I

Inhaltsverzeichnis

Inhaltsverzeichnis.   I

Abk  ürzungsverzeichnis.  III

Abbildungs  - und Tabellenverzeichnis  V

1.  Einleitung  1

1.1.  Problemstellung und Ziel dieser Arbeit  1

1.2.  Aufbau der Arbeit.  1

2.  Entstehungsgeschichte und Darstellung des MaRisk-Rundschreibens (VA)  3

2.1.  Solvency II  3

2.2.  9. Novelle des Versicherungsaufsichtsgesetzes  5

2.3.  Mindestanforderungen an das Risikomanagement (VA)  6

3.  Risikomanagementprozess und Risikocontrolling  8

3.1.  Begriffsdefinitorische Grundlagen.  8

3.2.  Risikomanagementprozess  9

3.2.1.  Identifikation  10

3.2.2.  Bewertung und Analyse  11

3.2.3.  Steuerungsmaßnahmen.  13

3.2.4.  Überwachung / Kontrolle  15

3.3.  Risikocontrolling.  15

3.4.  Risikoberichtswesen.  17

4.  Anforderungen an das Risikomanagement.  20

4.1.  Risikostrategie.  20

4.2.  Organisatorische Rahmenbedingungen.  22

4.3.  Internes Steuerungs- und Kontrollsystem  25

4.3.1.  Risikotragfähigkeitskonzept und Limitierung.  27

4.3.2.  Risikokontrollprozess.  30

4.3.3.  Unternehmensinterne Kommunikation und Qualitätssicherung des IKS  35

4.4.  Interne Revision  38

5.  Auswirkungen auf das Risikoberichtswesen.  44

5.1.  Rechtliche Grundlagen und Standards  44

5.2.  Anforderungen des MaRisk-Rundschreibens (VA) an die Berichterstattung.  47

5.3.  Implementierung der neuen Anforderungen  49

II

5.3.1.  Bestandsaufnahme derzeitiger Maßnahmen.  50

5.3.2.  Aufbau und Inhalt des internen Risikoberichts  53

5.4.  Organisatorische Auswirkungen  64

6.  Fazit  65

7.  Anhang  67

Literaturverzeichnis   VI

III

Abkürzungsverzeichnis

Abs. = Absatz ABS = Asset Backed Securities AktG = Aktiengesetz ALM = Asset Liability Management BaFin = Bundesanstalt für Finanzdienstleistungsaufsicht BGBl. = Bundesgesetzblatt BSI = Bundesamt für Sicherheit in der Informationstechnik bzgl. = bezüglich bzw. = beziehungsweise COSO = Committee of Sponsoring Organization of the Treadway Commission d.h. = das heißt DIIR = Deutsche Institut für Interne Revision DRS = Deutscher Rechnungslegungsstandard DSR = Deutscher Standardisierungsrat ebd. = ebenda engl. = englisch einschl. = einschließlich EU = Europäische Union f. = folgende ff. = fortfolgend GDV = Gesamtverband der Deutschen Versicherungswirtschaft e. V. ggf. = gegebenenfalls HGB = Handelsgesetzbuch i.d.R. = in der Regel IFRS = International Financial Reporting Standards IIA = The Institute of Internal Auditors IKS = Internes Kontrollsystem ISKS = Internes Steuerungs- und Kontrollsystem ISO = International Standards Organization IT = Informationstechnologie Jhd. = Jahrhundert

IV

KonTraG = Gesetz zur Kontrolle und Transparenz im Unternehmensbereich lt. = laut MaRisk = Mindestanforderungen an das Risikomanagement MCR = Minimum Capital Requirement Nr. = Nummer o.a. = oben aufgeführt o.g. = oben genannt RM = Risikomanagement S. = Seite SCR = Solvency Capital Requirement SPV = Special Purpose Vehicle u.a. = unter anderem usw. = und so weiter VAG = Versicherungsaufsichtsgesetz VaR = Value at Risk VFE = Vermögen, Finanz, Ertrag Vgl. = Vergleiche z.B. = zum Beispiel

V

Abbildungs  - und Tabellenverzeichnis  

Abbildung  1: Aufbau der Diplomarbeit  2

Abbildung  2: Drei Säulen des Solvency II-Projekts  4

Abbildung  3: Risikomanagementprozess.  9

Abbildung  4: Risikolandkarte  12

Abbildung  5: Risikosteuerungsmaßnahmen.  13

Abbildung  6: Abgrenzung Risikomanagement und Risikocontrolling  16

Abbildung  7: Aufbau eines Internen Kontrollsystems.  26

Abbildung  8: Validierungsprozess des ISKS  38

Abbildung  9: Visualisierung einer Gap-Analyse  51

Abbildung  10: Vorgehensweise zur Bestandsaufnahme interne Risikoberichterstattung  52

Tabelle 1:  Aufbauorganisation mögliche Funktionsträger und deren Aufgaben  23

Tabelle 2:  Risikokategorien nach dem MaRisk-Rundschreiben (VA)  32

Tabelle 3:  Begriffsdefinition bezüglich Interner Revision nach MaRisk (VA)  41

Tabelle 4:  Unterschiede in der Berichterstattung nach DRS und VAG  49

Tabelle 5:  Checklistenauszug - Allgemeine Angaben und Einführung in den Aufbau  54

Tabelle 6:  Checklistenauszug - Darstellung und Umsetzung der Risikostrategie  56

Tabelle 7:  Checklistenauszug - Methodenänderung  58

Tabelle 8:  Checklistenauszug - Risikotragfähigkeitskonzept  60

Tabelle 9:  Checklistenauszug - Situation der Einzelrisiken.  62

Tabelle 10:  Checklistenauszug - Gesamtrisikosituation und Zusammenfassung  63

1

1. Einleitung

1.1. Problemstellung und Ziel dieser Arbeit

Ab dem 1. Januar 2009 müssen von Versicherungsunternehmen Risikoberichte bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eingereicht werden. In den letzten Jahren standen überwiegend die gesetzlichen Anforderungen der externen Berichterstattung, insbesondere für den Lagebericht und Jahresabschluss nach HGB oder IFRS, im Vordergrund. Die hierfür entwickelten Normen lassen sich jedoch nur bedingt auf die interne Risikoberichterstattung übertragen. ¹ Weiterhin gibt es mit der 9. Novelle des Versicherungsaufsichtsgesetzes (VAG) einige Änderungen, welche die deutsche Versicherungswirtschaft auf Solvency II vorbereiten sollen. Aus diesen Gründen hat die Aufsichtsbehörde das Rundschreiben 3/2009 veröffentlicht, welches die Mindestanforderungen an das Risikomanagement (MaRisk) erläutert und die Veränderungen am VAG konkretisiert. Bei vielen Versicherungsunternehmen entstehen auf Grund der Prinzipienorientierung einige Fragestellungen bzgl. des genauen Inhalts des Risikoberichts und auf die Prüfungsschwerpunkte seitens der BaFin. 2

Die aufgeführten Neuerungen und Unsicherheiten bilden die Motivation für diese Diplomarbeit. Das Ziel soll es sein, die Anforderungen des Rundschreibens 3/2009 darzustellen und folglich die Auswirkungen auf das Risikomanagement, insbesondere auf das Risikoberichtswesen, aufzuzeigen. Außerdem liefert diese Diplomarbeit neben einer Bestandsanalyse der aktuellen Situation bzgl. der Risikoberichterstattung auch eine Checkliste, die für die praktische Umsetzung und Implementierung des Risikoberichts hilfreich sein kann.

1.2. Aufbau der Arbeit

Zu Beginn dieser Arbeit soll dem Leser das Grundverständnis von dem MaRisk-Rundschreiben (VA) sowie dem Risikomanagementprozess und Risikocontrolling nähergebracht werden. Dies erfolgt durch die Darstellung und den Entstehungsprozess des o.g. Schreibens und einem begriffsdefinitorischen Grundlagenteil, in dem der Begriff Risiko definiert sowie der Risikomanagementprozess ausführlich erläutert wird. An dieser Stelle wird gesondert auf die Thematik Risikocontrolling und Risikoberichtswesen eingegangen.

¹ Vgl. Rautenburger/Winter (2009), S. 233.

² Prinzipienorientierung meint, dass die Unternehmen unter Berücksichtigung der Mindestanforderung frei ent- scheiden können, wie konkret das Risikomanagementsystem und der Risikobericht auszugestalten sind.

2

Die beiden folgenden Kapitel widmen sich der derzeitigen Situation der Versicherungsunternehmen. Im ersten Schritt werden die Anforderungen an das Risikomanagement, die aus dem MaRisk-Rundschreiben resultieren, dargestellt. Hierbei wird besonders auf die Risikostrategie, das Interne Steuerungs- und Kontrollsystem und die Interne Revision eingegangen, da die Aufsichtsbehörde diesbezüglich ausführliche Punkte im Rundschreiben angibt.

Anschließend wird dem Leser die derzeitige Rechtsgrundlage für die Risikoberichterstattung nähergebracht. Weiterhin wird im fünften Kapitel auf eine Möglichkeit der Bestandsaufnahme der aktuellen unternehmensinternen Situation sowie eine mögliche Gliederungsstruktur des internen Risikoberichts aufgezeigt.

Im letzten Schritt wird in einer kurzen Zusammenfassung eine kritische Würdigung dieser Thematik erfolgen. Der Aufbau der Diplomarbeit wird durch folgende Grafik veranschaulicht:

Abbildung 1: Aufbau der Diplomarbeit 3

³ Eigene Darstellung.

3

2. Entstehungsgeschichte und Darstellung des MaRisk-Rundschreibens (VA)

In den folgenden Kapiteln wird aufgezeigt, wie sich das MaRisk-Rundschreiben entwickelt hat. Begonnen hat es mit der Idee einer Angleichung der Aufsichtsbehörden und somit einer Harmonisierung auf dem Binnenmarkt der Europäischen Union. Dies machte eine Änderung des Versicherungsaufsichtsgesetzes notwendig. Schließlich hat daraufhin die Bundesanstalt für Finanzdienstleistungsaufsicht mit dem MaRisk-Rundschreiben (VA) einen Leitfaden zur Konkretisierung der Umsetzung geschaffen.

2.1. Solvency II

Die Europäische Kommission hat im Jahr 1999 eine Entscheidung getroffen, von der Versicherungsunternehmen besonders stark betroffen sind. Die Aufsicht über die Finanzlage dieser Institute soll grundlegend überarbeitet und an aktuelle Anforderungen angepasst werden. ⁴ Aus diesem Grund wurde das Projekt Solvency II ins Leben gerufen, welches wiederum in den Aktionsplan für Finanzdienstleistungen eingebunden wurde. Mit dem Aktionsplan wird das Ziel verfolgt, die rechtlichen Schutzbestimmungen an aktuelle Ausprägungen von Finanzrisiken anzupassen. ⁵ „Ein fundamentales Anliegen des Projekts ist die Entwicklung eines weitgehend wettbewerbsneutralen Systems, welches die tatsächliche Risikolage des Versicherers umfassend und möglichst realistisch beschreibt.“ ⁶ In der weiteren Entwicklung wurden in den Jahren 2001 bis 2003 (Phase 1) zwei zentrale Studien angefertigt, die grundsätzliche Rahmenbedingungen schaffen sollten. Eine dieser Studien wurde von der Wirtschaftsprüfungsgesellschaft KPMG erstellt. ⁷ In dieser wird empfohlen, Solvency II in Anlehnung an Basel II auf einem Konzept der Drei-Säulen beruhen zu lassen. 8

⁴ Vgl. Hartung (2007), S. 305.

⁵ Vgl. ebd.

⁶ Schradin (2003), S. 38.

⁷ Vgl. KPMG (2002), S. 16.

⁸ Vgl. Graf (2008), S. 14.

Abbildung 2: Drei Säulen des Solvency II-Projekts 9

Die erste Säule schreibt die quantitativen Eigenmittelanforderungen unterteilt nach ökonomischen Kapital und Mindestkapital fest. Säule Zwei beschäftigt sich mit den qualitativen An-forderungen an die Prüfungsverfahren der Aufsichtsbehörden. ¹⁰ Ziel der dritten Säule ist es, durch eine Verstärkung von Publizitätsanforderungen die Markttransparenz und somit auch die Marktdisziplin zu steigern. 11

Die weitere wesentliche Studie ist als „Sharma-Bericht“ bekannt. Sie wurde nach dem Vorsitzenden der Konferenz der europäischen Versicherungsaufsichtsbehörden, Paul Sharma, benannt. In dieser werden häufigere und frühere Eingriffsmöglichkeiten der Regulatoren ge-fordert, um möglichen Schieflagen der Unternehmen wirkungsvoll und präventiv entgegenzuwirken. Weiterhin werden im Sharma-Bericht auf ein ausreichendes Solvenzkapital hingewiesen sowie die Qualität des Risikomanagements und die qualitative Ausgestaltung der internen Prozesse betont. ¹² In dem Jahr 2004 begann die zweite Phase des Projekts Solvency II, welche die Konkretisierung der Grundsätze und Einzelheiten eines neuen Solvabilitätssystems zum Gegenstand hatte. ¹³ Durch die Einführung von Solvency II in die Praxis der Aufsichtsbehörden wird die zweite Phase enden. Ursprünglich sollte im Jahr 2010 die Implementierung

⁹ Eigene Darstellung in Anlehnung an Romeike/Müller-Reichert (2008), S. 134.

¹⁰ Vgl. Gründl/Perlet (2005), S. 266.

¹¹ Vgl. Gründl/Perlet (2005), S. 40.

¹² Vgl. Graf (2008), S. 15.

¹³ Vgl. Hartung (2007), S. 307.

5

stattfinden, allerdings ist mittlerweile von der Europäischen Kommission das Jahr 2012 für die Umsetzung der Rahmenrichtlinie vorgesehen. 14

2.2. 9. Novelle des Versicherungsaufsichtsgesetzes

Am 15. November 2007 wurde vom Deutschen Bundestag die 9. Novelle des Versicherungsaufsichtsgesetzes (VAG) verabschiedet und am 31. Dezember im Bundesgesetzblatt veröffentlicht. ¹⁵ Der Grund für die Überarbeitung des Gesetzes ist ein Urteil des Bundesverfassungsgerichts, welches das VAG als verfassungswidrig erklärt hat. ¹⁶ Neben der verfassungsmäßigen Neuregelung einiger Paragraphen verfolgt die 9. Novelle zusätzlich das Ziel, die deutsche Versicherungswirtschaft rechtzeitig auf die Regelungen und Anforderungen von Solvency II vorzubereiten. ¹⁷ Durch neue Bestimmungen an das Risikomanagement in Versicherungsunternehmen und Pensionskassen soll die Vorbereitung vorangetrieben werden. In diesem Zusammenhang sind speziell die Paragraphen 64a und 55c zu nennen, die beide in die überarbeitete Fassung eingefügt wurden. Der § 64a besagt, „Versicherungsunternehmen müssen über eine ordnungsgemäße Geschäftsorganisation verfügen, welche die Einhaltung der von ihnen zu beachtenden Gesetze und Verordnungen sowie der aufsichtsbehördlichen Anforderungen gewährleistet.“ ¹⁸ Die geforderte ordnungsgemäße Geschäftsorganisation kann durch eine entsprechende Buchhaltung und Verwaltung sowie ein angemessenes Risikomanagement umgesetzt werden. Folgende Punkte sollten im Risikomanagement Berücksichtigung finden:

• Entwicklung einer Risikostrategie, die auf die Gesamtsteuerung des Unternehmens abgestimmt ist

• Regelungen über die Aufbau- und Ablauforganisation in Bezug auf die Überwachung und Kontrolle der wesentlichen Abläufe und Aufgaben • Einrichtung eines geeigneten Internen Kontroll- und Steuerungssystems • Einrichtung einer Internen Revision. 19

¹⁴ Vgl. Europäische Kommission (2009).

¹⁵ Vgl. Altenähr et al. (2008), S. 6 und Bundesgesetzblatt Nr. 70 vom 31.12.2007, S. 3248-3253.

¹⁶ Vgl. Urteil des Bundesverfassungsgerichts vom 26. Juli 2005, 1 BvR 782/94.

¹⁷ Vgl. Wehling/Treber (2008), S. 178.

¹⁸ VAG § 64a.

¹⁹ Vgl. VAG § 64a.

6

Verantwortlich für die ordnungsgemäße Geschäftsorganisation sind per Gesetz die Geschäftsleiter des Versicherungsunternehmens, wodurch die Verantwortung nicht delegierbar ist. Eng verknüpft mit dem § 64a ist der ebenfalls neu eingeführte § 55c, welcher die Vorlage eines Risikoberichts und eines Revisionsberichts bei der Aufsichtsbehörde regelt. Mit dem Risikobericht ist kein externer Bericht gemeint, sondern die Berichterstattung, die für die Geschäftsleitung angefertigt wird. ²⁰ Aus diesem Grund wird der Risikobericht in weiten Kreisen der Versicherungsbranche und somit auch in dieser Arbeit im Weiteren als „interner Bericht“ genannt. Der Revisionsbericht soll die wesentlichen Feststellungen der Prüfung des vergangenen Geschäftsjahres und zusätzlich die geplanten Prüfungshandlungen des aktuellen Geschäftsjahres beschreiben. ²¹ Die Fristen zur Vorlage werden im § 55c Abs. 5 geregelt. Der interne Bericht soll demnach spätestens mit einmonatiger Verzögerung nach Einreichung bei der Geschäftsführung bei der Aufsichtsbehörde eintreffen, der Revisionsbericht spätestens mit dem Einreichen des Jahresabschlusses. Am 01. Januar 2008 sind die Regelungen der 9. Novelle des VAG in Kraft getreten. 22

2.3. Mindestanforderungen an das Risikomanagement (VA)

Am 30. April 2008 hat die BaFin das Konsultationsschreiben 8/2008 veröffentlicht. Dahinter verbirgt sich der Entwurf eines Rundschreibens für aufsichtsrechtliche Mindestanforderungen an das Risikomanagement von Versicherungsunternehmen, im Weiteren MaRisk (VA) genannt. Nach Beendigung der Konsultationsphase wurden am 22. Januar 2009 durch das Rundschreiben 3/2009 die MaRisk (VA) veröffentlicht. Durch das Rundschreiben wird der § 64a konkretisiert und bietet somit eine verbindliche Auslegung des Paragraphen für die Aufsichtsbehörde sowie für die Versicherungsunternehmen. ²³ „Die BaFin möchte den Unternehmen mit den MaRisk (VA) somit Planungssicherheit geben, wenn sie ihre Risikomanagementsysteme weiterentwickeln.“ ²⁴ Als weiteres Ziel nennt die BaFin die rechtzeitige und angemessene Vorbereitung der deutschen Versicherungswirtschaft auf Solvency II. ²⁵ Die MaRisk

²⁰ Vgl. Wehling/Treber (2008), S. 179.

²¹ Vgl. VAG § 55c.

²² Vgl. Rauschen/Schmitt (2008), S. 992.

²³ Vgl. BaFin (2009), S. 3.

²⁴ Deloitte (2009), S. 1.

²⁵ Vgl. Romeike (2008), S. 1.

7

nehmen viele Inhalte der zweiten Säule vorweg, da die Qualität des Risikomanagements eines Unternehmens betrachtet wird. 26

Das MaRisk-Rundscheiben (VA) legt lediglich Mindestanforderungen fest, was bedeutet, dass Versicherungsunternehmen die Inhalte und Anforderungen des Rundschreibens durchaus übertreffen dürfen. Eine wichtige Eigenschaft des MaRisk-Rundschreibens ist die Prinzipien-orientierung. Für das Unternehmen bedeutet dies eine freie Entscheidung über die tatsächliche Ausgestaltung des Risikomanagements in Bezug auf die unternehmensindividuellen Risiken in Art und Umfang unter Berücksichtigung der Mindestanforderungen. Die Prüfung der Angemessenheit durch die Aufsichtsbehörde erfolgt nach dem Gesichtspunkt der Proportionalität unter Beachtung der Materialität und Wesentlichkeit. ²⁷ Die Prozesse des Risikomanagements sollen proportional zur Unternehmensgröße, zum Geschäftsvolumen und zur spezifischen Risikostruktur gewählt werden. ²⁸ Diese Vorgehensweise bedeutet die Abkehr vom regelbasierten Ansatz. ²⁹ Das MaRisk-Rundschreiben (VA) beinhaltet zusätzlich einen Erläuterungsteil der einzelnen Anforderungen. Dieser Teil enthält Ausführungen der allgemeinen Art sowie Beispiele zum Umgang mit den Anforderungen in der Praxis. Einige Rundschreiben werden durch das MaRisk-Rundschreiben (VA) abgelöst, manche allerdings, wie z.B. das Rundschreiben 15/2005, behalten weiterhin ihre Gültigkeit.

²⁶ Vgl. Kapitel 2.1.

²⁷ Vgl. Deloitte (2009), S. 3.

²⁸ Vgl. ebd.

²⁹ Ein regelbasierter Ansatz ist das Gegenteil von dem der Proportionalität. Diese Ansätze beinhalten häufig eine Checkliste oder einen detaillierten Ablaufplan zur Durchführung und lassen somit sehr geringe bis keine Spielräume zu.

8

3. Risikomanagementprozess und Risikocontrolling

Eine Schaffung von Grundlagen und das Aufführen einiger Definitionen sind zum besseren Verständnis des folgenden Abschnittes notwendig. Besonderes Augenmerk liegt dabei auf der Betrachtung des Risikomanagementprozesses und der Abgrenzung von Risikomanagement und Risikocontrolling. Abschließend wird das Berichtswesen einer Unternehmung kurz erläutert.

3.1. Begriffsdefinitorische Grundlagen

Der Begriff Risiko leitet sich aus dem italienischen ab. Zum einen existiert das Wort risicare, was so viel bedeutet wie etwas wagen oder Gefahr laufen, zum anderen das frühitalienische Wort risco, welches die Klippe meint, die es zu umschiffen gilt. ³⁰ Es existieren unterschiedliche Auslegungen für den Risikobegriff. Da in dieser Arbeit der Fokus auf das MaRisk-Rundschreiben gelegt ist, wird die Definition aus dem selbigen verwendet. Als Risiko wird demnach „(...) die Möglichkeit des Nichterreichens eines explizit formulierten oder sich implizit ergebenen Zieles verstanden.“ 31

Die Ursprünge des Risikomanagements liegen in den Vereinigten Staaten von Amerika. Dort haben Unternehmen, versucht die Versicherungsprämien für die versicherten Risiken so gering wie möglich zu halten oder Versicherungen ganz einzusparen. Dies führte dazu, dass in vielen Unternehmen spezielle Risk-Management-Abteilungen gegründet wurden. ³² In Europa hat das Konzept des Risikomanagements in den siebziger Jahren Einzug in die unternehmerische Praxis erhalten. ³³ Unter Risikomanagement kann ein wert- oder erfolgsorientierter Ansatz in Bezug auf Analyse und Umgang mit unternehmensweiten Risiken verstanden werden. ³⁴ Hierbei ist zu betonen, dass das Risikomanagement als Prozess verstanden wird, da es ein dynamischer Vorgang ist und keine einmalige, statische Aktion darstellt. ³⁵ In Kapitel 3.2. wird auf den Risikomanagementprozess detaillierter eingegangen.

Häufig wird das Wort Controlling von dem englischen Verb to control abgeleitet und somit missverständlich als Kontrolle oder etwas bzw. jemanden kontrollieren interpretiert. In der englischsprachigen Managementliteratur wird unter Control allerdings Beherrschung, Len- ³⁰ Vgl.Schmitz/Wehrheim (2006), S. 15; Romeike/Müller-Reichert (2008), S. 373.

³¹ BaFin (2009), S. 7.

³² Vgl. Fiege (2006), S. 51.

³³ Vgl. ebd.

³⁴ Vgl. Finke (2005), S. 23.

³⁵ Vgl. Wolke (2008), S. 4.

9

kung, Steuerung und Regelung von Prozessen verstanden. ³⁶ Das Risikocontrolling unterstützt das Risikomanagement bei der Planung und Steuerung von Unternehmensrisiken und ist somit als Bestandteil des Risikomanagements anzusehen. ³⁷ Das Kapitel 3.3. widmet sich den Aufgaben und Zielen des Risikocontrollings.

3.2. Risikomanagementprozess

Es existiert eine Vielzahl von Einzelrisiken, die in ihrem Zusammenspiel ein Gesamtrisiko für ein Unternehmen darstellen. Die Abbildung der einzelnen Risiken und des Risikos in aggregierter Form ist das Ziel des Risikomanagements. ³⁸ Als weiteres Ziel sollte die Formulierung einer Relation von eingegangenem Risiko und der daraus resultierenden Wertsteigerung oder dem erwarteten Erfolg angefügt werden. ³⁹ Zur Zielerreichung ist es notwendig, dass das Risikomanagement als kontinuierlicher Prozess verstanden wird. ⁴⁰ Dieser Risikomanagementprozess setzt sich aus den einzelnen Phasen Risikoidentifikation, Risikobewertung, Risikosteuerung sowie Risikoüberwachung und -kontrolle zusammen. Folgende Grafik verdeutlicht diesen Sachverhalt:

Abbildung 3: Risikomanagementprozess 41

³⁶ Vgl. Horváth (2006), S. 18.

³⁷ Vgl. Wolke (2008), S. 2.

³⁸ Vgl. Beinert (2003), S. 26.

³⁹ Vgl. Finke (2005), S. 24.

⁴⁰ Vgl. Burger/Burchhart (2002), S. 31.

⁴¹ Eigene Darstellung in Anlehnung an Romeike/Müller-Reichert (2008), S. 75.

10

Um eine Optimierung der Risikosituation des Unternehmens zu erreichen, ist es notwendig, dass der Risikomanagementprozess regelmäßig durchgeführt wird und die Daten sowie Erkenntnisse aus der Risikoüberwachung in die erneuten Analysen und Bewertungen einfließen. 42

3.2.1. Identifikation

In der ersten Phase des Risikomanagementprozesses wird versucht, alle möglichen Gefahrenquellen und Störpotentiale in prospektiver Betrachtungsweise vollständig zu identifizieren und zu erfassen. ⁴³ Es wird eine systematische und prozessorientierte Vorgehensweise empfohlen, um das Ergebnis der Risikoidentifikation zu maximieren. ⁴⁴ Nur identifizierte und erfasste Risiken können den weiteren Risikomanagementprozess durchlaufen, wodurch die Wichtigkeit dieser ersten Phase nochmalig unterstrichen wird. Zur besseren Übersicht und weiteren Unterstützung sollten die Risiken in einzelne Risikoarten unterteilt werden. ⁴⁵ Die BaFin schlägt im MaRisk-Rundschreiben (VA) vor, acht Risikokategorien einzuführen, auf die in Kapitel 4. detaillierter eingegangen wird. Die Erfassung aller Einzelrisiken sollte im Idealfall permanent, rechtzeitig, schnell und vollständig erfolgen, um die Einflüsse auf das Gesamtrisiko des Unternehmens darzustellen. ⁴⁶ In der Literatur wird der Identifikationsprozess auch als Risikoinventur bezeichnet, da er Parallelen zur Inventarisierung bei der industriellen Lagerhaltung aufweist. ⁴⁷ Es werden viele Informationen benötigt, um bestehende sowie potentielle Gefahren und Störungen für die einzelnen Geschäftsprozesse zu ermitteln. Hierbei können als interne Informationsquellen einzelne Abteilungen des Unternehmens, wie z.B. die Finanzbuchhaltung oder die Kontrollorgane Aufsichtsrat und Jahresabschlussprüfer, dienen. ⁴⁸ Zusätzlich sollten auch externe Informationsquellen herangezogen werden. Aussagen und Berichte von Analysten, Banken sowie Ratingagenturen, Geschäftsberichte von anderen branchenzugehörigen Unternehmen und Auszüge aus dem Handelsregister können als Beispiele genannt werden. ⁴⁹ Zur Identifikation der Risiken existiert eine Vielzahl von Methoden und Techniken. So können z.B. Checklisten oder Interviews und Befragungen sowie eine

⁴² Vgl. Romeike/Müller-Reichert (2008), S. 75

⁴³ Vgl. Schmitz/Wehrheim (2006), S. 34.

⁴⁴ Vgl. Romeike/Müller-Reichert (2008), S. 75.

⁴⁵ Vgl. Dörner/Doleczik (2000), S. 203.

⁴⁶ Vgl. Burger/Burchhart (2002), S. 32.

⁴⁷ Vgl. Horváth (2006), S. 749; Schmitz/Wehrheim (2006), S. 34.

⁴⁸ Vgl. Schmitz/Wehrheim (2006), S. 35.

⁴⁹ Vgl. ebd.