Inhaltsverzeichnis

1  Einleitung  01

1.1  Problemstellung  01

1.2  Gang der Untersuchung  02

2  System des Risikomanagements  03

2.1  Risiko Grundlagen  03

Risikomanagementanforderungsentwicklung  2.2  07

2.3  Risikostrategie  11

2.3.1  Ziele und Grundsätze  11

2.3.2  Risikotragfähigkeit  13

2.3.3  Risikopräferenz  17

2.4  Risikocontrolling  18

2.4.1  Identifikationen und Risikokategorien  18

2.4.1.1  Gegenstand der Betrachtung  18

2.4.1.2  Standardmethoden zur Risikoidentifikation  22

2.4.1.3  Umfassendere Analysemethoden  27

2.4.1.4  Kreditrisiken  37

2.4.1.5  Marktrisiken  40

2.4.1.6  Liquiditätsrisiken  43

2.4.1.7  Operative Risiken  44

2.4.1.8  Weitere Betriebsrisiken  48

2.4.2  Analyse und Bewertung  51

2.4.2.1  Gegenstand der Betrachtung  51

2.4.2.2  Quantitative Ansätze  56

2.4.2.3  Qualitative Ansätze  65

2.4.2.4  Kritische Würdigung  71

2.4.3  Risikosteuerung und -optimierung  72

2.4.3.1  Gegenstand der Betrachtung  72

2.4.3.2  Ursachenbezogene Maßnahmen  75

2.4.3.3  Wirkungsbezogene Maßnahmen  78

2.4.3.4  Krisenmanagement  83

2.4.3.5  Kritische Würdigung  85

III

2.4.4 Risikokontrolle und -überwachung 87

2.4.4.1 Gegenstand der Betrachtung 87 89 2.4.4.2 Risikokontrolle 2.4.4.3 Revision 92

3 Risikoberichterstattung 93 3.1 Grundsätze der Lagebeberichterstattung 93 3.1.1 Grundsatz der Vollständigkeit 93 95 3.1.2 Grundsatz der Verlässlichkeit 3.1.3 Grundsatz der Klarheit und Übersichtlichkeit 97 3.1.4 Grundsatz der Vermittlung der Sicht der 98 Unternehmensleitung 3.1.5 Grundsatz der Konzentration auf die nachhaltige Wertschaffung 99 3.2 Detailanforderungen an die Risikoberichterstattung 100 3.2.1 Gegenstand der Risikoberichterstattung 100

3.2.1.1 Chancen und Bedrohungen 100 3.2.1.2 Risikokategorien 101

3.2.1.3 Risikomanagementsystem 102 3.2.2 Art und Intensität der Risikoberichterstattung 103

3.2.2.1 Beurteilung und Erläuterung von Risiken 103 104 3.2.2.2 Quantifizierung von Risiken 3.2.3 Umfang der Risikoberichterstattung 105

3.2.3.1 Wesentlichkeit von Risiken 105 3.2.3.2 Prognosezeitraum 108

4 Fazit 109

1 Einleitung

1.1 Problemstellung

Das Prinzip vom fortlaufenden Wandel als einzige Konstante ist aktueller denn je - Unternehmen sahen sich schon immer einer ungewissen Zukunft gegenüber. Diverseste Methoden wurden entwickelt und erprobt um der Ungewissheit zu begegnen. Diesbezüglich trägt vor allem ein systematisches Risikomanagement dazu bei, bewusst mit der Unsicherheit und den darin enthaltenen Risiken umzugehen.

Eine Notwendigkeit zur Implementierung eines Risikomanagements resultiert aus den vielfältigen Einwirkungen des Unternehmensumfeldes. Durch die fortschreitende Entwicklung der Globalisierung und die daraus resultierenden Finanzströmungen, ergeben sich neben den neuen Ertragsmöglichkeiten auch Verlustpotentiale für engagierte Unternehmen. Aufgrund einer zunehmenden Unübersichtlichkeit von externen Einflüssen, steigen die Anforderungen an innere Systeme, wie bspw. die Qualität der Unternehmensführung oder das Risikomanagement, das den Erfolg der unternehmerischen Aktionen sicherstellen soll.

Gelingt es einem Unternehmen, das eigene Risiko als zusätzliche Steuerungsgröße zu begreifen, es zu operationalisieren und aktiv zu gestalten, lassen sich zugleich Chancen i. S. von Wettbewerbsvorteilen realisieren. Da jeder unternehmerischen Entscheidung Risiken beiwohnen, sollten diese nicht einfach hingenommen werden, sondern gezielt überwacht und gesteuert werden. Zu spät erkannte oder gar unidentifizierte Risiken können die erfolgreiche Weiterentwicklung des Unternehmens behindern und es sogar in eine Krise stürzen lassen. Der Umgang mit Risiken und deren Bewältigung ist ein Problem der Unternehmensführung, das nicht durch Minimierung oder gar Elimination aller Risiken behoben werden kann. Nur wer bereit ist Risiken einzugehen, kann gleichzeitig Chancen wahrnehmen, die sich ebenso wie das Bedrohungspotential aus einer unsicheren Zukunft ergeben. Ziel des Risikomanagements ist folglich nicht der Ausschluss sämtlicher Risiken, sondern eine Bewusstma-

1

chung der Risiken, die der unternehmerischen Entscheidungsfindung zugrunde gelegt werden. Richtig angewandt bedeutet Risikomanagement deshalb auch immer Chancenmanagement und geht über eine reine Bestandssicherung weit hinaus. Der wesentliche Vorteil eines institutionalisierten Umgangs mit Risiken ist die aktive Auseinandersetzung mit den Unsicherheiten - resultierend aus der Zukunft - die es ermöglichen, in Alternativen zu denken und zwischen verschiedenen Alternativen zu wählen.

Im Mittelpunkt dieser Arbeit steht zum einen das einzuführende Risikomanagement- und Überwachungssystem, für das umfangreich auf Instrumente und Methoden eingegangen wurde und zum anderen in der Darstellung einer Risikoberichterstattung, die die aus dem Risikomanagementprozess gewonnen Erkenntnisse an den Lageberichtsadressaten publiziert.

1.2 Aufbau der Arbeit

Der Aufbau der Arbeit lässt sich durch Abbildung 1 veranschaulichen:

Abbildung 1: Aufbau der Arbeit 1

¹ Eigene Darstellung.

2

Ausgangspunkt stellt zunächst die Bestimmung des Risikobegriffs in Abschnitt 2.1. Zur Stellung des Risikomanagements wird in Abschnitt 2.2 Bezug genommen wird. Elementarer Bestandteil des Risikomanagements ist die Vorgabe der Verhaltensregeln im Umgang mit Risiken. Diese werden ebenso wie die Risikotragfähigkeit und die Risikopräferenz eines Institutes in Abschnitt 2.3 dargelegt. Abgeleitet aus den Rahmenbedingungen wird in Abschnitt 2.4 - der Mittelpunkt dieser Arbeit - das Risikocontrolling anhand des Risikomanagementprozesses ausführlich dargestellt. Im Anschluss wird in Kapitel 3 erörtert wie die Risikoberichterstattung anhand von Normen und Gesetzen zu erfolgen hat, um wesentliche Informationen dem Lageberichtsadressaten entgegenzubringen.

2 System des Risikomanagement

2.1 Risiko Grundlagen

Die Herkunft des Begriffs Risiko ist etymologisch nicht eindeutig geklärt, ² dennoch führen Großwörterbücher die Bestimmung auf das frühitalienische „risicare“, etwas wagen, über das altgriechische „rhiza“, Wurzel, zurück. ³ Diesem Umstand ist es geschuldet, dass der DUDEN dem Risiko folgende Bedeutungen beimisst:

Der Baseler Ausschuss für Bankenaufsicht definiert in seiner Rahmenvereinbarung der Eigenkapitalausstattung, das operationelle Risiko als „die Gefahr von Verlusten, …die infolge externer Ereignisse eintreten.“ ⁴ Gültigkeit dieser Definition besteht für alle Banken, deren Sitzländer die Eigenkapitalempfeh- ² Vgl.Helten/Bittl/Liebwein (2000), S.161.

³ Vgl. Duden und Wahrig.

⁴ Basler Ausschuss für Bankenaufsicht (2006), S. 163.

3

lungen des Ausschusses in geltendes Recht verbrieft haben. Diese für alle Kreditinstitutionen geltenden Richtlinien, teilen dem Risiko somit ebenfalls einen negativen Charakter zu. Die Einschränkung auf die operationelle Ebene ist unwesentlich, da bspw. ein Kreditrisiko ähnliche Abweichungen vom Erwartungswert erfahren kann wie ein operationelles Risiko, weshalb es - mit den expliziten Ausnahmen des strategischen Risikos und des Reputationsrisikos ⁵ als allgemeine Risikodefinition angesehen werden kann.

Diese traditionellen, einseitigen Formulierungen des Risikobegriffs berücksichtigen lediglich die negative Abweichung vom Erwartungswert und vernachlässigen die Möglichkeit der positiven Abweichung in Gänze. Da in der Wirtschaft das Realisieren von hohen Renditen immer mit dem zu vorigen Eingang von Risiken verbunden ist, muss die Definition des Risikobegriffs um den Aspekt der positiven Abweichung erweitert werden, ⁶ was dem Verständnis der Wirtschaftswissenschaften gerecht wird. ⁷ Denn hohe Renditen lassen sich nur mit hohen Risiken erwirtschaften, was als Chance verstanden wird, wenngleich spiegelbildlich ein hohes Verlustpotential besteht.

Analog wird in der Entscheidungstheorie der Risikobegriff als jegliche Abweichung vom Erwartungswert verstanden. Die Zielabweichung kann infolge dessen positiv oder negativ sein, ⁸ wie er auch in dieser Arbeit Verwendung findet. Dieser entscheidungsorientierte Risikobegriff berücksichtigt zudem, dass alle Erwartungswerte entweder auf subjektiven Einschätzungen beruhen, die unter unvollkommenen Informationen über die Auswirkungen in der Zukunft zuvor quantifiziert wurden oder auf objektiven Einschätzungen, die bspw. aus statistischen Berechnungen resultieren. Wären alle Auswirkungen in der Zukunft gewiss und somit der Informationsgehalt vollkommen, gäbe es kein Risiko, da nichts ungewiss und dadurch jegliches Zukunftsszenario planbar wäre. Folglich steigern Informationsdefizite die Wahrscheinlichkeit einer Abweichung zwischen Erwartungs- und Realisierungswert. ⁹ Deshalb basiert in der ökonomischen Theorie der Bank- und Versicherungsbetriebslehre der Risikobegriff auf

⁵ Baseler Ausschuss für Bankenaufsicht (2006), S. 163.

⁶ Vgl. DeMarco/Lister (2003), S. 3.

⁷ Vgl. von Campenhausen (2006), S. 13.

⁸ Vgl. van den Brink/Romeike (2005), S. 58.

⁹ Vgl. Romeike (1995), S.18.

4

Wahrscheinlichkeiten bzw. Wahrscheinlichkeitsverteilungen von zukünftigen unsicheren Ereignissen. 10

Fehlerhafte Deutungen, d. h. die Bewertung, der eh schon unvollkommenen Informationen können zusätzlich die Wahrscheinlichkeit von Abweichungen steigern. 11

Durch die Erweiterung des Risikobegriffs lässt sich bspw. erklären, warum die individuelle Berufswahl eine persönliche Einzelentscheidung mit Risikocharakter ist. Wird ein Beruf gewählt, der zum Zeitpunkt der Entscheidung hohe Nachfrage besitzt, aber aufgrund konjunktureller Entwicklungen zukünftig nur selten nachgefragt wird, besteht die Gefahr der Arbeitslosigkeit. Als Chance wird in diesem Zusammenhang eine erhöhte Nachfrage gesehen, die zur Zeit der Entscheidungsfindung noch nicht bzw. kaum zu erwarten war. - Als verdeutlichendes Beispiel sei auf die Nachfragenetwicklung bei erneuerbaren Energien verwiesen sowie auf die damit einhergehende Personalpolitik der Unternehmen. ¹² Die Entscheidung der Berufswahl wurde zuvor anhand von zugänglichen Informationen getroffen, die aber aufgrund ihrer Unvollkommenheit ein Risiko für die Einschätzung des Erwartungswerts darstellen. Welchen Beruf der Entscheidungsträger wählt, hängt von seiner Ergebnismatrix ab, die sich aus Jobalternativen, individuell bewerteten Eintrittswahrscheinlichkeiten der Nachfrage und den Umweltzuständen ergibt. 13

Risiken bestehen bei allen unternehmerischen Aktivitäten und Tätigkeiten. Verspätete Mitarbeiter, die pünktlich zu einem Meeting erscheinen sollen, Ausfallzeiten einer EDV-Anlage während eines Updatevorganges oder Kunden, die ihre Verbindlichkeiten nicht fristgerecht ablösen, stellen beispielhaft dar, wo in unterschiedlichsten Bereichen Abweichungen vom Erwartungswert auftreten können. Die Ursachen und Wirkungen, die für die negativen Abweichungen im Einzelnen relevant sind, sind nur durch die Phantasie begrenzt. So könnte der Mitarbeiter wegen eines Autounfalls, eines erbosten Kunden am

¹⁰ Vgl. Wolke (2007), S. 1.

¹¹ Vgl. van den Brink/Romeike (2005), S. 62.

¹² Vgl. http://emagazine.credit-

suisse.com/app/article/index.cfm?fuseaction=OpenArticle&aoid=212168&lang=DE , Stand: 22.10.2008.

¹³ Zur Vertiefung: Laux/Liermann (2005), S. 31-96.

5

Telefons oder einem zeitgleich stattfindenden Meeting verspätet beim gewünschten Treffpunkt erscheinen. Währungsrisiken, Marktliquiditätsrisiken, Interne Risiken oder Reputationsrisiken sind beispielhafte einzelne Komponenten der übergeordneten Risikokategorien: 14

Um all diese Risiken, die sich ganzheitlich betrachtet zum Unternehmensrisiko entwickeln, nach Vorgaben managen zu können, muss ein Risikomanagementsystem implementiert werden, das sich den komplexen Zusammenhängen und Strukturen des Unternehmens annimmt. ¹⁵ Dementsprechend umfasst das Risikomanagement die Formulierung und Einhaltung von Regeln, das Verhindern von Schäden, das Gestalten von operativen Maßnahmen sowie das Mitwirken bei der Planung und dem Controlling zum Zwecke der Chancennutzung und der Gefahrenabwehr. 16

Abbildung 1: Risikomanagement - Kontinuum und ganzheitliches Risikoma-

¹⁴ SieheAbbildung 7: Taxonomie der Bankrisiken.

¹⁵ Vgl. von Campenhausen (2006), S. 15.

¹⁶ Vgl. von Campanhausen (2006), S.26.

¹⁷ Eigene Darstellung in Anlehnung an: von Campenhausen (2006), S. 26.

6

2.2 Risikomanagementanforderungsentwicklung

Diese Zusammenhänge und Strukturen einer Unternehmung werden durch diverse Einflussfaktoren immer komplexer, was als Ursache steigender Unternehmensrisiken begriffen wird. ¹⁸ Faktoren, die wesentlichen Einfluss auf die Komplexitätsentwicklung haben, sind: 19

Durch die Internationalisierung der Unternehmen entstehen neuartige Risiken, die bislang kaum Beachtung fanden und eine Zunahme der Risikomanagementfähigkeiten erwarten lassen. So besteht durch die enge internationale Vernetzung der Unternehmen die Gefahr, dass durch volkswirtschaftliche Schocks, eine globale Kettenreaktion ausgelöst werden kann. ²¹ Um diese internationalen Vernetzungen zu sichern, sind hohe Investitionen erforderlich, um sich dem daraus resultierenden Wettbewerb, der Gewinne verspricht, stellen zu können. Ob diese Präsenz durch Zukäufe, Fusionen oder inneres Wachstum erreicht wird, ist nicht entscheidend, da stets investiert werden muss und bei eventuellen Misserfolgen entsprechend hohe Verluste drohen. ²² Zudem erleichtern bzw. ermöglichen erst Liberalisierung und Deregulierung der Märkte, eigene bzw. Konkurrenzinvestitionen, was zur Konsequenz hat, dass durch den daraus resultierenden verschärften Wettbewerb Aufträge angenommen werden müssen, deren Risikostrukturen ungünstig erscheinen. ²³ Da sich diese Konstellationen schnell verändern, ist ebenfalls darauf zu achten, dass keine Marktentwicklun- ¹⁸ Vgl.Erben/Romeike (2003), S. 43.

¹⁹ Vgl. von Campenhausen (2006), S. 22.

²⁰ Die folgenden risikoerhöhenden Effekte und Entwicklungen sind nur exemplarisch und sollen die maßgeblichen Tendenzen veranschaulichen, die allerdings keinen Anspruch auf Vollständigkeit erheben. Eine trennscharfe Quantifizierung sämtlicher Effekte wäre allein aus methodischen Gründen nicht machbar.

²¹ Vgl. Francke (2008), S. 2.

²² Vgl. Erben/Romeike (2003), S. 44.

²³ Vgl. Erben/Romeike (2003), S. 44.

7

gen „verschlafen“ werden. ²⁴ Offensichtlicheres wie das Risiko von Wechselkursschwankungen oder das Risiko unsicherer politischer Verhältnisse muss ebenfalls in modernen sogn. ganzheitlichen Risikomanagementsystemen Berücksichtigung finden. 25

Eine Notwendigkeit der Zunahme von Risikomanagementfähigkeiten ist auch hier wegen der abnehmenden Risikobereitschaft der Unternehmen durch die Institutionalisierung der Selbigen festzustellen. ²⁶ Klassische Familienunternehmen wurden mit einem autoritären Stil durch ihre „Familienoberhäupter“ geleitet. Dies ließ keinen Zweifel an der Unternehmensführung aufkommen, da alleinige Eigentümer des Unternehmens die Eigentümerfamilien waren. ²⁷ Meinungsdifferenzen über die Führung des Unternehmens kamen erst auf, als Management und Eigentümer nicht mehr ein und dieselbe Person waren. Durch die Entwicklung vom Eigentümer als Unternehmer zum angestellten Manager, drifteten die Ziele der Beteiligten auseinander. Während früher eine langfristige Sicherung des Unternehmens als oberstes Ziel angesehen wurde, wird aktuell vom Management vielmehr das Streben nach hoher Rentabilität priorisiert. ²⁸ Begründet wird dies durch den Umstand, dass sich das Management am jeweiligen Quartalserfolg legitimieren lassen und sich der Kritik der renditeorientierten Anteilseigner stellen muss. Die gesetzlich vorgeschriebenen Regelpublizitäten einer börsennotierten Aktiengesellschaft i. S. des § 3 Abs. 2 AktG umfassen zunächst den (Konzern-) Jahresabschluss mit Anhang und den Lagebericht, ²⁹ während Emittenten, deren Aktien für den amtlichen Handel zugelassen sind, zusätzlich verpflichtet werden, innerhalb eines Geschäftsjahres regelmäßig mindestens einen Zwischenbericht zu veröffentlichen. ³⁰ Die Entlastung des Vorstandes, welche durch die Hauptversammlung erfolgt, ³¹ wird einfacher von statten gehen, wenn der Erfolg der Unternehmung gesichert ist. Deshalb ist das Management i. S. der Anteilseigner an einer möglichst schnellen Amortisation ihrer Investments, mehr noch an einer hohen Rendite,

²⁴ Vgl. von Campenhausen (2006), S. 22.

²⁵ Vgl. von Campenhausen (2006), S. 22.

²⁶ Vgl. Söllner (2008), S. 69.

²⁷ Vgl. von Campenhausen (2006), S. 22.

²⁸ Vgl. von Campenhausen (2006), S. 22.

²⁹ § 264 Abs. 1 bzw. § 290 Abs. 1 HGB.

³⁰ § 44b Abs. 1 BörsG.

³¹ § 120 AktG.

8

interessiert. ³² Bekräftig wird dies durch die statistisch erhobenen Haltedauern von Aktien. In den 80er Jahren hielt ein durchschnittlicher Investor rund zehn Jahre ein Wertpapier bis es wieder verkauft wurde, heute ist der Investor lediglich rund sieben Monate in einer Aktie engagiert. ³³ Somit kann kein Risikoausgleich über die Zeit stattfinden, was dem Risikomanagement größere Bedeutung zukommen lässt.

Während 1930 nur rund 10 % aller amerikanischen Vorstände eine Universitätsausbildung vorweisen konnten - analog dazu Europa - , waren es 1995 rund 95 %, sodass heute eine wissenschaftlich fundierte Ausbildung als Basis für das Agieren und Lenken eines Unternehmens angenommen werden darf. ³⁴ Diese Intellektualisierung der Unternehmenslenker führt zu einer strukturierten Auseinandersetzung mit dem Begriff und dem Wesen des Risikos. Unterstellt wird hierbei, dass das Risikomanagement als elementarer Bestandteil einer Unternehmensorganisation betrachtet wird. Vorläufer ist hier, die wissenschaftliche Belegung der These, dass Risikoreduktion den Unternehmenswert nachhaltig steigert. ³⁵ Dieser wissenschaftliche Nachweis wurde 1952 von Harry Max Markowitz im „Journal of Finance“ erbracht. ³⁶ Erst darauf folgend wurden Methoden und Instrumente entwickelt, die Unternehmensrisiken ausreichend präzise bewertbar machten, was darauf folgend eine aktive Steuerung der Risiken zuließ. ³⁷ Wissenschaftsentwicklungen haben dadurch eine Nachfrageerhöhung nach Risikomanagementfähigkeiten zur Folge, was der Bedeutung des Risikomanagements in Unternehmen zu Gute kommt. 38

³² Vgl. von Campenhausen (2006), S. 23.

³³ Vgl. ^{http://www.bpb.de/wissen/5IAXN9,0,0,Aktienbestand_und_Aktienhandel.html,} Stand 26.10.2008.

³⁴ Vgl. Schrader (1995), S. 129.

³⁵ Zur Vertiefung: Garz/Günther/Moriabadi (2002), S. 7 - 97.

³⁶ Vgl. Wolke (2007), S. 9.

³⁷ Vgl. ebenda.

³⁸ Vgl. von Campenhausen (2006), S. 24.

9

Entwicklung des Risikomanagements (RM) ³⁹ Abbildung 2:

Aufgrund der Bedeutungsentwicklung des Risikomanagements haben sich die ursprünglichen Ziele des Risikomanagements stark ausgeweitet. Früher wurde dem Risikomanagement lediglich ein rein reaktiver Charakter zugesprochen, der Schäden mindern und erste Hilfe bieten sollte. ⁴⁰ Zusätzlich ist das Risikomanagement heute, wesentlicher Bestandteil einer risikoorientierten Unternehmenssteuerung, wobei es versucht, den Unternehmenswert durch bewusstes Eingehen von Risiken zu steigern. 41

³⁹ Eigene Darstellung in Anlehnung an: von Campenhausen (2006), S. 23.

⁴⁰ Vgl. Morgenschweis (2004), S. 46.

⁴¹ Vgl. von Campenhausen (2006), S. 24.

10

2.3 Risikostrategie

2.3.1 Ziele und Grundsätze

Dieses bewusste Eingehen von Risiken setzt voraus, dass als Ausgangspunkt des Risikomanagements risikopolitische Ziele und Grundsätze festgelegt wurden, welche auf den Unternehmenszielen basieren und als Orientierung dienen. ⁴² Risikopolitische Ziele und Grundsätze werden als konkretisierte Bestandteile der Risikostrategie, die als richtungweisende Rahmenkonzeption verstanden wird, aufgefasst. 43

Unternehmensziele, die von der Unternehmensleitung festgelegt wurden, basierend auf den Erwartungen der Stakeholder und geben das zu erreichende betriebswirtschaftliche Performanceniveau auf den jeweiligen

Unternehmensbereichen vor. ⁴⁴ Diese Erwartungen bzw. Zielvorgaben werden dann in einer operativen Planung für die verschiedenen Unternehmensbereiche bzw. -ebenen „heruntergebrochen“, was anhand einer Kausalkette, die die kritischen Erfolgsbereiche aufzeigt, vollzogen wird. ⁴⁵ Die identifizierten Bereiche geben somit den operativen Rahmen des Risikomanagements vor. ⁴⁶ Hier müssen sich bietende Chancen genutzt werden, um erwartete Unternehmensziele erreichen zu können. Wie weit das Eingehen von Risiken, in den jeweiligen Bereichen, unternehmenspolitisch erwünscht ist, hängt von der Risikokultur, d. h. von der Risikostrategie, des jeweiligen Unternehmens ab, was durch die Haltung der Unternehmensleitung zur Handhabung von Risiken in den risikopolitischen Grundsätzen - basierend auf Risikotragfähigkeit und Risikopräferenz der Unternehmung sowie auf der Risikolimitierung ⁴⁷ - und den organisatorisch vorgegebenen Verhaltensregeln, manifestiert wird. ⁴⁸ Unternehmensmitglieder

⁴² Vgl. Wittmann (2000), S. 797.

⁴³ Vgl. Lück (2000), S. 326.

⁴⁴ Unternehmensziele, die aufgrund ihres fehlenden Risikobezuges keinen direkten Einfluss auf das betriebswirtschaftliche Ergebnis haben, werden nicht berücksichtigt.

⁴⁵ Vgl. Dörner/Doleczik (2000), S. 201.

⁴⁶ Vgl. Wittmann (2000), S. 796.

⁴⁷ Vgl. von Campenhausen (2006), S. 33.

⁴⁸ Vgl. Lück (2000), S. 337.

11

sollen anhand dieser Verhaltensregeln zu einem angemessenen Umgang mit Risiken angeleitet werden. 49

Die mindest risikopolitischen Grundsätze, die Allgemeingültigkeit besitzen, formuliert WOLF als: 50

Abbildung 3: Zielgrößen des Risikomanagements, exemplarische Darstellung 51

Risikopolitische Ziele stellen auf diese Rahmenbedingungen ab, während sie individuell, situativ und unternehmensbezogen definiert werden. ⁵² Sie basieren auf den jeweiligen Zielgrößen, die untereinander, wie erwähnt, in einem kausa-

⁴⁹ Vgl.von Campenhausen (2006), S. 37.

⁵⁰ Vgl. Wolf (2000), S. 566.

⁵¹ Eigene Darstellung in Anlehnung an: von Campenahusen (2006), S. 19.

⁵² Vgl. Strohmeier (2007), S. 52.

12

len Zusammenhang stehen. ⁵³ Je nach Zielgröße werden unterschiedliche Werttreiber identifiziert, die den Erfolg positiv oder negativ beeinflussen können. Diese Werttreiber werden vom Risikomanagement nach erfolgter Identifikation, unter Berücksichtigung der risikopolitischen Grundsätze bewertet, überwacht und risikooptimiert. Parameter der zu definierenden Zielgrößen sind Zielinhalt, zeitlicher Bezug und das angestrebte Ausmaß. 54

Eine allgemeingültige Formulierung des Risikomanagementziels sehen Wolf/Runzheimer, „in der Sicherung der Unternehmensexistenz, des künftigen Unternehmenserfolges und in der Minimierung der Risikokosten.“ ⁵⁵ Diese Einschätzung muss zu mindest um die Erfüllung der formalen regulatorischen Auflagen ergänzt werden. Der Aspekt des zukünftigen Unternehmenserfolgs kann als „die Schaffung von Handelsspielräumen, die ein bewusstes Eingehen von Risiken aufgrund einer umfassenden Kenntnis der Risiken und Risikozusammenhänge ermöglichen,“ ⁵⁶ verstanden werden, was bei konsequenter Nutzung der sich bietenden Chancen den Unternehmenswert steigern soll. 57

2.3.2 Risikotragfähigkeit

Wie weit der Unternehmenswert gesteigert werden kann, wird durch diverse Einflussfaktoren bestimmt. ⁵⁸ Ein Bestandteil ist die Risikotragfähigkeit, die durch das Vermögen einer Unternehmung, schlagend werdende Risiken tragen zu können ohne dabei insolvent zu werden, charakterisiert wird. ⁵⁹ Mit dem Begriff der Risikotragfähigkeit sind unmittelbar verbunden: 60

⁵³ Vgl. von Campenhausen (2006), S. 19.

⁵⁴ Vgl. Strohmeier (2007), S. 52.

⁵⁵ Wolf/Runzheimer (2003), S. 32.

⁵⁶ Wittmann (2000), S. 797.

⁵⁷ Vgl. Wittmann (2000), S. 797.

⁵⁸ Vgl. von Campenhausen (2006), S. 33.

⁵⁹ Vgl. Baetge/Jerschensky (1999), S. 173.

⁶⁰ Vgl. Gössi/Hortmann (2007), S. 551.

13

Gegeben ist die Risikotragfähigkeit, wenn alle (wesentlichen) Risiken eines Instituts laufend durch das Risikodeckungspotenzial abgedeckt werden. ⁶¹ Mittels den dadurch abgeleiteten Limitvorgaben, die für alle Risikoarten und Funktionsbereiche festzulegen sind, soll dies gewährleistet werden. ⁶² Durch die Limitvorgaben werden Entscheidungsträgern Handlungsspielräume vorgegeben, die sicherstellen, dass eingegangene Risiken auch mit Risikodeckungsmasse unterlegt sind. ⁶³ Dies erfolgt in der Risikoplanung anhand zweier möglicher Szenarien: 64

Um ein bestmögliches Resultat zu erhalten sollten beide Szenarien Anwendung finden und bei nicht deckungsgleichen Ergebnissen im Anschluss abgestimmt und validiert werden. 66

⁶¹ Vgl. MaRisk AT 4.1 Tz. 1.

⁶² Vgl. Wolke (2007), S. 77.

⁶³ Vgl. Gössi/Hortmann (2007), S. 551.

⁶⁴ Vgl. Gössi/Hortmann (2007), S. 553.

⁶⁵ Zur Vertiefung: Hortmann/Seide (2006), S. 312-314.

⁶⁶ Vgl. Lutz/Steffen (2007), S. 156.

14

Abbildung 4: Ablauf der Gesamtbankplanung 67

Die zuvor einhergehende Ermittlung des Risikodeckungspotentials basiert auf einem kombinierten Substanz- und Performanceverfahren. ⁶⁸ Während die Ermittlung des Substanzwerts die Barwerte aller Vermögenswerte des Instituts erfasst, berücksichtigt die Performance den zukünftigen Vermögenswert mit seinem Erwartungswert, gegen den auch die Risikomessung erfolgt. ⁶⁹ Das erwartete Vermögen am Ende der Planungsperiode steht somit zur Abdeckung von Verlusten zur Verfügung.

Je größer das zur Verfügung stehende Risikokapital ist, desto umfangreicher sind die Risiken, die eingegangen werden können. ⁷⁰ Entscheidungen über die Verwendung des Risikodeckungspotentials - wie weit und in welche Kanäle wird das Potential in Risikodeckungsmasse transformiert - fällt die Unternehmensleitung anhand von individuell verschiedenen Kriterien. ⁷¹ Maßgeblich bei Banken sind bspw. Zielrankings, die nur dann erreicht werden können, wenn eine gewisse Ausfallwahrscheinlichkeit ihrer Positionen nicht überschritten wird. ⁷² Auch Benchmarks bezüglich der Ergebniserwartungen können Informa-

⁶⁷ EigeneDarstellung in Anlehnung an: Gössi/Hortmann (2007), S. 552.

⁶⁸ Vgl. Lutz/Steffen (2007), S. 157.

⁶⁹ Vgl. Gössi/Hortmann (2007), S. 554.

⁷⁰ Vgl. von Campenhausen (2006), S. 33.

⁷¹ Vgl. Hortmann/Seide (2006), S. 322.

⁷² Zur Vertiefung: Cluse/Göttgens (2007), S. 67-94.

15

tionen zum Verteilungsschlüssel liefern, um auf Augenhöhe mit der Konkurrenz zu stehen. 73

Abbildung 5: Ermittlung des Risikodeckungspotentials 74

Beispiel:

Möchte bspw. eine Bank ihr Engagement im Bereich „Wealth Management“ erhöhen um den unmittelbaren Wettbewerber zu attackieren, so besteht die Möglichkeit eines direkten Benchmarks. Bepreist dieser seine Erwartungen mit einem Indikator von bspw. 10 % Rendite auf das eingesetzte Kapital, so muss dies als Vergleichsparameter herangezogen werden um die entsprechenden Ziele des „Wealth Management“ anpassen zu können. Wie diese Zielerwartungen erreicht werden können und wie viel Risikodeckungsmasse dafür notwendig ist erfolgt anhand des Top - Down - Prozesses.

⁷³ Vgl. Gössi/Hortmann (2007), S. 555.

⁷⁴ Gössi/Hortmann (2007), S. 553.

16

2.3.3 Risikopräferenz

Die Risikopräferenz eines Instituts drückt sich durch die Verteilungscharakteristik der Risikodeckungspotenziale aus. Je mehr Anteile des Risikodeckungspotentials als Risikodeckungsmasse angesetzt werden, desto risikofreudiger ist das unternehmerische Agieren. ⁷⁵ Durch die Zuteilung der oberen Verlustgrenzen, den Limits, auf einzelne Risikoarten bzw. Funktionsbereiche, wird die Risikoneigung der Institution operationalisiert. ⁷⁶ Werden große Anteile für hochriskante Vorhaben verwendet, schließt dies auf eine risikofreudige Unternehmung. Begründet wird dies durch das bewusste Eingehen großer Risiken um eine möglichst hohe Rendite erwirtschaften zu können. Als Nachteil dieser risikofreudigen Strategie sind die sehr hohen Verlustmöglichkeiten zu nennen, die eine risikoscheue Institution stets vermeiden möchte, indem sie große Risiken gar nicht erst eingeht. ⁷⁷ Nachstehende Abbildung verdeutlicht vereinfachend die diversen Risikokulturen:

Mögliche Risikokultur - Typen ⁷⁸ Abbildung 6:

Da sich die Unternehmensleitung für die Risikopolitik verantwortlich zeigt, muss bedacht werden, dass die Mitglieder des Führungsgremiums bestrebt

⁷⁵ Vgl. Gössi/Hortmann (2007), S. 554.

⁷⁶ Vgl. Lutz/Steffen (2007), S. 157.

⁷⁷ Vgl. von Campenhausen (2006), S. 35.

⁷⁸ Eigene Darstellung in Anlehnung an: KPMG (1998), S. 9.

17

sind, ihre individuell eigenen Interessen in die Ausgestaltung der Risikopolitik einzubringen. Somit ist die Institutionelle Risikobereitschaft eine Folge der Risikoneigung als persönliche Einstellung. ⁷⁹ Deshalb hat die Risikopolitik als weiteres Ziel, die unterschiedlichen Risikoneigungen der Führungskräfte zu harmonisieren. ⁸⁰ Die individuelle Risikoneigung wird besonders durch Anreizsysteme bestimmt, sodass eine Führungskraft bei einem hohen zu erwarteten Bonus, eher geneigt sein wird hohe Risiken einzugehen, als wenn keine Incentiveregelung bestünde. ⁸¹ Insofern sind Anreizsysteme so zu gestalten, dass die Gratifikationen nicht zu sehr an kurzfristigen Erfolgsgrößen bemessen werden und eher auf eine langfristig nachhaltige Erfolgsentwicklung abzielen. ⁸² Dies sichert eine nicht zu risikofreudige, bedachte Risikopolitik. ⁸³ Auch eine Begrenzung der Erfolgsprämien nach oben sowie eine Regressklausel auf selbstverschuldete Verluste wären praktikable Steuerungsinstrumente, um die individuellen Risikoneigungen zu kontrollieren und die „Gier“ nach Gewinnstreben, was mit hohem Risikoeingang verbunden ist, zu begrenzen. 84

2.4 Risikocontrolling

2.4.1 Identifikation und Kategorisierung

2.4.1.1 Gegenstand der Betrachtung

In der Literatur hat sich bisher keine einheitliche Klassifikation der Risiken im Geschäft von Finanzdienstleistern herausgebildet. ⁸⁵ Eine Einteilung in finanzielle und nichtfinanzielle Risiken ist jedoch zielführend, um weitere Unterteilungen der Risikokategorien anhand sinnvoller Kriterien vornehmen zu können. 86

⁷⁹ Vgl. Kupsch (1995), S. 530.

⁸⁰ Vgl. Hinterhuber (1998), S. 12.

⁸¹ Vgl. Wittmann (1999), S. 143.

⁸² Vgl. Corsten/Gössinger (2008), S. 60.

⁸³ Zur Vertiefung: Stock - Homburg (2008), S. 327 - 371.

⁸⁴ Vgl. Thielemann (2008).

⁸⁵ Vgl. Crouhy/Galai/Mark (2006), S. 14.

⁸⁶ Vgl. Kuritzkes/Schuermann (2006), S.11.

18

Taxonomie der Bankrisiken ⁸⁷ Abbildung 7:

Die finanziellen Risiken werden daraufhin in Kredit-, Markt- (sogn. Erfolgsrisiken) und Liquiditätsrisiken unterteilt. ⁸⁸ Diese Erfolgsrisiken werden in der Literatur gerne als Eigenkapital- oder Verlustrisiken bezeichnet, da sich als Konsequenz des Eingangs dieser Risiken, ein eventueller Verlust oder Gewinn, immer auf das Eigenkapital auswirkt. ⁸⁹ Besonders die Liquiditätsrisiken fanden bisher kaum Beachtung, da stets ein stabiles Umfeld unterstellt wurde. Es wurde angenommen, dass sich Finanzdienstleister untereinander Gelder anvertrauten um sich refinanzieren zu können. Diese Annahme wurde durch die Vorkommnisse der Hypotheken- und Finanzkrise verworfen, was zukünftig beim Eingang von Risiken zu mehr Berücksichtigung dieser Risikokategorie führen dürfte. ⁹⁰ Bei den nichtfinanziellen Risiken finden die operationellen Risiken besondere Erwähnung, da diese wesentlicher Bestandteil des tatsächlichen Bankrisikos sind, ⁹¹ und sich alle bisher genannten Risiken bei entspre-

⁸⁷ EigeneDarstellung in Anlehnung an: Mitschele (2008), S. 13.

⁸⁸ BTR der MaRisk verlangt eine besondere Ausgestaltung der Risikokategorien: Adressaufallrisiken (Kreditrisiko), Marktpreisrisiken, Liquiditätsrisiken und operationelle Risiken.

⁸⁹ Vgl. Schierenbeck (2006), S. 28.

⁹⁰ Vgl. Schulz (2008), www.FAZ.net.

⁹¹ Vgl. Kuritzkes/Schuermann (2006), S. 3.

19

chender Datenverfügbarkeit näher quantifizieren lassen. Die weiteren Betriebsrisiken sind hingegen kaum in ihrem Volumen abschätzbar, da sie nicht direkt abgrenzbar und somit auch nicht limitierbar sind. 92

Die Risikokategorisierung beginnt mit der Erfassung aller Gefahrenquellen, Schadenursachen, und Störpotenziale eines Finanzdienstleisters, die sich negativ auf die Erreichung der Unternehmensziele auswirken könnten, der sogn Risikoidentifikation. ⁹³ Dieser Prozess ist besonders wichtig, da lediglich erkannte Risiken aktiv gesteuert werden können, während auf nicht erfasste Risiken nur unzureichend und mit erheblichem Aufwand reagiert werden kann. 94

Um eine angemessene Ergebnisqualität bei der Suche nach Risiken gewährleisten zu können, werden vier Postulate zugrunde gelegt, die einen effizienten Suchprozess verheißen. ⁹⁶ Diese sind:

⁹² Vgl. Crouhy/Galai/Mark (2006), S. 11.

⁹³ Vgl. Lück (2000), S. 327.

⁹⁴ Vgl. Romeike (2003), S. 165.

⁹⁵ Eigene Darstellung in Anlehnung an: Mitschele (2008), S. 31.

⁹⁶ Vgl. Diederichs (2004), S.97.

20

Die gängigen in der Praxis angewendeten Methoden zur Risikoidentifikation sind die sogn. Standardmethoden, welche sich in Kollektions- und Suchverfahren unterteilen lassen. ¹⁰⁰ Mit dem Anspruch der vollständigen Erfassung aller Risiken, sind die Instrumente der Standardmethoden allerdings nur als Ergänzung zu umfassenderen Analysen zu verstehen, ¹⁰¹ da die alleinige Verwendung nur unzureichend über bestehende und potentielle Risiken - aufgrund des statischen Charakters - informieren kann. 102

⁹⁷ Vgl. Diederichs (2004), S.98.

⁹⁸ Vgl. Gleißner (2004), S. 38.

⁹⁹ Vgl. Wolf/Runzheimer (2003), S. 42.

¹⁰⁰ Vgl. Romeike 2003), S. 174.

¹⁰¹ Die nachfolgend vereinfachte Darstellung der exemplarischen Kategorisierung erhebt keinen Anspruch auf Vollständigkeit, da eine vollzählige Auflistung und Beschreibung aller bekannten Identifikationsmethoden nicht Kernbestandteil dieser Arbeit ist und den gebührenden Rahmen überziehen würde.

¹⁰² Vgl. Denkena (2005), S. 81.

21

2.4.1.2 Standardmethoden zur Risikoidentifikation

a Kollektionsmethoden

Abbildung 9: Standardmethoden zur Risikoidentifikation 103

Die Kollektionsverfahren eignen sich vorwiegend für die Identifikation offensichtlicher Risiken, was durch die Verwendung von Checklisten, SWOT - Analysen, Interviews und Risikoidentifikations - Matrizen garantiert werden soll. ¹⁰⁴ Risikochecklisten und Expertenbefragungen sind die in der Praxis gängigsten Instrumente zur Risikoidentifikation. 105

Bei den Checklisten handelt es sich um standardisierte Fragebögen, die nach einem vorgegebenen Prüfungsraster Fehlentwicklungen gezielt erfassen sollen. ¹⁰⁶ Bei der Erstellung der Checklisten können offene wie geschlossene Fragestellungen zum Einsatz kommen, was in der Praxis - aufgrund einer wünschenswerten Einheitlichkeit der erhobenen Daten und deren konsistenten Weiterverarbeitung - allerdings nur Theorie ist. ¹⁰⁷ Aus genanntem Grund fin-

¹⁰³ EigeneDarstellung in Anlehnung an: Romeike/Finke (2003), S. 174.

¹⁰⁴ Vgl. Romeike (2003), S. 175.

¹⁰⁵ Vgl. Romeike (2003), S. 175.

¹⁰⁶ Vgl. Burger/Buchhart (2002), S. 82.

¹⁰⁷ Vgl. Ehrmann (2005), S.64.

22

den meist nur geschlossene Fragestellungen Anwendung. Durch das hohe Aggregationsniveau der Ergebnisse werden die ursprünglichen Einzelrisiken und deren Interdependenzen verschleiert, sodass die starre Erfassungsstruktur der Checkliste zu großen informatorischen Lücken führt. ¹⁰⁸ Deshalb sollte die Verwendung der Checklisten lediglich als Bestandteil der Risikoidentifikation, und nicht als das Instrument der Risikoidentifikation schlechthin, verstanden werden. 109

Expertenbefragungen sind zur Risikoidentifikation besonders zielführend, da bei der Informationsgewinnung die Erfahrungen und Kompetenzen der Wissensträger genutzt werden, um vorhandene Risiken möglichst vollständig zu erheben. ¹¹⁰ Das Fachwissen der Prozessverantwortlichen bzw. der Wissensträger aller Unternehmensbereiche sollte bei der Risikobewältigung nicht außer Acht gelassen werden, da hier das Detailwissen über mögliche Risikoquellen besonders ausgeprägt ist. 111

Abbildung 10: Wer identifiziert Risiken? 112

¹⁰⁸ Vgl. Wolf/Runzheimer (2003), S.44.

¹⁰⁹ Vgl. Romeike (2003), S. 175.

¹¹⁰ Vgl. von Campenhausen (2006), S. 38.

¹¹¹ Vgl. von Campenhausen (2006), S. 39.

¹¹² von Campenhausen (2006), S. 39.

23

b Analytische Methoden

Analytische Methoden sind - gegensätzlich zu den Kollektionsmethoden - darauf fokussiert, zukünftige und bisher unbekannte Risikopotentiale zu identifizieren. ¹¹³ Ein Instrument, was sich aus dem Qualitätsmanagement entwickelt hat und heute bei vielen Unternehmen angewendet wird, ist die Fehlermöglichkeits- und Einflussanalyse bzw. Ausfallanalyse (FMEA = Failer Mode and Effects Analysis). ¹¹⁴ Dieses Instrument basiert auf den Qualitätsmanagement -Systemen ISO 9000 ff, was eine hohe Relevanz für die Design- und Entwicklungsabteilungen produzierender Unternehmen hat. Aufgrund des fehlenden produzierenden Charakters von Finanzdienstleistern, entfällt dieses Instrument der Risikoidentifikation bei solchen Institutionen entsprechend.

Anwendung findet hingegen die Fehlerbaumanalyse (FTA = Fault Tree Analysis), die unabhängig von der Branche, Erkenntnisse über verspricht, indem Szenarien durchgespielt werden.

Bei der Fehlerbaumanalyse wird das Gesamtsystem detailliert und möglichst exakt beschrieben, um daraus analysieren zu können, welche primären Störungen zur Störung des Gesamtsystems führten. ¹¹⁵ In diesem induktiven Verfahren werden die Störungsursachen soweit aufgegliedert, bis keine weitere Differenzierung mehr möglich ist. Die Ergebnisstruktur dieses Prozesses ist eine logische Struktur in Form eines fein verzweigten Netzwerkes, was bei Zuweisung von Eintrittswahrscheinlichkeiten zum Eintritt der Basisereignisse, zu einem Eintrittswahrscheinlichkeitsszenario des Top - Ereignisses führt. ¹¹⁶ Dies erfolgt mittels der Boolschen Algebra und wird meist zur Fehlerursachenidentifikation bestehender Systeme oder zur Bewertung der Systemsicherheit herangezogen. 117

Als Beispiel soll auf das Hinterlegen von PINs und TANs bei Banken verwiesen werden, die bei Geldautomatennutzungen und Online - Banking - Transak-

¹¹³ Vgl.Romeike (2005), S. 78.

¹¹⁴ Vgl. Von Campenhausen (2006), S. 40.

¹¹⁵ Vgl. DIN 25419.

¹¹⁶ Vgl. DIN 25419.

¹¹⁷ Vgl. Romeike (2003), S. 176.

24