Vorgehensweise beim Risikomanagement sichergestellt werden kann. Zudem bietet die Zentralisierung hier den Vorteil, spezifisches methodisches Know-how aufbauen und bündeln zu können und dadurch Synergiepotenziale zu erschließen. Ebenso weist die Aggregation von Einzelrisiken naturgemäß einen hohen Zentralisationsgrad auf. Demgegenüber werden die Identifikation und Bewertung von Risiken sowie die Umsetzung von Maßnahmen zur Risikosteuerung eher dezentralisiert, womit dem besseren Kenntnisstand der Entscheidungsträger vor Ort Rechnung getragen wird. Eine innerhalb des Aufgabenspektrums mittlere Position bei der Dezentralisierung nehmen die Kontrolle der Risikolage und die Analyse von Wechselwirkungen zwischen Einzelrisiken ein. Bemerkenswert ist jedoch, dass 17% der Konzerne letztere Aufgabe gar nicht wahrnehmen. Noch höher ist der Anteil der Konzerne, in denen Einzelrisiken nicht aggregiert werden (29%). Hierauf wird im Zusammenhang mit den Befunden zur Risikofrüherkennung in Abschnitt 3.3.2.2.2 näher einzugehen sein. An dieser Stelle bleibt indes festzuhalten, dass die Aufgabenverteilung zwischen der Konzernmutter und den Tochtergesellschaften in Abhängigkeit von der Aufgabe, aber auch – wie an der Häufigkeitsverteilung deutlich wird – zwischen den Konzernen variiert. Dies führt zu der Frage, ob sich gewisse Einflussfaktoren nachweisen lassen, welche die Unterschiede im Ausmaß der Aufgabendezentralisierung erklären. Das Ausmaß der Aufgabendezentralisierung wird hierbei an einem Gesamtindex gemessen, der sich analog zur Entscheidungsdezentralisierung als einfaches arithmetisches Mittel aus den Dezentralisierungswerten der einzelnen Risiko- Aufgabe MW SA zentral                          dezentral gar  nicht 1 2 3 4 5 Entwicklung von Methoden des Risikomanagements 1,35 0,61 71 20 7 0 0 2 Identifikation der Risiken 3,13 1,11 12 8 48 21 11 0 Bewertung der Risiken 3,01 1,18 14 14 40 19 12 1 Analyse von Wechselwirkungen zwischen Einzelrisiken 2,33 1,05 22 24 28 6 3 17 Aggregation der Einzelrisiken 1,80 0,93 35 18 15 2 1 29 Umsetzung von Maßnahmen zur Risikosteuerung 2,93 1,05 13 13 47 21 6 0 Kontrolle der Risikolage 2,14 0,91 30 29 36 4 0 1 Anmerkung: Skala 1 = ausschließlich zentral, …, 5 = ausschließlich dezentral; Angaben: relative Häufigkeiten (%), n=290 Tab. 3.3–9: Dezentralisierung von Aufgaben des Risikomanagements 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 257 management-Aufgaben berechnet. Der Gesamtindex der Aufgabendezentralisierung beträgt im Durchschnitt der Stichprobe 2,4 (Standardabweichung s=0,72) und korreliert positiv mit dem Gesamtindex zur Entscheidungsdezentralisation (r=0,56**). Je stärker Konzerne Entscheidungskompetenzen dezentralisieren, umso mehr werden somit auch Aufgaben des Risikomanagements an die Tochtergesellschaften delegiert. Auf der Grundlage von Basishypothese BH1 wurde vermutet, dass die Organisationsform, die Größe, die Anzahl der Konzernstufen sowie die Umweltdynamik des Konzerns das Ausmaß der Aufgabendezentralisation beeinflussen. Hypothese H9 lautet: H9: Holdingkonzerne dezentralisieren Aufgaben des Risikomanagements in stärkerem Maße als Stammhauskonzerne. Die Ergebnisse des t-Tests bestätigen den Einfluss der Konzernorganisationsform (vgl. Tab. 3.3–10). Sowohl aufgabenspezifisch als auch insgesamt bestehen (hoch) signifikante Unterschiede im Ausmaß der Dezentralisation von Risikomanagement-Aufgaben zwischen Stammhaus- und Holdingkonzernen. Die Tendenz zu dezentralen Strukturen in Holdingkonzernen prägt somit auch die Aufgabenverteilung im Risikomanagement. Der Gesamtindex beträgt für Stammhauskonzerne 2,21 und für Holdingkonzerne 2,64.1 Stammhaus‐ konzern Holding‐ konzern Aufgabe MW SA MW SA t‐Wert Sig. Entwicklung von Methoden des Risikomanagements 1,27 0,56 1,44 0,65 –2,41 0,02 Identifikation der Risiken 2,93 1,18 3,37 0,97 –3,39 0,00 Bewertung der Risiken 2,75 1,19 3,33 1,08 –4,28 0,00 Analyse von Wechselwirkungen zwischen Einzelrisiken 2,06 0,91 2,64 1,12 –4,44 0,00 Aggregation der Einzelrisiken 1,59 0,83 2,03 0,98 –3,47 0,00 Umsetzung von Maßnahmen zur Risikosteuerung 2,67 1,09 3,26 0,89 –5,00 0,00 Kontrolle der Risikolage 1,99 0,92 2,32 0,88 –3,06 0,00 Gesamtindex zur Aufgabendezentralisation 2,21 0,71 2,64 0,67 –5,32 0,00 Anmerkung: Skala 1 = ausschließlich zentral, …, 5 = ausschließlich dezentral Tab. 3.3–10: Aufgabendezentralisation in Abhängigkeit von der Konzernorganisation 1 Der höhere Aufgabenzentralisierungsgrad in Stammhauskonzernen ist konform mit dem Befund, dass Stammhauskonzerne die Strategie der Synergieerzielung intensiver verfolgen als Holdingkonzerne; vgl. dazu Abschnitt 3.1.1. 258 3  Empirische Analyse des Risikomanagements im Konzern Weiterhin wurde folgender Zusammenhang zwischen der Konzerngröße und der Aufgabenverteilung prognostiziert: H10: Je größer der Konzern, desto stärker werden Aufgaben des Risikomanagements dezentralisiert. Die Hypothese H10 kann anhand der Ergebnisse der Varianz- und Korrelationsanalyse voll bestätigt werden (vgl. Tab. 3.3–11). Großkonzerne dezentralisieren Risikomanagement-Aufgaben folglich in einem höheren Maße als mittelständische Konzerne. Im Vergleich zur Entscheidungsdezentralisation (r=0,31**) ist die Korrelation der Aufgabendezentralisation mit der Konzerngröße geringfügig stärker ausgeprägt (r=0,35**). Analog zur Konzerngröße liegt es nahe, mit wachsender Anzahl der Konzernstufen eine zunehmende Dezentralisierung von Risikomanagement-Aufgaben zu vermuten. Dementsprechend lautet die Hypothese H11: H11: In mehrstufigen Konzernen werden Aufgaben des Risikomanagements stärker dezentralisiert als in einstufigen Konzernen. Auch hier liefert die Varianzanalyse hoch signifikante Unterschiede im Gesamtindex zur Aufgabendezentralisation (vgl. Tab. 3.3–12). Diese steigt mit zunehmender Zahl der Konzernstufen an. Hypothese H11 ist deshalb als bestätigt anzusehen. Abh.  Variable Unabh. Variable Varianzanalyse Korrelationsanalyse Aufgabendezentralisation Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 2,65 2,35 2,20 11,211 0,000 0,348 0,000 Tab. 3.3–11: Aufgabendezentralisation in Abhängigkeit  von der Konzerngröße Abhängige Variable Unabhängige Variable Varianzanalyse Aufgabendezentralisation Konzernstufen n MW F-Wert Signifikanz des F-Wertes einstufiger Konzern zweistufiger Konzern mehrstufiger Konzern 193 68 29 2,31 2,53 2,76 6,454 0,002 Tab. 3.3–12: Aufgabendezentralisation in Abhängigkeit  von der Anzahl der Konzernstufen 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 259 Darüber hinaus wurde ein Einfluss des Diversifikationsgrades erwartet. In stark diversifizierten Konzernen ist eine zentrale Instanz eher überfordert, die unterschiedlichen Risikobereiche der Konzerneinheiten einzuschätzen, als in einem wenig diversifizierten Konzern. Es ist deshalb folgender Zusammenhang zu vermuten: H12: Je größer der Diversifikationsgrad des Konzerns, desto stärker werden Aufgaben des Risikomanagements dezentralisiert. Die empirischen Befunde bestätigen die Hypothese H12 (vgl. Tab. 3.3–13). Der Korrelationskoeffizient von r=0,25** signalisiert einen hoch signifikanten Zusammenhang, der ebenfalls durch die Ergebnisse des t-Tests untermauert wird. Schließlich wurde vermutet, dass die Aufgabendezentralisation von dem Ausmaß der Umweltdynamik abhängt: H13: Bei hoher Umweltdynamik werden Aufgaben des Risikomanagements stärker dezentralisiert als bei geringer Umweltdynamik. Zur Prüfung dieser Hypothese wurden ein t-Test und eine Korrelationsanalyse zwischen der Umweltdynamik und dem Gesamtindex zur Aufgabendezentralisation durchgeführt (vgl. Tab. 3.3–14). Die Ergebnisse des t-Tests signalisieren wie vermutet bei überdurchschnittlicher Umweltdynamik eine signifikant höhere Aufgabendezentralisation. Insofern kann Hypothese H13 als bestätigt gelten. Einschränkend ist jedoch auf die Ergebnisse der Korrelationsanalyse hinzuweisen. Diese deuten auf einen nur sehr geringen und zudem statistisch nicht signifikanten Zusammenhang hin. Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Aufgabendezentralisation 2,0 < 2,0 165 125 2,52 2,25 3,176 0,002 Diversifi-kationsgrad 0,252 0,000 Tab. 3.3–13: Aufgabendezentralisation in Abhängigkeit vom Diversifikationsgrad Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Umweltdynamik 4,7 < 4,7 136 154 2,50 2,32 2,072 0,039 Aufgabende-zentralisation 0,084 0,152 Tab. 3.3–14: Aufgabendezentralisation in Abhängigkeit von der Umweltdynamik 260 3  Empirische Analyse des Risikomanagements im Konzern 3.3.1.2.2 Koordination Als Pendant zur Spezialisierung bildet die Koordination die zweite Grunddimension der organisatorischen Gestaltung des Risikomanagements im Konzern. Sie begründet sich in dem Koordinationsbedarf, der durch die Verteilung von Entscheidungskompetenzen und Risikomanagement-Aufgaben auf verschiedene Akteure im Konzern induziert wird. Die von den verschiedenen Akteuren getroffenen Entscheidungen und wahrgenommenen Aufgaben sind mithilfe von Koordinationsmechanismen auf die übergeordneten risikopolitischen Ziele abzustimmen, um deren Erreichung sicherzustellen. Ausgehend von den in der Literatur differenzierten allgemeinen Koordinationsmechanismen wurden in Abschnitt 2.3.1.2.3 spezifische Instrumente oder Maßnahmen zur Koordination des Risikomanagements identifiziert und systematisiert. Um zu untersuchen, in welcher Form und mit welcher Intensität das Risikomanagement in den Konzernen koordiniert wird, wurden die Respondenten gebeten, die Einsatzintensität der Koordinationsmechanismen auf einer fünfstufigen Ratingskala zu beurteilen (vgl. Frage A.2.8). Tab. 3.3–15 fasst die empirischen Befunde zusammen; die am häufigsten genannten Einsatzintensitäten sind grau markiert. Am intensivsten werden persönliche Weisungen und Konzernrichtlinien zur Koordination des Risikomanagements eingesetzt. Der intensive Gebrauch von persönlichen Weisungen – 57% der Konzerne nutzen sie intensiv oder sehr intensiv – signalisiert, dass es sich hierbei um ein vielseitiges und flexibles Koordinationsinstrument handelt. Mit zunehmender Konzerngröße werden persönliche Weisungen indes weniger intensiv zur Koordination des Risikomanagements verwendet (r=-0,20**). Dies wird darauf zurückzuführen sein, dass persönliche Weisungen mit zunehmender Konzerngröße auch zu einer Überlastung der zentralen Instanzen führen können. Umgekehrt bieten sie in kleinen Konzernen den Vorteil einer individuellen Abstimmung. Koordinationsinstrument MW SA 1 2 3 4 5 Persönliche Weisungen der Konzernzentrale 3,68 0,97 2 9 32 35 22 Konzernrichtlinie zum Risikomanagement 3,47 1,32 12 11 23 26 28 Vorgabe von Schwellenwerten und Risikolimits 3,16 1,44 21 12 19 27 21 Selbstabstimmung zwischen Entscheidungsträgern 3,26 1,06 7 15 36 30 12 Schulung der Mitarbeiter zum Thema Risikomanagement 2,39 1,16 26 34 22 12 6 Förderung einer konzernweit einheitlichen Risikokultur 3,21 1,15 8 18 32 28 14 Skala 1–5: 1 = gar nicht, …, 5 = sehr intensiv; relative Häufigkeiten (%), n=290 Tab. 3.3–15: Einsatzintensität der Koordinationsinstrumente für das Risikomanagement 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 261 Die hohe Einsatzintensität von Konzernrichtlinien entspricht dem zentralen Stellenwert, der ihnen in der Literatur zur Sicherung der dauerhaften Funktionsfähigkeit des Risikomanagementsystems zugesprochen wird.1 Bemerkenswert ist jedoch, dass auf der einen Seite 54% der Konzerne Richtlinien intensiv oder sehr intensiv einsetzen, während auf der anderen Seite immerhin 12% der Konzerne überhaupt keine Richtlinien zur Koordination des Risikomanagements nutzen. Mehr als die Hälfte davon (19 der 34 Konzerne) sind kleine mittelständische Konzerne. Hier zeigt sich im Vergleich zur persönlichen Weisung ein umgekehrtes Bild. Konzernrichtlinien werden mit zunehmender Konzerngröße intensiver zur Koordination des Risikomanagements eingesetzt (r=0,46**). Schwellenwerte und Risikolimits stellen das Koordinationsinstrument dar, dessen Einsatzintensität am stärksten streut (Standardabweichung s=1,44). 21% der Konzerne setzen keine Schwellenwerte und Risikolimits ein, während ein gleich hoher Anteil sie sehr intensiv zur Abstimmung des Risikomanagements nutzt. Wie bei den Konzernrichtlinien korreliert auch hier die Einsatzintensität signifikant positiv mit der Konzerngröße (r=0,37**). Weiterhin werden die Selbstabstimmung und die Risikokultur mit durchschnittlich mittlerer Intensität zur Koordination des Risikomanagements eingesetzt. Während sich bei Ersterer kein Zusammenhang zur Konzerngröße nachweisen lässt, deuten die empirischen Befunde auf eine schwach ausgeprägte Korrelation zwischen Größe und der Förderung der Risikokultur hin (r=0,18**). Die geringste Einsatzintensität weisen Schulungen zum Risikomanagement auf. Diese wurden teilweise zur Einführung des Risikomanagementsystems durchgeführt, bilden aber meist keinen permanenten Bestandteil der Qualifikationsprogramme. Ein kleiner Teil der Konzerne (6%) verwendet Schulungen jedoch sehr intensiv, um auf diese Weise ein einheitliches Verständnis und eine einheitliche Vorgehensweise beim Risikomanagement, z.B. bei der sehr subjektiv geprägten Risikobewertung, zu erreichen. Zwei Respondenten erwähnten in diesem Zusammenhang, dass in ihren Konzernen die betroffenen Entscheidungsträger auch in den Grundlagen der Statistik (Verteilungsfunktionen etc.) geschult werden. Die Einsatzintensität von Schulungen zum Risikomanagement korreliert nicht nur signifikant positiv mit der Konzerngröße (r=0,36**), sondern auch mit jener der Risikokultur (r=0,48**). Schulungen zum Risikomanagement werden somit umso intensiver eingesetzt, je stärker eine Förderung der Risikokultur verfolgt wird. Offensichtlich werden Schulungen als Instrument zur Förderung der Risikokultur angesehen. Weitere hoch signifikante Zusammenhänge bestehen zwischen der Einsatzintensität von Konzernrichtlinien und Schwellenwerten (r=0,56**), Schulungen (r=0,51**) und der Förderung der Risikokultur (r=0,42**). Insgesamt ist zu konstatieren, dass mehrere Instrumente kombiniert zur Koordination des Risikomanagements herangezogen werden. Um ein Gesamtmaß für die Intensität der Koordinationsmaßnahmen zu gewinnen, wurde in Anlehnung an die Vorgehensweise bei der Grunddimension der Spezialisierung ein Ge- 1 Vgl. Brebeck/Herrmann (1997), S. 389; Pollanz (1999), S. 397f., IDW PS 340, Rn. 35. 262 3  Empirische Analyse des Risikomanagements im Konzern samtindex für die Koordination des Risikomanagements als ungewichteter arithmetischer Mittelwert der Einsatzintensität der sechs Koordinationsinstrumente gebildet. Der durchschnittliche Wert des Gesamtindex beträgt 3,2 (Standardabweichung s=0,69). Dieser Index wird im Folgenden bei der Prüfung der Hypothesen zu Grunde gelegt. Angesichts der Tatsache, dass der Koordinationsbedarf im Allgemeinen mit zunehmender Arbeitsteilung steigt1, wurde im Rahmen der theoretischen Vorüberlegungen folgender Zusammenhang in Bezug auf die Koordinationsintensität des Risikomanagements vermutet: H14: Je stärker Entscheidungskompetenzen und Aufgaben des Risikomanagements dezentralisiert werden, desto höher ist die Einsatzintensität von Maßnahmen zur Koordination des Risikomanagements. Die empirischen Befunde bestätigen die Hypothese hinsichtlich der Dezentralisierung von Aufgaben, nicht aber in Bezug auf die Dezentralisierung von Entscheidungskompetenzen (vgl. Tab. 3.3–16). Dem höheren Koordinationsbedarf bei dezentraler Aufgabenwahrnehmung wird somit durch einen intensiveren Einsatz der Koordinationsinstrumente begegnet. Die Ergebnisse zur Entscheidungsdezentralisation widersprechen hingegen den theoretischen Überlegungen. Ein Grund hierfür könnte darin liegen, dass die Koordinationsinstrumente in erster Linie zur Abstimmung von Aufgaben, nicht aber zur Koordination von Entscheidungen eingesetzt werden. Dem kontingenztheoretischen Ansatz folgend wurde ein Einfluss der Konzerngröße auf die Koordinationsintensität des Risikomanagements prognostiziert. Grundlage für die folgende Hypothese ist wiederum der mit steigender Konzerngröße zunehmende Koordinationsbedarf, der Konzerne vermutlich zu einem intensiveren Einsatz der Koordinationsmechanismen veranlasst. 1 Vgl. Mellewigt (1995), S. 115; Staehle (1999), S. 555ff. Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Entscheidungsdezentralisation 2,2 < 2,2 142 148 3,19 3,19 –0,086 0,932 Koordina-tionsintensität 0,048 0,411 Aufgabendezentralisation 2,4 < 2,4 165 125 3,29 3,07 2,778 0,006 Koordina-tionsintensität 0,215 0,000 Tab. 3.3–16: Koordinationsintensität in Abhängigkeit  von der Entscheidungs‐ und Aufgabendezentralisation 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 263 H15: Je größer der Konzern, desto intensiver werden Maßnahmen zur Koordination des Risikomanagements eingesetzt. Die in Tab. 3.3–17 zusammengefassten Ergebnisse der Varianz- und Korrelationsanalyse bestätigen Hypothese H15 auf hoch signifikantem Niveau. Die durchschnittliche Koordinationsintensität steigt von KMK (2,97) über GMK (3,13) zu GRK (3,47) kontinuierlich an. Zwischen der Mitarbeiterzahl als Maß für die Konzerngröße und der Koordinationsintensität besteht eine positive Korrelation von r=0,36**. Eine differenzierte instrumentenbezogene Analyse offenbart ebenfalls den Einfluss des Kontextfaktors Größe auf die Einsatzintensität einzelner Instrumente. Mit Ausnahme der Selbstabstimmung lassen sich bei allen Mechanismen (hoch) signifikante Unterschiede in der Einsatzintensität nachweisen. Wie schon vorstehend erwähnt, werden persönliche Weisungen mit zunehmender Konzerngröße weniger intensiv verwendet, während alle anderen Mechanismen intensiver genutzt werden. In der Literatur wird ferner vermutet, dass die Umwelt des Konzerns den Koordinationsbedarf und damit die Koordinationsintensität determiniere.1 Konkret wird daher für das Risikomanagement folgender Zusammenhang angenommen: H16: Je höher die Dynamik und Komplexität der Umwelt, desto höher ist die Einsatzintensität von Maßnahmen zur Koordination des Risikomanagements. Begründet wird diese Hypothese mit den häufigeren Veränderungen und stärkeren Interdependenzen, die mit einer zunehmenden Dynamik und Komplexität der Umwelt einhergehen. Die Befunde dieser Studie können Hypothese H16 jedoch nicht bestätigen (vgl. Tab. 3.3–18). Obgleich die Korrelationsanalyse auf einen signifikanten, aber sehr schwachen Zusammenhang zwischen der Koordinationsintensität und der Umweltdynamik hindeutet, wird die Hypothese durch den t-Test nicht gestützt. Offensichtlich ist der Einfluss der Umweltdynamik in diesem Bereich nur sehr gering, so dass die Hypothese H16 zu verwerfen Abh.  Variable Unabh. Variable Varianzanalyse Korrelationsanalyse Koordinationsintensität Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 3,47 3,13 2,97 15,968 0,000 0,360 0,000 Tab. 3.3–17: Koordinationsintensität in Abhängigkeit von der Konzerngröße 1 Vgl. z.B. Bassen (1998), S. 250ff. 264 3  Empirische Analyse des Risikomanagements im Konzern und die Nullhypothese zu akzeptieren ist. Dies gilt auch für den Einfluss der Umweltkomplexität, bei der die Ergebnisse beider Analysen keinen Zusammenhang dokumentieren. Zusammenfassend kann damit festgehalten werden, dass die Koordinationsintensität nicht durch den externen, sondern vielmehr durch den internen Kontext und hier vor allem durch die Konzerngröße und die damit ebenfalls einhergehende stärkere Aufgabendezentralisation bestimmt wird. Nachfolgend werden nunmehr die Befunde zum Kreis der in das konzernweite Risikomanagementsystem integrierten Gesellschaften dargelegt. 3.3.1.3 Festlegung des Risikokonsolidierungskreises 3.3.1.3.1 Integrierte Konzerngesellschaften Bei der Gestaltung des Risikomanagementsystems im Konzern stellt sich für das Mutterunternehmen die Frage, welche Gesellschaften aus dem Konzernverbund in das konzernweite Risikomanagementsystem integriert werden sollen. Wie in Abschnitt 2.3.1.3.1 erläutert, bestehen hierbei trotz rechtlicher Anforderungen aus § 91 Abs. 2 AktG Gestaltungsmöglichkeiten. Um einen Einblick darin zu bekommen, wie diese genutzt werden, wurden die Respondenten gebeten, den prozentualen Anteil der in das Risikomanagementsystem der Konzernmutter integrierten Gesellschaften anzugeben. Dabei wurde zwischen inländischen und ausländischen Tochterunternehmen sowie Gemeinschafts- und assoziierten Unternehmen differenziert (vgl. Frage A.2.5). Die empirischen Befunde zeigen, dass durchschnittlich 93% der inländischen Tochtergesellschaften in das Risikomanagementsystem der Konzernobergesellschaft integriert sind (vgl. Tab. 3.3–19). 83% der Konzerne integrieren alle inländischen Tochtergesellschaften, 3% hingegen gar keine. Tochtergesellschaften im Ausland werden allgemein weniger als jene im Inland in das konzernweite Risikomanagementsystem einbezogen. Der durchschnittliche Anteil der integrierten ausländischen Tochterunternehmen beträgt 83%. Dabei integrieren 68% der Konzerne alle ausländischen Tochterunternehmen, 5% beziehen keine ausländi- Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Dynamik der Umwelt 4,7 < 4,7 136 154 3,26 3,13 1,635 0,103 Koordina-tionsintensität 0,149 0,011 Komplexität der Umwelt 4,3 < 4,3 152 138 3,24 3,14 1,097 0,273 Koordina-tionsintensität 0,067 0,258 Tab. 3.3–18: Koordinationsintensität in Abhängigkeit von der Dynamik  und Komplexität der Umwelt 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 265 schen Töchter ein. Insgesamt deuten die Befunde somit darauf hin, dass der überwiegende Teil der Mutterunternehmen die Tochtergesellschaften den gesetzlichen Anforderungen entsprechend in ihr Risikomanagementsystem einbezieht. Demgegenüber werden Gemeinschaftsunternehmen erheblich weniger häufig in das Risikomanagementsystem der Konzernmutter integriert (vgl. Tab. 3.3– 19). Nur ein Drittel der Konzerne bezieht alle Gemeinschaftsunternehmen ein. 42% verzichten darauf hingegen völlig. Im Durchschnitt ist etwa jedes zweite Gemeinschaftsunternehmen in das konzernweite Risikomanagementsystem einbezogen. In Interviews wiesen Respondenten in diesem Zusammenhang darauf hin, dass sie Gemeinschaftsunternehmen vor allem dann in ihr Risikomanagementsystem integrieren, wenn sie die kaufmännische Führung inne haben. Am seltensten werden assoziierte Unternehmen in konzernweite Risikomanagementsysteme integriert. Der überwiegende Teil der Konzerne (82%) bezieht diese Gesellschaften nicht ein. Immerhin 6% der Konzerne integrieren durchweg alle assoziierten Unternehmen. Im Durchschnitt sind 11% dieser Unternehmen in die Risikomanagementsysteme der Konzernobergesellschaften eingebunden. Eine tiefergehende Betrachtung im Rahmen der Interviews manifestierte, dass es sich bei den integrierten assoziierten Unternehmen meist um besondere Fälle handelt: • Assoziierte Unternehmen hatten zuvor den Status einer Tochtergesellschaft und waren als solche in das Risikomanagementsystem der Konzernmutter einbezogen. Nach Reduktion der Beteiligungsquote blieb die Integration der Risikomanagementsysteme unverändert bestehen. • Ein assoziiertes Unternehmen musste als öffentliches Unternehmen nach § 53 HGrG ein Risikomanagementsystem einführen. Dieses wurde aus Vereinfachungsgründen konzeptionell von der beteiligten Konzernobergesellschaft Gesellschaft Häufigkeit der  Integration  von … zu … Durch‐ schnittli‐ cher Anteil Vorhanden  bei …% der  Konzerne Durch‐ schnittli‐ che Anzahl 0% (keine) 1–99% 100% (alle) MW % MW Inländische Tochtergesellschaften 3 14 83 93 95 18,4 Ausländische Tochtergesellschaften 5 27 68 83 81 29,6 Gemeinschaftsunternehmen 42 25 33 46 28 1,2 Assoziierte Unternehmen 82 12 6 11 49 5,0 Tab. 3.3–19: Integration von Konzerngesellschaften in das Risikomanagementsystem 266 3  Empirische Analyse des Risikomanagements im Konzern übernommen und mit dem Risikomanagementsystem der Konzernobergesellschaft verknüpft. • In den Kaufverträgen der Minderheitsbeteiligungen waren Vereinbarungen über die Implementierung eines Risikomanagementsystems und dessen Integration in jenes des beteiligten Unternehmens getroffen worden. Da assoziierte Unternehmen im Regelfall nicht in das Risikomanagementsystem der Konzernmutter eingebunden werden, können die aus ihnen resultierenden Risiken nur global als Risiko geringerer Beteiligungserträge oder des Wertverlusts erfasst werden. Grundlage hierfür sind meist eine recht allgemein gehaltene Berichterstattung dieser Unternehmen oder Kenntnisse der Mandatsträger. Ein Konzern berichtete, für Letzteres spezifische Checklisten entwickelt zu haben. Um die Verbreitung und damit auch die Bedeutung der verschiedenen Konzerngesellschaften aufzuzeigen, sind in Tab. 3.3–19 in den beiden rechten Spalten die Anteile der Konzerne, in denen die betreffenden Gesellschaften existieren, und die durchschnittliche Zahl der Gesellschaften genannt.1 Die Daten belegen, dass mit den Tochterunternehmen der dominante Anteil der Konzerngesellschaften erfasst wird. Gemeinschaftsunternehmen existieren nur in 28%, assoziierte Unternehmen in 49% der Konzerne. Auch deren durchschnittliche Zahl ist mit 1,2 bzw. 5,0 im Vergleich zu den Tochtergesellschaften gering. Dies lässt den Schluss zu, dass die Integration von Gemeinschafts- und assoziierten Unternehmen in konzernweite Risikomanagementsysteme aufgrund der geringeren Verbreitung eher eine Spezialfrage darstellt, der gleichwohl aber im Einzelfall hohe Bedeutung zukommen kann. Im Rahmen der empirischen Studie wurde weiter nach den Gründen für die Nicht-Integration von Konzerngesellschaften in das Risikomanagementsystem des Mutterunternehmens gefragt (vgl. Frage A.2.5). Bei den Antworten waren Mehrfachnennungen möglich. Wie aus Abb. 3.3–4 ersichtlich, bilden der mangelnde Einfluss bei Gemeinschafts- und assoziierten Unternehmen sowie die Einschätzung, dass von den betreffenden Gesellschaften keine Bestandsgefährdung für das Mutterunternehmen ausgehen kann, die am häufigsten genannten Gründe für einen Verzicht auf die Einbeziehung. Bemerkenswert ist, dass aber auch 54 der 290 Konzerne (19%) die noch nicht abgeschlossene Einrichtung des Risikomanagementsystems als Grund für die fehlende Integration von Konzerngesellschaften anführen. Eine weitergehende Analyse zeigt, dass das durchschnittliche Alter der Risikomanagementsysteme dieser Konzerne immerhin 2,7 Jahre beträgt. Es liegt damit zwar unter dem Durchschnitt für die Gesamtstichprobe (3,7 Jahre), scheint aber andererseits auch auf einen vielfach recht langwierigen Einführungsprozess hinzudeuten. Offensichtlich wurden die Risikomanagementsysteme häufig zunächst nur im Mutterunternehmen eingeführt und dann erst schrittweise auf die Tochterunternehmen ausgeweitet. 1 Die Daten wurden aus den Geschäftsberichten der Jahre 2003 bzw. 2002/03 erhoben. Zu älteren empirischen Befunden zur Beteiligungsstrategie in der Konzernpraxis vgl. Binder (1994b). 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 267 Die nur vorübergehende Beteiligungsabsicht wird im Vergleich zu den zuvor genannten Gründen erheblich seltener als Erklärung für die Nicht-Integration von Konzerngesellschaften angeführt. Dies gilt ebenso für sonstige Gründe, zu denen z.B. die erst kürzlich erfolgte Akquisition von Unternehmen, die gute Kenntnis der Risikolage auch ohne Integration des Unternehmens in das Risikomanagementsystem der Konzernmutter oder die Existenz eines eigenständigen Risikomanagementsystems in einem börsennotierten Tochterunternehmen gehören. Neben diesen Gründen für die Nicht-Integration stellt sich umgekehrt die Frage, welche Faktoren die Abgrenzung des Risikokonsolidierungskreises determinieren. Mit Bezug auf die von juristischer Seite in der Literatur geführte Diskussion um die rechtlichen Grenzen der Konzernleitungsmacht und daraus resultierende Auswirkungen auf die Gestaltung konzernweiter Risikomanagementsysteme1 wurde die folgende Hypothese formuliert: H17: Vertragskonzerne integrieren inländische Tochtergesellschaften in einem höheren Maße als faktische Konzerne. Da es in der Praxis Vertragskonzerne und faktische Konzerne in Reinform eher selten gibt, sondern vielmehr Mischformen dominieren, wurden der Prüfung dieser Hypothese die prozentualen Anteile an Tochtergesellschaften, mit denen Beherrschungsverträge bestehen, zu Grunde gelegt. Die in Tab. 3.3–20 dargestellten Ergebnisse des t-Tests signalisieren zwar, dass der durchschnittliche Anteil integrierter Tochtergesellschaften bei einem hohen Anteil an Beherrschungsverträgen mit 94% geringfügig höher ist als bei einem niedrigen Anteil an Beherrschungsverträgen mit 92%. Gleichwohl sind diese Ergebnisse statistisch nicht signifikant. Ebenso sprechen die Befunde der Korrelationsanalyse gegen den vermuteten Zusammenhang, so dass die Hypothese H17 zurückgewiesen werden muss. Die juristischen Grenzen der Konzernleitungsmacht haben somit offensichtlich in der Konzernpraxis kaum Bedeutung für die Gestaltung kon- Abb. 3.3–4: Gründe für die Nicht‐Integration von Konzerngesellschaften 1 Vgl. dazu Abschnitt 1.2.3.1.4. 12 16 108 102 54 0 30 60 90 120 Einrichtung noch nicht abgeschlossen keine Bestandsgefährdung für die Konzernmutter mangelnder Einfluss keine dauerhafte Beteiligungsabsicht sonstige Gründe Anzahl der Nennungen 268 3  Empirische Analyse des Risikomanagements im Konzern zernweiter Risikomanagementsysteme. Dieser Eindruck wurde auch in den persönlichen Interviews bestätigt, in denen die Gesprächspartner dieser Problematik durchweg keine praktische Relevanz zusprachen. Der auf eine reine Mehrheitsbeteiligung beruhende faktische Einfluss wurde als hinreichend für die Durchsetzung einheitlicher Konzernvorgaben zum Risikomanagement angesehen. 3.3.1.3.2 Rechtliche versus wirtschaftliche Einheiten Bei der Betrachtung des Risikokonsolidierungskreises im vorangehenden Abschnitt stand die Legalstruktur des Konzerns im Mittelpunkt. In der Konzernpraxis wird diese an den rechtlichen Einheiten orientierte Struktur jedoch oftmals durch eine virtuelle, wirtschaftliche Struktur aus Geschäftsfeldern, Regionen oder Profit Centern überlagert.1 Da rechtliche und wirtschaftliche Struktur nicht immer deckungsgleich sind, stellt sich bei der Einrichtung des Risikomanagementsystems im Konzern die Frage, nach welcher Struktur das System ausgerichtet werden soll. Um die von den Konzernen gewählten Alternativen zu erheben, wurden die Respondenten gebeten, die Struktur anzugeben, an der sich das Risikomanagementsystem primär orientiert (vgl. Frage A.2.9). Mit der Fokussierung auf die primäre Struktur wurde dem Umstand Rechnung getragen, dass im Rahmen von Sonderanalysen ggf. auch verschiedene Dimensionen alternativ betrachtet werden können.2 Wie Abb. 3.3–5 verdeutlicht, richtet fast die Hälfte der Konzerne ihr Risikomanagementsystem an der wirtschaftlichen Struktur aus. Etwa je ein Viertel der Konzerne orientiert sich dagegen primär an der rechtlichen Struktur bzw. hat kongruente wirtschaftliche und rechtliche Strukturen implementiert. Diese Ergebnisse dokumentieren, dass in der Konzernpraxis die wirtschaftlichen Strukturen auch für die Gestaltung der Risikomanagementsysteme zentrale Bedeutung haben. Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Beherrschungsverträge 27 < 27 87 173 94,34 91,79 1,057 0,292 Inländische Tochtergesellschaften –0,061 0,325 Tab. 3.3–20: Integration inländischer Tochtergesellschaften  in Abhängigkeit von der Leitungsmacht 1 Vgl. Grüning (1994); Borchers (2000), S. 124ff. 2 Beispielsweise ermöglichen manche Softwarelösungen für das Risikomanagement derartige Auswertungen nach Rechtseinheiten oder alternativ nach Geschäftsfeldern. 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 269 Einen detaillierteren Einblick in die Ausrichtung der Risikomanagementsysteme gibt Tab. 3.3–21. Danach orientieren 36% der Finanzholdings, aber nur 23% der Managementholdings ihr Risikomanagementsystem an der rechtlichen Struktur. Bei Finanzholdings dürften somit eher die Risiken einzelner Beteiligungen betrachtet werden, während in Managementholdings eine an den Rechtseinheiten orientierte Perspektive seltener zu finden ist. Ähnliche Unterschiede zeigen sich hinsichtlich der Anzahl der Konzernstufen und der Konzerngröße. Mehrstufige Konzerne richten ihr Risikomanagementsystem überdurchschnittlich häufig nach der wirtschaftlichen Struktur aus (55%). Dies gilt in gleicher Weise für Großkonzerne, von denen 55% ihr Risikomanagementsystem an den wirtschaftlichen und nur 21% an den rechtlichen Strukturen ausrichten. 3.3.1.4 Integration in das Controllingsystem Zur strategischen und operativen Führung von Konzernen existiert in diesen gewöhnlich eine Reihe von Managementsystemen, wie z.B. das Planungssystem oder das Qualitätsmanagementsystem. Da das Risikomanagementsystem eben- Abb. 3.3–5: Primäre Ausrichtung des Risikomanagementsystems im Konzern n Rechtliche  Struktur Wirtschaft‐ liche Struktur Beide  Strukturen Stammhauskonzern Managementholding Finanzholding 159 117 14 30 23 36 48 47 28 22 30 36 Einstufiger Konzern Zweistufiger Konzern Mehrstufiger Konzern 193 68 29 28 24 28 48 41 55 24 35 17 KMK GMK GRK 104 80 106 26 37 21 46 37 55 27 25 24 Tab. 3.3–21: Ausrichtung des Risikomanagementsystems in Abhängigkeit vom Kontext (in%) nach rechtlicher Struktur (27%) nach wirtschaftlicher Struktur (47%) nach beiden Strukturen (26%) 270 3  Empirische Analyse des Risikomanagements im Konzern falls eines dieser Führungssysteme darstellt, ist bei der Bildung eines Risikomanagementsystems im Konzern dessen Verhältnis zu anderen Führungssystemen zu klären. Im Schrifttum wird diesbezüglich eine Integration des Risikomanagementsystems mit dem Controllingsystem gefordert, da zwischen diesen Führungssystemen zahlreiche Schnittstellen bzw. Berührungspunkte bestehen.1 Zudem werden die Nutzung von Synergien und Impulse für die Konzernsteuerung als Argumente für eine integrierte Gestaltung der Systeme angeführt. Da Risikomanagementsysteme in unterschiedlichem Ausmaß in Konzerncontrollingsysteme eingebunden werden können, wurden die Respondenten gebeten, den Umfang der Integration auf einer fünfstufigen Ratingskala einzuschätzen (vgl. Frage A.2.4). Wie Abb. 3.3–6 zeigt, stimmten 56% der Respondenten der Aussage, dass ihr Risikomanagementsystem vollständig in das Konzerncontrollingsystem integriert ist, überwiegend oder voll zu. Damit folgt die Mehrheit der Konzerne der in der Literatur präferierten integrativen Gestaltung des Risikomanagementsystems. Auf der anderen Seite signalisieren die Befunde, dass 24% der Konzerne ihr Risikomanagementsystem nicht in das Konzerncontrollingsystem eingebunden haben. Die übrigen 20% der Konzerne haben eine partielle Integration der Führungssysteme vorgenommen. Auf der Grundlage der Basishypothese BH2, nach der die Ziele des Risikomanagements dessen Ausgestaltung determinieren, wurde im Rahmen der theoretischen Vorüberlegungen vermutet, dass mit einer Integration des Risikomanagementsystems in das Konzerncontrollingsystem konkrete Ziele verbunden werden. Es wurde folgender Zusammenhang prognostiziert: H18: Je höher die Bedeutung der Ziele Sicherung des Konzernerfolgs, Stärkung des Risikobewusstseins sowie Wirtschaftlichkeit und Akzeptanz des Risikomanagementsystems, desto stärker ist das Risikomanagementsystem in das Konzerncontrollingsystem integriert. 1 Vgl. Vogler/Gundert (1998), S. 2382; Wittmann (2000a), S. 807ff.; Löhr (2010), S. 309ff. Abb. 3.3–6: Integration des Risikomanagementsystems Vollständige Integration des RMS in das Konzerncontrollingsystem 0% 20% 40% 60% 80% 100% trifft nicht/überwiegend nicht zu trifft teilweise zu trifft überwiegend/voll zu MW 3,55624 20 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 271 Die Ergebnisse der Korrelationsanalysen und t-Tests bestätigen die Hypothese weitgehend (vgl. Tab. 3.3–22). Mit zunehmender Bedeutung, die dem Ziel Sicherung des Konzernerfolgs beigemessen wird, sind die Risikomanagementsysteme umfassender in die Controllingsysteme integriert (r=0,33**). Dies deutet darauf hin, dass mit integrierten Risikomanagementsystemen auch eine Unterstützung bzw. Verbesserung der Konzernsteuerung angestrebt wird. Die ebenfalls hoch signifikante Korrelation des Ausmaßes der Integration mit dem Ziel Stärkung des Risikobewusstseins (r=0,26**) stützt die Annahme, dass eine Einbindung des Risikomanagementsystems in das Controllingsystem auf eine regelmäßige Auseinandersetzung mit Risikoaspekten im Rahmen der Konzernführung abzielt. Von dieser stetigen Beschäftigung mit Risiken kann wiederum eine Verbesserung des Risikobewusstseins erwartet werden. Darüber hinaus signalisiert der hoch signifikante Zusammenhang zwischen dem Ziel Akzeptanz des Risikomanagementsystems und dem Ausmaß der Integration (r=0,23**), dass die Einbindung des Risikomanagementsystems in das Controllingsystem ebenso von dem Anliegen getrieben wird, ein von den Entscheidungsträgern akzeptiertes System zu schaffen. Dies wird offensichtlich mit einem integrierten Risikomanagementsystem eher für möglich gehalten als mit einem separaten, eigenständigen System, das wohl mehr als zusätzliche Belastung denn als Hilfe empfunden wird. Im Vergleich zu diesen drei Zielen scheint dem Ziel der wirtschaftlichen Ausgestaltung eine untergeordnete Bedeutung für die Integration des Risikomanagementsystems zuzukommen. Die Korrelation ist hier zwar sig- Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Bedeutung Ziel Sicherung des Konzernerfolgs 4,8 < 4,8 173 117 3,84 3,06 5,304 0,000 Integration des RMS 0,325 0,000 Bedeutung Ziel Stärkung Risikobewusstsein 5,6 < 5,6 166 124 3,76 3,22 3,603 0,000 Integration des RMS 0,264 0,000 Bedeutung Ziel Wirtschaftlichkeit des RMS 5,0 < 5,0 192 98 3,55 3,49 0,355 0,723 Integration des RMS 0,124 0,034 Bedeutung Ziel Akzeptanz des RMS 5,1 < 5,1 121 169 3,88 3,27 4,086 0,000 Integration des RMS 0,225 0,000 Tab. 3.3–22: Integration des Risikomanagementsystems in Abhängigkeit  von risikopolitischen Zielen 272 3  Empirische Analyse des Risikomanagements im Konzern nifikant, aber nur sehr schwach ausgeprägt (r=0,12*). Da der Mittelwertvergleich keine signifikanten Unterschiede signalisiert, muss die Hypothese in Bezug auf das Ziel Wirtschaftlichkeit als nicht bestätigt gelten. 3.3.1.5 Bestimmung von Wesentlichkeitsgrenzen Bei der Einrichtung des Risikomanagementsystems im Konzern sind weiter die Voraussetzungen zu schaffen, dass der Vorstand des Mutterunternehmens und andere Entscheidungsträger frühzeitig mit Informationen über bestandsgefährdende und andere wesentliche Risiken versorgt werden. Es geht somit nicht darum, den Vorstand über alle Risiken zu informieren, sondern nur über jene, die für das Mutterunternehmen oder den Konzern besonders bedeutsam sind. Zu diesem Zweck sind konzernweit Wesentlichkeitsgrenzen festzulegen. Mit der Frage A.3.3 wurde erhoben, inwieweit dies in der Konzernpraxis erfolgt, und zwar differenziert nach Schwellenwerten und anderen Berichtskriterien. Die empirischen Befunde signalisieren, dass knapp die Hälfte der Konzerne (48%) in allen oder fast allen Tochtergesellschaften bzw. Geschäftsbereichen Schwellenwerte bestimmt hat, deren Überschreiten eine Berichtspflicht an die nächsthöhere Hierarchieebene auslöst (vgl. Abb. 3.3–7). Andererseits wird aber auch deutlich, dass fast ebenso viele Konzerne keine oder nur vereinzelt Schwellenwerte definiert haben (45%). Bei den Kriterien, die eine Berichtspflicht für nicht oder nur schwer quantifizierbare Risiken anzeigen, zeichnet sich ein ähnliches Bild ab. Der Anteil an Konzernen, die keine oder nur vereinzelt Berichtskriterien festlegen, ist mit 54% sogar größer. Umgekehrt verfügt nur ein Drittel der Konzerne über konzernweit implementierte Berichtskriterien für nicht quantifizierbare Risiken. Insgesamt offenbaren die Befunde somit erhebliche Unterschiede bei dem Merkmal Wesentlichkeitsgrenzen. Dabei sind Berichtskriterien weniger verbreitet als Schwellenwerte. Diese Ergebnisse bestätigen die Befunde einer älteren Studie, die Defizite bei den Risikomanage- Abb. 3.3–7: Konzernweite Definition von Wesentlichkeitsgrenzen Schwellenwerte 0% 20% 40% 60% 80% 100% trifft nicht/überwiegend nicht zu trifft teilweise zu trifft überwiegend/voll zu MW 3,0 2,6Berichtskriterien In allen Tochtergesellschaften/ Geschäftsbereichen gibt es... 4845 7 3354 13 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 273 mentsystemen deutscher Aktiengesellschaften im Bereich der Wesentlichkeitsgrenzen feststellte.1 Neben der Frage, in welchem Ausmaß Schwellenwerte etabliert sind, wurden die Respondenten auch gebeten, die Form der Schwellenwerte anzugeben. Dabei waren Mehrfachnennungen möglich. Die Befunde zeigen, dass die meisten Konzerne (53%) nur eine Form von Schwellenwert verwenden. Weitere 34% der Konzerne kombinieren zwei verschiedene Arten von Schwellenwert. Im Durchschnitt sind 1,7 unterschiedliche Schwellenwertarten im Einsatz. Betrachtet man die eingesetzten Schwellenwerte genauer, so fällt auf, dass sich diese zumeist auf den möglichen Schaden und weniger häufig auf den Schadenserwartungswert beziehen (vgl. Tab. 3.3–23). Weiter wird deutlich, dass Schwellenwerte in absoluter Höhe verbreiteter sind als solche in relativer Höhe von einer Bezugsgröße. Die mit Abstand am häufigsten genannte Form von Schwellenwert ist ein absoluter Schadenswert. 131 der 173 Konzerne (75%), die Schwellenwerte etabliert haben, haben diese Form gewählt. Der Grund hierfür dürfte in der leichten Kommunizierbarkeit eines absoluten Schadensbetrages liegen. Weiterhin sind Schwellenwerte als prozentuale Abweichung von einem Planergebnis, die ein Schaden bei Risikoeintritt verursachen würde, recht verbreitet. 52 der 173 Konzerne (30%) arbeiten mit dieser Form von Schwellenwert, der sich flexibel an veränderte Plandaten anpasst. Bei den Schwellenwerten, die in Form eines Schadenserwartungswertes definiert sind, dominieren ebenfalls absolute Größen, gefolgt von relativen Ergebnisabweichungen. Das Eigenkapital wird insgesamt relativ selten als Bezugsgröße genutzt. Dies ist vermutlich darauf zurückzuführen, dass es sich hierbei nicht um eine Erfolgsgröße handelt. Daneben könnte auch die mangelnde Datenverfügbarkeit eine Rolle spielen.2 Sonstige Formen von Schwellenwerten wurden von vier Konzernen genannt, darunter z.B. verzögerte Auftragseingänge, das Überschreiten von Toleranzgrenzen bei Frühwarnindikatoren oder bestimmte als wesentlich eingeordnete Risikokategorien. Die erheblichen Unterschiede in der Anwendung von Wesentlichkeitsgrenzen werfen die Frage nach Erklärungsgründen auf. In Abschnitt 2.3.1.5 wurde die 1 Vgl. INW/PwC (2000), S. 18f. Schwellenwert in  absoluter  Höhe in relativer Höhe (%) vom … Umsatz Ergebnis Eigenkapital Schaden 131 32 52 14 Schadenserwartungswert 41 2 11 4 Tab. 3.3–23: Häufigkeit unterschiedlicher Formen von Schwellenwerten 2 Dies dürfte vor allem auf wirtschaftliche Einheiten, wie z.B. Regionen oder Profit Center, zutreffen, für die keine Bilanzen erstellt und folglich kein Eigenkapital ermittelt wird. 274 3  Empirische Analyse des Risikomanagements im Konzern Konzerngröße als möglicher Kontextfaktor angeführt und folgende Hypothese formuliert: H19: Je größer der Konzern, desto umfassender werden Wesentlichkeitsgrenzen (Schwellenwerte, Berichtskriterien) definiert. Die empirischen Befunde bestätigen die Hypothese auf hoch signifikantem Niveau (vgl. Tab. 3.3–24). Die Konzerngröße, gemessen an der Anzahl der Mitarbeiter, korreliert wie vermutet positiv mit dem Ausmaß, in dem Schwellenwerte (r=0,35**) und andere Berichtskriterien (r=0,21**) etabliert werden. Die Ergebnisse der einfaktoriellen Varianzanalyse untermauern dies. Umgekehrt manifestieren die Befunde auch, dass der Anteil an Konzernen, die keine Schwellenwerte festgelegt haben, bei KMK mit 57% überdurchschnittlich hoch ist. Bei GMK und GRK beträgt er 44% bzw. 22%. Ähnlich verhält es sich bei den Berichtskriterien für nicht quantifizierbare Risiken. Damit wird deutlich, dass vor allem die Risikomanagementsysteme mittelständischer Konzerne keine Wesentlichkeitsgrenzen als Berichtsfilter enthalten. In Interviews äußerten Respondenten die Ansicht, dass diese angesichts der überschaubaren Anzahl an Risiken nicht notwendig seien. Dies erscheint bei einer geringen Konzerngröße, in der das Risikomanagement ohnehin oftmals zentralisiert ist1, grundsätzlich nachvollziehbar. Insofern ist die pauschale Forderung in IDW PS 340, dass – unabhängig von der Konzerngröße – „auf jeder Stufe der Risikokommunikation Schwellenwerte zu definieren“2 sind, zu hinterfragen. Fraglich ist aber auch, inwieweit der Verzicht auf Wesentlichkeitsgrenzen in Großkonzernen die Effizienz des Risikomanagements beeinträchtigt. 1 Vgl. dazu die Ergebnisse aus Abschnitt 3.3.1.2. 2 IDW PS 340, Rn. 11. Abh.  Variable Unabh. Variable Varianzanalyse Korrelationsanalyse Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz Schwellenwerte über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 3,70 2,84 2,37 47,786 0,000 0,349 0,000 Berichtskriterien über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 2,95 2,63 2,18 15,651 0,001 0,211 0,000 Tab. 3.3–24: Wesentlichkeitsgrenzen in Abhängigkeit von der Konzerngröße 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 275 3.3.1.6 Objekte des Risikomanagements Eine weitere konstitutive Entscheidung bei der Bildung eines Risikomanagementsystems besteht in der Auswahl der Objekte, auf die das System ausgerichtet werden soll. Als Objekte des Risikomanagements können Risiken, daneben aber auch Chancen angesehen werden. Risiken bezeichnen die Möglichkeit einer negativen Zielabweichung, Chancen die einer positiven. Um zu erheben, inwieweit die Risikomanagementsysteme in Konzernen einseitig auf Risiken oder umfassend auf Risiken und Chancen ausgerichtet sind, wurde danach gefragt, inwieweit neben Risiken auch systematisch Chancen erfasst werden (vgl. Frage A.2.4). Hierzu wurde eine fünfstufige Ratingskala vorgegeben, auf welcher die Respondenten das Ausmaß angeben konnten, in dem das Risikomanagement in ihrem Konzern auch Chancen berücksichtigt. Dieser differenzierten Betrachtung lag die Überlegung zu Grunde, dass Chancen teilweise zwar nicht in gleichem Maße wie Risiken strukturiert erhoben und analysiert werden, gleichwohl aber z.B. im Rahmen der strategischen Planung berücksichtigt werden. Insofern erschien eine dichotome Antwortkategorie nicht zweckmäßig. Die Untersuchungsergebnisse dokumentieren, dass 13% der Konzerne Chancen im Rahmen ihrer Risikomanagementsysteme systematisch erfassen (vgl. Abb. 3.3–8). 63% der Konzerne erheben Chancen dagegen nicht systematisch, 24% nur ansatzweise, indem sie z.B. auch nicht wahrgenommene Chancen als Risiken ansehen und erfassen. Die Risikomanagementsysteme der börsennotierten Konzerne stellen somit ganz überwiegend allein auf Risiken ab; Chancen werden demgegenüber nur vereinzelt strukturiert erfasst. Diese Befunde bestätigten die Ergebnisse von Industriestudien, die ebenfalls eine weitgehend einseitige Ausrichtung der Risikomanagementsysteme auf Risiken nachwiesen.1 Abb. 3.3–8: Erfassung von Chancen 1 Vgl. INW/PwC (2000), S. 14; KPMG (2003), S. 12. Systematische Erfassung von Chancen 0% 20% 40% 60% 80% 100% trifft nicht/überwiegend nicht zu trifft teilweise zu trifft überwiegend/voll zu MW 2,21363 24 276 3  Empirische Analyse des Risikomanagements im Konzern Einige Konzerne, die ihr Risikomanagementsystem gleichermaßen auf Risiken und Chancen ausgerichtet haben, berichteten in den Interviews, dass trotz der konzeptionell gleichgewichtigen Ausrichtung weniger Chancen als Risiken erfasst und dokumentiert werden. Dieses Resultat wurde mit der Abneigung der Entscheidungsträger begründet, Chancen zu dokumentieren und zu kommunizieren, da hierbei die Gefahr bestünde, dass die Zielsetzungen entsprechend nach oben angepasst werden. Im Vergleich dazu würde in Risiken eine Möglichkeit zur Erklärung negativer Zielabweichungen gesehen. Insgesamt deuten diese Aussagen darauf hin, dass der Planungsphilosophie für die Akzeptanz des Chancenmanagements eine hohe Bedeutung zukommt. Weiterhin offenbaren die Befunde der Interviews Unterschiede in der Art und Weise, wie Chancen im Risikomanagementsystem berücksichtigt werden. Teilweise wird die Chancenbetrachtung auf die operativen Geschäftseinheiten beschränkt, während in den Zentralbereichen nur Risiken erfasst werden. Einige Konzerne sehen die Chancenbetrachtung dagegen als „Abfallprodukt“ der Beschäftigung mit Risiken an. Das Gesamtbild der Untersuchungsergebnisse wirft die Frage nach einer Erklärung für die beobachteten Unterschiede im Ausmaß der Chancenbetrachtung auf. Im Rahmen der konzeptionellen Ausführungen in Abschnitt 2.3.1.6 wurden die mit dem Risikomanagement verfolgten Ziele als möglicher Erklärungsgrund angeführt. Es wurde vermutet, dass Konzerne, die mit ihrem Risikomanagementsystem nicht nur die Erfüllung gesetzlicher Anforderungen, sondern auch die Erzielung ökonomischer Vorteile anstreben, Chancen systematischer in ihrem Risikomanagementsystem betrachten. Dies führte zu folgender Hypothese: Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Bedeutung Ziel Sicherung des Konzernerfolgs 4,8 < 4,8 173 117 2,40 1,99 3,068 0,002 Erfassung von Chancen 0,201 0,001 Bedeutung Ziel Chancentransparenz 4,3 < 4,3 142 148 2,73 1,76 7,969 0,000 Erfassung von Chancen 0,496 0,000 Bedeutung Ziel Senkung der Kapitalkosten 3,9 < 3,9 173 117 2,44 1,94 3,734 0,000 Erfassung von Chancen 0,199 0,001 Tab. 3.3–25: Chancenerfassung in Abhängigkeit von den Zielen des Risikomanagements 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 277 H20: Je höher die Bedeutung der Ziele Sicherung des Konzernerfolgs, Verbesserung der Entscheidungsgrundlagen (Chancentransparenz) und Senkung der Kapitalkosten, desto systematischer werden Chancen im Risikomanagementsystem erfasst. Die in Tab. 3.3–25 dargestellten Befunde bestätigen die Hypothese. Sowohl die Korrelationsanalysen als auch die t-Tests stützen den prognostizierten Zusammenhang auf hoch signifikantem Niveau. Es lässt sich damit als Fazit festhalten, dass zumindest ein kleiner Teil der Konzerne, wohl geleitet von dem Bestreben das Risikomanagementsystem auch für die Konzernsteuerung zu nutzen, Chancen mit gleicher Stringenz wie Risiken erfasst. Abgerundet werden soll die Analyse der Risikomanagement-Objekte durch einen Blick auf die Art der betrachteten Risiken. Diesbezüglich kann, orientiert an den gesetzlichen Mindestanforderungen aus § 91 Abs. 2 AktG, eine Fokussierung des Risikomanagementsystems auf bestandsgefährdende Entwicklungen erfolgen. Aus juristischer Sicht wird eine solche Ausgestaltung für hinreichend erachtet, um die regulatorischen Anforderungen zu erfüllen. Demgegenüber wird in der betriebswirtschaftlichen Literatur und von Seiten der Prüfungspraxis eine detaillierte Erfassung von Einzelrisiken gefordert, unabhängig davon, ob diese quantifizierbar sind oder nicht. Daher wurde im Rahmen der empirischen Studie gefragt, inwieweit in allen Konzerneinheiten bestandsgefährdende Entwicklungen sowie quantifizierbare und nicht bzw. schwer quantifizierbare Einzelrisiken erfasst werden (vgl. Frage A.3.1). Wie aus Abb. 3.3–9 ersichtlich, erfassen 94% der Konzerne konzernweit bestandsgefährdende Entwicklungen in ihrem Risikomanagementsystem. Respondenten, die dies verneinen, begründeten dies damit, dass keine Bestandsgefährdungen absehbar seien und ihr Risikomanagementsystem daher nicht darauf angelegt ist, solche zu erfassen. Wie Abb. 3.3–9 weiter zeigt, beschränken sich die meisten Konzerne jedoch nicht auf bestandsgefährdende Entwicklungen, sondern richten ihr Risikomanagementsystem ebenso auf Einzelrisiken aus. Dabei werden nicht quantifizierbare Risiken aber oftmals nicht berücksichtigt. Dies Abb. 3.3–9: Im Konzern erfasste Risiken bestandsgefährdende Entwicklungen 0% 20% 40% 60% 80% 100% trifft nicht/überwiegend nicht zu trifft teilweise zu trifft überwiegend/voll zu MW 4,6 In allen Tochtergesellschaften/ Geschäftsbereichen werden erfasst ... quantifizierbare Einzelrisiken nicht quantifizierbare Einzelrisiken 94 87 4429 3 2 4 10 27 4,4 3,3 278 3  Empirische Analyse des Risikomanagements im Konzern ist insofern kritisch zu beurteilen, als auch diese Risiken sich im Konzern kumulieren und möglicherweise zu einer Bestandsgefährdung führen können. Insgesamt lassen die Befunde den Schluss zu, dass die Risikomanagementsysteme zumeist den Forderungen des betriebswirtschaftlichen Schrifttums und der Prüfungspraxis entsprechend auf die mehr oder weniger detaillierte Erfassung von Einzelrisiken abzielen. Eine besondere Stellung nehmen dabei solche Risiken ein, die aus der Beteiligung des Mutterunternehmens an anderen Unternehmen resultieren. Hier muss das Mutterunternehmen dafür sorgen, dass das konzernweite Risikomanagementsystem auch diese Risiken, die auf vertraglichen oder gesellschaftsrechtlichen Verpflichtungen beruhen, erfasst. Daneben kann bei Minderheitsbeteiligungen auch das Gesamtrisiko des Wertverlusts berücksichtigt werden. Die Respondenten wurden deshalb um eine Einschätzung gebeten, inwieweit diese besonderen Risiken in der Konzernzentrale systematisch erfasst werden (vgl. Frage A.3.3). Die Auswertung der Antworten belegt, dass 58% der Respondenten die Ansicht vertreten, dass Risiken aus Beteiligungsverhältnissen in ihrer Konzernobergesellschaft systematisch im Risikomanagementsystem berücksichtigt werden (vgl. Abb. 3.3–10). Der entsprechende Anteil an Konzernen, die systematisch Verlustrisiken aus Beteiligungen erfassen, beträgt 34%. 3.3.1.7 Methodische Unterstützung des Risikomanagements 3.3.1.7.1 Risikomanagement‐Instrumente Zu den systembildenden Gestaltungsparametern des Risikomanagements gehört auch die Bereitstellung von Instrumenten, welche die Ausführung der Risikomanagement-Aufgaben unterstützen. Dazu kann zum einen auf allgemeine Instrumente der strategischen und operativen Unternehmensführung zurückgegriffen werden. Zum anderen ist in Wissenschaft und Praxis aber auch eine Reihe von speziellen Risikomanagement-Instrumenten entwickelt worden, sodass insgesamt ein recht breites Methodenrepertoire zur Verfügung steht. Um Abb. 3.3–10: Erfassung von Risiken in der Konzernzentrale Risiken aus Beteiligungsverhältnissen 0% 20% 40% 60% 80% 100% trifft nicht/überwiegend nicht zu trifft teilweise zu trifft überwiegend/voll zu MW 3,6 2,8 Gesamtrisiko des Wertverlusts von Beteiligungen In der Konzernzentrale werden systematisch erfasst ... 5821 21 3444 22 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 279 die instrumentelle Ausgestaltung der Risikomanagementsysteme in Konzernen zu untersuchen, erschien es – auch aufgrund der Abgrenzungsprobleme bei den allgemeinen Instrumenten – nicht sinnvoll, alle Methoden einzubeziehen. Vielmehr wurden auf der Grundlage einer Literaturanalyse zwölf Instrumente ausgewählt, denen im Schrifttum eine besondere Bedeutung für das Risikomanagement zugesprochen wird. Die Respondenten wurden gebeten, die Einsatzhäufigkeit dieser Instrumente differenziert für die Konzernzentrale (Konzernmutter) und die Tochtergesellschaften auf einer fünfstufigen Ratingskala zu beurteilen (vgl. Frage A.3.8). Um die Nennung weiterer Instrumente zu ermöglichen, wurde eine offene Antwortkategorie „Sonstige“ eröffnet, die allerdings nur von fünf Respondenten genutzt wurde und deshalb in der weiteren Auswertung unberücksichtigt bleibt.1 Da einige Methoden erst in jüngster Zeit entwickelt worden sind und daher – wie der Pretest bestätigte – davon auszugehen war, dass diese in der Praxis noch nicht umfassend bekannt sind, wurde zudem die Antwortmöglichkeit „Instrument unbekannt“ vorgesehen. Die empirischen Befunde belegen, dass 86% der Konzerne in der Konzernoberge‐ sellschaft Checklisten, 84% Brainstorming und 77% Risikoportfolios einsetzen. Diese drei Instrumente weisen nicht nur die größte Verbreitung auf, sondern werden auch mit Abstand am häufigsten intern verwendet (vgl. Abb. 3.3–11). 1 Genannt wurden hier z.B. interne Ratings, EVA-Kennzahlen und IT-Tools. Letztere werden im folgenden Abschnitt gesondert betrachtet. Abb. 3.3–11: Einsatz von Instrumenten des Risikomanagements 86% 84% 77% 50% 44% 30% 16% 12% 3% 6% 1 2 3 4 5 3% 7% gar nicht sehr häufig EinsatzhäufigkeitEinsatz in ...% Zentrale  Töchter Konzernzentrale Tochtergesellschaften Checklisten Brainstorming Risikoportfolio Szenario-Technik Sensitivitätsanalyse Scoring-Modelle Value at Risk Fehlerbaumanalyse Risikoadjustierte BSC Cashflow at Risk Risikoadj. Kennzahlen Monte-Carlo-Simulation 77% 70% 57% 50% 33% 29% 9% 9% 3% 3% 2% 4% 280 3  Empirische Analyse des Risikomanagements im Konzern Danach folgen mit der Szenario-Technik, Sensitivitätsanalyse und Scoring-Modellen drei traditionelle Methoden der Unternehmensführung, die in 50%, 44% bzw. 30% der Konzernzentralen für das Risikomanagement genutzt werden. Ihre Einsatzhäufigkeit ist im Durchschnitt jedoch gering, was darauf hindeutet, dass diese Instrumente meist fallweise für spezielle Analysen angewandt werden. Die geringste Verbreitung haben die neueren, speziell für das Risikomanagement entwickelten Methoden. Value at Risk und Cashflow at Risk werden z.B. nur von 16% bzw. 6% der Konzerne eingesetzt. Noch geringer ist der Verbreitungsgrad der risikoadjustierten Balanced Scorecard sowie der risikoadjustierten Kennzahlen (RAROC, RORAC). Im Vergleich zu den Konzernzentralen sind die Risikomanagement-Instrumente in den Tochtergesellschaften nach Einschätzung der Respondenten weniger verbreitet und werden dort weniger häufig genutzt. Die zentralen Instrumente für das Risikomanagement stellen in den Tochtergesellschaften ebenfalls Checklisten und Brainstorming dar. Bei Risikoportfolios ist der Unterschied in der Verbreitung und Einsatzhäufigkeit zwischen Konzernzentralen und Tochtergesellschaften besonders ausgeprägt, was darauf hindeutet, dass Risikoportfolios eher zur aggregierten Darstellung der Risikolage in der Konzernobergesellschaft verwendet werden. Insgesamt signalisieren die Ergebnisse, dass in der Konzernpraxis vor allem we‐ nig  komplexe  und daher  leicht  handhabbare  Risikomanagement‐Instrumente verwendet werden. Die neueren Methoden haben dagegen noch keine breite Akzeptanz in der Praxis gefunden. Dies liegt zum einen darin begründet, dass sie vielfach noch unbekannt sind. So gaben 52% der Respondenten an, risikoorientierte Kennzahlen nicht zu kennen. Ebenso ist der Cashflow at Risk bei 50%, die Monte-Carlo-Simulation bei 45% und die risikoadjustierte Balanced Scorecard bei 41% der antwortenden Risikomanagement-Koordinatoren unbekannt. Berücksichtigt man einen möglichen Bias im Antwortverhalten1, so ist zu vermuten, dass der tatsächliche Bekanntheitsgrad dieser Methoden noch geringer ist. Neben der mangelnden Kenntnis dürfte zum anderen aber auch die Schwierigkeit, risikoadjustierte Kennzahlen oder die Ergebnisse einer Monte-Carlo-Simulation intern zu kommunizieren, für deren geringe Verbreitung verantwortlich sein. In Interviews merkten einige Respondenten in diesem Zusammenhang an, dass ihre Risikomanagementsoftware zwar Monte-Carlo-Simulationen ermögliche, diese Funktionalität jedoch nicht genutzt werde, da die Informationen für die internen Entscheidungsträger schwer verständlich seien. In die empirische Erhebung wurden, wie erwähnt, aus dem breiten Methodenrepertoire zwölf wesentliche Instrumente des Risikomanagements einbezogen. In Bezug auf diese zwölf Instrumente zeigen die Untersuchungsbefunde, dass die Konzerne mehrere Methoden kombiniert einsetzen. Im Durchschnitt werden in den Konzernzentralen vier und in den Tochtergesellschaften drei verschiedene Risikomanagement-Instrumente verwendet (vgl. Tab. 3.3–26). In acht 1 Grundsätzlich muss damit gerechnet werden, dass Respondenten geneigt sind, ihr mangelndes Wissen nicht offen zuzugeben. 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 281 Konzernen (2,8%) wird das Risikomanagement in der Zentrale nicht methodisch unterstützt. Bei 28 Konzernen (10,7%) trifft dies auch auf die Tochtergesellschaften zu. Ein differenzierteres Bild von der instrumentellen Ausgestaltung der Risikomanagementsysteme gibt eine kontextuelle Analyse. Dafür ist es notwendig, ein Maß für die Gesamtintensität des Methodeneinsatzes in der Konzernzentrale bzw. den Tochtergesellschaften zu ermitteln. Dieses Maß wird durch einen Index der Einsatzintensität ausgedrückt, der als einfaches arithmetisches Mittel der Einsatzhäufigkeit aller zwölf analysierten Instrumente des Risikomanagements definiert ist. Der Gesamtindex der Einsatzintensität von Risikomanagement-Methoden in der Konzernobergesellschaft beträgt im Durchschnitt 1,90 (Standardabweichung s=0,51), derjenige für die Tochtergesellschaften 1,82 (Standardabweichung s=0,72). Beide Indizes korrelieren stark miteinander (r=0,69**). Als weiterer Indikator für die instrumentelle Unterstützung soll die Anzahl der eingesetzten Methoden herangezogen werden. Ein relevanter Kontextfaktor für die Intensität der methodischen Unterstützung kann vor allem in der Konzerngröße gesehen werden.1 Konkret ist folgender Zusammenhang zu vermuten: H21: Je größer der Konzern, desto umfassender wird das Risikomanagement instrumentell unterstützt. Die Hypothese wird durch die vorliegenden empirischen Befunde auf hoch signifikantem Niveau bestätigt (vgl. Tab. 3.3–27). Sowohl in der Konzernzentrale als auch in den Tochtergesellschaften nehmen die Intensität und die Anzahl der eingesetzten Instrumente des Risikomanagements mit steigender Konzerngröße zu. Diese erweist sich damit auch in dieser Studie als eine erklärende Variable für die unterschiedlich differenzierte Ausprägung des Methodenapparates. Aufgrund der Unterschiede im Dezentralisierungsgrad von Aufgaben ist ferner von der Konzernorganisation ein Einfluss auf die Intensität des Methodeneinsatzes in den Tochtergesellschaften zu erwarten. Dementsprechend wurde folgende Hypothese aufgestellt: H22: In Holdingkonzernen ist die Einsatzintensität von Risikomanagement-Instrumenten in Tochtergesellschaften höher als in Stammhauskonzernen. % 0 1 2 3 4 5 6 7 8 9–12 MW Konzernzentrale (n=287) 2,8 5,6 12,5 22,0 18,1 15,3 10,5 5,6 3,8 3,8 4,1 Tochtergesellschaften (n=261) 10,7 14,2 18,8 19,5 11,9 11,5 7,3 2,7 1,9 1,6 3,1 Tab. 3.3–26: Häufigkeitsverteilung der Anzahl eingesetzter Instrumente 1 Vgl. Burger/Buchhart (2002a), S. 63. 282 3  Empirische Analyse des Risikomanagements im Konzern Die empirischen Befunde stützen die Hypothese nur eingeschränkt. Wie Tab. 3.3–28 zeigt, ist die durchschnittliche Einsatzhäufigkeit, wie prognostiziert, in den Tochtergesellschaften von Holdingkonzernen (1,91) höher als jene in den Tochtergesellschaften von Stammhauskonzernen (1,74), jedoch sind die Unterschiede nur tendenziell signifikant. Gleiches gilt für die Anzahl der eingesetzten Instrumente. Eine Erklärung für diesen Befund könnte darin liegen, dass der Methodeneinsatz in den Tochtergesellschaften nicht nur vom Ausmaß der De- Abh. Variable Unabh. Variable Varianzanalyse Korrelations‐ analyse Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz Einsatzintensität Instrumente in Konzernzentrale über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 104 79 104 2,03 1,88 1,79 5,901 0,003 0,220 0,000 Anzahl der Instrumente in Konzernzentrale über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 104 79 104 4,70 4,04 3,67 6,421 0,002 0,226 0,000 Einsatzintensität Instrumente in Tochtergesellschaften über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 93 73 95 2,14 1,72 1,58 16,813 0,000 0,344 0,000 Anzahl der Instrumente in Tochtergesellschaften über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 93 73 95 3,71 3,01 2,55 7,058 0,001 0,247 0,000 Tab. 3.3–27: Instrumenteneinsatz in Abhängigkeit von der Konzerngröße Stammhaus‐ konzern Holding‐ konzern Aufgabe MW SA MW SA t‐Wert Sig. Einsatzhäufigkeit der Risikomanagement-Instrumente 1,74 0,66 1,91 0,77 –1,85 0,066 Anzahl der Risikomanagement- Instrumente 2,85 2,12 3,38 2,22 –1,95 0,053 Tab. 3.3–28: Einfluss der Konzernorganisation auf den Einsatz  von Risikomanagement‐Instrumenten in Tochtergesellschaften 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 283 zentralisierung, sondern auch durch die Art und Größe der Tochtergesellschaften determiniert wird. Diese potenziellen beteiligungsspezifischen Einflussfaktoren wurden indes im Rahmen dieser Studie nicht erhoben, so dass eine weitergehende Analyse künftigen Forschungsprojekten vorbehalten bleiben muss. Schließlich ist folgende Hypothese zum Einfluss des externen Kontexts auf den Einsatz von Methoden des Risikomanagements zu prüfen: H23: Je höher die Dynamik und Komplexität der Umwelt, desto intensiver wird das Risikomanagement im Konzern instrumentell unterstützt. Die in Tab. 3.3–29 zusammengefassten Ergebnisse der t-Tests und Korrelationsanalysen bestätigen den prognostizierten Zusammenhang. Zwischen der Umweltdynamik und der Häufigkeit des Instrumenteneinsatzes im Konzern besteht eine schwache, aber hoch signifikante Korrelation. In einem turbulenten Umfeld ist somit ein tendenziell umfassenderer Instrumenteneinsatz vorzufinden als in einer stabilen Umwelt. Ebenso scheint ein Einfluss der Umweltkomplexität zu existieren. Dieser ist jedoch so gering ausgeprägt, dass Hypothese H23 diesbezüglich nur als eingeschränkt bestätigt gelten kann. 3.3.1.7.2 IT‐Unterstützung des Risikomanagements Im vorangehenden Abschnitt stand die allgemeine methodische Ausgestaltung der Risikomanagementsysteme im Mittelpunkt. Die dabei nicht betrachtete ITtechnische Komponente wird im Folgenden näher beleuchtet. Um zu untersuchen, ob und ggf. wie die Risikomanagementsysteme in der Konzernpraxis Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Dynamik der Umwelt 4,7 < 4,7 135 152 1,98 1,83 2,483 0,014 Häufigkeit Instrumente Zentrale 0,202 0,001 4,7 < 4,7 122 139 1,98 1,67 3,466 0,001 Häufigkeit Instrumente Töchter 0,222 0,000 Komplexität der Umwelt 4,3 < 4,3 150 137 1,97 1,82 2,464 0,014 Häufigkeit Instrumente Zentrale 0,168 0,004 4,3 < 4,3 135 126 1,91 1,72 2,175 0,031 Häufigkeit Instrumente Töchter 0,145 0,019 Tab. 3.3–29: Instrumenteneinsatz in Abhängigkeit von der Dynamik  und Komplexität der Umwelt 284 3  Empirische Analyse des Risikomanagements im Konzern durch eine Software unterstützt werden, wurden die Respondenten um eine entsprechende Angabe gebeten (vgl. Frage A.2.10). Die Befunde zeigen, dass die eine Hälfte der Konzerne ihr Risikomanagementsystem softwaregestützt implementiert hat, während dies bei der anderen Hälfte nicht der Fall ist (vgl. Abb. 3.3–12). Bei den eingesetzten Softwarelösungen handelt es sich zum überwiegenden Teil um Eigenentwicklungen. Zumeist basieren diese auf Standardsoftwarepaketen, die grundlegende Rechenroutinen übernehmen. In einigen größeren Konzernen existieren dagegen intranet-basierte Lösungen mit der Möglichkeit zur dezentralen Datenerfassung und -abfrage. Ein Viertel der Konzerne, die ihr Risikomanagement softwaregestützt betreiben, hat dazu Spezialsoftware externer Anbieter erworben. Zwei Konzerne setzen diese kombiniert mit Eigenentwicklungen ein. Als erklärender Faktor für den Einsatz von Risikomanagementsoftware kann analog zu den vorstehenden Befunden zur allgemeinen methodischen Gestaltung des Risikomanagements die Konzerngröße angesehen werden. Um dies zu prüfen, wurde folgende Hypothese formuliert: H24: Je größer der Konzern, desto häufiger wird eine Risikomanagementsoftware eingesetzt. Abb. 3.3–12: Einsatz von Risikomanagementsoftware Softwareunterstützung KMK GMK GRK Summe Einsatz von Software 47 45% 40 50% 62 58% 149 51% Art der Software Selbst entwickelte Software 36 77% 28 70% 46 74% 110 74% Spezialsoftware externer Anbieter 11 23% 11 28% 15 24% 37 25% Beide Formen – – 1 2% 1 2% 2 1% Summe 47 100% 40 100% 62 100% 149 100% Tab. 3.3–30: Softwareunterstützung in Abhängigkeit von der Konzerngröße 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 285 Auf den ersten Blick bestätigen die in Tab. 3.3–30 dargestellten Befunde den prognostizierten Zusammenhang. Der Anteil an Konzernen, die Risikomanagementsoftware einsetzen, steigt in den drei Größenklassen von 45% (KMK) über 50% (GMK) auf 58% (GRK). Allerdings sind die Unterschiede statistisch nicht signifikant ( 2 = 3,80, p=0,150), so dass die Hypothese H24 zurückgewiesen werden muss. Im Hinblick auf die Art der Software lassen sich schließlich keine nennenswerten Unterschiede beobachten. 3.3.1.8 Dokumentation des Risikomanagementsystems Ein letzter konstitutiver Gestaltungsparameter ist die Dokumentation des gebildeten Risikomanagementsystems. Diese erfüllt drei wesentliche Funktionen. Zum Ersten trägt sie dazu bei, die Funktionsfähigkeit des Risikomanagementsystems personenunabhängig zu sichern (Sicherungsfunktion); zum Zweiten hilft sie dem Vorstand beim Nachweis, den aus § 91 Abs. 2 AktG resultierenden Pflichten nachgekommen zu sein (Rechenschaftsfunktion); zum Dritten bildet sie eine Grundlage für die Prüfung des Risikomanagementsystems (Prüfbarkeitsfunktion). Da nur eine vollständige Dokumentation des Systems die genannten Funktionen erfüllt, wurde im Rahmen der Studie danach gefragt, inwieweit das Risikomanagementsystem des Konzerns vollständig dokumentiert ist (vgl. Frage A.2.4). Wie in Abb. 3.3–13 dargestellt, stimmten 72% der Respondenten der Aussage, dass das Risikomanagementsystem ihres Konzern vollständig dokumentiert ist, überwiegend oder voll zu. Bei den übrigen 28% deuten die Befunde dagegen auf eine mehr oder weniger lückenhafte Dokumentation des Risikomanagementsystems hin. Damit die genannten Funktionen erfüllt werden können, muss die Dokumentation über einen hinreichend langen Zeitraum verfügbar sein. Dies gilt zum einen für die Systemdokumentation und zum anderen für die internen Risikoberichte. Im Rahmen der empirischen Studie wurde danach gefragt, ob eine Aufbewah- Abb. 3.3–13: Dokumentation des Risikomanagementsystems Vollständige Dokumentation des Risikomanagementsystems 0% 20% 40% 60% 80% 100% trifft nicht/überwiegend nicht zu trifft teilweise zu trifft überwiegend/voll zu MW 4,07213 15 286 3  Empirische Analyse des Risikomanagements im Konzern rungsfrist für diese Unterlagen festgelegt ist (vgl. Frage A.3.6). Im positiven Falle wurde um die Angabe des Zeitraums gebeten. Die Untersuchungsergebnisse belegen, dass nur 70 der 290 Konzerne (24%) Aufbewahrungsfristen definiert haben (vgl. Abb. 3.3–14). Die Hälfte davon hat einen Zeitraum von zehn Jahren vorgegeben und sich dabei offensichtlich an den Fristen für die Archivierung von Abschlüssen und sonstigen Organisationsunterlagen nach § 257 Abs. 4 HGB orientiert. Relativ häufig wurde ferner eine Frist von fünf Jahren gewählt. Der insgesamt geringe Anteil an Konzernen, die eine Aufbewahrungsfrist für die Dokumentation des Risikomanagements festgelegt haben, mag dadurch erklärbar sein, dass erst wenige Jahre seit der Einführung des § 91 Abs. 2 AktG vergangen sind und sich aus diesem Grunde die Frage nach der Vernichtung älterer Unterlagen noch nicht stellte. So wurde in den Interviews deutlich, dass viele Respondenten sich der Problematik nicht bewusst waren und aus der Frage die Anregung zogen, die Vorgabe von entsprechenden Fristen zu veranlassen. Eine differenzierte Betrachtung der Dokumentationspraxis wird durch eine kontextuelle Analyse ermöglicht. Dazu wurde folgende Hypothese formuliert: H25: Je größer der Konzern, desto vollständiger ist das Risikomanagementsystem dokumentiert. Abb. 3.3–14: Aufbewahrungsfristen für die Dokumentation des Risikomanagements Abh.  Variable Unabh. Variable Varianzanalyse Korrelationsanalyse Vollständige Dokumentation des RMS Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 4,38 3,85 3,77 8,037 0,000 0,213 0,000 Tab. 3.3–31: Vollständigkeit der Dokumentation in Abhängigkeit von der Konzerngröße 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 287 Die empirischen Befunde bestätigen den Zusammenhang (vgl. Tab. 3.3–31). Sowohl die Korrelations- als auch die Varianzanalyse zeigen auf hoch signifikantem Niveau, dass die Vollständigkeit der Dokumentation mit zunehmender Konzerngröße ansteigt. In kleineren Konzernen sind somit eher unvollständige Dokumentationen zu erwarten als in größeren. Ergänzend hierzu manifestiert eine größenabhängige Analyse der Festlegung von Aufbewahrungsfristen für die Dokumentation des Risikomanagements, dass diese mit zunehmender Konzerngröße häufiger definiert ist (18% bei KMK, 20% bei GMK, 33% bei GRK). Auf der Grundlage von Basishypothese BH2, nach der Ziele des Risikomanagements die Gestaltung des Risikomanagementsystems determinieren, wurde weiterhin folgender Zusammenhang für die Vollständigkeit der Dokumentation des Risikomanagements prognostiziert: H26: Je höher die Bedeutung der Ziele Stärkung des Risikobewusstseins und Prüfbarkeit des Risikomanagementsystems, desto vollständiger ist das Risikomanagementsystem dokumentiert. Auch hier stützen die Ergebnisse der empirischen Analysen den vermuteten Zusammenhang (vgl. Tab. 3.3–32). Das Streben, das Risikobewusstsein im Konzern zu stärken und die Prüfbarkeit des Risikomanagementsystems sicherzustellen, beeinflusst offensichtlich das Ausmaß, in dem das Risikomanagementsystem vollständig dokumentiert wird. Mit diesen Ausführungen sind die konstitutiven Gestaltungsparameter für das Risikomanagement im Konzern umfassend empirisch beschrieben und analysiert. Im Folgenden werden die Befunde zu den drei Subsystemen des Risikomanagements näher betrachtet. Es rücken damit die prozessualen Gestaltungsparameter in den Mittelpunkt. Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Bedeutung Ziel Stärkung Risikobewusstsein 5,6 < 5,6 166 124 4,28 3,66 4,430 0,000 Vollständige Dokumentation des RMS 0,300 0,000 Bedeutung Ziel Prüfbarkeit des RMS 5,3 < 5,3 158 132 4,20 3,80 2,847 0,005 Vollständige Dokumentation des RMS 0,214 0,000 Tab. 3.3–32: Vollständigkeit der Dokumentation in Abhängigkeit  von Zielen des Risikomanagements 288 3  Empirische Analyse des Risikomanagements im Konzern 3.3.2 Risikofrüherkennung im Konzern Die Risikofrüherkennung mit den Aufgaben der Identifikation, Bewertung und Kommunikation von Risiken bildet aus prozessualer Sicht das erste Subsystem des Risikomanagements. Es stellt zugleich eine Grundlage für die in Abschnitt 3.3.3 näher dargestellte Risikobewältigung dar und ist zusammen mit dieser Gegenstand der internen Überwachung, auf die in Abschnitt 3.3.4 eingegangen wird. 3.3.2.1 Risikoidentifikation Mit der Risikoidentifikation wird die informatorische Basis für alle folgenden Schritte im Risikomanagementprozess geschaffen. In zeitlicher Hinsicht können eine stichtagsbezogene und eine permanente Risikoidentifikation unterschieden werden. Erstere wird auch als Risikoinventur, Letztere als Frühaufklärung bezeichnet. Beide ergänzen sich gegenseitig und sind Voraussetzung für eine strukturierte Erfassung der Risiken. Diese beinhaltet auch die Analyse der Risikoursachen sowie eine Zuordnung der Risiken zu Verantwortlichen und Risikokategorien. Die Befunde zu diesen Teilaufgaben der Risikoidentifikation werden in den folgenden Abschnitten dargelegt. 3.3.2.1.1 Stichtagsbezogene Risikoidentifikation Bei der Durchführung der Risikoinventur bestehen sowohl in prozessualer als auch in zeitlicher Hinsicht verschiedene Gestaltungsmöglichkeiten. Aus diesem Grunde wurde zum einen die grundsätzliche Vorgehensweise bei der Bestandsaufnahme der Risiken und zum anderen deren Regelmäßigkeit und Häufigkeit erhoben (vgl. Frage A.3.1). Die Untersuchungsergebnisse zu Letzterem manifestieren, dass 75% der Konzerne eine Risikoinventur regelmäßig durchführt. Bei weiteren 19% der Konzerne erfolgt eine stichtagsbezogene Bestandsaufnahme der Risiken unregelmäßig. 6% haben eine solche bislang nicht vorgenommen (vgl. Abb. 3.3–15). Abb. 3.3–15: Regelmäßigkeit und Häufigkeit der Risikoinventur 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 289 Ein Blick auf die Zyklen der regelmäßig durchgeführten Risikoinventuren zeigt, dass 31% der Konzerne jährlich und 25% vierteljährlich die Bestandsaufnahme der Risiken wiederholen bzw. aktualisieren. Jährliche und quartalsweise Inventurintervalle sind somit am weitesten verbreitet.1 Daneben werden relativ häufig halbjährliche Risikoinventuren praktiziert. Monatliche und sonstige Zyklen finden sich dagegen selten. Zu Letzteren zählen auch unterschiedliche Intervalle im Konzern. So gaben z.B. zwei Konzerne an, in den Tochtergesellschaften nur jährlich, im Mutterunternehmen indes vierteljährlich eine Risikoinventur durchzuführen. Konzerne, die eine systematische Bestandsaufnahme nicht regelmäßig wiederholen, begründeten dies in den Interviews teilweise damit, dass die wesentlichen Risiken ohnehin bekannt seien und eine erneute Risikoinventur daher als nicht erforderlich angesehen werde. Betrachtet man den Kreis der Konzerne, die keine regelmäßige Risikoinventur durchführen, genauer, fällt auf, dass mittelständische Konzerne darin überdurchschnittlich häufig vertreten sind. So führen rund 30% dieser Konzerne keine oder nur eine unregelmäßige Risikoinventur durch, während der Anteil bei den Großkonzernen 14% beträgt. Hinsichtlich des Ablaufs der Risikoinventur wurde ein top-down und ein bottom-up orientierter Ansatz unterschieden. Da beide Vorgehensweisen auch derart miteinander kombiniert werden können, dass die Konzernmutter für einige Konzernbereiche die Risiken zentral (top-down) erhebt und andere Konzernbereiche ihre Risiken selbst bottom-up identifizieren und an die Konzernmutter melden, wurden den Respondenten jeweils fünfstufige Ratingskalen mit der Bitte vorgegeben zu beurteilen, inwieweit die Risikoinventur nach dem einen oder anderen Ansatz erfolgt (vgl. Frage A.3.1). Die Befunde signalisieren ein heterogenes Bild. Auf der einen Seite wird deutlich, dass in 48% der Konzerne die Risikoinventur überwiegend oder vollständig top-down für den Gesamtkonzern durchgeführt wird (vgl. Abb. 3.3–16). Auf der anderen Seite führen aber auch zahlreiche Konzerne die Risikoinventur überwiegend oder vollständig bottom-up durch. Dieser Anteil ist mit 42% bei inländischen Tochtergesellschaften geringfügig höher als mit 38% bei den ausländischen. Somit sind die Tochtergesellschaften im Inland tendenziell häufiger in die Risikoinventur eingebunden als jene im Ausland, für welche die Risiken oftmals eher top-down identifiziert werden. Dieser Unterschied in der Behandlung in- und ausländischer Tochtergesellschaften deckt sich mit den Befunden zur Integration der Konzerngesellschaften in das konzernweite Risikomanagementsystem. Wie in Abschnitt 3.3.1.3.1 dargestellt, ist der durchschnittliche Anteil integrierter Auslandstöchter mit 83% geringer als jener der Inlandstöchter mit 93%. Offensichtlich wird aus diesem Grunde auch die Risikoinventur bei Auslandsgesellschaften tendenziell eher top-down durch die Konzernzentrale durchgeführt. 1 Damit bestätigen die Befunde dieser Studie die Ergebnisse einer anderen Untersuchung, die auf kleinerer empirischer Basis vergleichbare Werte ermittelte; vgl. Diederichs (2010), S. 76. 290 3  Empirische Analyse des Risikomanagements im Konzern Die Untersuchungsergebnisse dokumentieren weiterhin, dass der überwiegende Teil der Konzerne die Risikoinventur konzernweit anhand festgelegter Risikofelder durchführt. Immerhin 28% der Respondenten gaben allerdings an, dass dies in ihrem Konzern nicht zutrifft. Hier erscheint fraglich, inwieweit eine systematische Risikoinventur sichergestellt ist. Der Forderung von IDW PS 340 wird in diesen Fällen jedenfalls nicht gefolgt. Eine nach Größenklassen differenzierte Analyse offenbart auch hier, dass der Anteil der Konzerne, die keine Risikofelder zugrunde legen, bei den mittelständischen Konzernen größer ist (KMK: 36%, GMK: 31%) als bei den Großkonzernen (GRK: 18%). Die vorstehende deskriptive Bestandsaufnahme lässt somit bereits kontextuelle Unterschiede in der Gestaltung der Risikoinventur erkennen. Im Rahmen der theoretischen Vorüberlegungen war diesbezüglich argumentiert worden, dass mit wachsender Konzerngröße eine top-down orientierte Risikoinventur zunehmend weniger praktikabel ist, da die Konzernzentrale mit der Identifikation der Risiken in den dezentralen Einheiten zunehmend überfordert sein dürfte. Deshalb erscheint es sinnvoll und notwendig, mit steigender Konzerngröße eher eine bottom-up orientierte Vorgehensweise bei der Risikoinventur zu wählen. In diesem Sinne wurde folgende Hypothese formuliert: H27: Je größer der Konzern, desto eher wird die Risikoinventur bottom-up durchgeführt. Die empirischen Daten bestätigen den vermuteten Zusammenhang auf hoch signifikantem Niveau (vgl. Tab. 3.3–33). Die Ergebnisse der Korrelationsanalyse belegen relativ hohe negative bzw. positive Beziehungen zwischen der Konzerngröße und der top-down bzw. bottom-up orientierten Vorgehensweise bei der Risikoinventur. Ebenso stützt die Varianzanalyse die formulierte Hypothese. Schließlich ist darauf hinzuweisen, dass die mit steigender Konzerngröße zu beobachtende Dezentralisierung in Form der bottom-up orientierten Risikoinven- Abb. 3.3–16: Risikoinventur und Festlegung von Risikofeldern top-down durch die Konzernzentrale 0% 20% 40% 60% 80% 100% trifft nicht/überwiegend nicht zu trifft teilweise zu trifft überwiegend/voll zu MW 3,1 Eine Risikoinventur erfolgt ... bottom-up durch alle ausländischen Töchter konzernweit anhand Risikofelder 48 38 6428 45 1339 17 8 2,9 3,6 bottom-up durch alle inländischen Töchter 3,1421939 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 291 tur in Einklang steht mit den allgemeinen Befunden zur Aufgabendezentralisierung beim Risikomanagement im Konzern.1 Da die Aufgabendezentralisierung auch von der Konzernorganisation abhängt, wurde weiterhin folgender Zusammenhang prognostiziert: H28: In Holdingkonzernen wird die Risikoinventur eher bottom-up durchgeführt als in Stammhauskonzernen. Auch diese Hypothese wird durch die empirischen Analysen bestätigt. Wie aus den Ergebnissen der t-Tests in Tab. 3.3–34 ersichtlich, weisen Holdingkonzerne eine signifikant niedrigere Intensität bei der top-down und eine entsprechend Abh. Variable Unabh. Variable Varianzanalyse Korrelations‐ analyse Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz Top-down Risikoinventur durch Konzernzentrale über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 2,46 3,20 3,72 18,251 0,000 –0,361 0,000 Bottom-up Risikoinventur inländischer Töchter über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 99 3,98 2,94 2,16 44,049 0,000 0,520 0,000 Bottom-up Risikoinventur ausländischer Töchter über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 97 70 74 3,76 2,66 2,00 34,706 0,000 0,519 0,000 Tab. 3.3–33: Risikoinventur in Abhängigkeit von der Konzerngröße 1 Vgl. dazu Abschnitt 3.3.1.2.1.2. Stammhaus‐ konzern Holding‐ konzern Aufgabe MW SA MW SA t‐Wert Sig. top-down durch die Konzernzentrale 3,39 1,62 2,79 1,52 3,241 0,001 bottom-up bei inländischen Tochterunternehmen 2,77 1,60 3,39 1,50 –3,331 0,001 bottom-up bei ausländischen Tochterunternehmen 2,68 1,56 3,16 1,58 –2,391 0,018 Tab. 3.3–34: Risikoinventur in Abhängigkeit von der Konzernorganisation 292 3  Empirische Analyse des Risikomanagements im Konzern höhere Intensität bei der bottom-up orientierten Risikoinventur auf. Diese Befunde sind ebenfalls konform mit dem oben bereits allgemein nachgewiesenen höheren Dezentralisationsgrad der Risikoidentifikation in Holdingkonzernen im Vergleich zu Stammhauskonzernen.1 Im Hinblick auf die zeitliche Dimension der Risikoinventur offenbarten die Befunde oben unterschiedliche Inventurzyklen, die von jährlichen bis monatlichen Intervallen reichen. Als möglicher Einflussfaktor auf die Häufigkeit der Risikoinventur kann die Umweltdynamik angesehen werden. Da in einer turbulenten Umwelt vermutlich schneller neue Risiken entstehen, erscheint in diesem Fall eine häufigere Risikoinventur erforderlich als in einer stabilen Umwelt. Es ist daher folgende Hypothese zu testen: H29: Je höher die Umweltdynamik, desto häufiger wird eine Risikoinventur im Konzern durchgeführt. Die zur Prüfung der Hypothese durchgeführte Korrelationsanalyse deutet auf einen signifikanten, aber nur sehr schwach ausgeprägten Zusammenhang zwischen beiden Größen hin (r=0,16*). Der ergänzende Mittelwertvergleich durch t- Test bestätigt die Richtung des Zusammenhangs, liefert jedoch kein signifikantes Ergebnis (vgl. Tab. 3.3–35). Insofern muss die Hypothese H29 zurückgewiesen werden. Ein gewisser Einfluss mag zwar von der Umweltdynamik ausgehen, doch dominieren offenbar andere Faktoren die Wahl des Inventurzyklus, wie z.B. die Kopplung mit einer vierteljährlichen Hochrechnung. 3.3.2.1.2 Permanente Risikoidentifikation Da eine in mehr oder weniger langen Zeitabständen durchgeführte Bestandsaufnahme von Risiken nicht gewährleistet, dass auch zwischenzeitlich neu auftretende Risiken erkannt werden, ist die stichtagsbezogene Risikoinventur um eine permanente Risikoidentifikation zu ergänzen. Um eine solche kontinuierliche Identifikation von Risiken zu erheben, wurden die Respondenten gebeten einzuschätzen, inwieweit bestimmte Formen der Frühaufklärung in ihrem Konzern praktiziert werden (vgl. Frage A.3.1). Dabei wurde gemäß den im Schrifttum differenzierten drei Generationen der Frühaufklärung zwischen Kennzah- 1 Vgl. dazu Abschnitt 3.3.1.2.1.2. Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Dynamik der Umwelt 4,7 < 4,7 104 114 2,86 2,45 1,336 0,183 Häufigkeit der Risikoinventur 0,156 0,021 Tab. 3.3–35: Häufigkeit der Risikoinventur in Abhängigkeit von der Umweltdynamik 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 293 len und Hochrechnungen, Frühwarnindikatoren sowie schwachen Signalen unterschieden. Die Auswertung der Daten signalisiert, dass die Frühaufklärung anhand von internen Kennzahlen und Hochrechnungen am stärksten ausgeprägt ist (vgl. Abb. 3.3–17). Der durchschnittliche Zustimmungsgrad zu der Aussage, dass die permanente Risikoidentifikation durch die Analyse  interner  Kennzahlen im Rahmen der regelmäßigen Berichterstattung erfolgt, beträgt 4,2. Insgesamt stimmten 80% der Respondenten der Aussage überwiegend oder voll zu. Die entsprechenden Werte für Hochrechnungen betragen 3,7 bzw. 62%. Deutlich weniger intensiv wird dagegen eine Frühaufklärung der zweiten und dritten Generation praktiziert. Vor allem umfassende Systeme von Frühwarnindikatoren, die neue oder veränderte Risiken mit zeitlichem Vorlauf andeuten, finden sich selten. Wenn überhaupt, werden eher einzelne Indikatoren zur Beobachtung von Risikofeldern herangezogen. Der durchschnittliche Zustimmungsgrad beträgt hier 2,5. In den Interviews wurde in diesem Zusammenhang oftmals auf die Schwierigkeit hingewiesen, geeignete Indikatoren zur frühzeitigen Erkennung von Risiken zu definieren. So lassen sich z.B. für Imagerisiken trotz ihrer möglicherweise hohen Bedeutung kaum Frühwarnindikatoren finden. Die geringe Verbreitung umfassender indikatorbasierter Frühaufklärung ist daher auch wesentlich methodisch-konzeptionell begründet. Dies gilt in ähnlicher Weise für die Frühaufklärung der dritten Generation. Im Vergleich zur indikatorgestützten Frühaufklärung wird die Beobachtung und Analyse schwacher Signale indes stärker zur kontinuierlichen Risikoidentifikation herangezogen. Der Zustimmungsgrad weist hier einen durchschnittlichen Wert von 3,0 auf. Ein Interviewpartner erläuterte, dass in dem betreffenden Konzern die interne Revision alle bedeutsamen Länder und Regionen permanent auf politische und wirtschaftliche Entwicklungen hin beobachtet. Dieses „Scanning“ zielt darauf ab, bedeutsame Veränderungen, die den Konzern an der Erreichung seiner strategischen und operativen Ziele hindern könnten, frühzeitig zu erkennen und, falls notwendig, Gegenmaßnahmen einzuleiten. Andere Respondenten nannten exemp- Abb. 3.3–17: Permanente Risikoidentifikation durch Frühaufklärung Analyse interner Kennzahlen 0% 20% 40% 60% 80% 100% trifft nicht/überwiegend nicht zu trifft teilweise zu trifft überwiegend/voll zu MW 4,2 Permanente Risikoidentifikation durch ... Frühwarnindikatoren Beobachtung schwacher Signale 80 17 3439 50 128 33 27 2,5 3,0 Hochrechnungen 3,7621622 294 3  Empirische Analyse des Risikomanagements im Konzern larisch die Beobachtung der Rechtsprechung durch die Rechtsabteilung oder der technologischen Entwicklung durch die Forschung und Entwicklung. Ebenso wurde auf Analysen im Rahmen der strategischen Planung hingewiesen. Diese weitergehenden Erläuterungen deuten darauf hin, dass es sich bei diesen Aktivitäten wohl um eine pragmatische Umsetzung der Frühaufklärung der dritten Generation handelt. Insgesamt bleibt zu konstatieren, dass trotz der erneuten Impulse zur Frühaufklärung durch das KonTraG die in früheren Studien bemängelte Implementierungslücke im Bereich der Frühaufklärung anhand von Indikatoren und schwachen Signalen nach wie vor existiert. Aus kontingenztheoretischer Sicht stellt sich die Frage nach möglichen erklärenden Variablen für die beobachteten Unterschiede in der Ausgestaltung der permanenten Risikoidentifikation. Es wurde diesbezüglich ein Einfluss der Konzerngröße vermutet. Obgleich die kontinuierliche Identifikation von Risiken zwar grundsätzlich für alle Konzerne relevant ist, liegt die Vermutung nahe, dass diese mit zunehmender Größe des Konzerns umfassender betrieben wird. Es gilt daher, folgende Hypothese anhand der empirischen Daten zu prüfen: H30: Je größer der Konzern, desto umfassender erfolgt eine permanente Risikoidentifikation durch Frühaufklärung. Die in Tab. 3.3–36 zusammengefassten Befunde bestätigen den prognostizierten Zusammenhang nur bezüglich der indikatorbasierten Frühaufklärung. Diese korreliert schwach positiv mit der Konzerngröße (r=0,20**). Frühwarnindikatoren sind somit in Großkonzernen umfassender etabliert als in großen Abh.  Variable Unabh. Variable Varianzanalyse Korrelationsanalyse Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz Interne Kennzahlen über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 4,22 4,25 4,25 0,032 0,969 0,032 0,591 Hochrechnungen über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 3,84 3,90 3,39 4,102 0,018 0,123 0,036 Indikatoren über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 2,70 2,55 2,30 3,629 0,028 0,198 0,001 Schwache Signale über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 2,94 2,95 2,95 0,001 0,999 0,028 0,632 Tab. 3.3–36: Frühaufklärung in Abhängigkeit von der Konzerngröße 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 295 oder kleinen mittelständischen Konzernen. Dies wird auch durch die Ergebnisse der Varianzanalyse deutlich. Demgegenüber sind die größenabhängigen Unterschiede bei der Frühaufklärung der ersten und dritten Generation so gering und teilweise auch nicht signifikant, dass die Hypothese H30 hierfür zurückgewiesen werden muss. Offensichtlich werden interne Kennzahlen, Hochrechnungen und schwache Signale in Konzernen unabhängig von deren Größe gleichermaßen zur Frühaufklärung herangezogen. Lediglich in kleinen mittelständischen Konzernen werden Hochrechnungen weniger regelmäßig durchgeführt. Ferner können in der Umweltdynamik und in der Wettbewerbsintensität relevante Einflussgrößen für die Frühaufklärung gesehen werden. Da sich in einer turbulenten und wettbewerbsintensiven Umwelt die Risikolage tendenziell schneller verändert als in einer stabilen und wenig wettbewerbsintensiven, ist davon auszugehen, dass die permanente Risikoidentifikation mit zunehmender Umweltdynamik und Wettbewerbsintensität stärker ausgeprägt ist. Daher ist folgende Hypothese zu prüfen: Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Dynamik der Umwelt 4,7 < 4,7 136 154 4,18 4,29 –0,917 0,360 Interne Kennzahlen –0,044 0,455 4,7 < 4,7 136 154 3,65 3,73 –0,493 0,622 Hoch-rechnungen –0,019 0,746 4,7 < 4,7 136 154 2,56 2,47 0,658 0,511 Indikatoren 0,064 0,274 4,7 < 4,7 136 154 3,15 2,77 2,666 0,008 Schwache Signale 0,170 0,004 Wettbewerbsintensität 5,7 < 5,7 190 99 4,29 4,13 1,228 0,220 Interne Kennzahlen 0,065 0,273 5,7 < 5,7 190 99 3,75 3,61 0,866 0,387 Hoch-rechnungen 0,025 0,672 5,7 < 5,7 190 99 2,57 2,41 1,136 0,257 Indikatoren 0,048 0,412 5,7 < 5,7 190 99 2,90 3,03 –0,871 0,384 Schwache Signale –0,068 0,247 Tab. 3.3–37: Frühaufklärung in Abhängigkeit von der Umweltdynamik  und Wettbewerbsintensität 296 3  Empirische Analyse des Risikomanagements im Konzern H31: Je höher die Umweltdynamik und die Wettbewerbsintensität, desto umfassender erfolgt eine permanente Risikoidentifikation durch Frühaufklärung. Auch hier signalisieren die Ergebnisse der Korrelationsanalysen und der Mittelwertvergleiche durch t-Tests, dass die formulierte Hypothese nur eingeschränkt bestätigt wird. So ist kein Zusammenhang zwischen der Wettbewerbsintensität und dem Ausmaß der Frühaufklärung nachweisbar und die Hypothese daher diesbezüglich zurückzuweisen (vgl. Tab. 3.3–37). Hinsichtlich der Umweltdynamik ergibt sich ein differenziertes Bild: Während sich für die Frühaufklärung der ersten und zweiten Generation keine Abhängigkeit von der Dynamik der Umwelt nachweisen lässt, korreliert die Frühaufklärung der dritten Generation leicht positiv mit dieser (r=0,17**; vgl. Tab. 3.3–37). Somit scheint die Beobachtung und Analyse schwacher Signale mit zunehmender Umweltdynamik zuzunehmen, wohingegen die Frühaufklärung anhand von Kennzahlen, Hochrechnungen und Indikatoren davon offenbar unbeeinflusst ist. In einer Gesamtschau mit der vorstehenden Analyse zum Größeneinfluss deuten diese Ergebnisse darauf hin, dass die Analyse interner Kennzahlen sowie regelmäßige Hochrechnungen weitgehend unabhängig vom Kontext dazu dienen, Risiken im Rahmen der Controllingprozesse kontinuierlich zu identifizieren. Dagegen lassen sich für die Frühaufklärung anhand von Indikatoren und schwachen Signalen geringfügige Kontexteinflüsse (Größe bzw. Umweltdynamik) festhalten. 3.3.2.1.3 Analyse und Systematisierung von Risiken Die Risikoidentifikation beinhaltet neben dem eigentlichen Aufspüren und Erkennen der Risiken auch weitere Teilaufgaben, mit denen die Risiken systematisch erfasst und so für die folgenden Schritte im Risikomanagementprozess geordnet und überschaubar gemacht werden. Um zu erheben, in welchem Ausmaß dem Rechnung getragen wird, wurden die Respondenten um eine diesbezügliche Beurteilung auf einer fünfstufigen Ratingskala gebeten. Dabei wurde zwischen der Analyse von Risikoursachen sowie der Zuordnung zu Risikoverantwortlichen und zu Risikokategorien differenziert (vgl. Frage A.3.1). Abb. 3.3–18: Analyse und Systematisierung von Risiken auf ihre Ursachen hin analysiert 0% 20% 40% 60% 80% 100% trifft nicht/überwiegend nicht zu trifft teilweise zu trifft überwiegend/voll zu MW 4,3 Alle wesentlichen Risiken werden ... einem Verantwortlichen zugeordnet Risikokategorien zugeordnet 86 74 6629 14 104 12 5 4,1 3,6 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 297 Die empirischen Befunde dokumentieren insgesamt relativ hohe Zustimmungsgrade zu den vorgelegten Aussagen (vgl. Abb. 3.3–18). Daraus lässt sich schlie- ßen, dass bei der überwiegenden Mehrzahl der Konzerne wesentliche Risiken auf ihre Ursachen hin analysiert werden. Auf diese Weise kann die Vollständigkeit der Risikoidentifikation einer Plausibilitätsprüfung unterzogen und die Beeinflussbarkeit der Risiken untersucht werden. Ferner gaben 74% der Konzerne an, für alle oder für den überwiegenden Teil der wesentlichen Risiken einen Risikoverantwortlichen zu benennen. Eine Zuordnung dieser Risiken zu Risikokategorien erfolgt bei 66% der Konzerne. Immerhin 29% der Konzerne verzichten indes darauf, die identifizierten Risiken in einer Systematik zu ordnen. Dies korrespondiert im Übrigen mit dem Anteil von 28% an Konzernen, die ihrer Risikoinventur keine definierten Risikofelder zu Grunde legen. Der relativ hohe Anteil von 29% der Konzerne, die intern keine Risikosystematik verwenden, ist insofern erstaunlich, als DRS 5.16 verlangt, im Konzernlagebericht die berichtspflichtigen Risiken zu Risikokategorien zusammen zu fassen und sich bei der Systematisierung von Risiken dem Management Approach folgend an der intern für Zwecke des Risikomanagements gewählten Gliederung zu orientieren. Dies ist den Befunden dieser Studie zufolge bei fast einem Drittel der Konzerne nicht möglich, da diese ihre Risiken intern nicht nach sachlichen Kriterien systematisieren, und kann somit als ein Erklärungsgrund dafür dienen, dass die Risikoberichterstattung im Konzernlagebericht oftmals nicht nach Risikokategorien untergliedert ist.1 Umgekehrt bemerkte ein Respondent, dass zwar intern eine Risikokategorisierung vorgenommen wird, diese aber nicht Steuerungszwecken, sondern nur als Grundlage für die externe Risikoberichterstattung im Konzernlagebericht dient. Vor diesem Hintergrund ist zweifelhaft, ob der mit DRS 5.16 angestrebte Management Approach, also ein Einblick in die Gliederung der Risiken für Zwecke des Risikomanagements, tatsächlich gelingt. Um diesen Aspekt weiter zu vertiefen, wurde auch nach der Anzahl der differenzierten Hauptrisikokategorien gefragt (vgl. Frage A.3.1). Die in Tab. 3.3–38 dargestellten Befunde dokumentieren, dass durchschnittlich 6,6 Risikokategorien unterschieden werden.2 Dabei sind sowohl sehr grobe als auch sehr detail- 1 In einer Studie der Risikoberichte aus dem Jahr 2001 haben 43% der im DAX100-notierten Konzerne keine Risikokategorisierung vorgenommen; vgl. dazu Kajüter/Winkler (2004), S. 253. Anzahl an Risikokategorien 2 3 4 5 6 7 8 9 10 11–29 MW Relativer Anteil in% (n=211) 2,4 12,3 16,1 13,3 15,2 10,4 9,0 2,3 9,0 10,0 6,6 Tab. 3.3–38: Anzahl an Risikokategorien 2 Verglichen mit den durchschnittlich 5,5 Risikokategorien, welche die DAX100-Konzerne im Jahr 2001 im Konzernlagebericht unterschieden (vgl. dazu Kajüter/Winkler (2004), S. 253), deutet dieses Ergebnis darauf hin, dass die interne Systematisierung der Risiken differenzierter ist als jene für Zwecke der externen Risikopublizität. Einschränkend ist jedoch darauf hinzuweisen, dass unterschiedliche Stichproben zugrunde liegen und die beiden Werte daher nur bedingt vergleichbar sind. 298 3  Empirische Analyse des Risikomanagements im Konzern lierte Gliederungen zu beobachten. Die meisten Konzerne unterscheiden zwischen vier und sechs Kategorien. Auch bei der hier betrachteten Erfassung von Risiken lassen sich die beobachteten Unterschiede kontingenztheoretisch erklären. Dazu waren im Rahmen der theoretischen Vorüberlegungen drei Hypothesen abgeleitet worden, die nunmehr anhand der empirischen Daten zu prüfen sind. Hypothese H32 fokussiert folgenden Einfluss der Konzerngröße: H32: Je größer der Konzern, desto eher werden Risiken auf ihre Ursachen hin analysiert sowie einem Risikoverantwortlichen und Risikokategorien zugeordnet. Die zur Prüfung der Hypothese durchgeführten Korrelations- und Varianzanalysen bestätigen den vermuteten Zusammenhang nur im Hinblick auf die Zuordnung von Risiken zu einem Risikoverantwortlichen und zu Risikokategorien (vgl. Tab. 3.3–39). Mit zunehmender Konzerngröße werden somit eher Verantwortlichkeiten für Risiken definiert und Risiken in formaler Hinsicht in Kategorien geordnet (r=0,30** bzw. r=0,24**). Dies signalisiert eine mit wachsender Konzerngröße stärker formalisierte Ausgestaltung der Risikoerfassung. In Bezug auf die Analyse der Risikoursachen ist die Hypothese H32 dagegen zurückzuweisen. Offensichtlich wird diese Teilaufgabe in Konzernen unterschiedlicher Größe weitgehend gleich intensiv wahrgenommen. Dies mag darauf zurückzuführen sein, dass die Analyse der Risikoursachen von grundlegender Bedeutung ist, um zielgerichtete Maßnahmen zur Risikosteuerung einzuleiten. Weiterhin kann die Umweltdynamik als ein relevanter Kontextfaktor angesehen werden. Da die Risikolage mit zunehmender Dynamik der Umwelt in aller Re- Abh.  Variable Unabh. Variable Varianzanalyse Korrelations‐ analyse Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz Analyse der Risikoursachen über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 4,36 4,26 4,19 0,970 0,380 0,078 0,183 Zuordnung zu einem Risikoverantwortlichen über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 4,53 4,00 3,63 15,562 0,000 0,295 0,000 Zuordnung zu Risikokategorien über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 4,06 3,60 3,14 7,981 0,000 0,238 0,000 Tab. 3.3–39: Risikoerfassung in Abhängigkeit von der Konzerngröße 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 299 gel schwerer einzuschätzen ist, kommt den betrachteten Teilaufgaben der Risikoerfassung eine umso höhere Relevanz zu. Es ist daher der folgende Zusammenhang zu testen: H33: Je höher die Umweltdynamik, desto eher werden Risiken auf ihre Ursachen hin analysiert sowie einem Risikoverantwortlichen und Risikokategorien zugeordnet. Die empirischen Daten bestätigen die Hypothese bedingt. Die Korrelationen zwischen der Intensität der Umweltdynamik und der Ausprägung der drei Teilaufgaben sind zwar signifikant, aber nur sehr schwach ausgeprägt (vgl. Tab. 3.3– 40). Angesichts der Ergebnisse des Mittelwertvergleichs kann die Hypothese nur in Bezug auf die Analyse der Risikoursachen und die Zuordnung von Risiken zu Risikoverantwortlichen als bestätigt angesehen werden. Ein Einfluss der Umweltdynamik auf die Zuordnung von Risiken zu Risikokategorien ist demgegenüber nicht nachweisbar. Schließlich kann die Gestaltung der Risikoerfassung auch von den Zielen des Risikomanagements abhängen. Auf der Grundlage der zweiten Basishypothese wurde folgender Zusammenhang prognostiziert: H34: Je höher die Bedeutung der Ziele Verbesserung der Entscheidungsgrundlagen (Risikotransparenz) und Stärkung des Risikobewusstseins, desto eher werden Risiken auf ihre Ursachen hin analysiert sowie einem Risikoverantwortlichen und Risikokategorien zugeordnet. Wie aus Tab. 3.3–41 ersichtlich, kann die Hypothese H34 uneingeschränkt als bestätigt gelten. Das Ziel, die Risikotransparenz zu erhöhen und dadurch die Entscheidungsgrundlagen zu verbessern, korreliert auf hoch signifikantem Niveau Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Dynamik der Umwelt 4,7 < 4,7 136 154 4,43 4,13 3,019 0,003 Analyse der Risikoursachen 0,166 0,005 4,7 < 4,7 136 154 4,23 3,92 2,183 0,030 Zuordnung zu Risikoverantwortlichen 0,182 0,002 4,7 < 4,7 136 154 3,71 3,51 0,968 0,334 Zuordnung zu Risikokategorien 0,122 0,038 Tab. 3.3–40: Risikoerfassung in Abhängigkeit von der Umweltdynamik 300 3  Empirische Analyse des Risikomanagements im Konzern positiv mit der Analyse der Risikoursachen sowie der Zuordnung von Risiken zu Risikoverantwortlichen und Risikokategorien. Gleiches gilt für das Ziel der Stärkung des Risikobewusstseins. Hier ist die Korrelation mit der Zuordnung zu Risikoverantwortlichen vergleichsweise am stärksten (r=0,40**). Dies erscheint insofern plausibel, als den Entscheidungsträgern hierbei unmittelbar die Verantwortung für die Beobachtung und ggf. Beeinflussung der Risiken übertragen wird. Auf diese Weise werden sie in die Pflicht genommen und für die Risiken sensibilisiert. 3.3.2.1.4 Risikobewertung Sind die Risiken identifiziert, besteht der nächste Schritt im Risikomanagementprozess darin, die Bedeutung der Risiken zu beurteilen. Auf diese Weise werden Art und Umfang des Handlungsbedarfs eingeschätzt. Gegenstand der Risikobewertung können sowohl Einzelrisiken als auch das Gesamtrisiko eines Konzerns oder einer Konzerneinheit sein. Die Befunde zu beiden Bereichen werden nachfolgend präsentiert und interpretiert. Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Bedeutung Ziel Risikotransparenz 6,2 < 6,2 131 159 4,58 4,02 5,783 0,000 Analyse der Risikoursachen 0,320 0,000 6,2 < 6,2 131 159 4,55 3,66 6,595 0,000 Zuordnung zu Risikoverantwortlichen 0,436 0,000 6,2 < 6,2 131 159 3,98 3,29 3,548 0,000 Zuordnung zu Risikokategorien 0,298 0,000 Bedeutung Ziel Stärkung Risikobewusstsein 5,6 < 5,6 166 124 4,43 4,06 3,600 0,000 Analyse der Risikoursachen 0,236 0,000 5,6 < 5,6 166 124 4,41 3,60 5,916 0,000 Zuordnung zu Risikoverantwortlichen 0,402 0,000 5,6 < 5,6 166 124 3,90 3,20 3,561 0,000 Zuordnung zu Risikokategorien 0,266 0,000 Tab. 3.3–41: Risikoerfassung in Abhängigkeit von Zielen des Risikomanagements 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 301 3.3.2.1.1 Bewertung von Einzelrisiken Ausgehend von der Risikodefinition können drei Dimensionen der Risikobewertung unterschieden werden: die Eintrittswahrscheinlichkeit, die mögliche Schadenshöhe und der Zeitbezug des Risikos. In der empirischen Untersuchung wurde erhoben, inwieweit diese drei Dimensionen konzernweit berücksichtigt werden (vgl. Frage A.3.2). Die Auswertung der Antworten zeigt, dass rund 80% der Konzerne Risiken in (fast) allen Tochtergesellschaften bzw. Geschäftsbereichen im Hinblick auf die Eintrittswahrscheinlichkeit und die Schadenshöhe bewerten (vgl. Abb. 3.3–19). Immerhin 13% bzw. 9% der Konzerne bewerten diese beiden Risikodimensionen dagegen nicht oder nur vereinzelt. Der auf einer fünfstufigen Ratingskala erhobene Zustimmungsgrad beträgt durchschnittlich 4,2 bzw. 4,3. Die Ausprägung beider Bewertungsdimensionen korreliert sehr stark positiv (r=0,89**), was darauf hindeutet, dass die Eintrittswahrscheinlichkeit und die mögliche Schadenshöhe zumeist gemeinsam beurteilt werden. Demgegenüber wird der zeitlichen Dimension der Risikobewertung deutlich weniger Beachtung geschenkt. 37% der Konzerne stimmten der Aussage, dass sie konzernweit einen einheitlichen Zeitraum für die Risikobewertung zugrunde legen, (überwiegend) nicht zu. In den Interviews wurde dies unterschiedlich begründet. Zum einen wurde argumentiert, dass der Betrachtungshorizont bewusst offen sei, damit alle Risiken erfasst und in vollem Umfang bewertet werden. Bei einer Begrenzung des Zeithorizonts bestünde die Gefahr, dass Risiken nur unvollständig in die Bewertung eingehen. Zum anderen wurde auf die Verschiedenartigkeit der Risiken hingewiesen, die jeweils individuelle Bewertungszeiträume erfordere. Auch wenn diese Argumente grundsätzlich akzeptiert werden, erscheint der Verzicht auf einen einheitlichen Bewertungszeitraum insofern problematisch, als dadurch im Rahmen der späteren Risikoaggregation Risikopotenziale mit unterschiedlichem Periodenbezug zusammengefasst werden. Sofern ein einheitlicher Zeitraum für die Risikobewertung definiert ist, wurde auch um dessen Angabe gebeten. Da Risiken z.B. in der Jahres- und Mittelfristplanung berücksichtigt werden können, wurden Mehrfachnennungen zugelas- Abb. 3.3–19: Bewertung von Einzelrisiken Eintrittswahrscheinlichkeit 0% 20% 40% 60% 80% 100% trifft nicht/überwiegend nicht zu trifft teilweise zu trifft überwiegend/voll zu MW 4,2 Risikobewertung konzernweit im Hinblick auf ... mögliche Schadenshöhe einheitlichen Zeitraum 81 83 5437 9 613 8 9 4,3 3,2 302 3  Empirische Analyse des Risikomanagements im Konzern sen. In Tab. 3.3–42 ist die Häufigkeitsverteilung des maximalen Betrachtungshorizonts dargestellt. Es dominiert der einjährige Zeitraum, der bei 41% der Konzerne als Grundlage für die Risikobewertung vorgegeben ist. Weitere 27% haben einen zwei- und 20% einen dreijährigen Zeitraum gewählt. Insgesamt wird daraus deutlich, dass der Risikobewertung zumeist eine eher kurzfristige Perspektive zu Grunde liegt. Dies dürfte in der Schwierigkeit begründet liegen, verlässliche Aussagen zur Risikoentwicklung für längerfristige Zeiträume zu treffen. Aus kontingenztheoretischer Sicht stellt sich die Frage nach den erklärenden Variablen für die beobachteten Unterschiede bei der Risikobewertung. Grundsätzlich ist davon auszugehen, dass die Bewertung einzelner Risiken umso systematischer erfolgt, je stärker die drei Dimensionen der Risikobewertung konzernweit berücksichtigt werden. Im Rahmen der theoretischen Vorüberlegungen wurde vermutet, dass dies wiederum von der Größe des Konzerns abhängt. Es wurde daher folgende Hypothese formuliert: H35: Je größer der Konzern, desto systematischer werden Risiken im Konzern bewertet. Der prognostizierte Zusammenhang wird durch die empirischen Daten grundsätzlich bestätigt, wobei die Korrelationskoeffizienten auf einen signifikanten, aber nur sehr schwach ausgeprägten Zusammenhang hindeuten (vgl. Tab. 3.3–43). Zeitraum (Jahre) 1 2 3 4 5 8–10 MW Relativer Anteil in% (n=190) 41 27 20 1 9 2 2,2 Tab. 3.3–42: Maximaler Bewertungszeitraum Abh.  Variable Unabh. Variable Varianzanalyse Korrelations‐ analyse Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz Eintrittswahrscheinlichkeit über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 4,53 4,19 3,96 5,562 0,004 0,150 0,027 Mögliche Schadenshöhe über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 4,59 4,29 4,02 6,639 0,002 0,188 0,005 Einheitlicher Zeitraum über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 3,68 3,34 2,73 7,969 0,000 0,173 0,010 Tab. 3.3–43: Risikobewertung in Abhängigkeit von der Konzerngröße 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 303 Da auch der Mittelwertvergleich durch die Varianzanalyse die Hypothese H35 stützt, soll diese nicht zurückgewiesen, sondern akzeptiert werden. Es bleibt somit festzuhalten, dass in Großkonzernen die Risikobewertung im Hinblick auf die Eintrittswahrscheinlichkeit, die Schadenshöhe und den Zeitraum eher konzernweit erfolgt als in mittelständischen Konzernen. Weiter ist zu vermuten, dass die Ausgestaltung der Risikobewertung auch von den Zielen des Risikomanagements beeinflusst wird. Aus der zweiten Basishypothese lässt sich konkret folgende Beziehung ableiten: H36: Je höher die Bedeutung des Ziels Verbesserung der Entscheidungsgrundlagen (Risikotransparenz), desto systematischer werden Risiken im Konzern bewertet. Die Korrelationsanalysen und Mittelwertvergleiche bestätigen den vermuteten Zusammenhang (vgl. Tab. 3.3–44). Dabei korrelieren die drei Dimensionen der Risikobewertung mit der Bedeutung des Ziels Verbesserung der Entscheidungsgrundlagen (Risikotransparenz) stärker als mit dem vorstehend analysierten Kontextfaktor Konzerngröße. 3.3.2.1.2 Bewertung des Gesamtrisikos Die Bewertung von Einzelrisiken ermöglicht ein Urteil zu der Bedeutung einzelner Gefahrenpotenziale. Falls notwendig, können hieran zielgerichtete Maßnahmen zur Risikosteuerung anknüpfen. Um in einer Gesamtschau die Risikolage des Konzerns oder einzelner Konzerneinheiten beurteilen zu können, ist jedoch auch eine Bewertung des Gesamtrisikos als Aggregat der Einzelrisiken erforderlich. Die Befunde zu diesem Teilbereich der Risikobewertung werden nachfolgend dargestellt, wobei zunächst auf die Art und Weise der Risikoaggregation und anschließend auf zwei Detailaspekte, die Analyse von Risikointerdependenzen und die Berücksichtigung von Beteiligungsquoten, eingegangen wird. Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Bedeutung Ziel Risikotransparenz 6,2 < 6,2 131 159 4,40 4,09 2,145 0,033 Eintrittswahr-scheinlichkeit 0,241 0,000 6,2 < 6,2 131 159 4,45 4,18 1,956 0,051 Mögliche Schadenshöhe 0,262 0,000 6,2 < 6,2 131 159 3,63 2,93 3,368 0,001 Einheitlicher Zeitraum 0,248 0,000 Tab. 3.3–44: Risikobewertung in Abhängigkeit von Zielen des Risikomanagements 304 3  Empirische Analyse des Risikomanagements im Konzern 3.3.2.2.2.1 Risikoaggregation Um die Aggregation von Einzelrisiken zu analysieren, wurden die Respondenten um eine Einschätzung gebeten, inwieweit die Risiken der einzelnen Konzernunternehmen systematisch aggregiert werden (vgl. Frage A.3.2). Die empirischen Befunde signalisieren bei diesem Gestaltungsparameter ein sehr heterogenes Bild. Während auf der einen Seite 34% der Respondenten angaben, dass in ihrem Konzern eine systematische Risikoaggregation erfolgt, stimmten dem auf der anderen Seite 29% der Respondenten gar nicht und weitere 13% (überwiegend) nicht zu (vgl. Abb. 3.3–20). In den Interviews begründeten die Respondenten den Verzicht auf eine Risikoaggregation u.a. mit der überschaubaren Risikolage und der schweren Interpretierbarkeit aggregierter Risikopotenziale. Respondenten aus Konzernen, die Risiken hingegen systematisch aggregieren, nannten in den Interviews unterschiedliche Zwecke der Risikoaggregation. Einige merkten an, dass die Risikoaggregation lediglich zu Dokumentationszwecken erfolge und keine neuen Erkenntnisse für die Risikosteuerung hervorbringe. Andere wiesen demgegenüber darauf hin, dass die Risikoaggregation in ihrem Konzern darauf abzielt, Risikoschwerpunkte zu erkennen und Doppelerfassungen von Risiken zu eliminieren. Eine spezifische in der Literatur diskutierte Möglichkeit zur Risikoaggregation ist die Ermittlung des Gesamtrisikopotenzials durch Risikosimulation.1 Es wurde daher danach gefragt, inwieweit eine solche Simulation regelmäßig durchgeführt wird (vgl. Frage A.3.2). Die Untersuchungsergebnisse zeigen, dass Risikosimulationen bis auf wenige Ausnahmen nicht zur Risikoaggregation genutzt werden (vgl. Abb. 3.3–20). Zurückzuführen ist dies vor allem auf die Komplexität dieses Ansatzes und die damit verbundene Schwierigkeit, die Ergebnisse zu kommunizieren. So berichtete ein Respondent, dass eine Risikosimulation einmal in einem Pilotprojekt durchgeführt wurde, sich die Simulationsergebnisse aber als wenig nützlich erwiesen. Andere Konzerne merkten Abb. 3.3–20: Risikoaggregation 1 Vgl. z.B. Füser et al. (1999), S. 756ff.; Gleißner (2004), S. 354ff. 0% 20% 40% 60% 80% 100% trifft nicht/überwiegend nicht zu trifft teilweise zu trifft überwiegend/voll zu MW 2,8 Regelmäßige Ermittlung des Gesamtrisikopotenzials mit Simulationen Systematische Plausibilitätsprüfung dezentraler Risikoberichte 34 2 6718 97 2442 1 15 1,1 3,9 Systematische Risikoaggregation von Einzelrisiken 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 305 demgegenüber in den Interviews an, dass Risikosimulationen ein- bis zweimal pro Jahr durchgeführt werden, um Veränderungen des Gesamtrisikopotenzials im Zeitablauf zu analysieren. Da für die Aussagekraft der Risikoaggregation auch die einzeln bewerteten Risiken von zentraler Bedeutung sind, empfiehlt es sich, diese auf Plausibilität zu prüfen. Die Befunde dokumentieren, dass dies bei zwei Dritteln der Konzerne systematisch erfolgt (vgl. Abb. 3.3–20). Dieser relativ hohe Anteil deutet darauf hin, dass bei einer Reihe von Konzernen zwar eine Plausibilitätsprüfung dezentraler Risikoberichte stattfindet, ohne dass jedoch die darin genannten Risiken systematisch aggregiert werden. Risiken können in qualitativer oder quantitativer Form aggregiert werden. Es wurde daher ebenfalls nach der Art und Weise der Risikoaggregation gefragt (vgl. Frage A.3.2). Die Untersuchungsergebnisse dokumentieren, dass von den 206 Konzernen, die Risiken aggregieren, 46% eine qualitative Vorgehensweise wählen, indem sie die für den Konzern besonders bedeutsamen Einzelrisiken auflisten oder in einem Risikoportfolio darstellen (vgl. Abb. 3.3–21). 33% der Konzerne aggregieren Einzelrisiken dagegen quantitativ durch die Addition von Schadenserwartungswerten. In den Interviews erläuterten einige Respondenten, dass sie hierbei aggregierte Schadenserwartungswerte nur für einzelne Konzerneinheiten oder Risikofelder berechnen, nicht aber für den Gesamtkonzern, da ein solcher Wert nicht sinnvoll interpretierbar sei. Weitere 21% der Konzerne wenden schließlich die qualitative und quantitative Vorgehensweise zur Risikoaggregation parallel an. Angesichts der beobachteten Unterschiede in der Ausgestaltung der Risikoaggregation stellt sich die Frage nach den erklärenden Einflussgrößen. Da mit wachsender Konzerngröße die Einzelrisiken zunehmend schwerer überschaubar sind, steigt die Notwendigkeit zur Verdichtung der Informationen. Es ist daher folgende Hypothese zu prüfen: H37: Je größer der Konzern, desto systematischer werden Risiken im Konzern aggregiert. Abb. 3.3–21: Art der Risikoaggregation 306 3  Empirische Analyse des Risikomanagements im Konzern Die Auswertung der empirischen Daten bestätigt den prognostizierten Zusammenhang. Sowohl die Korrelations- als auch die Varianzanalyse liefert hoch signifikante Ergebnisse (vgl. Tab. 3.3–45). Vor allem KMK verzichten häufig auf die Aggregation der Einzelrisiken. So gehören von den 84 Konzernen, die keine Risikoaggregation durchführen, 37 (44%) zur Gruppe der KMK. Ebenso ist der Anteil der Konzerne, die auf eine Risikoaggregation verzichten, innerhalb der KMK mit 36% überdurchschnittlich hoch. Doch auch 31% der GMK und 21% der GRK aggregieren Risiken nicht systematisch. Die Risikoaggregation ist somit ein Bereich des Risikomanagements, der bei vielen Konzernen noch rudimentär ausgestaltet und mit methodischen Defiziten behaftet ist. Analog zur Bewertung von Einzelrisiken ist davon auszugehen, dass die Bemühungen zur Risikoaggregation auch von der Bedeutung abhängen, die dem Ziel der Verbesserung der Entscheidungsgrundlagen (Risikotransparenz) beigemessen wird. Es wurde deshalb folgender Zusammenhang vermutet: H38: Je höher die Bedeutung des Ziels Verbesserung der Entscheidungsgrundlagen (Risikotransparenz), desto systematischer werden Risiken im Konzern aggregiert. Auch diese Beziehung wird durch die empirischen Befunde bestätigt. Es besteht zum einen eine hoch signifikante positive Korrelation zwischen dem Ausmaß der Risikoaggregation und der Bedeutung des Ziels Risikotransparenz (r=0,22**). Dieses Ergebnis wird ebenso durch den t-Test gestützt (vgl. Tab. 3.3–46). Abh.  Variable Unabh. Variable Varianzanalyse Korrelationsanalyse Risikoaggregation Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 3,32 2,66 2,43 10,769 0,000 0,255 0,000 Tab. 3.3–45: Risikoaggregation in Abhängigkeit von der Konzerngröße Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Bedeutung Ziel Risikotransparenz 6,2 < 6,2 131 159 3,10 2,59 2,948 0,003 Risiko-aggregation 0,216 0,000 Tab. 3.3–46: Risikoaggregation in Abhängigkeit vom Ziel der Risikotransparenz 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 307 3.3.2.2.2.2 Analyse von Risikointerdependenzen Einen zentralen Bestandteil der Risikoaggregation bildet die Analyse von Risikointerdependenzen. Diese zielt darauf ab, Abhängigkeiten zwischen Einzelrisiken zu erkennen und in ihrer Wirkung zu quantifizieren, um so zu einer sachgerechten Abschätzung des Gesamtrisikos zu gelangen. Aufgrund der vielfältigen Beziehungszusammenhänge, die zwischen einzelnen Risiken bestehen können, ist dabei aber eine Beschränkung auf wesentliche Wechselwirkungen erforderlich. Im Rahmen der empirischen Erhebung wurden die Respondenten gebeten zu beurteilen, wie intensiv solche Risikointerdependenzen in ihrem Konzern untersucht werden (vgl. Frage A.3.2). Wie aus Abb. 3.3–22 ersichtlich, stimmten 24% der Respondenten der Aussage, dass Wechselwirkungen zwischen Einzelrisiken intensiv analysiert werden, (überwiegend) zu. Ein Interviewpartner erläuterte in diesem Zusammenhang, dass z.B. bei dem Risiko des Ausfalls eines Großkunden untersucht werde, welche Konzerngesellschaften davon betroffen wären. Andererseits signalisieren die Befunde aber auch, dass ein erheblicher Teil der Konzerne Risikointerdependenzen nicht oder nur sporadisch analysiert. Dies dürfte zum einen in der Schwierigkeit begründet liegen, die meist recht komplexen Ursache-Wirkungsbeziehungen zu erfassen und in ihrer Bedeutung für den Konzern zu bewerten. Zum anderen ist die allgemein geringe Intensität der Analyse von Risikointerdependenzen vermutlich auch auf die im vorangehenden Abschnitt dargelegten Defizite bei der Risikoaggregation zurückzuführen. So korreliert die Intensität der Analyse von Risikointerdependenzen auf hoch signifikantem Niveau positiv mit dem Ausmaß der systematischen Risikoaggregation (r=0,43**). Da die Analyse von Risikointerdependenzen ein Bestandteil der Risikoaggregation ist, lassen sich grundsätzlich dieselben Faktoren zur Erklärung der empirisch beobachteten Unterschiede heranziehen. Somit ist folgender Einfluss der Konzerngröße zu prüfen: H39: Je größer der Konzern, desto intensiver werden Risikointerdependenzen im Konzern analysiert. Abb. 3.3–22: Analyse von Risikointerdependenzen Intensive Analyse von Risikointerdependenzen 0% 20% 40% 60% 80% 100% trifft nicht/überwiegend nicht zu trifft teilweise zu trifft überwiegend/voll zu MW 2,72444 32 308 3  Empirische Analyse des Risikomanagements im Konzern Zur Überprüfung der Hypothese wurden wiederum eine Korrelationsanalyse und ein Mittelwertvergleich mittels Varianzanalyse durchgeführt. Die Ergebnisse dieser Analysen stützen die Hypothese H39 bedingt (vgl. Tab. 3.3–47). So deutet der Korrelationskoeffizient r=0,16** auf eine nur schwach ausgeprägte Beziehung hin. Schließlich kann ebenfalls analog zur Risikoaggregation vermutet werden, dass die Bedeutung des Ziels Verbesserung der Entscheidungsgrundlagen (Risikotransparenz) Unterschiede in der Intensität der Analyse von Risikointerdependenzen erklärt. Es wurde daher auf der Grundlage der zweiten Basishypothese folgender Zusammenhang prognostiziert: H40: Je höher die Bedeutung des Ziels Verbesserung der Entscheidungsgrundlagen (Risikotransparenz), desto intensiver werden Risikointerdependenzen im Konzern analysiert. Die in Tab. 3.3–48 zusammengefassten Befunde bestätigen die Hypothese auf hoch signifikantem Niveau. Mit zunehmender Bedeutung, die der Risikotransparenz zugesprochen wird, werden Risikointerdependenzen offensichtlich intensiver analysiert. Abh.  Variable Unabh. Variable Varianzanalyse Korrelationsanalyse Analyse von Risikointerdependenzen Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 2,96 2,68 2,53 3,767 0,024 0,156 0,008 Tab. 3.3–47: Analyse von Risikointerdependenzen in Abhängigkeit von der Konzerngröße Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Bedeutung Ziel Risikotransparenz 6,2 < 6,2 131 159 3,01 2,50 3,775 0,000 Analyse von Risikointerdependenzen 0,216 0,000 Tab. 3.3–48: Analyse von Risikointerdependenzen in Abhängigkeit  vom Ziel der Risikotransparenz 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 309 3.3.2.2.2.3 Berücksichtigung von Beteiligungsquoten Ein konzernspezifischer Aspekt der Risikoaggregation ist die Berücksichtigung von Beteiligungsquoten. Mit der empirischen Untersuchung sollte ein Einblick darin gewonnen werden, inwieweit diese bei der Ermittlung des aggregierten Risikopotenzials im Konzern berücksichtigt werden. Da sich diese Frage nur bei der Existenz von Beteiligungen unter 100% stellt, wurde eine ausweichende Antwortmöglichkeit „nicht vorhanden“ angeboten (vgl. Frage A.3.2). Insgesamt machten 86 der 290 Respondenten davon Gebrauch. 30% der Konzerne verfügen somit ausschließlich über hundertprozentige Tochtergesellschaften. Die Befunde signalisieren, dass von den übrigen 204 Konzernen lediglich 13% die Risiken anteilig in die Berechnung des aggregierten Risikopotenzials einbeziehen (vgl. Abb. 3.3–23). Die überwiegende Mehrheit verzichtet hingegen darauf. In den Interviews wurden hierfür unterschiedliche Gründe angeführt. Zum einen waren sich viele Respondenten der Problematik nicht bewusst. Zum anderen argumentierten einige von ihnen, dass auf eine anteilige Aggregation der bewerteten Risiken aus Vereinfachungsgründen verzichtet würde. Damit sind die Befunde zur Risikobewertung umfassend dargelegt. Der folgende Abschnitt wendet sich nunmehr der Risikokommunikation zu. 3.3.2.2 Risikokommunikation 3.3.2.2.1 Risikoberichterstattung zwischen Konzerneinheiten Für die Risikoberichterstattung zwischen Konzerneinheiten ist festzulegen, wer an wen, was, wie und wann berichtet. Da die Inhalte der internen Risikoberichterstattung bereits im Zusammenhang mit der Ausrichtung des Risikomanagementsystems und der Definition von Wesentlichkeitsgrenzen angesprochen wurden1, beschränken sich die folgenden Ausführungen auf die Befunde zu den Abb. 3.3–23: Berücksichtigung von Beteiligungsquoten 1 Vgl. hierzu Abschnitt 3.3.1.5 und 3.3.1.6. Berücksichtigung von Beteiligungsquoten 0% 20% 40% 60% 80% 100% trifft nicht/überwiegend nicht zu trifft teilweise zu trifft überwiegend/voll zu MW 1,7 n=204 1380 7 310 3  Empirische Analyse des Risikomanagements im Konzern Sendern und Empfängern sowie der Form und Frequenz der internen Risikoberichterstattung im Konzern. Mit den Sendern und Empfängern der Risikoberichte wird der Informationsfluss im Konzern beschrieben. Als Sender fungieren zunächst die Tochtergesellschaften bzw. Geschäftsbereiche, die ihre Risiken an die Konzernmutter bzw. eine übergeordnete Konzerneinheit berichten. Dies kann sowohl durch regelmäßige Standardberichte als auch durch fallweise Ad-hoc-Berichte erfolgen. Im Rahmen der empirischen Studie wurde daher gefragt, inwieweit diese beiden Formen einer internen Risikoberichterstattung konzernweit implementiert sind (vgl. Frage A.3.3). Wie Abb. 3.3–24 zeigt, trifft dies bei der Mehrzahl der Konzerne zu. Der durchschnittliche Zustimmungsgrad beträgt hier jeweils 4,3. Die bottom-up orientierte Risikoberichterstattung kann zudem durch eine top-down orientierte Rückmeldung durch die Konzernmutter bzw. die übergeordnete Konzerneinheit ergänzt werden. Hierbei sind die Tochtergesellschaften bzw. Geschäftsbereiche nicht Sender, sondern Empfänger von Risikoinformationen. Die in Abb. 3.3–24 dargestellten Befunde signalisieren, dass dies insgesamt eher selten der Fall ist. Dies gilt insbesondere für Rückmeldungen über Risiken anderer Konzerneinheiten. Einige Respondenten erwähnten in diesem Zusammenhang, dass sie den berichtenden Einheiten den verdichteten Vorstandsbericht über die Risikolage des Konzerns zur Verfügung stellen oder den dezentralen Risikomanagement-Koordinatoren Einblick in die Risikodatenbank des Konzerns gewähren. Eine weitere Form des regelmäßigen Feedbacks zu Risiken im Konzern, welche von einem kleinen mittelständischen Konzern praktiziert wird, besteht darin, die Risikoberichte in einem Treffen der Entscheidungsträger gemeinsam durchzusprechen. Hierin wird eine Möglichkeit zum Erfahrungsaustausch und zur Förderung der offenen Risikokommunikation im Konzern gesehen. Insgesamt ist jedoch festzuhalten, dass der einseitige Informationsfluss an die Konzernobergesellschaft dominiert. Abb. 3.3–24: Risikoberichterstattung zwischen Konzerneinheiten Regelmäßige Risikoberichterstattung an übergeordnete Konzerneinheit 0% 20% 40% 60% 80% 100% trifft nicht/überwiegend nicht zu trifft teilweise zu trifft überwiegend/voll zu MW 4,3 Regelmäßige Rückmeldung zu den eigenen Risikoberichten Regelmäßige Rückmeldung über die Risiken anderer Töchter/Bereiche 85 37 980 38 78 25 11 3,1 1,8 Berichterstattung plötzlich auftretender Risiken (Ad-hoc-Risikoberichterstattung) 4,38398 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 311 Aus agency-theoretischer Sicht stellt dieser Informationsfluss an die Konzernmutter ein Kontrollinstrument dar, um Informationsasymmetrien und daraus möglicherweise resultierende Agency-Konflikte zu reduzieren. Da das Ausmaß der Informationsasymmetrien zwischen den Konzerneinheiten maßgeblich durch die Konzerngröße beeinflusst wird, ist davon auszugehen, dass die Gestaltung der internen Risikoberichterstattung in Abhängigkeit von dieser variiert. Konkret ist zu vermuten, dass mit zunehmender Konzerngröße der Informationsfluss über Risiken sowohl bottom-up als auch top-down umfassender ausgeprägt ist. Dies führt zu folgender Hypothese: H41: Je größer der Konzern, desto umfassender ist die Risikoberichterstattung konzernweit ausgestaltet. Die empirischen Daten bestätigen die Hypothese nur in Bezug auf die regelmä- ßige bottom-up orientierte Risikoberichterstattung an übergeordnete Konzerneinheiten (vgl. Tab. 3.3–49). Hier signalisiert sowohl der Korrelationskoeffizient (r=0,26**) als auch der Mittelwertvergleich anhand der Varianzanalyse, dass mit zunehmender Konzerngröße eher eine Risikoberichterstattung der dezentralen Konzerneinheiten implementiert ist. Die Analysen zur fallweisen Ad-hoc-Risikoberichterstattung deuten zwar ebenfalls auf einen tendenziellen Zusammenhang zwischen der Konzerngröße und der Ausprägung dieses Berichtsinstruments hin, doch sind die Ergebnisse der Abh. Variable Unabh. Variable Varianzanalyse Korrelations‐ analyse Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz Risikoberichterstattung an übergeordnete Konzerneinheit über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 4,63 4,40 3,95 10,499 0,000 0,258 0,000 Ad-hoc-Risikoberichterstattung über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 4,45 4,13 4,18 2,796 0,063 0,115 0,051 Rückmeldung zu eigenen Risikoberichten über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 3,30 2,94 2,95 2,534 0,081 0,168 0,004 Rückmeldung zu Risiken anderer Konzerneinheiten über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 1,82 1,68 1,88 0,757 0,470 0,047 0,429 Tab. 3.3–49: Risikoberichterstattung in Abhängigkeit von der Konzerngröße 312 3  Empirische Analyse des Risikomanagements im Konzern Korrelationsanalyse und des Mittelwertvergleichs nur tendenziell signifikant und zudem schwach ausgeprägt, so dass die Hypothese diesbezüglich zurückgewiesen werden muss. Offensichtlich wird die i.d.R. weniger formalisierte fallweise Meldung von Risiken an die Konzernmutter auch in kleineren Konzernen praktiziert, während in diesen auf eine regelmäßige, standardisierte Risikoberichterstattung häufig verzichtet wird. So manifestiert auch eine weitergehende Analyse, dass es sich bei den Konzernen, die keine regelmäßige Risikoberichterstattung von den Tochtergesellschaften bzw. Geschäftsbereichen an die Konzernmutter etabliert haben, überwiegend um kleinere Konzerne handelt, die über durchschnittlich zwölf Tochtergesellschaften verfügen und die Risikoinventur zumeist zentral durchführen. Auch in Bezug auf den top-down orientierten Informationsrückfluss wird die formulierte Hypothese nicht bestätigt. Bei der Rückmeldung zu den eigenen Risikoberichten signalisieren die Befunde eine nur sehr schwach ausgeprägte Korrelation (r=0,17**). Die Ergebnisse der Varianzanalyse deuten zwar in die prognostizierte Richtung, sind aber nur tendenziell signifikant. Hinsichtlich der Rückmeldung zu Risiken anderer Konzerneinheiten sprechen die statistischen Befunde eindeutig gegen die Hypothese. Die durchschnittliche Intensität der Rückmeldungen ist hier bei den KMK sogar leicht höher als bei den GRK (1,88 vs. 1,82). Offenbar erhalten die dezentralen Einheiten in kleinen Konzernen mindestens in gleichem Maße eine Information über die Risikolage im Konzern wie jene in großen Konzernen. Wie oben erwähnt, kann dies z.B. im Rahmen von Besprechungen erfolgen. Im Hinblick auf die Form der regelmäßigen Risikoberichterstattung an die Konzernobergesellschaft ist zwischen einer schriftlichen und einer mündlichen Übermittlung der Risikoinformationen zu unterscheiden. Sofern die Risiken schriftlich berichtet werden, kann dies im Rahmen des allgemeinen Berichtswesens oder aber durch einen eigenständigen Risikobericht geschehen. Die Auswertung der Antworten offenbart, dass die Tochtergesellschaften bzw. Geschäftsbereiche für die Risikoberichterstattung an die Konzernobergesellschaft in • 48% der Konzerne das allgemeine Berichtswesen nutzen, • 42% der Konzerne einen separaten Risikobericht erstellen, • 10% der Konzerne die beiden vorgenannten Alternativen kombinieren. Letzteres erfolgt z.B. derart, dass einmal jährlich ein separater Risikobericht von den Tochtergesellschaften erstellt wird, während die unterjährige Risikoberichterstattung in das reguläre Berichtswesen integriert wird. Die in etwa gleich häufige Wahl der beiden grundlegenden Alternativen deutet darauf hin, dass sowohl das Argument, aus Wirtschaftlichkeitsgründen die bestehenden Berichtssysteme zu nutzen, als auch das Argument, dem Risikomanagement durch einen eigenständigen Bericht besonderes Gewicht zu verleihen, Bedeutung zukommt. Dabei zeigt eine differenzierte Betrachtung, dass dem letzteren Aspekt mit zunehmender Konzerngröße Priorität eingeräumt wird. Wie aus Tab. 3.3–50 ersichtlich, erstellen große Konzerne häufiger separate Risikoberichte als mittelständische Konzerne. Vor allem bei kleinen mittelständischen Konzernen dürf- 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 313 ten i.d.R. die beschränkten Ressourcen für die Nutzung des allgemeinen Berichtswesens maßgeblich sein. Um das Ausmaß der schriftlichen Risikokommunikation und damit den Formalisierungsgrad der Risikoberichterstattung im Konzern zu erfassen, wurde danach gefragt, welchen Anteil die von den Tochtergesellschaften bzw. Geschäftsbereichen schriftlich an die Konzernzentrale kommunizierten Risiken an der Gesamtzahl der berichteten Risiken haben (vgl. Frage A.3.5). Da eine exakte Quantifizierung des Anteils kaum möglich sein dürfte, wurde um eine Schätzung gebeten. Zu diesem Zweck wurden auf einer fünfstufigen Ratingskala die Anteile schriftlich berichteter Risiken in 20%-Intervallen vorgegeben. Die in Abb. 3.3–25 dargestellten Ergebnisse zeigen, dass zwischen den Konzernen in Bezug auf die Formalisierung der Risikoberichterstattung große Unterschiede bestehen. Während auf der einen Seite 10% der Konzerne Risiken intern nur in sehr geringem Maße (0–20%) schriftlich kommunizieren, greifen auf der anderen Seite 39% der Konzerne auf eine ganz überwiegend (80–100%) schriftliche Risikoberichterstattung zurück. Im Gesamtdurchschnitt beträgt der Anteil schriftlich an die Konzernzentrale berichteter Risiken rund 75%.1 Dieser allge- In% (n = 271) Kleine mittelstän‐ dische Konzerne Große mittelstän‐ dische Konzerne Große  Konzerne Integrierter Risikobericht 58,6 46,9 37,6 Separater Risikobericht 41,4 53,1 62,4 Tab. 3.3–50: Berichtsformen (relative Häufigkeiten) Abb. 3.3–25: Anteile der schriftlich kommunizierten Risiken (relative Häufigkeiten) 1 Dies entspricht einem arithmetischen Mittelwert von 3,7 auf der von 1 bis 5 kodierten Ratingskala. 0 10 20 30 40 50Anteil der Konzerne (in %) 0-20% 21-40% 41-60% 61-80% 81-100% 10 11 19 21 39 3 Anteil der schriftlich berichteten Risiken 314 3  Empirische Analyse des Risikomanagements im Konzern mein relativ hohe Anteil dürfte darin begründet liegen, dass eine schriftliche Risikokommunikation die Prüfbarkeit des Risikomanagementsystems erleichtert bzw. überhaupt erst ermöglicht. Im Rahmen der theoretischen Überlegungen wurde vor allem die Konzerngröße als ein Einflussfaktor für den Anteil schriftlicher Risikokommunikation herausgearbeitet. Mit zunehmender Konzerngrößte steigt i.d.R. die hierarchische und geografische Distanz zwischen der Konzernmutter und den dezentralen Konzerneinheiten. Dadurch wächst die Informationsasymmetrie und damit auch der Bedarf an einer systematischen, stärker formalisierten Risikoberichterstattung. Es wurde deshalb folgende Hypothese formuliert: H42: Je größer der Konzern, desto höher ist der Anteil der schriftlich an die Konzernmutter kommunizierten Risiken. Zur Prüfung dieses Zusammenhangs wurde zum einen ein Mittelwertvergleich nach den drei Größenklassen (Varianzanalyse) und zum anderen eine Korrelationsanalyse der Variablen Mitarbeiterzahl und Anteil schriftlich berichteter Risiken durchgeführt. Die Ergebnisse der beiden Analysen erlauben eine Annahme der Hypothese H42. Sowohl die Mittelwerte als auch der Korrelationskoeffizient bestätigen den prognostizierten Zusammenhang auf hoch signifikantem Niveau (vgl. Tab. 3.3–51). Als weiterer Gestaltungsparameter wurde die Frequenz der regelmäßigen internen Risikoberichterstattung der Tochtergesellschaften bzw. Geschäftsbereiche an die übergeordnete Einheit erhoben. Tab. 3.3–52 zeigt die Untersuchungsergebnisse differenziert für den in das allgemeine Berichtswesen integrierten und den separaten Risikobericht. Dabei wird deutlich, dass fast ausschließlich monatliche, viertel-, halb- oder jährliche Berichtsintervalle eingesetzt werden. Nur in wenigen Ausnahmefällen wurden davon abweichend z.B. zwei- und viermonatige Berichtsfrequenzen genannt. Ferner signalisieren die Befunde, dass die Berichtszyklen bei integrierten Risikoberichten i.d.R. kürzer sind als bei separaten Risikoberichten. Bei Ersteren dominiert das monatliche Berichtsintervall; es findet sich bei fast zwei Dritteln der Konzerne, die diese Form der Risikoberichterstattung implementiert haben. Demgegenüber wird bei den separaten Risikoberichten am häufigsten ein vierteljährlicher Berichtszyklus gewählt. Damit Abh.  Variable Unabh. Variable Varianzanalyse Korrelationsanalyse Anteil schriftlich berichteter Risiken Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 106 80 104 4,44 3,43 3,11 34,637 0,000 0,215 0,000 Tab. 3.3–51: Zusammenhang zwischen Konzerngröße und Anteil schriftlich berichteter Risiken 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 315 führt die integrierte Risikoberichterstattung zu einer zeitnäheren Versorgung der Entscheidungsträger mit Risikoinformationen. Offen ist jedoch, ob die monatlichen in das allgemeine Berichtswesen integrierten Berichte auch denselben Informationsumfang über Risiken aufweisen wie die in längeren Zyklen erstellten separaten Berichte. Abschließend ist der Frage nachzugehen, inwieweit die Umweltdynamik die Häufigkeit der internen Risikoberichterstattung beeinflusst. Diesbezüglich wurde folgende Hypothese formuliert: H43: Mit steigender Umweltdynamik werden Risiken in kürzeren Zeitintervallen berichtet. Um den vermuteten Zusammenhang zu prüfen, wurden die erhobenen Berichtsintervalle in Berichtshäufigkeiten pro Jahr transformiert. Die Ergebnisse des t-Tests sowie der Korrelationsanalyse liefern jedoch keine Grundlage, um die Hypothese zu akzeptieren (vgl. Tab. 3.3–53). Es ist vielmehr davon auszugehen, dass die Berichtszyklen für beide Berichtsformen nicht durch die Umweltdynamik beeinflusst werden. Vermutlich lehnen sind die Berichtszyklen für die interne Risikoberichterstattung eher an die regulären Berichtszyklen im Konzern an. In% Monatlich Viertel‐ jährlich Halb‐ jährlich Jährlich Sonst.  Zyklus Integrierter Risikobericht (n=140) 65 22 4 6 3 Separater Risikobericht (n=157) 8 54 15 20 3 Tab. 3.3–52: Berichtszyklen für die interne Risikoberichterstattung (relative Häufigkeiten) Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Umweltdynamik 4,7 < 4,7 64 76 9,58 9,00 0,608 0,544 Häufigkeit der integrierten Risikoberichte 0,082 0,336 4,7 < 4,7 79 78 3,65 3,87 –0,508 0,612 Häufigkeit der separaten Risikoberichte –0,039 0,628 Tab. 3.3–53: Zusammenhang zwischen Umweltdynamik  und Häufigkeit der Risikoberichterstattung 316 3  Empirische Analyse des Risikomanagements im Konzern 3.3.2.2.2 Risikoberichterstattung an den Vorstand Die Risikoberichterstattung an den Vorstand zielt darauf ab, diesen frühzeitig über bestandsgefährdende Entwicklungen zu informieren. Aus betriebswirtschaftlicher Perspektive erscheint es geboten, über diesen in § 91 Abs. 2 AktG geforderten Mindestumfang hinausgehend auch wesentliche Risiken und Chancen in die Berichterstattung an den Vorstand einzubeziehen. Um eine kontinuierliche Informationsversorgung zu gewährleisten, hat die Risikoberichterstattung regelmäßig zu erfolgen. Daneben ist eine Ad-hoc-Risikoberichterstattung bei bedeutsamen Veränderungen der Risikolage erforderlich. In der empirischen Studie wurde die Häufigkeit der Risikoberichterstattung an den Vorstand des Konzerns erhoben (vgl. Frage A.3.4). Die empirischen Befunde zeigen, dass in fast allen Konzernen Risiken regelmä- ßig an den Vorstand berichtet werden (vgl. Abb. 3.3–26). Lediglich vier Respondenten gaben an, dass in ihrem Konzern der Vorstand nur unregelmäßig bzw. auf Anfrage über die Risikolage informiert wird. Bei den regelmäßigen Berichtszyklen dominieren die vierteljährlichen (36%) und monatlichen (28%) Berichtsintervalle. Da diese Berichtsfrequenzen auch bei der Risikoberichterstattung zwischen den Konzerneinheiten am häufigsten zu beobachten waren, wird deutlich, dass diese i.d.R. zeitlich miteinander gekoppelt sind. Einige Respondenten aus kleineren Konzernen merkten in den Interviews an, dass ihre Vorstandsmitglieder durch die Einbindung in das operative Geschäft fortlaufend über bedeutsame Risiken informiert werden. Dies erfolgt zumeist mündlich. Insgesamt werden die Vorstände im Durchschnitt 6,6-mal pro Jahr im Rahmen einer regelmäßigen Berichterstattung informiert. Dabei reicht das Spektrum von einmal bis 52-mal pro Jahr. Eine ergänzende Ad-hoc-Risikoberichterstattung an den Vorstand ist bei 89% der Konzerne implementiert. Somit mangelt es bei immerhin 11% der Konzerne an diesem nach IDW PS 340 zentralen Bestandteil des Risikofrüherkennungssystems. Abb. 3.3–26: Risikoberichterstattung an den Vorstand 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 317 3.3.2.2.3 Risikoberichterstattung an den Aufsichtsrat Die Risikoberichterstattung an den Vorstand ist eine Grundlage für dessen Berichterstattung an den Aufsichtsrat gemäß § 90 AktG. Dementsprechend hebt auch der DCGK hervor, dass der Vorstand den Aufsichtsrat regelmäßig, zeitnah und umfassend über die Risiken und das Risikomanagement im Konzern zu informieren hat. In der vorliegenden Studie wurde die Umsetzung dieser Berichtspflicht analog zu jener an den Vorstand erhoben (vgl. Frage A.3.4). Die Antworten der Respondenten zeigen, dass entgegen der Forderung des DCGK der Aufsichtsrat in immerhin 30 von 274 Konzernen (11%) nur unregelmäßig und in acht Konzernen (3%) gar nicht über die Risiken informiert wird (vgl. Abb. 3.3–27). Ein Interviewpartner bemerkte diesbezüglich, dass dem Aufsichtsrat allenfalls mündlich über Risiken berichtet werde. Dies widerspricht jedoch § 90 Abs. 4 AktG (DCGK Rn. 3.4), wonach die Berichterstattung an den Aufsichtsrat im Regelfall in Textform erfolgen soll, um diesem hinreichend Zeit zu geben, sich anhand der übermittelten Informationen ein eigenständiges Bild von der Risikolage zu machen. In der Mehrzahl der Konzerne wird der Aufsichtsrat indes regelmäßig über die Risiken informiert. Dabei findet der vierteljährliche Berichtszyklus am häufigsten Anwendung. Jeder zweite Konzern orientiert sich folglich an den Intervallen für die Aufsichtsratssitzungen, die bei börsennotierten Aktiengesellschaften zumindest viermal im Jahr stattfinden müssen. Mehr als ein Viertel der Konzerne informiert den Aufsichtsrat dagegen nur einmal im Jahr über die Risikolage. Die Anforderung einer zeitnahen Berichterstattung dürfte damit allerdings wohl kaum erfüllt werden. Im Durchschnitt werden die Aufsichtsräte der befragten Konzerne 3,5-mal pro Jahr über Risiken informiert. Im Vergleich zur Risikoberichterstattung an den Vorstand, die durchschnittlich 6,6-mal jährlich erfolgt, weist die Risikoberichter- Abb. 3.3–27: Risikoberichterstattung an den Aufsichtsrat 318 3  Empirische Analyse des Risikomanagements im Konzern stattung an den Aufsichtsrat folglich längere Intervalle auf. 67% der Konzerne haben schließlich eine Ad-hoc-Risikoberichterstattung an den Aufsichtsrat etabliert. Insgesamt deuten die vorliegenden Befunde darauf hin, dass bei einer Reihe von Konzernen die Risikolage und das Risikomanagement keinen regelmäßigen Bestandteil der Informationsversorgung des Aufsichtsrats bilden. Inwieweit dieses Defizit durch einen informellen Informationsaustausch geschlossen wird, kann anhand der Ergebnisse dieser Studie nicht beurteilt werden. Damit sind die empirischen Befunde zur Risikofrüherkennung, dem ersten Subsystem des Risikomanagements, eingehend dargestellt und erörtert. Nachfolgend wird das zweite Subsystem, die Risikobewältigung im Konzern, näher betrachtet. 3.3.3 Risikobewältigung im Konzern Auf der Grundlage der im Rahmen der Risikofrüherkennung erhobenen Informationen über die Risikolage sind – falls erforderlich – Maßnahmen zur Risikosteuerung zu planen und umzusetzen sowie ihre Wirksamkeit zu kontrollieren. Die Befunde zu diesem zweiten Aufgabenkomplex werden nachfolgend präsentiert und interpretiert. Dabei liegt der Problemstellung der Arbeit entsprechend eine konzernspezifische Perspektive zu Grunde. Es werden zunächst mit der Optimierung des Geschäftsportfolios unter Risikoaspekten, der Auslagerung von Risiken in rechtlich selbstständige Einheiten und der Gründung konzerneigener Versicherungsgesellschaften drei risikopolitische Maßnahmen aus Sicht der Konzernzentrale betrachtet. Danach steht die Kontrolle der Maßnahmenumsetzung durch die Konzernzentrale im Mittelpunkt. 3.3.3.1 Risikosteuerung 3.3.3.1.1 Optimierung des Geschäftsportfolios unter Risikoaspekten Das Geschäftsportfolio eines Konzerns lässt sich unter Risikoaspekten optimieren, indem risikoreiche Geschäfte verkauft werden oder die Zusammensetzung der Geschäfte gezielt so gestaltet wird, dass Diversifikationseffekte zu einer Reduzierung des Gesamtrisikos führen. Im Rahmen der empirischen Studie wurde danach gefragt, wie intensiv derartige Maßnahmen im Konzern verfolgt werden (vgl. Frage A.3.7). Dazu wurde eine fünfstufige Ratingskala vorgegeben, deren Eckpunkte mit „gar nicht“ (= 1) und „sehr intensiv“ (= 5) verbal verankert waren. Die in Abb. 3.3–28 dargestellten Befunde dokumentieren, dass die Konzerne im Durchschnitt ihr Geschäftsportfolio mit mittlerer Intensität optimieren (arithmetischer Mittelwert = 3,1). Während 42% der Konzerne ihr Geschäftsportfolio intensiv oder sehr intensiv unter Risikoaspekten optimieren, ergreifen 25% diese Maßnahme mit mittlerer Intensität und 33% gar nicht oder wenig intensiv. Angesichts dieser Unterschiede stellt sich die Frage nach den erklärenden Faktoren. Als möglicher Einflussfaktor wurde im Rahmen der theoretischen Vorüber- 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 319 legungen die Konzernstrategie identifiziert. Dabei wurde folgende Hypothese formuliert: H44: Je intensiver eine Akquisitions-, Diversifikations- und Internationalisierungsstrategie verfolgt wird, desto intensiver wird das Geschäftsportfolio unter Risikoaspekten optimiert. Die zur Prüfung dieser Hypothese durchgeführten Korrelationsanalysen und t-Tests können den prognostizierten Zusammenhang nicht bestätigen (vgl. Tab. 3.3–54). Nur in Bezug auf die Akquisitionsstrategie besteht eine signifikante, aber sehr geringe Korrelation mit der Geschäftsportfoliooptimierung unter Risikoaspekten (r=0,12). Da auch die Ergebnisse des t-Tests die vermutete Beziehung nur tendenziell stützen, muss die Hypothese H44 zurückgewiesen Abb. 3.3–28: Optimierung des Geschäftsportfolios unter Risikoaspekten Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Akquisitionsstrategie 3,0 < 3,0 184 83 3,22 2,94 1,737 0,084 Optimierung Geschäftsport. Risikoaspekte 0,124 0,042 Diversifikationsstrategie 2,4 < 2,4 115 152 3,27 3,03 1,552 0,122 Optimierung Geschäftsport. Risikoaspekte 0,068 0,271 Internationalisierungsstrategie 3,5 < 3,5 163 104 3,11 3,17 –0,403 0,687 Optimierung Geschäftsport. Risikoaspekte –0,051 0,403 Tab. 3.3–54: Abhängigkeit der Geschäftsportfoliooptimierung von der Konzernstrategie Optimierung des Geschäftsportfolios unter Risikoaspekten 0% 20% 40% 60% 80% 100% gar nicht/wenig intensiv mittelmäßig intensiv intensiv/sehr intensiv MW 3,1 n=267 4233 25 320 3  Empirische Analyse des Risikomanagements im Konzern werden. Dies gilt ebenso für die Diversifikations- und die Internationalisierungsstrategie, bei denen keine signifikanten Korrelationen zur Intensität der risikoorientierten Geschäftsportfoliooptimierung nachzuweisen sind. Eine Erklärung hierfür könnte darin liegen, dass Diversifikations- und Internationalisierungsstrategien von den Konzernen primär unter dem Ziel des Wachstums und der damit einhergehenden Erschließung von Ertragspotenzialen verfolgt werden und der Risikoausgleich im Geschäftsportfolio demgegenüber eine untergeordnete Bedeutung hat. Insofern stehen die Befunde in Einklang mit den Ergebnissen einer Studie von Bühner, die signalisieren, dass die Auslandsdiversifikation deutscher Unternehmen primär eine Strategie der Ertragssteigerung und nur nachrangig eine der Risikoreduktion ist.1 3.3.3.1.2 Auslagerung von Risiken in rechtlich selbstständige Einheiten Eine zweite konzernspezifische Maßnahme zur Risikosteuerung ist die Auslagerung riskanter Geschäfte in rechtlich selbstständige Konzerngesellschaften mit beschränkter Haftung. Diese Maßnahme stützt sich auf das bei Kapitalgesellschaften geltende Trennungsprinzip, nach dem für die Verpflichtungen der Gesellschaft nur deren eigenes Vermögen, nicht aber jenes der Gesellschafter haftet.2 In der Literatur wird vermutet, dass diese Haftungsseparation ein wichtiges Motiv für die Konzernbildung ist.3 Gleichwohl liegen bisher keine Befunde auf breiter empirischer Basis darüber vor, in welchem Maße die Haftungsseparation zur Risikosteuerung im Konzern eingesetzt wird. Die Respondenten wurden daher gebeten, auf einer fünfstufigen Ratingskala die Intensität zu beurteilen, mit der riskante Geschäfte und damit die mit ihnen verbundenen Risiken in rechtlich selbstständige Einheiten ausgelagert werden (vgl. Frage A.3.7). Wie aus Abb. 3.3–29 ersichtlich, wird von der Möglichkeit zur Risikoauslagerung durchschnittlich nur mit geringer Intensität Gebrauch gemacht (arithmetischer Mittelwert = 2,1). Fast die Hälfte der Respondenten gab an, dass diese Maßnahme in ihrem Konzern gar nicht verfolgt wird. Bezieht man die Konzerne mit ein, die diese Maßnahme wenig intensiv einsetzen, zeigt sich, dass die Auslagerung von Risiken in rechtlich selbstständige Einheiten bei fast zwei Dritteln der Konzerne keine bzw. nur eine zu vernachlässigende Bedeutung hat. Auf der anderen Seite gaben 19% der Konzerne an, diese Maßnahme (sehr) intensiv zu ergreifen. Auf Nachfrage wurde in den Interviews vor allem die Isolierung von Haftungsrisiken als Motiv für die Auslagerung genannt. Ein Konzern erwähnte beispielsweise, dass bei der Herstellung von Einsatzstoffen für Zigarettenfilter die Gefahr von Haftungsklagen aus den USA besteht und deshalb für dieses Geschäft eine eigene rechtliche Einheit gegründet wurde. Als weitere Beispiele für den Einsatz der Haftungsseparation wurden die Erschließung neuer Märkte, der Aufbau neuer Geschäftsfelder und risikoreiche Forschungsprojekte angeführt. Insgesamt deuten die Untersuchungsbefunde somit darauf hin, dass die Haf- 1 Vgl. Bühner (1985), S. 1028. 2 Vgl. dazu z.B. Binder (1994a), S. 56ff.; Theisen (2000), S. 615ff. 3 Vgl. Hommelhoff (1991), S. 117. 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 321 tungsseparation eher selektiv zur Risikosteuerung eingesetzt wird, sich also auf konkrete Einzelfälle beschränkt. Diese Schlussfolgerung ist jedoch insofern einzuschränken, als das Antwortverhalten bei dieser Frage möglicherweise verzerrt sein könnte, um den Eindruck einer missbräuchlichen Nutzung der Haftungsseparation zu vermeiden. Da die Haftungsseparation durch den Abschluss von Beherrschungs- und Gewinnabführungsverträgen durchbrochen wird, kann vermutet werden, dass in Vertragskonzernen bzw. bei Abschluss von Gewinnabführungsverträgen von der Auslagerung riskanter Geschäfte in rechtlich selbstständige Gesellschaften weniger intensiv Gebrauch gemacht wird. Es ist daher folgender Zusammenhang zu testen: H45: Je höher der Anteil vertraglicher Konzernbeziehungen, desto weniger intensiv werden riskante Geschäfte in rechtlich selbstständige Beteiligungsgesellschaften mit beschränkter Haftung ausgelagert. Abb. 3.3–29: Auslagerung von Risiken in rechtlich selbstständige Einheiten Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Anteil Beherrschungsverträge 27,0 < 27,0 83 177 2,12 2,10 0,143 0,886 Auslagerung von Risiken 0,044 0,478 Anteil Gewinnabführungsverträge 36,6 < 36,6 99 153 2,18 2,02 0,987 0,324 Auslagerung von Risiken 0,015 0,813 Tab. 3.3–55: Abhängigkeit der Auslagerung von Risiken von Unternehmensverträgen Auslagerung riskanter Geschäfte in rechtlich selbständige Einheiten 0% 20% 40% 60% 80% 100% gar nicht/wenig intensiv mittelmäßig intensiv intensiv/sehr intensiv MW 2,1 n=271 1964 17 322 3  Empirische Analyse des Risikomanagements im Konzern Die empirischen Befunde bestätigen den vermuteten Zusammenhang nicht. Weder der Anteil der Beherrschungsverträge noch jener der Gewinnabführungsverträge korreliert signifikant negativ mit der Intensität der Auslagerung von riskanten Geschäften (vgl. Tab. 3.3–55). Ebenso liefern die t-Tests keine Unterstützung für die Hypothese H45, die daher zurückzuweisen ist. Ein Grund für den nicht bestätigten Zusammenhang könnte darin liegen, dass die betrachtete Maßnahme wie erwähnt vorrangig in Einzelfällen ergriffen wird. Weiter wurde eine Abhängigkeit der betrachteten Maßnahme von der Branche vermutet, da sich die Haftungsseparation vor allem bei innovativen Projekten anbietet. Es wurde folgende Hypothese aufgestellt: H46: Die Auslagerung riskanter Geschäfte in rechtlich selbstständige Beteiligungsgesellschaften mit beschränkter Haftung wird in verschiedenen Branchen unterschiedlich intensiv verfolgt. Die nach Branchen differenzierte Datenauswertung offenbart wie vermutet Unterschiede in der Intensität, mit der Risiken unter Ausnutzung der Haftungsseparation in rechtlich selbstständige Einheiten ausgegliedert werden (vgl. Tab. 3.3–56). Allerdings zeigt eine einfaktorielle Varianzanalyse, dass die Unterschiede statistisch nicht signifikant sind (p=0,365). Dies mag zum einen in der geringen Anzahl an Konzernen in einigen Branchen begründet liegen. Zum anderen ist die gewählte Brancheneinteilung möglicherweise zu grob, um Unterschiede deutlich zu machen.1 Es kann daher nur mit der gebotenen Vorsicht fest- Branche n MW SA Branche n MW SA Energie/Wasser/ Bergbau 6 2,17 1,33 Groß-/Einzelhandel 18 1,83 1,15 Holz/Papier/Druck 10 2,60 1,35 Verkehr/Nachrichtentechnik 14 1,86 1,23 Chemie/Pharma 27 2,30 1,38 Grundstücks-/ Wohnungswesen 9 2,67 1,41 Steine/Erden/Glas 7 2,29 1,11 Datenverarbeitung 30 1,97 1,27 Metallerzeugung/ -verarbeitung 12 1,58 1,16 Sonstige Dienstleistungsuntern. 52 2,29 1,32 Elektro-/Elektronikindustrie 36 2,31 1,39 Sonstige Industrieunternehmen 22 1,73 0,94 Maschinen-/ Fahrzeugbau 28 1,82 1,19 Gesamt 271 2,10 1,27 Tab. 3.3–56: Intensität der Auslagerung von Risiken nach Branchen 1 Eine weitere Aufgliederung der Branchen hätte jedoch zur Folge, dass die Anzahl der Konzerne je Klasse noch kleiner wird und daher kaum verallgemeinernde Aussagen möglich sind. 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 323 gestellt werden, dass die betrachtete Maßnahme in den Sektoren Grundstücksund Wohnungswesen, Holz/Papier/Druck, Elektro/Elektronik sowie Chemie/ Pharma überdurchschnittlich und in den Wirtschaftszweigen Metallerzeugung/ -verarbeitung, Maschinen-/Fahrzeugbau sowie Handel eher unterdurchschnittlich verfolgt wird. 3.3.3.1.3 Gründung konzerneigener Versicherungsgesellschaften Die Gründung konzerneigener Versicherungsgesellschaften, sog. Captives, stellt eine Maßnahme dar, die darauf abzielt, Risiken entweder selbst zu tragen oder auf andere Versicherungsunternehmen zu überwälzen. Bei Letzterem werden im Vergleich zur unmittelbaren Inanspruchnahme des Versicherungsmarktes verschiedene wirtschaftliche Vorteile angestrebt.1 Um das Ausmaß zu erheben, in dem die befragten Konzerne Captives gründen und Risiken bei diesen versichern, wurden die Respondenten wiederum um eine Einschätzung auf einer fünfstufigen Ratingskala gebeten (vgl. Frage A.3.7). Die Auswertung des Rücklaufs zeigt, dass 265 von 284 Konzernen (93%), die diese Frage beantworteten, keine Risiken auf Captives überwälzen (vgl. Abb. 3.3–30). Dies dürfte darin begründet liegen, dass diese Konzerne über keine Captive verfügen. 19 Konzerne (7%) gaben demgegenüber an, Risiken mittelmäßig bis sehr intensiv auf ihre Captives zu transferieren. Es zeigt sich somit, dass nur ein kleiner Teil der börsennotierten Konzerne eine konzerneigene Versicherungsgesellschaft gegründet hat. Sofern eine solche existiert, werden Risiken aber in aller Regel umfassend bei dieser versichert. Eine Erklärung für die vorstehend aufgezeigten Befunde ist in der geringen Größe vieler Konzerne zu sehen. Da Captives als eigenständige Versicherungsunternehmen aus den übernommenen Risiken ein Kollektiv bilden müssen, das einen Risikoausgleich ermöglicht, ist die Gründung einer Captive erst ab einer 1 Vgl. dazu Abschnitt 2.3.3.1.4. Abb. 3.3–30: Versicherung von Risiken in konzerneigenen Versicherungsgesellschaften Versicherung von Risiken in einer konzerneigenen Captive 0% 20% 40% 60% 80% 100% gar nicht/wenig intensiv mittelmäßig intensiv intensiv/sehr intensiv MW 1,2 n=284 297 1 324 3  Empirische Analyse des Risikomanagements im Konzern gewissen Konzerngröße sinnvoll. Diese ist zumindest bei mittelständischen Unternehmen wohl kaum erreicht. Für den Einfluss der Konzerngröße ist dementsprechend folgender Zusammenhang zu prüfen: H47: Je größer der Konzern, desto intensiver werden Risiken in konzerneigene Versicherungsgesellschaften transferiert. Die in Tab. 3.3–57 zusammengefassten Untersuchungsergebnisse bestätigen die Hypothese auf hoch signifikantem Niveau. Die Intensität, mit der Risiken in Captives versichert werden, korreliert positiv mit der Konzerngröße (r=0,40**). Dabei zeigt die Varianzanalyse, dass es sich bei den Konzernen, die Captives nutzen, ausschließlich um Großkonzerne handelt. So verfügen die 19 Konzerne, die Risiken in Captives versichern, über durchschnittlich 90.174 Mitarbeiter. Captives sind somit bei deutschen börsennotierten Konzernen bislang vergleichsweise wenig verbreitet. In den Interviews äußerten einige Respondenten indes, dass die Gründung einer konzerneigenen Versicherungsgesellschaft derzeit erwogen wird. Doch auch wenn diese Pläne in Zukunft umgesetzt werden, dürfte die Anzahl an Captives mit deutscher Konzernmutter überschaubar bleiben, da die erforderliche kritische Größe das Wachstumspotenzial begrenzt. 3.3.3.2 Risikokontrolle Die Risikokontrolle kann als Ergebnis- und als Maßnahmenkontrolle ausgestaltet sein. Letztere knüpft unmittelbar an die im Rahmen der Risikosteuerung geplanten Maßnahmen an. Um sicherzustellen, dass diese in den Tochtergesellschaften bzw. Geschäftsbereichen vollständig umgesetzt werden, bedarf es einer Kontrolle durch die Konzernobergesellschaft. Die Respondenten wurden deshalb gefragt, wie intensiv die Umsetzung der risikopolitischen Maßnahmen nachverfolgt wird (vgl. Frage A.3.7). Die empirischen Befunde signalisieren, dass zwei Drittel der Konzerne die Umsetzung der geplanten Maßnahmen in den dezentralen Einheiten (sehr) intensiv kontrolliert (vgl. Abb. 3.3–31). Demgegenüber kontrollieren 11% der Konzerne die Maßnahmenumsetzung mit geringer Intensität oder gar nicht. Aus kontingenztheoretischer Sicht kann die Konzerngröße als eine erklärende Variable für die unterschiedliche Intensität der Maßnahmenverfolgung dienen. Abh.  Variable Unabh. Variable Varianzanalyse Korrelationsanalyse Versicherung von Risiken in Captives Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 102 80 102 1,63 1,00 1,00 19,883 0,000 0,396 0,000 Tab. 3.3–57: Abhängigkeit der Versicherung von Risiken bei Captives von der Konzerngröße 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 325 Da die Informationsasymmetrien zwischen der Konzernzentrale und den Tochtergesellschaften mit zunehmender Konzerngröße i.d.R. steigen, wächst die Gefahr eines dysfunktionalen Verhaltens der dezentralen Einheiten. Eine systematische Risikokontrolle wird damit umso wichtiger. Deshalb wurde folgende Hypothese abgeleitet: H48: Je größer der Konzern, desto intensiver wird die Umsetzung von geplanten risikopolitischen Maßnahmen dezentraler Einheiten kontrolliert. Die empirischen Daten bestätigen den vermuteten Zusammenhang (Tab. 3.3– 58). Der Korrelationskoeffizient von r=0,16 deutet allerdings auf eine nur schwach ausgeprägte Beziehung hin. Da aber die Varianzanalyse ebenfalls hoch signifikante Unterschiede bei der durchschnittlichen Kontrollintensität zwischen den drei Größenklassen belegt, kann Hypothese H48 als schwach bestätigt gelten. Die nur geringe Stärke der Korrelation könnte möglicherweise darauf zurückzuführen sein, dass die Kontrollintensität auch von der allgemeinen Risikolage oder der Bedeutung der jeweiligen Maßnahme abhängt. Abb. 3.3–31: Risikokontrolle Abh.  Variable Unabh. Variable Varianzanalyse Korrelationsanalyse Risikokontrolle Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 104 80 100 4,03 3,75 3,61 4,931 0,008 0,156 0,008 Tab. 3.3–58: Abhängigkeit der Risikokontrolle von der Konzerngröße Kontrolle der Maßnahmenumsetzung in dezentralen Konzerneinheiten 0% 20% 40% 60% 80% 100% gar nicht/wenig intensiv mittelmäßig intensiv intensiv/sehr intensiv MW 3,8 n=284 6711 22 326 3  Empirische Analyse des Risikomanagements im Konzern 3.3.4 Interne Überwachung des Risikomanagements im Konzern Neben der in den vorangehenden Abschnitten betrachteten Risikofrüherkennung und Risikobewältigung stellt deren interne Überwachung das dritte Subsystem des Risikomanagements dar. Hierbei lassen sich mit der prozessintegrierten und der prozessunabhängigen Überwachung zwei sich gegenseitig ergänzende Überwachungsformen differenzieren. Nachfolgend werden zunächst die empirischen Befunde zur prozessintegrierten Überwachung präsentiert und diskutiert, bevor anschließend auf die prozessunabhängige Überwachung durch die interne Revision und konzerninterne Aufsichtsräte eingegangen wird. 3.3.4.1 Prozessintegrierte Überwachung des Risikomanagements Die prozessintegrierte Überwachung zeichnet sich allgemein dadurch aus, dass ihre Mechanismen Bestandteil des zu überwachenden Systems sind. Hierbei werden organisatorische Sicherungsmaßnahmen und interne Kontrollen differenziert, die sich auch zur Überwachung des Risikomanagementsystems im Konzern einsetzen lassen. Um die Ausprägung der prozessintegrierten Überwachung des Risikomanagements empirisch zu erheben, wurden die Respondenten in der vorliegenden Studie um eine Beurteilung gebeten, wie intensiv das Risikomanagementsystem in ihrem Konzern durch Sicherungsmaßnahmen und Kontrollen überwacht wird (vgl. Frage A.4.1). Da es sich bei der internen Überwachung um ein klassisches Aufgabengebiet der internen Revision handelt, wurde diese ebenfalls um eine diesbezügliche Einschätzung gebeten (vgl. Frage B.3.1). In beiden Fällen wurde neben drei vorgegebenen prozessintegrierten Überwachungsmechanismen (Konzernrichtlinien, internen Kontrollen, Self-Audits) eine offene Antwortkategorie angeboten, um weitere Überwachungsmaßnahmen zu erfassen. In Abb. 3.3–32 sind die empirischen Befunde aus der Befragung der Risikomanagement-Koordinatoren dargestellt. Danach nutzen mehr als die Hälfte der Konzerne Richtlinien zu risikorelevanten Themen intensiv oder sehr intensiv, um die Funktionsfähigkeit des Risikomanagementsystems im Konzern sicherzustellen. Umgekehrt setzen aber auch 24% der Konzerne diese organisatorische Sicherungsmaßnahme nur wenig intensiv oder gar nicht ein. Die durchschnittliche Einsatzintensität – gemessen auf einer Ratingskala mit der Maximalausprägung von 5 (= sehr intensiv) – beträgt 3,5. Im Vergleich dazu werden interne Kontrollen (z.B. zur Einhaltung von Terminen und Meldegrenzen) im Durchschnitt geringfügig intensiver zur Überwachung des Risikomanagements verwendet. Die durchschnittliche Intensität beträgt hier 3,8. Dabei machen 65% der Konzerne (sehr) intensiv von in das Risikomanagementsystem integrierten Kontrollen Gebrauch. Self-Audits, also eigenverantwortliche Prüfungen des Risikomanagements anhand von vorgegebenen Standards durch die am Prozess beteiligten Entscheidungsträger, finden dagegen in der Konzernpraxis kaum statt (durchschnittliche Einsatzintensität 1,4). Nur 7% der Konzerne setzen diese Maßnahme 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 327 intensiv oder sehr intensiv ein. Dabei erfolgen Self-Audits, wie Respondenten in den Interviews erläuterten, z.B. einmal jährlich im Rahmen der Risikoinventur oder als integraler Bestandteil der Qualitätsmanagement-Audits. In der offenen Kategorie „sonstige“ wurden von zwei Respondenten „Peer Reviews“ genannt. Hierbei prüfen Risikomanagement-Koordinatoren aus Tochtergesellschaften sich gegenseitig in Bezug auf die Umsetzung des Risikomanagements. Da die Risikomanagement-Koordinatoren in den Risikomanagementprozess eingebunden sind, handelt es sich um eine Form der prozessintegrierten Überwachung. Sie ermöglicht einen Erfahrungsaustausch zwischen den dezentralen Einheiten und erscheint vor allem dann sinnvoll, wenn eine interne Revision aus Wirtschaftlichkeitsgründen nicht institutionalisiert ist. Weiterhin wurden in der offenen Antwortkategorie Führungsgespräche vor Ort und Prüfungen durch die Konzernrevision erwähnt. Letztere sind jedoch der prozessunabhängigen Überwachung zuzuordnen. Sie bleiben daher, wie auch die vereinzelten anderen Nennungen, bei der weiteren Auswertung unberücksichtigt. Da zur Intensität der prozessintegrierten Überwachung nicht nur der jeweilige Risikomanagement-Koordinator, sondern auch die Konzernrevision befragt wurde, liegen für einen Teil der Stichprobe zwei voneinander unabhängige Einschätzungen zu diesem Gestaltungsparameter vor.1 Ein Vergleich der Beurteilungen zeigt, dass die Risikomanagement-Koordinatoren die Intensität der Überwachung des Risikomanagements durch organisatorische Sicherungsmaßnahmen (z.B. Konzernrichtlinien) und interne Kontrollen im Durchschnitt leicht Abb. 3.3–32: Prozessintegrierte Überwachung des Risikomanagementsystems 1 Insgesamt konnten zu diesem Teilaspekt 44 parallele Beurteilungen gewonnen werden. Diese im Vergleich zur Gesamtstudie geringere empirische Basis erklärt sich zum einen dadurch, dass nicht alle antwortenden Konzerne über eine Konzernrevision verfügen. Zum anderen liegt bei einigen Konzernen eine Personalunion zwischen Konzernrevision und Risikomanagement-Koordinator vor, so dass keine zweite Beurteilung möglich war. 0% 20% 40% 60% 80% 100% gar nicht/wenig intensiv mittelmäßig intensiv intensiv/sehr intensiv MW 3,5 In das Risikomanagementsystem integrierte Kontrollen Self-Audits des Risikomanagementsystems 52 65 789 15 2424 20 4 3,8 1,4 Konzernrichtlinien zu risikorelevanten Themen 328 3  Empirische Analyse des Risikomanagements im Konzern höher einschätzen als die Konzernrevision. Gleichwohl sind die Unterschiede statistisch nicht signifikant (vgl. Tab. 3.3–59). Ferner wird die Nutzung von Self- Audits von beiden Parteien als im Durchschnitt gleich intensiv beurteilt. In einer Gesamtschau ist daher festzuhalten, dass die Beurteilung durch die Risikomanagement-Koordinatoren durch die unabhängige Zweiteinschätzung bestätigt wird. Einen differenzierteren Einblick in die prozessintegrierte Überwachung des Risikomanagements bietet eine kontextuelle Relativierung. Diesbezüglich war im Rahmen der theoretischen Vorüberlegungen vermutet worden, dass die Intensität der prozessintegrierten Überwachung mit steigender Konzerngröße zunimmt, da die interne Überwachung des Risikomanagements aufgrund der grö- ßeren Distanz zwischen der Konzernmutter und den dezentralen Einheiten wächst. Es gilt daher folgende Hypothese zu prüfen: H49: Je größer der Konzern, desto intensiver erfolgt eine prozessintegrierte Überwachung des Risikomanagementsystems. Um den prognostizierten Zusammenhang zu prüfen, wurde zunächst aus den drei Variablen ein Gesamtindex der prozessintegrierten Überwachung gebildet. Dieser berechnet sich als einfacher arithmetischer Mittelwert der drei Intensin=44 RMS‐Ko‐ ordinator Konzern‐ revision t‐Wert Sig. Korrela‐ tion Sig. Konzernrichtlinien zu risikorelevanten Themen 4,34 4,09 1,858 0,070 0,391 0,009 In das Risikomanagementsystem integrierte Kontrollen 4,23 4,02 1,198 0,237 0,355 0,018 Self-Audits des Risikomanagementsystems 1,75 1,75 0,000 1,000 0,427 0,004 Tab. 3.3–59: Prozessintegrierte Überwachung des Risikomanagements –  Vergleich der Beurteilung durch RMS‐Koordinator und Konzernrevision Abh.  Variable Unabh. Variable Varianzanalyse Korrelationsanalyse Intensität der prozessintegrierten Überwachung Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 105 80 104 3,30 2,73 2,55 26,611 0,000 0,446 0,000 Tab. 3.3–60: Abhängigkeit der Intensität der prozessintegrierten  Überwachung von der Konzerngröße 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 329 tätseinschätzungen und weist einen durchschnittlichen Wert von 2,9 auf (Standardabweichung s=0,84). Der Gesamtindex korreliert hoch signifikant positiv mit der Anzahl der Mitarbeiter als Maß für die Konzerngröße (r=0,45**). Ebenso zeigt die Varianzanalyse deutliche Unterschiede in der durchschnittlichen Intensität der prozessintegrierten Überwachung zwischen den drei Größenklassen (vgl. Tab. 3.3–60). Die Hypothese H49 kann folglich als bestätigt gelten. Weiterhin ist eine unterschiedliche Intensität der prozessintegrierten Überwachung in Abhängigkeit von der Umweltdynamik zu vermuten. Eine hohe Dynamik erfordert dabei aufgrund der höheren Unsicherheit eine entsprechend intensivere Überwachung des Risikomanagementsystems. Konkret wird folgender Zusammenhang erwartet: H50: Je höher die Umweltdynamik, desto intensiver erfolgt eine prozessintegrierte Überwachung des Risikomanagementsystems. Die empirischen Befunde bekräftigen die Hypothese (vgl. Tab. 3.3–61). Gleichwohl ist die hoch signifikante Korrelation zwischen beiden Variablen nur sehr schwach ausgeprägt (r=0,18**). Da aber der Mittelwertvergleich die Hypothese ebenfalls stützt, soll diese nicht zurückgewiesen, sondern als eingeschränkt bestätigt gelten. Es bleibt jedoch festzuhalten, dass die Umweltdynamik weniger stark mit der prozessintegrierten Überwachung des Risikomanagements korreliert als die Konzerngröße. 3.3.4.2 Prozessunabhängige Überwachung des Risikomanagements Das Risikomanagementsystem im Konzern kann nicht nur durch die vorstehend diskutierten prozessintegrierten Maßnahmen, sondern auch prozessunabhängig durch spezifische Akteure überwacht werden. Hierbei kommen zum einen die Konzernrevision und zum anderen konzerninterne Aufsichtsräte in den Tochtergesellschaften in Betracht. Die empirischen Befunde zu beiden Formen der prozessunabhängigen Überwachung des Risikomanagements werden nachfolgend dargestellt. Unabhängige  Variable Trenn‐ krite‐ rium  (MW) t‐Test Korrelations‐analyse n MW t-Wert Signifikanz des t-Wertes Abhängige Variable Korrelationskoeffizient Signifikanz Dynamik der Umwelt 4,7 < 4,7 136 153 2,98 2,78 2,045 0,042 Intensität der prozessintegr. Überwachung 0,175 0,003 Tab. 3.3–61: Abhängigkeit der prozessintegrierten Überwachung von der Umweltdynamik 330 3  Empirische Analyse des Risikomanagements im Konzern 3.3.4.2.1 Überwachung durch die Konzernrevision 3.3.4.2.1.1 Interne Prüfung des Risikomanagementsystems In der Literatur wird der internen Revision eine zentrale Rolle im Risikomanagement zugesprochen.1 Als neutrale, unabhängige Instanz ist sie dazu prädestiniert, die Funktionsfähigkeit des Risikomanagementsystems intern zu prüfen. Die Einrichtung einer Revisionseinheit ist jedoch gesetzlich nicht zwingend. Vielmehr liegt es im Ermessen des Vorstands, wie er der aus § 91 Abs. 2 AktG resultierenden Überwachungspflicht nachkommt. Vor diesem Hintergrund wurde im Rahmen der empirischen Studie danach gefragt, ob das Risikomanagementsystem durch die interne Revision geprüft wird (vgl. Frage A.4.2). Für den positiven Fall wurden drei verschiedene, sich nicht gegenseitig ausschließende Organisationsformen vorgegeben (zentrale Revision in der Konzernmutter, dezentrale Revisionsstellen/-abteilungen in den Tochtergesellschaften, rechtlich selbstständige Revisionsgesellschaft). Sofern keine Prüfung des Risikomanagementsystems erfolgt, konnte angegeben werden, ob eine solche geplant ist, oder ob diese vom Vorstand selbst, von anderen Abteilungen oder nur vom Wirtschaftsprüfer bzw. sonstigen Personen wahrgenommen wird. Die Untersuchungsergebnisse zeigen, dass 86 der 290 Konzerne (30%) ihr Risikomanagementsystem durch die Konzernrevision prüfen lassen. Weitere 28 Respondenten gaben an, dass eine solche Prüfung für die Zukunft geplant ist. Von den 204 Konzernen, deren Risikomanagementsystem bislang nicht durch die interne Revision geprüft wird, lassen 50 Konzerne (25%) ihr Risikomanagementsystem nur durch den Abschlussprüfer prüfen (vgl. Tab. 3.3–62). Die übrigen 154 Konzerne betrauen oftmals andere Abteilungen mit der Prüfung. Häufig nimmt auch der Vorstand selbst die Prüfung des Risikomanagementsystems wahr. In 55 Konzernen wird die Prüfung gemeinsam vom Vorstand und 1 Vgl. hierzu Abschnitt 2.3.4.2.1.1 sowie Amling/Bischof  (1999), S. 59, und Heinhold/Wot‐ schofsky (2002), Sp. 1221. Prüfung durch … n % Prüfung durch … n % Zentrale Revision der Konzernmutter 81 94 interne Revision geplant 28 14 Dezentrale Revision in Tochtergesellschaften 11 13 Vorstand selbst 92 45 Konzerneigene Revisionsgesellschaft 3 3 andere Abteilungen (z.B. Controlling) 119 58 externe Dienstleister 2 1 nur Wirtschaftsprüfer 50 25 Basis 86 100 Basis 204 100 Tab. 3.3–62: Interne Prüfung des Risikomanagementsystems (Mehrfachnennungen möglich) 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 331 anderen Abteilungen durchgeführt. Nur in Ausnahmefällen werden externe Dienstleister mit einer internen Prüfung des Risikomanagementsystems beauftragt. Ein näherer Blick auf die 86 Konzerne, in denen das Risikomanagementsystem durch die interne Revision geprüft wird, offenbart, dass die Prüfung zumeist durch die zentrale Revision der Konzernmutter erfolgt. Dies ist in 73 der 86 Konzerne (85%) der Fall. In acht Konzernen (9%) wird die Prüfung gemeinsam von zentraler und dezentraler Revision durchgeführt. Nur vereinzelt wird diese Aufgabe einer konzerneigenen Revisionsgesellschaft oder allein dezentralen Revisionseinheiten übertragen. Dies dürfte darin begründet liegen, dass konzerneigene Revisionsgesellschaften nur selten existieren bzw. die Revisionsfunktion im Konzern meist zentralisiert ist.1 Die vorstehenden Befunde dokumentieren insgesamt eine Vielfalt unterschiedlicher Ansätze zur internen Prüfung des Risikomanagementsystems. Kritisch anzumerken ist, dass bei einer Übertragung der Prüfungsaufgabe an Abteilungen, die selbst am Risikomanagementprozess beteiligt sind (z.B. das Controlling), eine prozessunabhängige, neutrale Überwachung nicht möglich ist. Fraglich ist auch, wie intensiv die Vorstände selbst das Risikomanagementsystem in der Konzernpraxis prüfen. Eine Prüfung durch die interne Revision dürfte in aller Regel tiefer gehen, da diese zum einen über spezifische Kenntnisse in der Prüfungsmethodik und zum anderen über spezielle personelle Ressourcen verfügt. Solche Ressourcen stehen aber wiederum nicht in allen Konzernen zur Verfügung. Wie die Untersuchungsergebnisse zeigen, findet eine Prüfung des Risikomanagementsystems durch die interne Revision nur bei rund einem Drittel der Konzerne statt. Es ist zu vermuten, dass es sich hierbei vor allem um größere Konzerne handelt. Dementsprechend war im Rahmen der theoretischen Vor- überlegungen folgende Hypothese formuliert worden: H51: Je größer der Konzern, desto eher erfolgt eine prozessunabhängige Überwachung des Risikomanagementsystems durch die Konzernrevision. Die empirischen Daten bestätigen die Hypothese auf hoch signifikantem Niveau ( 2 = 109,88; p=0,000). 70 der 86 Konzerne, die ihr Risikomanagementsystem intern durch die Konzernrevision prüfen lassen, gehören der Gruppe der Großkonzerne an (vgl. Tab. 3.3–63); im Durchschnitt beschäftigen diese Konzerne 40.533 Mitarbeiter. Von den Großkonzernen haben zwei Drittel die interne Revision mit der Prüfung ihres Risikomanagementsystems betraut. Die entsprechenden Anteile sind bei den mittelständischen Konzernen erheblich geringer (3% bzw. 16%). Hieran wird sich wohl auch in Zukunft wenig ändern, obgleich große mittelständische Konzerne überdurchschnittlich häufig planen, ihr Risikomanagementsystem künftig durch die Revision prüfen zu lassen. Damit wird insgesamt deutlich, dass die prozessunabhängige Überwachung des Risikomanagements durch die Konzernrevision ein Ansatz ist, der in erster Linie in Großkonzernen Anwendung findet. 1 Zur Zentralisierung der Revisionsfunktion vgl. auch die empirischen Befunde in Abschnitt 3.3.4.2.1.3 sowie Mellewigt (1995), S. 202. 332 3  Empirische Analyse des Risikomanagements im Konzern 3.3.4.2.1.2 Zur Rolle der Konzernrevision im Risikomanagement Vor dem Hintergrund der vorstehend skizzierten allgemeinen Untersuchungsbefunde wurde in einem zweiten, explorativen Teil der empirischen Studie die Rolle der Konzernrevision im Risikomanagement und insbesondere die Prüfung des Risikomanagementsystems durch die Konzernrevision detaillierter analysiert. In diesem Zusammenhang wurde zunächst die organisatorische Eingliede‐ rung der Konzernrevision erhoben. Dazu wurde im Rahmen des zweiten, an die Konzernrevision gerichteten Fragebogens nach den Revisionseinheiten und der Anzahl der dort beschäftigten Revisoren gefragt (vgl. Frage B.1.1 und B.1.2). Die Auswertung der insgesamt 53 vorliegenden Antworten gibt diesbezüglich folgendes Bild:1 • 52 Konzerne verfügen über eine zentrale Revision in der Konzernobergesellschaft; • 13 dieser Konzerne (25%) verfügen zudem über dezentrale Revisionseinheiten in den Tochtergesellschaften; • in zwei Konzernen existieren rechtlich selbstständige Revisionsgesellschaften; in einem Fall ersetzt eine solche die zentrale Revision, in dem anderen ergänzt sie diese. Die zentrale Revision ist in 68% der Konzerne dem Vorstandsvorsitzenden unterstellt und damit hierarchisch hoch eingegliedert. In 18% der Konzerne untersteht die interne Revision dem Finanzvorstand, in 6% dem Gesamtvorstand, in 8% einem sonstigen Vorstandsmitglied. Die fachliche Weisungsbefugnis gegenüber den dezentralen Revisionseinheiten liegt in 11 von 13 Fällen bei der zentralen Konzernrevision. Dabei haben sechs Konzerne das Dotted-Line-Prinzip implementiert, die dezentralen Revisionseinheiten also disziplinarisch der Leitung der Tochtergesellschaft unterstellt.2 In den übrigen fünf Konzernen untersteht die dezentrale Revision fachlich und disziplinarisch der zentralen Revision der Konzernmutter. Diese organisatorische Gesamt KMK GMK GRK Prüfung durch die Konzernrevision 86 30% 3 3% 13 16% 70 66% Prüfung durch die Konzernrevision geplant 28 10% 6 6% 12 15% 10 9% Stichprobenbasis 290 100% 104 100% 80 100% 106 100% Tab. 3.3–63: Interne Prüfung des Risikomanagementsystems  in Abhängigkeit von der Konzerngröße 1 Für den zweiten Teil der Studie konnten, wie in Abschnitt 1.5.2.5 erläutert, nur 71 der 86 Konzerne um Mitwirkung gebeten werden. Von diesen beteiligten sich 53 Konzerne, deren Antworten die Datenbasis für diesen Teilbereich der Untersuchung bilden. 2 Vgl. zu dieser organisatorischen Lösung auch Amling/Bischof (1999), S. 60. 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 333 Eingliederung zeigt, dass die Entscheidungskompetenzen und Aufgaben der internen Revision im Konzern i.d.R. stark zentralisiert sind. Nur zwei Konzerne haben die dezentrale Revision dagegen fachlich und disziplinarisch der Leitung der Tochtergesellschaft unterstellt. Einen Einblick in den Stellenwert der internen Revision in den befragten Konzernen kann die Größe der Revisionseinheiten geben. Diese wurde anhand der Anzahl der dort tätigen Revisoren erhoben (vgl. Frage B.1.2). Danach sind im Durchschnitt in der zentralen Revision der Konzernmutter 11,4, in den dezentralen Revisionseinheiten 45,9 und in den Revisionsgesellschaften 72,5 Revisoren beschäftigt. Zwischen den Revisionseinheiten der Konzerne bestehen indes erhebliche Unterschiede. Die Anzahl der zentralen Revisoren schwankt zwischen 1 und 120 (Standardabweichung s=19,4) und der dezentralen Revisoren zwischen 1 und 250 (Standardabweichung s=69,2). Bemerkenswert ist weiter, dass 50% der zentralen Revisionseinheiten in den befragten Konzernen mit bis zu drei Revisoren besetzt sind. Vielfach handelt es sich folglich um kleine Abteilungen. Ausgehend von dieser institutionellen Verankerung wurden die Respondenten nach der Rolle  der  internen  Revision  im  Risikomanagement befragt. Dabei wurde für vier Aufgabenfelder jeweils zwischen Nicht-Beteiligung, Beratung/ Mitwirkung und hauptverantwortlicher Aufgabe differenziert. Die Auswertung der Befunde zeigt, dass die interne Revision über die Prüfung des Risikomanagementsystems hinaus oftmals auch weitere Aufgaben im Zusammenhang mit dem Risikomanagement wahrnimmt (vgl. Abb. 3.3–33). Sie wirkt(e) bei 72% der Konzerne an der Konzeption/Weiterentwicklung des Risikomanagementsystems mit. Zudem war die interne Revision bei 42% der Konzerne an der Implementierung des Risikomanagementsystems beratend beteiligt oder wirkte aktiv mit. Bei 38% der Konzerne ist dies ebenfalls bei der Koordination des eingeführten Risikomanagementsystems der Fall. In einigen Konzernen (11%) stellen diese drei Aufgabenfelder auch Hauptaufgaben der internen Revision dar. Dies ist insofern kritisch zu werten, als in diesen Fällen die prozessunabhängige Stellung der Revision aufgegeben wird. Abb. 3.3–33: Rolle der internen Revision im Risikomanagement Konzeption und Weiterentwicklung 0% 20% 40% 60% 80% 100% nicht beteiligt Beratung/Mitwirkung Hauptverantwortung laufende Betreuung/Koordination Prüfung 11 11 94 51 7217 38 6 Implementierung 114247 n=53 334 3  Empirische Analyse des Risikomanagements im Konzern In fast allen Konzernen stellt, wie zu erwarten, die Prüfung des Risikomanage‐ mentsystems eine Hauptaufgabe der internen Revision im Risikomanagement dar. Um die Erfahrung der internen Revision auf diesem Gebiet zu erheben, wurden die Respondenten um die Angabe des Jahres gebeten, in dem das Risikomanagementsystem erstmalig durch die interne Revision geprüft wurde (vgl. Frage B.2.6). Die Befunde signalisieren, dass in den meisten Konzernen eine interne Prüfung des Risikomanagementsystems erstmalig im Zeitraum zwischen dem Jahr 2000 und 2002 stattfand (vgl. Abb. 3.3–34). Im Durchschnitt wurde die erste Prüfung zwei Jahre nach der Einführung des Risikomanagementsystems durchgeführt; das Spektrum im Zeitabstand zwischen Einführung und erstmaliger Prüfung des Risikomanagementsystems reicht dabei von null bis sechs Jahren. Insgesamt verdeutlichen diese Untersuchungsergebnisse, dass es sich bei der Prüfung des Risikomanagementsystems durch die interne Revision um ein relativ neues Aufgabengebiet handelt, bei dem folglich erst geringe Erfahrungen in der Revisionspraxis vorliegen. Als Indikator für den Stellenwert dieses neuen Aufgabengebietes kann der Anteil der Personalressourcen dienen, der für die Prüfung des Risikomanagementsystems eingesetzt wird. Die Respondenten wurden daher gebeten, diesen Anteil zu schätzen (vgl. Frage B.2.10). Danach beträgt der Anteil im Durchschnitt 11,3% der Personalkapazität, wobei zwischen den Konzernen teilweise erhebliche Unterschiede zu beobachten sind (s=9,98; Minimum 1%, Maximum 50%). Einige Respondenten wiesen in den Interviews auf die Belastung mit anderen Prüfungsthemen hin (z.B. Vorgaben des Sarbanes-Oxley Acts, Umstellung der Rechnungslegung auf IFRS), die eine intensivere Prüfung des Risikomanagementsystems nicht zulasse. Insgesamt ist jedoch zu konstatieren, dass die Prüfung des Risikomanagementsystems im Allgemeinen einen signifikanten Bestandteil der Kapazitäten der internen Revision beansprucht. Abb. 3.3–34: Jahr der erstmaligen Prüfung des Risikomanagementsystems 1 3 11 11 11 3 2 0 2 4 6 8 10 12 1998 1999 2000 2001 2002 2003 2004 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 335 Schließlich wurde danach gefragt, ob eine Konzernrichtlinie zur internen Prüfung des Risikomanagementsystems existiert (vgl. Frage B.2.11). Die Befunde zeigen, dass 60% der Konzerne die interne Prüfung des Risikomanagementsystems in einer Richtlinie geregelt haben, wobei die eine Hälfte davon eine eigenständige Richtlinie entwickelt und die andere Hälfte die Thematik in die allgemeine Revisionsrichtlinie integriert hat. Damit ist die Prüfung des Risikomanagementsystems durch die interne Revision in der überwiegenden Zahl der Konzerne auch Bestandteil der dauerhaften organisatorischen Regelungen. 3.3.4.2.1.3 Einzelaspekte der Prüfung des Risikomanagementsystems Nachdem in den vorangehenden Abschnitten empirische Befunde zur Rolle der internen Revision im Risikomanagement im Mittelpunkt standen, werden im Folgenden einige spezifische Aspekte der Prüfung von Risikomanagementsystemen durch die interne Revision näher beleuchtet. Der Problemstellung der Arbeit entsprechend wird dabei eine konzernspezifische Perspektive zu Grunde gelegt. (1) Kreis der geprüften Konzerngesellschaften Bei der Abgrenzung des Kreises der in das konzernweite Risikomanagementsystem integrierten Gesellschaften wurde zwischen in- und ausländischen Tochterunternehmen, Gemeinschaftsunternehmen sowie assoziierten Unternehmen differenziert.1 Analog stellt sich nunmehr die Frage, bei welchen dieser Gesellschaften das Risikomanagementsystem durch die Konzernrevision geprüft wird. Die Respondenten wurden dementsprechend gebeten, die relativen Anteile zu schätzen (vgl. Frage B.2.2). Wie aus Tab. 3.3–64 ersichtlich, prüft die Konzernrevision im Durchschnitt 72% der inländischen und 65% der ausländischen Tochtergesellschaften. Seltener wird dagegen das Risikomanagementsystem bei Gemeinschaftsunternehmen (29%) und assoziierten Unternehmen (4%) durch die Konzernrevision geprüft. Letztere werden nur in Sonderfällen in die Prüfung einbezogen. Ein Vergleich dieser Befunde mit den Anteilen der Konzerngesellschaften, die in das konzernweite Risikomanagementsystem integriert sind, offenbart, dass nicht alle integrierten Gesellschaften auch von der Konzernrevision geprüft werden. So sind die durchschnittlichen Anteile der geprüften Gesellschaften durchweg kleiner als jene der integrierten Gesellschaften. Als Grund hierfür wurde in den Interviews häufig die Fokussierung der Prüfungstätigkeit entsprechend dem Risikopotenzial angeführt. 1 Vgl. hierzu Abschnitt 3.3.1.3.1. In% Prüfung des RMS Integration in das RMS Inländische Tochtergesellschaften 72 95 Ausländische Tochtergesellschaften 65 83 Gemeinschaftsunternehmen 29 46 Assoziierte Unternehmen 4 11 Tab. 3.3–64: Interne Prüfung des Risikomanagementsystems in Konzerngesellschaften 336 3  Empirische Analyse des Risikomanagements im Konzern Ein weiterer Grund könnte in der fehlenden rechtlichen Grundlage für die Prüfung des Risikomanagementsystems in den Konzerngesellschaften liegen, denn ein gesetzliches Prüfungsrecht der Konzernmutter gegenüber den Tochterunternehmen oder anderen Konzerngesellschaften existiert im deutschen Recht nicht.1 Aus diesem Grunde wurde weiter danach gefragt, wie häufig die Prüfung ausschließlich auf faktischem Einfluss, auf einem Beherrschungsvertrag oder auf besonderen Vereinbarungen in der Satzung oder im Gesellschaftsvertrag der zu prüfenden Gesellschaft beruht (vgl. Frage B.2.4). Die Untersuchungsergebnisse zeigen, dass der faktische Einfluss der Konzernobergesellschaft bei weitem die häufigste Grundlage für die Prüfung der Konzernrevision in einem anderen Konzernunternehmen bildet. 94% der Konzerne stützen die Prüfungstätigkeit ihrer Revisionseinheiten (sehr) häufig auf ihren aus der Mehrheitsbeteiligung resultierenden Einfluss (vgl. Abb. 3.3–35). Das sich aus einem Beherrschungsvertrag ergebende Weisungsrecht gegenüber der abhängigen Gesellschaft stellt dagegen nur bei 35% der Konzerne eine (sehr) häufige Grundlage für die Prüfung dar. Noch seltener wird von speziellen Vereinbarungen in der Satzung oder im Gesellschaftsvertrag Gebrauch gemacht. Diese bilden nur bei 8% der Konzerne eine (sehr) häufig eingesetzte Grundlage für die Prüfung des Risikomanagementsystems in Konzerngesellschaften. Die geringe Verbreitung spezieller Vereinbarungen zur Prüfung des Risikomanagementsystems in den Konzerngesellschaften kann auf unterschiedliche Gründe zurückgeführt werden. Zum einen handelt es sich bei der Prüfung des Risikomanagementsystems um ein noch relativ neues Aufgabengebiet der internen Revision, das bei Abschluss vieler Satzungen oder Gesellschaftsverträge noch nicht zur Diskussion stand. Zum anderen erscheint aber auch der faktische Einfluss für die Durchsetzung der Prüfungsrechte in der Konzernpraxis in aller Regel hinreichend. Dies zeigt sich daran, dass viele Responden- 1 Vgl. Schoppel (1998), S. 203; Kajüter (2003a), S. 68. Abb. 3.3–35: Rechtliche Grundlage der Prüfung in Konzerngesellschaften faktischer Einfluss (Mehrheitsbeteiligung) 0% 20% 40% 60% 80% 100% nie/selten manchmal häufig/sehr häufig MW 4,7 Beherrschungsvertrag Vereinbarungen in der Satzung/ im Gesellschaftsvertrag 94 35 882 59 4 2 6 10 2,6 1,6 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 337 ten in den Interviews bemerkten, dass die Durchsetzbarkeit einer Revisionsprüfung in den Tochtergesellschaften kein praktisches Problem darstelle. Den juristischen Grenzen der Konzernleitungsmacht kommt somit nicht nur bei der Einrichtung1, sondern auch bei der internen Prüfung von Risikomanagementsystemen in der Konzernrealität kaum praktische Bedeutung zu. Lediglich bei Gemeinschaftsunternehmen erwähnten einige Respondenten die Vereinbarung allgemeiner Prüfungsrechte für die interne Revision in den Kooperationsverträgen. Schließlich scheint den rechtlichen Grundlagen der Prüfung auch deshalb wenig Beachtung geschenkt zu werden, weil die Prüfung der internen Revision ebenso wie das Risikomanagementsystem selbst vielfach nicht an den rechtlichen, sondern an den wirtschaftlichen Strukturen ausgerichtet ist. Ein Respondent bemerkte diesbezüglich: „Unser Risikomanagementsystem stellt nicht auf Gesellschaften ab. Träger der Geschäfte sind Unternehmensbereiche mit weltweiter Verantwortung. Ebenso haben Competence Center (Einkauf, IT etc.) weltweite Verantwortung. Das Risikomanagementsystem ist auf diese Verantwortungsbereiche abgestellt. Wir prüfen dementsprechend auf dieser Ebene“. Ein anderer Interviewpartner äußerte sich ähnlich und sah hierin einen Unterschied zwischen der internen und externen Prüfung des Risikomanagementsystems im Konzern. Während die interne Revision in diesem Konzern bei der Prüfung des Risikomanagements auf die wirtschaftlichen Einheiten abstellt, fokussiert der Abschlussprüfer das Risikomanagement der einzelnen rechtlich selbstständigen Gesellschaften. (2) Zentralisierung der Prüfung Sofern neben der zentralen Revision in der Konzernobergesellschaft auch dezentrale Revisionseinheiten in den Tochtergesellschaften existieren, ist zu entscheiden, von wem die Prüfung des Risikomanagementsystems durchgeführt werden soll. Damit ist die Frage der Zentralisierung bzw. Dezentralisierung von Prüfungsaufgaben angesprochen. Um die vorherrschende Praxis zu erheben, wurden die Respondenten gebeten, das Ausmaß der Aufgabenzentralisierung auf einer fünfstufigen Ratingskala zu beurteilen (vgl. Frage B.2.3). Die Skala war dabei mit den Extremwerten der völligen Zentralisierung (= 1) und völligen Dezentralisierung (= 5) verbal verankert. Der Aufgabenzentralisierungsgrad – berechnet als arithmetischer Mittelwert – beträgt 2,5 (vgl. Tab. 3.3–65). Daraus sowie aus der ebenfalls in Tab. 3.3–65 dargestellten Verteilung der Antworten wird deutlich, dass die Prüfung des Risikomanagementsystems im Konzern meistens gemeinsam von zentraler und dezentraler Revision durchgeführt wird. Ein Interviewpartner erläuterte in diesem Zusammenhang, dass die zentrale Revision die Umsetzung der Konzernvorgaben zum Risikomanagement prüft, während die dezentrale Revision die Vollständigkeit der Risikoerfassung und die Plausibilität der Risikobewertung hinterfragt.2 1 Vgl. dazu auch Abschnitt 3.3.1.3.1. 2 Da in der vorliegenden Stichprobe nur 13 Konzerne über dezentrale Revisionseinheiten verfügen, beziehen sich die Befunde in Tab. 3.3–65 nur auf eine kleine empirische Basis. 338 3  Empirische Analyse des Risikomanagements im Konzern Die Frage der Zentralisierung bzw. Dezentralisierung stellt sich nicht nur in Bezug auf die Aufgaben, sondern auch hinsichtlich der Entscheidungskompetenzen bei der Prüfung des Risikomanagementsystems. Diese können entweder in der Konzernobergesellschaft zentralisiert oder an die Tochtergesellschaften delegiert werden. Im Rahmen der empirischen Studie wurde deshalb danach gefragt, in welchem Maße den Tochtergesellschaften bei der Prüfung ihres Risikomanagementsystems Entscheidungsautonomie gewährt wird (vgl. Frage B.2.5). Die Ergebnisse signalisieren insgesamt ein hohes Maß an Entscheidungszentralisation bei allen drei Entscheidungstatbeständen (vgl. Abb. 3.3–36).1 Die Prüfungszyklen sowie die inhaltlichen Schwerpunkte und der zeitliche Ablauf der internen Prüfung des Risikomanagementsystems werden weitgehend von der Konzernmutter festgelegt. So wird die Prüfungsdurchführung zwar in einigen großen Konzernen teilweise an dezentrale Revisionseinheiten in den Tochtergesellschaften delegiert, die Entscheidungskompetenzen verbleiben jedoch überwiegend bei der Konzernmutter. Dies ist im Übrigen konform mit dem zumeist bestehenden fachlichen Weisungsrecht der zentralen Konzernrevision.2 zentral 1 2 3 4 5 dezentral MW 1 6 4 2 0 2,5 Tab. 3.3–65: Zentralisierung der Prüfungsdurchführung 1 Die Einschätzung der Revisoren bestätigt damit jene der Risikomanagement-Koordinatoren, welche die Entscheidungsautonomie der Tochtergesellschaften im Bereich der Prüfung des Risikomanagements als sehr gering beurteilten (vgl. dazu Abschnitt 3.3.1.2.1.2). Abb. 3.3–36: Entscheidungsdezentralisation der Prüfung des Risikomanagementsystems 2 Vgl. dazu Abschnitt 3.3.4.2.1.2. 0% 20% 40% 60% 80% 100% gar nicht/im geringen Maße im mittleren Maße im hohen/sehr hohen Maße MW 1,4 Prüfungsschwerpunkte Prüfungsablauf 4 2 686 82 888 16 8 1,6 1,5 Prüfungszyklen Entscheidungsautonomie der Tochterunternehmen über ... 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 339 (3) Form und Frequenz der Prüfung Weiter wurden die Form und die Frequenz der Prüfung des Risikomanagementsystems im Konzern untersucht. Grundsätzlich handelt es sich bei der Prüfung des Risikomanagementsystems um eine Systemprüfung. Dieser liegt die Prämisse zugrunde, dass funktionierende Systemabläufe zu ordnungsgemäßen Ergebnissen führen. Sofern die definierten Vorgaben zum Risikomanagementprozess eingehalten werden, kann folglich davon ausgegangen werden, dass wesentliche Risiken identifiziert, bewertet, kommuniziert und falls notwendig durch Gegenmaßnahmen bewältigt werden. Die Systemprüfung kann eine eigenständige Prüfung darstellen oder in die reguläre Prüfung der internen Revision integriert werden. In der vorliegenden Studie wurden die Respondenten gebeten, die in ihrem Konzern praktizierte Form anzugeben und den unter normalen Umständen gewählten Prüfungszyklus zu nennen (vgl. Frage B.2.7). Die Auswertung der Daten zeigt, dass • 18 Konzerne eine eigenständige Systemprüfung durchführen, • 15 Konzerne die Systemprüfung in die reguläre Prüfung integrieren und • 20 Konzerne beide Vorgehensweisen miteinander kombinieren. Insgesamt werden die verschiedenen Ansätze somit in etwa gleich häufig verfolgt. In den Interviews wiesen die Respondenten vielfach darauf hin, dass die erstmalige Prüfung eine eigenständige Systemprüfung darstellte, die Prüfung künftig aber Bestandteil der normalen Revisionstätigkeit sein soll. Häufig findet die Prüfung des Risikomanagementsystems in den einzelnen Konzerngesellschaften in unregelmäßigen Zyklen statt (vgl. Tab. 3.3–66). Damit wird der unterschiedlichen Bedeutung der Gesellschaften für die Risikolage des Konzerns Rechnung getragen. Der überwiegende Teil der Konzerne hat indes regelmäßige Prüfungszyklen definiert, wobei die jährliche Prüfung dominiert. Aufgrund der Neuartigkeit dieses Prüfungsgebietes – Prüfungen des Risikomanagementsystems durch die interne Revision wurden, wie obige Befunde dokumentieren, zumeist im Zeitraum zwischen 2000 und 2002 erstmals durchgeführt – bleibt abzuwarten, inwieweit sich die Form und Frequenz der internen Risikomanagementsystemprüfung in der Praxis etablieren. In% Unregel‐ mäßig Regelmäßig (alle) Jährlich 2 Jahre 3 Jahre 4 Jahre 5 Jahre Eigenständige Systemprüfung (n=38) 44 34 8 8 3 3 Integrierte Systemprüfung (n=35) 49 25 3 14 6 3 Tab. 3.3–66: Häufigkeit der Risikomanagementsystemprüfung im Konzern 340 3  Empirische Analyse des Risikomanagements im Konzern (4) Inhalte der Prüfung Die Prüfung des Risikomanagementsystems erstreckt sich inhaltlich auf verschiedene Teilaspekte. Hinweise auf prüfungsrelevante Fragen gibt der IIR Revisionsstandard Nr. 2. In Anlehnung daran wurde den Respondenten im Rahmen der empirischen Erhebung eine Reihe von Sachverhalten vorgelegt, die sie dahingehend beurteilen sollten, wie häufig diese bei der Prüfung des Risikomanagementsystems berücksichtigt werden (vgl. Frage B.2.8). Die in Abb. 3.3–37 zusammenfassend dargestellten Befunde verdeutlichen, dass alle genannten Teilaspekte von der überwiegenden Mehrheit der Konzerne häufig oder immer einen Gegenstand der Prüfung durch die interne Revision bilden. So werden die klare Regelung der Zuständigkeiten für das Risikomanagement, die Vollständigkeit und Aktualität der Dokumentation sowie die Ordnungsmäßigkeit der Systemabläufe von mehr als 80% der Konzerne (fast) immer geprüft. Besonderes Augenmerk erhält ferner die Vollständigkeit der Risikoerfassung, die bei fast 90% der Konzerne regelmäßig durch die interne Revision überprüft wird. Etwas weniger häufig wird die Risikobewertung hinterfragt. In den Interviews erläuterten die Respondenten, dass sie hierzu stichprobenartige Plausibilitätsprüfungen durchführen, indem z.B. Brutto- und Nettobewertung oder die Risikobewertung verschiedener Gesellschaften bzw. Geschäftsbereiche miteinander verglichen werden. Abb. 3.3–37: Inhalte der Prüfung 0% 20% 40% 60% 80% 100% nie/selten gelegentlich häufig/immer MW 74 69 729 8 198 23 19 4,5 4,6 Zuständigkeit für das Risikomanagement 8596 8596 83116 8992 8596 8884 8686 Umsetzung von Maßnahmen zur Systemverbesserung Dokumentation des Risikomanagements Ordnungsmäßigkeit der Systemabläufe Vollständigkeit der Risikoerfassung Plausibilität der Risikobewertung Vollständigkeit der Risikoberichterstattung Ad-hoc Risikoberichterstattung Umsetzung von Maßnahmen zur Risikosteuerung Zweckmäßigkeit der Maßnahmen zur Risikosteuerung 4,5 4,5 4,3 4,4 4,3 4,0 4,0 4,0 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 341 Einen weiteren zentralen Bestandteil der Prüfung bildet die interne Risikoberichterstattung. Auch hier gaben über 80% der Respondenten an, diese (fast) immer zu prüfen. Dazu werden bekannte Risiken stichprobenartig auf ihre Kommunikation getestet. Im Vergleich zu den bisher betrachteten Teilaspekten werden die Maßnahmen zur Risikosteuerung im Durchschnitt weniger häufig betrachtet. Hier gaben immerhin 19% der Respondenten an, die Umsetzung der Maßnahmen zur Risikosteuerung nur gelegentlich zu prüfen. Ebenso prüfen 23% der Konzerne die Zweckmäßigkeit der risikopolitischen Maßnahmen nur gelegentlich. Begründet wurde dies in den Interviews teilweise damit, dass die Zweckmäßigkeit von den verantwortlichen Einheiten selbst besser zu beurteilen sei. Daher werde in erster Linie die Existenz von Gegenmaßnahmen geprüft, nicht aber deren Zweckmäßigkeit oder Wirtschaftlichkeit. Insgesamt werden diese Aspekte jedoch bei rund 70% der Konzerne (fast) immer von der internen Revision hinterfragt. Dies gilt ähnlich auch für die Umsetzung von Maßnahmen zur Systemverbesserung, die meist einen regelmäßigen Bestandteil der Folgeprüfung darstellt. Aus konzernspezifischer Sicht sind drei weitere Sachverhalte im Zusammenhang mit dem Risikomanagementsystem prüfungsrelevant. Im Gegensatz zu den vorstehend betrachteten Aspekten bedürfen diese konzernspezifischen Sachverhalte, wie z.B. die Frage, ob alle wesentlichen Konzerngesellschaften in das Risikomanagementsystem der Konzernobergesellschaft integriert sind, einer Prüfung durch die zentrale Revision. Die Respondenten wurden dementsprechend gebeten zu beurteilen, wie intensiv dies in ihrem Konzern erfolgt (vgl. Frage B.2.9). Die empirischen Befunde zeigen, dass die interne Revision in 88% der Konzerne die Einbeziehung aller relevanten Gesellschaften in das konzernweite Risikomanagementsystem (sehr) intensiv prüft. Der auf einer fünfstufigen Ratingskala erhobene Intensitätsgrad weist einen Mittelwert von 4,3 auf (vgl. Abb. 3.3–38). Die Vollständigkeit der Erfassung konzernspezifischer Risiken, die aus den Beteiligungsverhältnissen resultieren (z.B. Risiken aus Patronatserklärungen), wird demgegenüber weniger intensiv geprüft. Dies gilt Abb. 3.3–38: Prüfungsinhalte der zentralen Revision der Konzernmutter 0% 20% 40% 60% 80% 100% gar nicht/wenig intensiv mittelmäßig intensiv intensiv/sehr intensiv MW 4,3 Erfassung von Risiken aus Beteiligungsverhältnissen Risikoaggregation 88 44 6223 28 66 28 15 3,3 3,5 Kreis der in das konzernweite Risikomanagement integrierten Gesellschaften 342 3  Empirische Analyse des Risikomanagements im Konzern ebenso für die Risikoaggregation. Hier offenbarten die Interviews unterschiedliche Vorgehensweisen. Während einige Respondenten die Risikoaggregation rechnerisch überprüfen, begründen andere den Verzicht darauf mit dem Hinweis auf den Einsatz von zuverlässiger Software. Zudem wurde angemerkt, dass die Risikoaggregation lediglich der Dokumentation diene. (5) Berichterstattung über Prüfungsergebnisse Die Ergebnisse der Risikomanagementsystemprüfung sind für den Vorstand, aber auch für den Aufsichtsrat eine wichtige Grundlage zur Erfüllung der Überwachungsaufgabe. Es ist daher von zentraler Bedeutung, dass sie über die Ergebnisse der Prüfung informiert werden. Dies ist beim Vorstand unproblematisch, da ihm die interne Revision – wie obige Befunde bestätigen – in aller Regel unterstellt ist. Als Auftraggeber der Prüfung steht ihm unzweifelhaft der Prüfungsbericht zu. Beim Aufsichtsrat oder auch beim Prüfungsausschuss (Audit Committee) ist dies indes fraglich, da die dualistische Unternehmensverfassung dem entgegen steht.1 Vor diesem Hintergrund wurden die Respondenten gebeten einzuschätzen, wie intensiv der Konzernvorstand, der Konzernaufsichtsrat und – sofern vorhanden – das Audit Committee von der internen Revision über die Ergebnisse der internen Prüfung des Risikomanagementsystems informiert werden (vgl. Frage B.2.12). Die Auswertung der Antworten zeigt, dass der Vorstand des Konzerns von der internen Revision erwartungsgemäß sehr intensiv über die Prüfungsergebnisse informiert wird (vgl. Abb. 3.3–39). Demgegenüber wird nur wenig intensiv an den Aufsichtsrat berichtet. Lediglich 2% der Respondenten beurteilten die Berichterstattung der internen Revision an den Aufsichtsrat über die Prüfungsergebnisse als (sehr) intensiv. Damit trägt die Konzernpraxis dem deutschen Sys- 1 Vgl. dazu Abschnitt 2.3.4.2.1.2. Abb. 3.3–39: Information über die Prüfungsergebnisse 0% 20% 40% 60% 80% 100% gar nicht/wenig intensiv mittelmäßig intensiv intensiv/sehr intensiv MW 4,7 Konzernaufsichtsrat Audit Committee 94 2 4042 79 42 19 18 1,6 2,9 Konzernvorstand Information über Ergebnisse der Risikomanagementsystemprüfung ... (n=33) (n=53) (n=53) 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 343 tem der Corporate Governance Rechnung. Bemerkenswert ist aber, dass die interne Revision in 40% der Konzerne das Audit Committee (sehr) intensiv über die Ergebnisse der Prüfung des Risikomanagementsystems informiert. Dies signalisiert eine Annäherung an die angloamerikanische Praxis, wo die interne Revision im monistischen Board System i.d.R. dem Audit Committee unterstellt ist.1 (6) Abstimmung mit dem Abschlussprüfer Da das Risikomanagementsystem bei börsennotierten Aktiengesellschaften nach § 317 Abs. 4 HGB vom Abschlussprüfer zu prüfen ist, ergeben sich bei diesem Kreis an Unternehmen Überschneidungen mit der internen Prüfung durch die Revision. Im Interesse einer effizienten Prüfung liegt daher eine Abstimmung zwischen interner Revision und Abschlussprüfer nahe, ohne dass Letzterer seiner gesetzlichen Prüfungspflicht entbunden wird. Gleichwohl kann er ggf. die Prüfungsintensität anpassen oder andere Schwerpunkte setzen. Die Respondenten wurden deshalb gefragt, wie intensiv sich die interne Revision und der Wirtschaftsprüfer bezüglich der Prüfung des Risikomanagementsystems abstimmen (vgl. Frage B.2.13). Dabei wurde zwischen einer zeitlichen, inhaltlichen und organisatorischen Abstimmung differenziert. Die empirischen Befunde dokumentieren, dass die Abstimmung zwischen der internen Revision und dem Wirtschaftsprüfer insgesamt mit mittlerer bis geringer Intensität erfolgt (vgl. Abb. 3.3–40). Dabei bestehen zwischen den Konzernen erhebliche Unterschiede. Während z.B. hinsichtlich der Prüfungszyklen bei 41% der Konzerne keine oder nur eine geringe Abstimmung zwischen den beiden Prüforganen erfolgt, ist diese bei 34% der Konzerne intensiv oder sehr intensiv. Dieses heterogene Bild, das sich auch bei der Abstimmung der Prüfungs- 1 Vgl. ähnliche Befunde bei Peemöller/Warncke (2005), S. 404. Abb. 3.3–40: Abstimmung zwischen interner Revision und Wirtschaftsprüfer 0% 20% 40% 60% 80% 100% gar nicht/wenig intensiv mittelmäßig intensiv intensiv/sehr intensiv MW 2,8 Prüfungsschwerpunkte Prüfungsablauf 34 30 1964 43 41 25 27 17 2,6 2,1 Prüfungszyklen Abstimmung mit dem Wirtschaftsprüfer im Hinblick auf ... 344 3  Empirische Analyse des Risikomanagements im Konzern schwerpunkte und des Prüfungsablaufs zeigt, wurde in den Interviews bestätigt. Während auf der einen Seite in vielen Konzernen regelmäßige Treffen zwischen der internen Revision und dem Abschlussprüfer stattfinden und die Prüfungsberichte ausgetauscht werden, berichteten auf der anderen Seite einige Respondenten, dass die Abstimmung entweder vom Vorstand nicht gewollt sei oder aber beim Abschlussprüfer nur ein geringes Interesse an einer Abstimmung mit der internen Revision bestehe. Insgesamt deuten die Untersuchungsergebnisse somit auf eine oftmals nur geringe Abstimmung zwischen beiden Prüfern bei der Prüfung des Risikomanagementsystems hin. Zusammenfassend lässt sich als Zwischenfazit festhalten, dass die interne Prüfung des Risikomanagementsystems ein neues Aufgabengebiet der internen Revision darstellt. Da die interne Revision jedoch nur in größeren Konzernen institutionalisiert ist, findet diese Art der prozessunabhängigen Überwachung nur in einem Teil der Konzerne Anwendung. 3.3.4.2.2 Überwachung durch konzerninterne Aufsichtsräte 3.3.4.2.2.1 Personelle Verflechtungen Neben der internen Revision können konzerninterne Aufsichtsräte zur Überwachung des Risikomanagements im Konzern beitragen. Sofern in den Aufsichtsräten von Tochtergesellschaften Vorstandsmitglieder des Mutterunternehmens vertreten sind, kann von einer internen Überwachung gesprochen werden. Personelle Verflechtungen zwischen dem Konzernvorstand und dem Tochteraufsichtsrat bilden insofern eine konzernspezifische Möglichkeit, um der aus § 91 Abs. 2 AktG resultierenden Überwachungspflicht nachzukommen. Vor diesem Hintergrund wurde im Rahmen der empirischen Studie zum einen nach der Existenz personeller Verflechtungen und zum anderen nach der Bedeutung der Personalunion von Konzernvorstand und Tochteraufsichtsrat für die interne Überwachung des Risikomanagements im Konzern gefragt. Zunächst wurde erhoben, in welchem Ausmaß personelle Verflechtungen existieren (vgl. Frage A.4.3). Um ein Bild von der Verbreitung der verschiedenen Arten personeller Verflechtungen zu gewinnen, wurde dabei nicht nur nach der Personalunion von Muttervorstand und Tochteraufsichtsrat, sondern auch nach der Personalunion in den Leitungs- und Aufsichtsorganen von Mutter- und Tochterunternehmen gefragt. Für alle drei Formen personeller Verflechtungen wurde jeweils eine fünfstufige Ratingskala vorgegeben, die mit „gar nicht“ (= 1) und „sehr häufig“ (= 5) verbal verankert war. Die empirischen Befunde zeigen, dass personelle Verflechtungen zwischen dem Muttervorstand und den Tochteraufsichtsräten in 36% der Konzerne (sehr) häufig existieren (vgl. Abb. 3.3–41). Auf der anderen Seite besteht diese Form der Personalunion bei der Hälfte der Konzerne nicht oder nur vereinzelt. Personelle Verflechtungen zwischen den Leitungsorganen von Mutter- und Tochterunternehmen sind im Vergleich dazu insgesamt häufiger anzutreffen. In 46% der befragten Konzerne ist diese Art der Personalunion (sehr) häufig zu finden. Demgegenüber bestehen personelle Verflechtungen zwischen den Aufsichtsorganen eher selten. 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 345 Als Aufsichtsrat einer Tochtergesellschaft stehen einem Konzernvorstand alle Rechte und Pflichten zur Überwachung des Risikomanagements in der betreffenden Gesellschaft zu. Vor allem kann er durch die Personalunion unmittelbar die Einrichtung und Funktionsfähigkeit des Risikomanagementsystems in dem Tochterunternehmen überwachen sowie sich von der Umsetzung der Konzernvorgaben zum Risikomanagement überzeugen und, falls notwendig, auf ihre Beachtung hinwirken. Inwieweit die personelle Verflechtung zwischen dem Vorstand der Muttergesellschaft und dem Aufsichtsrat des Tochterunternehmens zur Überwachung des Risikomanagements im Konzern tatsächlich beiträgt, ist bislang nicht untersucht worden. Die Respondenten wurden daher um eine diesbezügliche Einschätzung gebeten, sofern in ihrem Konzern diese Art der personellen Verflechtung vorlag (vgl. Frage A.4.4). Wie die Auswertung der Antworten zeigt, ist dies bei 166 der 290 Konzerne (57%) der Fall. Bei diesen Konzernen trägt die personelle Verflechtung durchschnittlich im mittleren Maße zur Überwachung des Risikomanagements im Abb. 3.3–41: Häufigkeit personeller Verflechtungen zwischen Organmitgliedern im Konzern Abb. 3.3–42: Personelle Verflechtung zur internen Überwachung des Risikomanagements 0% 20% 40% 60% 80% 100% gar nicht/selten mittelmäßig häufig häufig/sehr häufig MW 2,6 Vorstand Mutter = Leitung Tochter Aufsichtsrat Mutter = Aufsichtsrat Tochter 36 46 590 38 1450 16 5 3,1 1,4 Vorstand Mutter = Aufsichtsrat Tochter n=288 0% 20% 40% 60% 80% 100% Beitrag der Personalunion zwischen Konzernvorstand und Tochteraufsichtsrat zur Überwachung des Risikomanagements im (sehr) geringen Maße im mittleren Maße im (sehr) hohen Maße MW 3,34829 23 n=166 346 3  Empirische Analyse des Risikomanagements im Konzern Konzern bei (vgl. Abb. 3.3–42). Ihre Bedeutung wird indes sehr unterschiedlich beurteilt. Während auf der einen Seite 29% der Respondenten die Auffassung vertreten, dass die Personalunion in (sehr) geringem Maße zur Überwachung des Risikomanagements beiträgt, sprechen ihr auf der anderen Seite 48% der Respondenten eine hohe Bedeutung zu. Das Ausmaß der Bedeutung korreliert dabei positiv mit der Häufigkeit, in der die personelle Verflechtung im Konzern existiert (r=0,24**). Die zu beobachtenden Unterschiede werfen die Frage nach möglichen erklärenden Kontextfaktoren auf. Es kann ein Einfluss der Konzerngröße vermutet werden, da mit zunehmender Größe die Informationsasymmetrien und damit die Überwachungskosten steigen, personelle Verflechtungen aber Informationsasymmetrien abbauen und damit Überwachungskosten reduzieren. Hypothese H52 lautet daher: H52: Je größer der Konzern, desto stärker trägt die Personalunion zwischen Konzernvorstand und Tochteraufsichtsrat zur Überwachung des Risikomanagements im Konzern bei. Um die Hypothese zu prüfen, wurden wiederum eine Korrelations- und eine Varianzanalyse durchgeführt. Die Ergebnisse dieser Analysen widersprechen der Hypothese, die deshalb zurückgewiesen werden muss. Dabei deuten die nicht signifikanten Befunde eher auf einen der Hypothese entgegengesetzten Zusammenhang hin (vgl. Tab. 3.3–67). So nimmt der durchschnittliche Beitrag, den die Respondenten der personellen Verflechtung für die Überwachung des Risikomanagements im Konzern zusprechen, von den KMK über die GMK zu den GRK ab. Dies könnte auf einen Substitutionseffekt zurückzuführen sein. Während in großen Konzernen die prozessunabhängige Überwachung des Risikomanagements vielfach an die interne Revision delegiert wird, ist dies in kleineren Konzernen nicht möglich, da dort keine Revisionseinheit existiert. Offensichtlich kommt daher in diesen kleineren Konzernen der Überwachung durch konzerninterne Aufsichtsräte tendenziell eine höhere Bedeutung zu. Abh.  Variable Unabh. Variable Varianzanalyse Korrelationsanalyse Beitrag der Personalunion/ Überwachung Risikomanagement Konzerngröße (Mitarbeiter) n MW F-Wert Signifikanz des F-Wertes Korrelationskoeffizient Signifikanz über 2000 (GRK) 501–2000 (GMK) bis 500 (KMK) 81 46 39 3,12 3,28 3,51 1,124 0,327 –0,072 0,360 Tab. 3.3–67: Beitrag der Personalunion zur Überwachung des Risikomanagements  in Abhängigkeit von der Konzerngröße 3.3  Befunde zu den Gestaltungsparametern des Risikomanagements 347 Ein weiterer Grund für den nicht bestätigten Zusammenhang kann darin liegen, dass die Bedeutung von Töchteraufsichtsräten auch von der Organisationsstruktur abhängt. So wies ein Respondent darauf hin, dass sein Konzern über die wirtschaftlichen Strukturen gesteuert werde und die Aufsichtsorgane der Tochtergesellschaften dabei keine praktische Relevanz hätten. Ein Vergleich der Einschätzungen zum Beitrag der personellen Verflechtung zwischen Muttervorstand und Tochteraufsichtsrat zur Überwachung des Risikomanagements offenbart denn auch, dass dieser in Konzernen, die ihr Risikomanagementsystem nach wirtschaftlichen Strukturen ausgerichtet haben, im Durchschnitt geringfügig kleiner beurteilt wird als in solchen, deren Risikomanagementsystem primär den rechtlichen Strukturen folgt (3,19 vs. 3,31). Allerdings sind die Unterschiede statistisch nicht signifikant (p=0,625). 3.3.4.2.2.2 Zustimmungsvorbehalte Ein besonderes Überwachungsinstrument des Aufsichtsrats sind Zustimmungsvorbehalte, mit denen Geschäfte von grundlegender Bedeutung als zustimmungspflichtig erklärt werden. In diesem Fall darf der Vorstand diese Geschäfte (z.B. Beteiligungserwerbe, Festlegung der Risikostrategie) erst nach vorheriger Billigung durch den Aufsichtsrat vornehmen. Nach § 111 Abs. 4 AktG muss der Aufsichtsrat einen Katalog zustimmungspflichtiger Sachverhalte erlassen, sofern diese nicht bereits in der Satzung festgelegt sind. Im Konzern gilt dies für den Aufsichtsrat des Mutterunternehmens wie für solche der Tochterunternehmen gleichermaßen. Der Aufsichtsrat des Mutterunternehmens kann zudem konzernweite Zustimmungsvorbehalte erlassen, die sich auf Maßnahmen des Konzernvorstands in Tochtergesellschaften beziehen. Im Rahmen der empirischen Studie wurde erhoben, ob konzernweite Zustimmungsvorbehalte und solche der Tochteraufsichtsräte definiert sind (vgl. Frage A.4.5). Die empirischen Befunde signalisieren, dass in 227 von 238 Konzernen (95%) den gesetzlichen Vorgaben entsprechend Zustimmungsvorbehalte existieren. Elf Respondenten (5%) gaben an, dass dies nicht der Fall sei. Immerhin 51 Respondenten waren sich indes nicht sicher und wählten die Antwort „weiß nicht“. Hinsichtlich der Art des Zustimmungsvorbehalts ergibt sich folgendes Bild: 86% der Konzerne haben konzernweite Zustimmungsvorbehalte, 2% Zustimmungsvorbehalte der Tochteraufsichtsräte und 12% beide Formen festgelegt. Letzteres trifft vor allem auf Großkonzerne zu. Insgesamt ist festzuhalten, dass Zustimmungsvorbehalte in der Konzernpraxis als Überwachungsinstrument weit verbreitet sind. Es bleibt jedoch weiteren Untersuchungen vorbehalten, die inhaltliche Ausgestaltung der Zustimmungsvorbehalte zu analysieren. Damit sind die Untersuchungsergebnisse zu den einzelnen Gestaltungsparametern des Risikomanagementsystems im Konzern dargelegt. Bevor die Befunde zur Effizienz des Risikomanagements präsentiert werden, wird im folgenden Abschnitt noch auf empirische Ergebnisse zu Faktoren eingegangen, welche die Effektivität des Risikomanagements beeinträchtigen. 348 3  Empirische Analyse des Risikomanagements im Konzern 3.3.5 Grenzen des Risikomanagements im Konzern Risikomanagementsysteme können Bestandsgefährdungen und Insolvenzen in der Praxis nicht verhindern. Dies liegt u.a. darin begründet, dass ihre Umsetzung durch verschiedene Faktoren erschwert wird. Im Rahmen der theoretischen Vorüberlegungen waren hier z.B. Interessenunterschiede zwischen der Konzernmutter und den Tochterunternehmen, Defizite in der methodischen Unterstützung des Risikomanagements oder kulturelle Unterschiede im Umgang mit Risiken angeführt worden. Um die Bedeutung dieser und anderer Faktoren zu erheben, wurden die Revisoren um eine Beurteilung gebeten, in welchem Ausmaß diese die Effektivität des konzernweiten Risikomanagementsystems beeinträchtigen (vgl. Frage B.3.2). Zur Beurteilung wurde eine fünfstufige Ratingskala vorgegeben, deren Extremwerte mit „gar nicht“ (= 1) und „sehr stark“ (= 5) verbal verankert waren. Die in Abb. 3.3–43 dargestellten Untersuchungsergebnisse verdeutlichen, dass die einzelnen Faktoren nach Einschätzung der Revisoren die Effektivität des Risikomanagements nur im geringen bis mittleren Maße beeinträchtigen. Kulturellen Unterschieden im Umgang mit Risiken, Interessenunterschieden zwischen Mutter- und Tochterunternehmen sowie das Fehlen geeigneter Frühwarnindikatoren wird dabei die vergleichsweise höchste Bedeutung zugesprochen. Demgegenüber werden methodische Defizite im Durchschnitt als weniger relevant eingeschätzt. Offensichtlich ist das Risikomanagement-Instrumentarium bzw. dessen Vereinheitlichung aus Sicht der Respondenten i.d.R. hinreichend. Die geringste Relevanz kommt schließlich international unterschiedlichen rechtlichen Anforderungen an das Risikomanagement zu. Dies dürfte darauf zurückzuführen sein, dass zumeist nur Mindeststandards festgelegt werden, die vermutlich genügend Flexibilität für eine konzernweite Standardisierung von Risikomanagementsystemen eröffnen. Dies schließt indes nicht aus, dass im Einzelfall Abgrenzungsprobleme zwischen unterschiedlichen Systemen existieren und, wie am Beispiel des SOA deutlich wird, internationale Konzerne mit zusätzlichen Kosten belasten. Abb. 3.3–43: Beeinträchtigung der Effektivität des Risikomanagements durch Störfaktoren Kulturelle Unterschiede im Umgang mit Risiken Interessenunterschiede zwischen Konzernmutter und Töchtern International unterschiedliche rechtliche Anforderungen 1 2 3 4 5 gar nicht sehr stark 1,17 1,02 1,01 σ 0,99 Fehlen geeigneter Frühwarnindikatoren für identifizierte Risiken Unterschiedliche Methodik in den Konzernunternehmen Unzureichende methodische Unterstützung 0,92 1,05 2,53 2,08 2,49 2,51 2,04 1,89 3.4  Befunde zur Effizienz der Risikomanagementsysteme 349 3.4 Befunde zur Effizienz der Risikomanagementsysteme 3.4.1 Effizienz des Risikomanagements Zur Messung des Erfolgs unterschiedlicher Risikomanagementsysteme bedarf es eines einheitlichen Beurteilungsmaßstabs. Dieser bildet die vierte Kategorie des Bezugsrahmens und wurde in Abschnitt 2.4 auf der Grundlage des Zielansatzes konzeptionalisiert und operationalisiert. Als Risikomanagement-Effizienz wurde dabei das Ausmaß bezeichnet, in dem ein Risikomanagementsystem zur Erreichung der Ziele des Risikomanagements beiträgt. Anknüpfend an die in Abschnitt 2.2 abgeleiteten Ziele des Risikomanagements wurden acht Dimensionen der Risikomanagement-Effizienz unterschieden und durch Indikatoren konkretisiert. Den Effizienzindikatoren lagen Aussagen zu Grunde, zu denen die Respondenten gebeten wurden, das Ausmaß ihrer Zustimmung auf einer siebenstufigen Effizienzdimension Effizienzindikatoren MW SA Existenzsicherung Unser Risikomanagementsystem hat/hätte bestandsgefährdende Entwicklungen stets frühzeitig aufgedeckt. 5,38 1,50 Sicherung des Konzernerfolgs Identifizierte Risiken führten selten zu Abweichungen bei den Gewinnzielen. 4,19 1,52 Verbesserung der Entscheidungsgrundlagen Die Risikoberichte der Tochtergesellschaften waren vollständig und präzise. Risiken wurden im Konzern stets offen kommuniziert. Das Risikomanagementsystem hat Chancen systematisch aufgedeckt. 3,94 4,78 3,12 1,55 1,64 1,55 Stärkung des Risikobewusstseins Das Risikobewusstsein der Mitarbeiter hat sich konzernweit verbessert. 4,83 1,38 Senkung der Kapitalkosten Das Risikomanagementsystem hat unsere Kreditwürdigkeit verbessert. 3,27 1,69 Prüfbarkeit des Risikomanagementsystems Der Wirtschaftsprüfer hat substanzielle Verbesserungen für unser Risikomanagementsystem angeregt. 3,31 1,83 Wirtschaftlichkeit des Risikomanagementsystems Kosten und Nutzen unseres Risikomanagementsystems standen in einem angemessenen Verhältnis. 5,56 1,50 Akzeptanz des Risikomanagementsystems Die internen Risikoberichte hätten von den Entscheidungsträgern stärker genutzt werden können. 4,06 1,60 n= 290; Skala: 1 = trifft nicht zu, …, 7 = trifft voll zu Tab. 3.4–1: Effizienz des Risikomanagements

Chapter Preview

References

Zusammenfassung

"Wer sich für Risikomanagement im Konzern interessiert, kommt an [diesem Buch] nicht vorbei. Kajüter hat eine Lücke besetzt in einem wichtigen und sehr praxisrelevanten Fragenbereich". Die Wirtschaftsprüfung 23/2012

Die empirische Studie zum Risikomanagement.

Dieses neue Werk stellt die Ergebnisse einer umfangreichen Studie zu Risikomanagementsystemen börsennotierter Aktienkonzerne vor und entwickelt anhand der empirischen Daten eine Typologie von Risikomanagementsystemen in Konzernen. Darauf aufbauend werden aus der Vielfalt an Gestaltungsmöglichkeiten fünf Typen konzernweiter Risikomanagementsysteme herausgearbeitet.

Der Nutzen

Die konkrete Analyse offenbart Unterschiede in der Wirksamkeit der Risikomanagementsystemtypen und zeigt dadurch differenzierte Gestaltungsempfehlungen für die Implementierung von Risikomanagementsystemen in Konzernen auf.

Pressestimmen

"Die vorliegende Ausarbeitung ist eine überaus empfehlenswerte, mitunter spannende Lektüre, die sich an ein breites Fachpublikum richtet. So hat es der Autor verstanden, Praktiker mit Entscheidungshilfen und unternehmensspezifischen Empfehlungen zu versorgen, ohne den wissenschaftlichen Tiefgang vermissen zu lassen. Eine herausragende Arbeit, der man möglichst viele Leser wünscht." Der Betriebswirt 1/2013