Inhaltsverzeichnis

1  Einleitung  1

1.1  Problemstellung  1

1.2  Ziel der Arbeit  2

1.3  Gang der Arbeit  2

2  Grundlagen des Risikomanagement  3

2.1  Definition Risiko.  3

2.1.1  Qualitative Beschreibung von Risiko  5

2.1.2  Quantitative Beschreibung von Risiko.  7

2.2  Wahrnehmung und Messung von Risiko.  11

2.3  Gesetzliche Vorlagen, Trends  13

2.3.1  Gesetz zur Kontrolle und Transparenz im Unternehmensbereich  

  (KonTraG)  14

2.3.2  Basel II.  15

2.3.3  Sarbanes-Oxley Act.  18

2.4  Risikomanagement im Controlling  19

2.5  Methoden des Risikomanagements  22

2.5.1  Risikobewältigung  22

2.5.2  Business Continuity Management (BCM)  23

2.5.2.1  Krisenmanagement  26

2.5.2.2  Notfallplanung.  29

2.6  Entwicklung des Risikomanagements  32

3  Risikomanagementsysteme  41

3.1  Einführung Managementsysteme  41

3.1.1  Management  41

3.1.2  Managementsystem  41

3.2  Normatives und strategisches Risikomanagement  43

i

3.2.1  Risikopolitik  43

3.2.2  Risikostrategie.  44

3.3  Risikomanagementsysteme in der Praxis  45

3.3.1  ISO DIN EN 14971:2000  46

3.3.2  AS/NZS 4360:2004.  46

3.4  Operatives Risikomanagement (Risikomanagementprozess)  48

3.4.1  Risiko erkennen - Risikoidentifikation.  48

3.4.2  Risiko beurteilen - Risikoanalyse.  50

3.4.3  Risiko beherrschen - Risikosteuerung.  54

3.4.4  Maßnahmen überwachen - Risikokontrolle.  55

3.4.5  Querschnittsfunktion: Risikokommunikation  56

4  Qualitätsmanagementsysteme  58

4.1  Der Begriff Qualität  58

4.2  Aufbau eines Qualitätsmanagementsystems.  59

4.2.1  Qualitätsplanung  61

4.2.2  Qualitätslenkung  62

4.2.3  Qualitätssicherung  62

4.2.4  Qualitätsverbesserung.  63

4.3  Qualitätsmanagement nach DIN EN ISO 9000ff:2005/2000.  63

4.4  Erweiterung zum Total Quality Management  66

5  Schnittpunkte Risiko- und Qualitätsmanagementsystem  69

5.1  Methodik des Vergleichs der Managementsysteme.  69

5.2  Einordnung von Qualität und Risiko in das jeweils andere  

Managementsystem.   69

5.2.1  Qualität aus der Sichtweise des Risikomanagementsystems  69

5.2.2  Risiko aus der Sichtweise des Qualitätsmanagementsystems  70

5.2.3  Zwischenfazit.  71

5.3  Schnittpunkte auf normativer und strategischer Ebene.  72

ii

5.4  Schnittpunkte auf operativer Ebene.  73

5.4.1  Vergleich der operativen Prozesse.  73

5.4.2  Verwendete Werkzeuge  74

6  Integriertes Managementmodell  76

6.1  Begriffbestimmung  76

6.2  Grenzen der Integrationsmöglichkeiten.  77

6.3  Integration mit Hilfe der Balanced Scorecard  79

6.3.1  Grundlagen der Balanced Scorecard  79

6.3.2  Integration von Qualitäts- und Risikomanagement mit der Balanced  

Scorecard   82

6.4  EFQM - Business Excellence Modell.  89

6.5  ONR 49000ff.  92

7  Fazit  97

8  Anhang  99

9  Literaturverzeichnis  105

iii

Abbildungsverzeichnis   

Abbildung  2-1: Risiko.  

Abbildung  2-2: Risikokategorien.  

Abbildung  2-3: Nettorisiko.  

Abbildung  2-4: Halbquantitative Risikokategorisierung.  

Abbildung  2-5: Bruttoschaden gegen Nettorisiko  

Abbildung  2-6: Der BCM Lebenszyklus-Ansatz.  

Abbildung  2-7: Komponenten von BCM.  

Abbildung  2-8: Der Krisenmanagementprozess.  

Abbildung  2-9: Der Notfallplanungsprozess  

Abbildung  2-10: Entwicklung des Risiko- und Qualitätsmanagements.  

Abbildung  2-11: Umfrage Ernest Young: Ziele des Risikomanagementsystems  

Abbildung  2-12: Umfrage zu Risikomanagement in KMUs: Bedeutendste Risiken.  

Abbildung  2-13: Umfrage zu Risikomanagements in KMUs: Vergleich Europa.  

Abbildung  2-14: Umfrage Ernest Young: Risikoverständnis  

Abbildung  2-15: Umfrage Marsh 2004: Risikoanalyse.  

Abbildung  2-16: Umfrage Marsh 2004: Qualitativer Vergleich  

Abbildung  3-1: Das St. Galler Modell des integrierten Qualitätsmanagements  

Abbildung  3-2: Vergleich VaR - CFaR  

Abbildung  3-3: Der operative Risikomanagementprozess.  

Abbildung  4-1: Der operative Qualitätsmanagementprozess.  

Abbildung  4-2: Qualitätsmanagement nach DIN EN ISO 9001/4.  

Abbildung  4-3: Das EFQM Modell.  

Abbildung  6-1: Wirkungskette der Balanced Scorecard  

Abbildung  6-2: Einbindung des Risikomanagements durch die FutureValue  

Scorecard   

Abbildung  6-3: Integration mit Hilfe der BSC  

Abbildung  6-4: Das EFQM Modell.  

Abbildung  6-5: Aufbau der ONR 49000ff  

Abbildung  6-6: Der Weg von der Umwelt zum Risikomanagement  

Abbildung  6-7: Einbindung in das Modell der ISO 9001.  

iv

Abkürzungsverzeichnis

AktG Aktiengesetz

ART Alternativer Risikotransfer

AS / NZS Australian Standard / New Zealand Standard

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht

BCM Business Continuity Management

BCI Business Continuity Institute

BMELV Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz

BSC Balanced Scorecard

CEO Chief Executive Officer

CFaR Cash-Flow-at-Risk

DIN Deutsches Institut für Normung

DRBFM Design Review Based on Failure Mode

DGQ Deutsche Gesellschaft für Qualität

EDV Elektronische Datenverarbeitung

EFQM European Foundation for Quality Management

EN Europäische Norm

EUR Euro

EVA Economic Value Added

FMEA Failure Mode and Effects Analysis

HACCP Hazard Analysis and Critical Control Points

HGB Handelsgesetzbuch

IAS / IFRS International Accounting Standards / International Fincial Reporting Standards

IDW Institut der Wirtschaftsprüfer

IEEE Institute of Electrical and Electronics Engineers

IMS Integriertes Managementsystem

IRB Internal Ratings Based Approach

ISO Internation Organization for Standardization

v

IT Informationstechnologie

IV Informationsversorgung

KMU kleine und mittlere Unternehmen

KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

KWG Kreditwesengesetz

MaH Mindestanforderungen an das Betreiben von Handelsgeschäfte der Kreditinstitute

MaIR Mindestanforderungen an die Ausgestaltung der Internen Revision der Kreditinstitute

MaK Mindestanforderungen an das Kreditgeschäft der Kreditinstitute

MaRisk Mindestanforderungen an das Risikomanagement

OEM Original Equipment Manufacturer

ON Österreichisches Normungsinstitut

PCAOB Public Company Accounting Oversight Board

PS Prüfstandard

QMS Qualitätsmanagementsystem

RAROC Risk Adjusted Return on Capital

ROE Return on Equity

RORAC Return on Risk Adjusted Capital

SAQ Swiss Association for Quality

SARS Severe Acute Respiratoy Syndrome

SOA Sarbanes-Oxley Act

SPC Statistical Process Control

SWOT Strength, Weakness, Oppertunities and Threads Analysis

TQM Total Quality Management

USD US-Dollar

VaR Value-at-Risk

WACC Weighted Average Cost of Capital

vi

1 Einleitung

1.1 Problemstellung

Heutige Unternehmen existieren im Umfeld einer wachsenden Komplexität und Dynamik der Unternehmensumwelt, verursacht durch Globalisierung, Deregulierung der Märkte, sinkenden Lebenszyklen von Produkten und Dienstleistungen und raschem technologischen Fortschritt. Negative Einflüsse durch Fehlentscheidungen des Managements oder durch externe, nicht beherrschbare Faktoren können in dieser dynamischen Umgebung sehr schnell zu einer Gefährdung der Wettbewerbsfähigkeit und des Fortbestands eines Unternehmens führen.

Jede in einem Unternehmen zu treffende Entscheidung ist mit einem gewissen Risiko ver-bunden, denn „wirtschaftliches Handeln bedeutet auch immer, Risiken einzugehen“. ¹ In einer Umwelt, die durch steigenden Kostendruck und gleichzeitiger Forderung nach Hochverfügbarkeit von technischen Produkten und Dienstleistungen charakterisiert wird, ist alleine der reaktive Umgang mit Risiken nicht mehr ausreichend. Risiken müssen im Rahmen einer wertorientierten Unternehmensführung präventiv in einem effizienten und zielgerichteten Risikomanagementprozess identifiziert, bewertet, aggregiert und bewältigt werden.

Für Aktiengesellschaften ist Risikomanagement durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTrag) gesetzlich vorgeschrieben und durch den New Basel Capital Accord (Basel II) spielt Risikomanagement eine wichtige Rolle in der Fremdkapitalbeschaffung von Unternehmen.

Das Qualitätsmanagementsystem leistet dabei einen entscheidenden Beitrag zur Verringerung und Vermeidung von Qualitätsrisiken, sowie zur Minimierung von Prozessabweichungen, und damit Prozessrisiken. Beide Managementbereiche stehen in einer wechselseitigen Beziehung: „Gutes Qualitätsmanagement senkt die Risiken, gutes Risikomanagement steigert die Qualität“. 2

Dennoch herrschen in der Praxis meist beide Managementansätze als Insellösungen vor und werden nicht aktiv im Rahmen einer wertorientierten Unternehmenssteuerung integriert. Dadurch steigt die Komplexität auf Managementebene, Synergien können nicht realisiert werden und die Verteilung von Zuständigkeiten und Verantwortlichkeiten ist unklar. Zudem können Redundanzen in den Aktivitäten auftreten und die Reaktionsgeschwindigkeit des Managements wird verlangsamt.

¹ Gleißner, Romeike (Risikomanagement 2005), S. 7.

² Gleißner, Romeike (Risikomanagement 2005), S. 166.

1

1.2 Ziel der Arbeit

Ziel dieser Arbeit ist die Entwicklung eines Ansatzes für ein Managementsystem, welches sowohl das Qualitäts- als auch das Risikomanagementsystem integriert.

Zusätzlich soll ein Überblick über die Grundlagen, Herkunft und Methoden des Risikomanagements vermittelt werden. Aufbauend auf der Beschreibung eines Risikomanagementsystems und eines Qualitätsmanagementsystem sollen Schnittstellen, Gemeinsamkeiten und Unterschiede zwischen den Systemen verdeutlicht werden.

1.3 Gang der Arbeit

Die vorliegende Arbeit beschreibt zunächst die Grundlagen des Risikomanagements. Risiko wird dabei qualitativ und quantitativ beschrieben und Methoden zur Messung des Risikos erörtert. Mit dem KonTraG, den Basel II Vorschriften und dem Sarbanes-Oxley-Act werden die wichtigsten gesetzlichen Anforderungen an das Risikomanagement dargestellt. Danach wird die Verbindung zum und die Möglichkeiten des Risikomanagements im Controlling erläutert. Die Methoden der Krisen- und Notfallplanung werden in das Risikomanagement eingeordnet. Abschließend wird auf die Entwicklung des Risikomanagements eingegangen.

Als zweiter Gliederungspunkt wird ein Risikomanagementsystem beschrieben. Dabei wird zuerst die normative und strategische Ebene des Systems erklärt und dann, anhand von Praxisbeispielen existierender Richtlinien, der operative Risikomanagementprozess näher betrachtet. Daran anschließend werden die einzelnen Phasen vorgestellt und die verwendeten Methoden erklärt.

Der nächste Gliederungspunkt beschäftigt sich mit den Grundlagen des Qualitätsmanagements und beschreibt den Aufbau eines Qualitätsmanagementsystems. Dabei wird der operative Qualitätsmanagementprozess erläutert und die Normenreihe DIN EN ISO 9000:2000 vorgestellt. Zudem wird ein Ausblick auf das System des Total Quality Management gegeben.

Ausgehend von den beiden beschriebenen Systemen werden gezielt Schnittstellen, Gemeinsamkeiten und Gegensätze gesucht. Dazu werden Vergleiche auf normativer, strategischer und operativer Ebene durchgeführt und Schnittstellen aufgezeigt.

Abschließend wird versucht einen Ansatz zur Integration der Systeme zu finden. Dazu werden zuerst die Möglichkeiten einer Verschmelzung der Systeme kritisch diskutiert und Methoden zur Integration im Rahmen der wertorientierten Unternehmenssteuerung vorgeschlagen. Die drei betrachteten Konzepte sind das der Balanced Scorecard, das European Foundation for Quality (EFQM) - Business Excellence Modell und das Regelwerk 49000ff des Österreichischen Normeninstituts (ON).

2

2 Grundlagen des Risikomanagement

2.1 Definition Risiko

Die genaue Herkunft des Wortes „Risiko“ ist nicht eindeutig geklärt, es leitet sich wahrscheinlich aus dem frühitalienischen „risicare“ (wagen) ab, dessen Ursprung im Wort „risco“ (Klippe, die es zu Umschiffen gilt) liegt, welches wiederum aus dem griechischen „riza“ (Wurzel oder Klippe) abgeleitet werden kann. 3

Risiko ist untrennbar verknüpft mit den Begriffen Gefahr (als Ursache des Risikos) und Schaden (als Wirkung des Risikos). In einer weiten Fassung kann unter Risiko aber auch das symmetrische Paar Risiko und Chance verstanden werden, entsprechend zwischen einem in der Auswirkung positiven (Nutzen) und negativen Risiko (Schaden) unterschieden werden. Die vorliegende Arbeit konzentriert sich dabei auf das negative Risiko im Sinne einer Bedrohung für ein Unternehmen.

Risiko entsteht aus der Unvorhersehbarkeit der Zukunft, die unsichere Ereignisse als Grundlage für Veränderungen hervorrufen kann. Im Rahmen der Entscheidungstheorie liefert Knight 1921 einen ersten Ansatz zur möglichen Abgrenzung von Unsicherheit und Risiko:

To preserve the distinction … between the measurable uncertainty and an unmeasurable one we may use the term "risk" to designate the former and the term "uncertainty" for the latter. 4

Obwohl dieser Ansatz im modernen Risikomanagement nicht geeignet ist, da unternehmerische Entscheidungen kaum objektive Wahrscheinlichkeiten angeben, zeigt er die Verbindung des Risikoereignisses mit der Wahrscheinlichkeitsrechnung. Das Risiko kann somit als berechenbar und damit gleichbedeutend als steuerbar betrachtet werden.

Ein weiteres Charakteristikum des Risikos ist die Subjektivität. Risiko wird individuell differenziert wahrgenommen und bewertet. Wesentliches Kriterium dabei ist, in wie weit für einen Beurteilenden, abhängig von seinem Kenntnisstand, ein Ereignis unsicher ist und wie er der Wirkung des Risikos gegenübersteht, bzw. seine Werte direkt vom Ereignis betroffen sind. Beispiel hierfür ist die Aktienspekulation. Für den Aktieninhaber ist die Fluktuation des Wertes riskant, für andere ist das Ereignis nicht risikobehaftet. ⁵ Jedes Risiko hat einen Risikonehmer, ein Ziel an dem es seine Schadenswirkung entfaltet. Das Objekt, welches dabei

³ Vgl. Keller (Auf sein Auventura und Risigo handeln 2004), S. 61; vgl. Bitz (Risikomanagement nach

KonTraG 2000), S. 13.

⁴ Knight (Risk, Uncertainty and Profit 1921), S. 233.

⁵ Vgl. Finke (Grundlagen des Risikomanagements 2005), S. 17.

3

Schaden nimmt ist eine Ressource, ein Produkt, ein Prozess oder ein Interesse, in jedem Fall aber ein Wert für den Betroffenen. 6

Bezieht man das Risiko auf die Institution Unternehmen, so kann man auf folgender, allgemeiner Beschreibung aufbauen:

Ein Ereignis stellt für ein Unternehmen ein Risiko dar, wenn es sowohl unsicher ist als auch Auswirkungen auf das Erreichen der Unternehmens ziele hat. 7

Da Unternehmensziele im Rahmen der Unternehmensplanung, welche aufgrund ihres Zukunftsbezugs unsicher ist, konkretisiert werden, kann Risiko somit als SOLL-IST Abweichung definiert werden, die einer bestimmten Dichtefunktion (Wahrscheinlichkeit) unterliegt. Diesem Ansatz folgt die betriebswirtschaftliche Literatur, wie z.B. von Eucken, der Risiko als „Distanz von Plandaten und faktischen Daten“ sieht. 8

Ursachen für Abweichungen können sowohl aus dem externen Umfeld des Unternehmens kommen, als auch aus der Wertschöpfung und Leistungserstellung heraus anfallen. Entsprechend differenziert man zwischen externen und internen Risiken. Externe Risiken kann man weiter aufspalten in „Risiken höherer Gewalt“, wie z.B. Naturkatastrophen und „politische und/oder ökonomische Risiken“, wie z.B. wechselnde Konjunkturlage oder Gesetzgebung. Analog dazu kann man die internen Unternehmensrisiken in „Geschäftsrisiken“, bezogen auf die Kernbereiche, Produkte und Innovationen, in „Finanzrisiken“, Veränderungen in der Ertrags-, Finanz- und Vermögenslage, und in „Betriebsrisiken“, die sich in den Ablaufprozessen und der Unternehmensorganisation finden, unterteilen. 9

Im Rahmen der unternehmerischen Tätigkeit sind, nach Meier, vier Muster zur Ursache von Risiko anzutreffen: 10

- Risiko in der Folge von Nebenwirkungen, Negativfolgen

Die Leistungserstellung und die Leistung an sich erzeugt sowohl die beabsichtigte Wirkung im Sinne von Nutzen, als auch systematisch, wahrscheinlichkeitsgesteuerte Nebenwirkungen in Form von Schaden. Die Leistung kann also durch Negativfolgen und Nebenwirkungen einen Schaden erzeugen.

- Risiko aus Fehlern, Versagen, Ausfällen

Dieses Muster bezeichnet unsystematisch auftretende Fehler und Ausfälle, welche die klassischen Ursachen von Schadensrisiken darstellen.

- Risiko aus Entscheidungen

⁶ Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 86.

⁷ Finke (Grundlagen des Risikomanagements 2005), S. 18.

⁸ von Eucken (Grundlagen der Nationalökonomie 1989), S. 141.

⁹ Vgl. Keitsch (Risikomanagement 2004), S. 5.

¹⁰ Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 15f.

4

In jedem Unternehmen werden basierend auf den zur Verfügung stehenden Informationen Entscheidungen getroffen. Innerhalb des komplexen Prozesses der Entscheidungsfindung, können aufgrund von subjektiven Einflüssen oder mangelnder Information Entscheidungen getroffen werden, die einen Schaden verursachen.

- Risiko aus Unbekanntem

Risiken können aus Nicht-Wissen entstehen. Entsprechend können sich unbekannte Risiken im Umfeld einer Unternehmung befinden, die sich erst im Schadensfall zeigen.

Zur Kommunikation von Risiko ist eine allgemeingültige, monetäre Bewertung von Risiko bzw. den Risikoauswirkungen notwendig. Eine Möglichkeit zur Unterscheidung der Auswirkungen findet sich bei Leitner. ¹¹ Schaden kann in Form eines unmittelbaren Vermögensverlusts auftreten, wie z.B. Betriebsmittelverluste durch Naturkatastrophen, Vermögensaufwendungen verursachen, wie z.B. höhere Personalkosten durch den Einsatz von Hilfskräften um die Produktion aufrecht zu halten, oder mittelbare Vermögensverluste, wie z.B. entgangene Gewinne der Produkte, auslösen. ¹² Dadurch wird die Bewertung des eingetretenen Schadens erschwert. Im Folgenden wird versucht, sich über eine qualitative und quantitative Beschreibung dem Begriff Risiko weiter zu nähern.

2.1.1 Qualitative Beschreibung von Risiko

Um die Komplexität des Risikos qualitativ zu veranschaulichen, kann man sich der Darstellung der komplexen Zahlen behelfen. Auch Risiko besitzt einen Imaginärteil, in Form der Gefahr und einen Realteil, den tatsächlich entstandenen Schaden. Risiko verknüpft Gefahr und Schaden im Sinne einer Ursache - Wirkungsbeziehung. ¹³ Risiko kann man entsprechend durch die Kombination von Ursprung, Wirkung und Ziel beschreiben.

¹¹ Vgl. Leitner (Die Unternehmensrisiken 1915), S. 7f.

¹² Vgl. Leitner (Die Unternehmensrisiken 1915), S. 7.

¹³ Vgl. Meier ( Risikomanagement in Technologieunternehmen 2005), S. 21.

5

Abbildung 2-1: Risiko [Quelle: eigene Darstellung in Anlehnung an Meier (Risikomanage-

ment in Technologieunternehmen 2005), S. 23]

Risiken treten nur im Idealfall isoliert auf. Risikomanagement behandelt im Regelfall mehrere zeitgleich auftretende Risiken, die untereinander Interdependenzen verursachen. Risiken können sowohl andere Risiken nach sich ziehen und/oder anderen Risiken passiv folgen. Entsprechend kann man zwischen vier Risikotypen unterscheiden, die in Abbildung 2-2 in Matrixform dargestellt sind.

Abbildung 2-2: Risikokategorien [Quelle: eigene Darstellung in Anlehnung an Meier (Risiko-

management in Technologieunternehmen 2005), S. 25]

Typ 1 ist ein interaktives Risiko, es hat sowohl hohe Führungstendenz, als auch hohe Folgetendenz. Typ 2 ist ein proaktives Risiko, ein Führungsrisiko, das andere Risiken auslöst. Typ

6

3 stellt ein Einzelrisiko dar, ein sogenanntes de- oder inaktives Risiko. Typ 4 ist ein rein reaktives Risiko, diese Art von Risiko wird als Folgerisiko bezeichnet. 14

Neben dem Folge- oder Führungscharakter von Risiken kann es zwischen Risiken auch zu additiven oder substraktiven Effekten kommen. So können sich beispielsweise Folge- und Führungsrisiko akkumulieren. Gleiches gilt für zwei unterschiedliche Risiken, die den gleichen Schaden auslösen. Im Gegenzug kann es aber auch zwei Risiken geben, die sich gegenseitig aufheben. Dies kann entweder aus der Wirkung der Abweichung heraus geschehen, oder beispielsweise, da es sich bei den Risiken um ein Risiko-Chance Paar handelt. 15

An jedem Risiko sind verschiedene Personen bzw. Personengruppen beteiligt. Jedem Risiko lässt sich, wie bereits erwähnt, ein Risikonehmer zuordnen, der direkt vom Risiko betroffen ist. Auf der Entstehungsseite des Risikos kann man den Risikoerzeuger, in dessen Verant-wortungsgebiet wissentlich oder unwissentlich Risiko entsteht, den Risikoeigentümer, der das Risiko beeinflussen kann, und den Risikoverantwortlichen, der das Risiko gegenüber Dritten zu vertreten hat, unterscheiden. Dabei kann eine Person alle drei Merkmale erfüllen. Eine dritte Gruppe stellt der Regulierer von Risiko dar. Dieser hat die Aufgabe die Werte der Allgemeinheit zu schützen. Diese Funktion wird zumeist von amtlichen Institutionen im öffentlichen Auftrag wahrgenommen.

2.1.2 Quantitative Beschreibung von Risiko

Formal lässt sich Risiko über das Zahlenpaar M für Bruttoschaden und P für Eintrittswahrscheinlichkeit als Nettorisiko N definieren:

N = M P mit [0 ” M ” B] und [0 ” P ” 1] (1)

Stellt man dieses Nettorisiko in einem Koordinatensystem mit der Abs zisse Eintrittswahrscheinlichkeit und der Ordinate Bruttoschaden dar, so ergibt sich das in Abbildung 2-3 dargestellte Bild. Kurven, die sich jeweils asymptotisch der P- und M-Achse nähern, stellen dabei jeweils Orte gleichen Risikos dar.

¹⁴ Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 24f.

¹⁵ Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 26.

7

Abbildung 2-3: Nettorisiko [Quelle: eigene Darstellung in Anlehnung an Meier (Risikomana-

gement in Technologieunternehmen 2005), S. 35]

Im Risikomanagement hat es sich als nützlich erwiesen, Risiken durch halbquantitative Attribute zu beschreiben. ¹⁶ Vorteile sind die direkte Bewertung eines Risikos und die vereinfachte Kommunikation. Die Größe eines Risikos im Sinne des Nettorisikos N wird dabei zumeist in fünf relativen Stufen angegeben, die durch Konvention zuvor unternehmensspezifisch festgelegt werden:

¹⁶ Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 39.

8

Abbildung 2-4: Halbquantitative Risikokategorisierung [Quelle: eigene Darstellung in Anleh-

nung an Meier (Risikomanagement in Technologieunternehmen 2005), S. 35]

Eine weitere verbreitete Darstellung ist die halbquantitative Korrelation Bruttoschaden M gegen Nettorisiko N. Man kann hier zwischen vier Risikoklassen unterscheiden:

Abbildung 2-5: Bruttoschaden gegen Nettorisiko [Quelle: eigene Darstellung in Anlehnung an

Aus der Risikowahrnehmung und -bewertung lassen sich jedoch auch weitere Kriterien gewinnen um Risiko genauer zu beschreiben. Eigenschaften zur genaueren Beschreibung von Risiko sind: 17

- Irreversibilität (ir) (Schäden sind nicht wieder auszugleichen.)

- Persistenz (pe) (Schäden akkumulieren sich über lange Zeit.)

- Mobilisierung (mo) (Risiken führen zu Konflikten und ängstigen die Bevölkerung.)

- Verzögerungswirkung (ve) (Vergeht zwischen dem schadenauslösenden Ereignis und dem Schadenseintritt eine längere Zeitspanne, werden Risiken unterschätzt bzw. verdrängt.)

Auch wenn es durch diese nähere Beschreibung möglich ist, eine grobe Risikokategorisierung durchzuführen („Risikokategorisierung nach Renn“ siehe Anhang), fehlt teilweise der unmittelbare Bezug zu den quantitativen Daten N, M und P. Um diesen Bezug wiederherzustellen, kann man auf folgende halbquantitativen Faktoren zurückgreifen:

- Dringlichkeit (vereinigt pe, mo und ve)

- Bekanntheit (indirekt ve und pe)

- Beherrschbarkeit

So kann auf der Basis quantitativer Daten eine Priorisierung (Dringlichkeit korreliert mit Net-torisiko), eine Vorsortierung (Beherrschbarkeit korreliert mit Nettorisiko) der Risiken, die nicht intern über das Risikomanagement gelöst werden können, als auch eine Identifizierung des Informationsbedarfs (Bekanntheit korreliert mit Nettorisiko) durchführen. 18

Als letzter quantitativer Aspekt ist die Zeitabhängigkeit zu nennen. Aufgrund von Veränderungen aus der Eigenentwicklung des Risikos heraus, als auch durch Eingreifen des Risikomanagements kann man eine zeitliche Abhängigkeit feststellen:

N = N (t) (2)

Daraus folgend entspricht der Trend erster Ordnung, daher die Geschwindigkeit mit der sich das Risiko nähert, der Ableitung erster Ordnung ^d / dt N (t), und der Trend zweiter Ordnung, ^d / ^dt ( ^d / dt N (t)), der Schnelligkeit, mit der sich diese Geschwindigkeit verändert. Halbquantitativ dargestellt kann man jeweils drei Stufen definieren:

¹⁷ Vgl. Renn (Risikowissenschaft und Risikomanagement 2000), S. 11.

¹⁸ Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 48f.

10

Geschwindigkeit Änderung der Geschwindigkeit

- abnehmendes Risiko - beschleunigte Änderung

- gleichbleibendes Risiko - gleichbleibende Änderung

- zunehmendes Risiko - verzögerte Änderung

Der Nutzen für das Risikomanagement besteht darin, Risikofelder, die von besonderer Bedeutung sind, wie z.B. beschleunigtes, zunehmendes Risiko (Gefahr außer Kontrolle zu geraten) oder verzögerte Zunahme von Risiko (eventuell Grenzwert der Schadensauswirkung), abzubilden. 19

Qualitative als auch quantitative Beschreibungen werden vor allem im Bereich der Risikoanalyse und -bewertung angewendet und sind im später dargestellten Risikomanagementprozess den Phasen Risiken erkennen und beurteilen zugeordnet.

2.2 Wahrnehmung und Messung von Risiko

Die Wahrnehmung von Risiko ist immer vom Kenntnisstand abhängig und davon, welcher Gruppe von Beteiligten man zuzuordnen ist (Risikogeber, Risikonehmer, Regulierer). Entscheider können risikoaffin, risikoneutral oder risikoavers handeln. ²⁰ Diese Art der Kategorisierung der Risikoneigung ist allerdings nur für das symmetrische Paar Risiko / Chance anwendbar. Betrachtet man das reine Schadensrisiko so ist bereits die Existenz des Risikomanagement ein Zeichen für die Risikoaversion der Unternehmung.

Für das Risikomanagement ist eine objektive Beurteilung des Risikos notwendig. ²¹ Dabei stellt sich die Frage, ob Risiko überhaupt messbar ist. Aus der Definition des Risikos N = Mx P (1), ergeben sich die zu messenden Größen Bruttoschaden und Wahrscheinlichkeit. Die drei Grundvoraussetzungen des Messens sind:

- Die zu messende Größe muss eindeutig definiert sein.

- Die Bezugsgröße oder Einheit muss vereinbart oder durch Konvention festgelegt sein.

- Das Messverfahren muss mit allen Randbedingungen, die sich auf den Messwert auswirken, eindeutig festgelegt sein.

Als Bezugsgröße für Risiko werden monetäre Werte in Form von Geldeinheiten festgelegt. Eine typische Einheit ist N in tausend Euro. Die Frage nach dem Messverfahren gestaltet sich dagegen komplizierter, da ein Verfahren gefunden werden muss, das den Gegenwert des drohenden Schadens isoliert betrachtet. Dies ist oft nicht möglich, da der Bruttoschaden

¹⁹ Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 53.

²⁰ Vgl. Finke (Grundlagen des Risikomanagements 2005), S. 19.

²¹ Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 69.

11

M eines Risikos von möglichen anderen Schäden oder Entwicklungen überlagert sein kann. Dementsprechend sind auch die Randbedingungen der Messung sehr komplex und nur schwer eindeutig festzulegen. Die zu messende Größe ist der Bruttoschaden des Risikos. Der Bruttoschaden an sich ist dabei nur sehr schwer zu definieren. Der unmittelbare Schaden wie z.B. durch Zerstörung eines Betriebsmittels oder Wiederaufbau einer Produktionslinie ist relativ einfach einem Risiko zuzuordnen. Deutlich komplexer wird die Zuordnung mittelbarer Schäden, wie z.B. durch Gewinnausfall. Werden zudem noch intangible Ressourcen wie z.B. Image oder Mitarbeitermotivation geschädigt, sind diese, einem Risiko zurechenbare Schäden, nur sehr schwer zu quantifizieren Der Bruttoschaden ist nicht mehr eindeutig definiert. Ähnlich verhält es sich mit der Eintrittwahrscheinlichkeit P. Durch den Zukunftsbezug ist eine direkte Messung nicht möglich. Die einzige Möglichkeit besteht darin, auf der Basis von Vergangenheitswerten und Simulationen mit Hilfe der Statistik Eintrittwahrscheinlichkeiten abzuschätzen. Man kann also argumentieren, dass Risiko nicht durch Messung zu bestimmen ist, sondern nur durch Abschätzung mit einer gewissen Unsicherheit.

Es gibt zwei Quellen von Daten, die Informationen für diese Abschätzung bereitstellen: Vergangenheitsbezogene, reale Daten aus Schadensfällen und zukunftsbezogene, virtuelle Daten aus Schadenszenarien. Um ein Schadens zenario zu entwerfen sind zuerst die Randbedingungen und Zusammenhänge zu klären, in deren Rahmen sich Fehler und Schäden entwickeln können. Szenarien erhalten besonders in Fällen, in denen es aus wirtschaftlichen (großtechnische Anlagen), technischen (zerstörende Prüfung) oder ethischen Gründen (Ge-sundheitsrisiken) nicht möglich ist reale Daten zu gewinnen, erhöhte Bedeutung. So weit vorhanden, können reale Daten genutzt werden um Randbedingungen und Quantifizierung des Schadens zu verbessern. 22

Während das Risiko nur abgeschätzt werden kann, gibt es bestimmte, messbare Indikatoren, die auf ein Risiko oder ein Schadensereignis hinweisen. Das Auffinden und Zuordnen aussagekräftiger Frühindikatoren ist ein wesentlicher Bestandteil des Risikomanagements. Beispiel für einen Frühindikator im Bereich Vertrieb ist eine rückläufige Tendenz im Auftragseingang, ein Beispiel im Bereich Finanzen ist die Deckung des Anlagevermögens durch langfristiges Kapital (Eigenkapital und langfristiges Fremdkapital). Im technischen Bereich ist ein mögliches Beispiel die Temperatur eines Lagers, die Aufschluss über Abnutzung und damit eventuelles Ausfallrisiko geben kann. Über repräsentative Stichproben können die Merkmale eines Prozesses überwacht werden. Das Verhalten von Prozessen lässt sich anhand von Qualitätsregelkarten darstellen, wodurch Aussagen über das Risiko von Ausschussprodukten ermöglicht werden. Entsprechend stellt z.B. Statistical Process Control (SPC) und die Festlegung von Eingriffsgrenzen eine risikovermindernde Handlung aufgrund von Frühindika-toren dar.

²² Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 74f.

12

Eine im Risikomanagement gebräuchliche Kennzahl für den monetären Gegenwert eines Risikos ist der Value at Risk (VaR), der den maximalen Verlust, der mit einer vorgegebenen Wahrscheinlichkeit innerhalb einer festgelegten Periode nicht überschritten wird, darstellt. ²³ Für mittel- bis langfristige Prognosen wird in Unternehmen oft der, im Gegensatz zum statistisch-komparativen VaR, dynamische Cash-Flow-at-Risk (CFaR) benutzt. ²⁴ Der CFaR gibt mit einer bestimmten Wahrscheinlichkeit den Betrag an, den der periodische Cash-Flow nicht durch Veränderungen (beispielsweise der Marktpreise, Absatzmenge oder Instandsetzungskosten) unterschreitet. ²⁵ Wie sich der VaR und CFaR berechnet zeigt Abschnitt 3.4.2 Risiko beurteilen - Risikobewertung. Zur risikoorientierten Ergebnissteuerung lässt sich der Return on Risk Adjusted Capital (RORAC) durch Abzug des VaR vom Betriebsergebnis berechnen. ²⁶ Ein weiterer Ansatzpunkt für eine Risikokennzahl der wertorientierten Unternehmensführung ist der Risk Adjusted Return on Capital (RAROC), eine Weiterführung des Return on Equity (RoE), welcher eine risikoadjustierte Eigenkapitalrendite beschreibt.

2.3 Gesetzliche Vorlagen, Trends

In der Diskussion über eine verbesserte Unternehmensführung und Unternehmensüberwachung (Corporate Governance), wurde Risikomanagement als eine wichtige Aufgabe der Unternehmensleitung erkannt. Primärer Zweck der Corporate Governance ist es „Aktionäre und andere, von der Leistung und dem Verhalten der Kontrollinhaber abhängigen, Parteien vor Vermögensschädigung und anders gearteten Übervorteilungen zu schützen.“ ²⁷ Dadurch sollen Anreize für ein effizientes (Investitions-) Verhalten der Anleger geschaffen werden. Unzureichendes Risikomanagement, durch fehlerhaftes Einschätzen von Risiko oder unvollständige Identifikation von Risikoquellen, kann ein Unternehmen schnell in eine finanzielle Schieflage bringen. Im deutschen Raum wurde mit dem KonTraG Risikomanagement als eine Pflicht der Unternehmensleitung gesetzlich verankert. 28

Auch in der Fremdkapitalbeschaffung spielt Risikomanagement durch die Basel II Regelung eine wichtige Rolle für Unternehmen.

Im amerikanischen Kapitalmarkt lässt sich eine Vorschrift zum Risikomanagement aus dem Sarbanes-Oxley Act ableiten.

²³ Vgl. Hager (Was ist der “Cash Flow at Risk”? 2004), S. 40.

²⁴ Vgl. Hager (Was ist der “Cash Flow at Risk”? 2004), S. 41.

²⁵ Vgl. o.V. (cfar.de 2006)

²⁶ Vgl. Albrecht, Maurer (Investment- und Risikomanagement 2005), S. 789.

²⁷ Romeike, van den Brink (Corporate Governance 2005), S. 3.

²⁸ Vgl. von Hohenhorst (Anforderungen an das Risikomanagement nach dem KonTraG 2002), S. 93.

13

2.3.1 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)

Im deutschen Wirtschaftsraum ist Risikomanagement durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) gesetzlich vorgeschrieben. Mit dem am 01. Mai 1998 in Kraft getretenen Maßnahmenbündel wurden gezielt Korrekturen und Ergänzungen einzelner Regelungen, unter anderen, in das Aktiengesetz (AktG) und Handelsgesetzbuch (HGB) aufgenommen. Das KonTraG ist per Definition auf Aktiengesellschaften beschränkt und hat dabei Auswirkungen auf drei Bereiche. So ist die hauptamtliche Unternehmensleitung und die nebenamtliche Unternehmensüberwachung in ihrem dualistischen Aufbau, Vorstand und Aufsichtsrat, als auch der zu veröffentlichende Jahresabschluss und die Jahresabschlussprüfung betroffen.

Nach § 91 Abs. 2 AktG obliegt es dem Vorstand ein Risikomanagement im Sinne eines Risikofrüherkennungssystem zu installieren. 29

Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. 30

Ziel der Gesetzänderung ist kein Ausschluss der existenzgefährdenden Risiken, sondern eine Sensibilisierung der Unternehmensleitung. Sie soll jederzeit über die Risikobelastung des Unternehmens informiert sein. Unternehmerische Risiken sollen identifiziert, begleitend überwacht und im Zeitpunkt, an dem sie wesentlich für die wirtschaftliche Lage der Unternehmung werden, bewältigt werden. ³¹ Der Gesetzgeber verzichtet dabei auf Festlegungen i m Bereich der Ausgestaltung des Überwachungs- und Risikomanagementsystems und überlässt dieses Gebiet den Aktiengesellschaften selbst. Aufgrund der Rechte und Pflichten des Aufsichtsrates aus § 111 AktG hat dieser sich ebenfalls mit dem Risikomanagement des von ihm kontrollierten Unternehmens zu beschäftigen. ³² Gemäß § 93 Abs. 2 und § 116 AktG haften sowohl Vorstand als auch Aufsichtrat bei Verletzung ihrer Pflichten gegenüber der Gesellschaft.

Aktiengesellschaften haben im Lagebericht „auch auf die Risiken der künftigen Entwicklung einzugehen“. ³³ Es besteht damit im Jahresabschlussbericht eine Informationspflicht für Unternehmen, Risiken, welche die Vermögens-, Ertrags- und Finanzlage maßgeblich beeinflussen können und die den Bestand des Unternehmens gefährden, auszuweisen. 34

Auswirkungen auf die Jahresabschlussprüfung sind über § 317 Abs. 2 HGB gegeben:

²⁹ Vgl. Bitz (Risikomanagement nach KonTraG 2000), S. 1f.

³⁰ § 91 Abs. 2 AktG.

³¹ Vgl. Bitz (Risikomanagement nach KonTraG 2000), S. 3.

³² Vgl. Bitz (Risikomanagement nach KonTraG 2000), S. 4f.

³³ § 289 Abs. 1 HGB.

³⁴ Vgl. Bitz (Risikomanagement nach KonTraG 2000), S. 6.

14

... Dabei ist auch zu prüfen, ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind. 35

Diese Prüfung durch den externen Wirtschaftsprüfer folgt dem Prüfungsstandard (PS) 340 des Instituts der Wirtschaftsprüfer (IDW). In diesem wird Risikomanagement definiert als „die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung“. ³⁶ Kernpunkte der Prüfung sind: 37

- Feststellung der Existenz eines Risikofrüherkennungssystems (Voraussetzung ist die Dokumentation des Systems)

- Beurteilung der Eignung des Systems

- Prüfung der Einhaltung des installierten Systems

Obwohl das KonTraG nur für Aktiengesellschaften gilt und beispielsweise nicht direkt in das GmbH-Gesetz übernommen wurde, ist entsprechend der Begründung des Gesetzgebers von einer sogenannten Ausstrahlwirkung auf den Pflichtenrahmen der Geschäftsführer anderer Gesellschaftsformen auszugehen. 38 39

Auch das am 10. Dezember 2004 in Kraft getretene Bilanzrechtsreformgesetz (BilReG), das eine Maßnahme zur Modernisierung und Internationalisierung der deutschen Konzernrechnungslegung im Sinne der International Accounting Standards / International Finance Reporting Standards (IAS/IFRS) darstellt, greift Risikomanagement als einen zentralen, zu prüfenden Bestandteil auf. 40

2.3.2 Basel II

Mit dem New Basel Capital Accord, besser bekannt unter dem Begriff Basel II, des 1975 durch die Präsidenten der Zentralbanken der G-10 Staaten gegründeten Baseler Ausschuss für Bankenaufsicht, werden indirekt höhere Anforderungen an Controlling und Risikomanagement von kreditnehmenden Unternehmen gestellt. ⁴¹ Die Ende 2006 in Kraft tretende Basel II Vorschrift regelt die Eigenkapitaldeckung von Banken neu. Bisher sind Banken dazu verpflichtet Kredite als Risikoaktiva mit mindestens 8% Eigenkapital zu unterlegen. ⁴² Die Aktiva werden dabei nach Schuldnerklassen unterschiedlich gewichtet, die erforderliche Eigenkapitalunterlegung wird wie folgt berechnet:

³⁵ § 317 Abs. 2 HGB.

³⁶ IDW PS 340 Tz. 4.

³⁷ Vgl. Bitz (Risikomanagement nach KonTraG 2000), S. 8f.

³⁸ Vgl. von Hohnhorst (Anforderungen an das Risikomanagement nach dem KonTraG 2002), S. 94f.

³⁹ Vgl. IDW PS 340.

⁴⁰ Vgl. o.V. (KPMG Global Conversion Services 2006).

⁴¹ Vgl. Romeike, Finke (Erfolgsfaktor Risiko-Management 2003), S. 68f.

⁴² Vgl. Keitsch (Risikomanagement 2004), S. 215.

15

E rf. Eigenkapitalunterlegung = Forderungssumme Risikogewicht 8% (3)

Dabei zeigten sich folgenden Schwächen: 43

- Operationelle Risiken werden nicht berücksichtigt

- Dominanz quantitativer Faktoren im Risikomanagementprozess

- Geringe Berücksichtigung des Risikoprofils der Bank

Durch Basel II soll nun das individuelle Kreditrisiko zum ausschlaggebenden Faktor in der Kreditpreiskalkulation werden. ⁴⁴ Damit wird die Höhe der Eigenkapitalunterlegung stärker von individuellen Kreditrisiken und den operationellen Risiken der Bank bestimmt. Operationelle Risiken sind Verlustrisiken, die ihre Ursache in inadäquaten Prozessen, Versagen von Personen oder Systemen und externen Ereignissen haben. ⁴⁵ Beispiele für operationelles Risiko sind: Ausfall von Computersystemen, terroristische Anschläge oder unerlaubte Handlungen von Mitarbeitern. ⁴⁶ Ziel von Basel II, wie auch schon von Basel I, ist die Erhöhung der Stabilität des weltweiten Bankensystems. ⁴⁷ Die drei Säulen, auf denen Basel II dabei basiert, sind die quantitativen Eigenkapitalanforderungen (Mindestkapitalanforderungen), das aufsichtsrechtliche Überprüfungsverfahren (qualitative Ausrichtung) und die Vorschriften und Empfehlungen zur Offenlegung von Informationen (Marktdisziplin). Im Kontext des allgemeinen Risikomanagements, das nicht nur auf Banken beschränkt ist, spielt dabei vor allem die erste Säule, Mindestkapitalanforderungen, eine wichtige Rolle.

Formal wurde die Formel für das zu unterlegende Eigenkapital erweitert:

Erf. EK-Unterlegung = (gewichtete Risikoaktiva des Kreditrisikos + (4)

12,5 · (Anrechnungsbetrag Marktrisiko + operationelles Risiko)) · 8%

Bei der Ermittlung des Kreditrisikos wird durch ein Ratingverfahren die Bonität des Schuldners ermittelt. Für Unternehmen, die Fremdkapital beschaffen wollen, bedeutet dieses Rating: 48

⁴³ Vgl. Romeike, Finke (Erfolgsfaktor Risiko-Management 2003), S. 75.

⁴⁴ Vgl. Keitsch (Risikomanagement 2004), S. 215.

⁴⁵ Vgl. Koopmann, Hauser (MaRisk 2005), S. 40.

⁴⁶ Vgl. Romeike, Finke (Erfolgsfaktor Risiko-Management 2003), S. 78.

⁴⁷ Vgl. Romeike, Finke (Erfolgsfaktor Risiko-Management 2003), S. 75.

⁴⁸ Vgl. Keitsch (Risikomanagement 2004), S. 214.

16

- Bewertung der zukünftig zu erwartenden wirtschaftlichen Entwicklung

- Einschätzung der Fähigkeit des Unternehmens zukünftigen Zahlungsverpflichtungen nachzukommen

- Einstufung in Risiko(Rating)klassen hinsichtlich der Zahlungsausfallwahrscheinlichkeit

Eine entscheidende Änderung gegenüber Basel I ist die Zulassung bankinterner Ratings (Internal Ratings Based Approach, IRB) neben den bisher einzig anerkannten externen Ratings durch Ratingagenturen wie z.B. Standard & Poors, Moodys, oder Fitch. Basel II verbilligt entsprechend die Fremdkapitalfinanzierung für Unternehmen mit gutem Rating und umgekehrt. ⁴⁹ Basierend auf Basel II werden Banken zukünftig eine fundierte Risikoanalyse von Unternehmen erstellen, die neben quantitativen Faktoren wie der augenblicklichen und zukünftigen Ertrags- und Finanzlage, verstärkt qualitative Aspekte, wie das Unternehmensmanagement, die Unternehmensorganisation, -struktur und unternehmerische Steuerungsinstrumente - wie z.B. Risikomanagement, Qualitätsmanagement und Controlling - mit einbeziehen. 50

Einen wesentlichen Bestandteil der zweiten Säule, „qualitative Ausrichtung der Bankenaufsicht“, stellen in Deutschland die von der Bundesanstalt für Finanzdienstleistungen (BaFin) 2005 herausgegebenen „Mindestanforderungen an das Risikomanagement“ (MaRisk) dar. ⁵¹ Sie sind als Konsultationspapier zu verstehen, dessen Grundlage §25a Abs 1. des Kreditwesengesetzes (KWG) ist. Die MaRisk integrieren dabei die bereits existierenden Mindestan-forderungen an das Kreditgeschäft (MaK), an das Betreiben der Handelsgeschäfte der Kreditinstitute (MaH) und an die Ausgestaltung der Innenrevision der Kreditinstitute (MaIR). Zusätzlich beziehen sie neue Risikoarten wie das Liquiditätsrisiko, das Zinsrisiko und das operationelle Risiko in das Gesamtbank-Risikomanagement mit ein. ⁵² Das Prinzip der Risikotragfähigkeit wird als zentrale Rahmenbedingung des Risikomanagement der Banken eingeführt und damit die maximale Risikoaufnahme einer Bank begrenzt.

Durch die MaRisk werden die bisher bestehenden Mindestanforderungen an Banken deutlich erweitert und in gewisser Weise wird durch die stetige qualitative Überwachung ein kontinuierlicher Verbesserungsprozess des bankinternen Risikomanagements initiiert. Die Banken geben diese erhöhten Anforderungen in Form einer detaillierteren Risikoanalyse und höheren Ansprüchen an die Informationstransparenz an die Unternehmen weiter. Dadurch wird betriebliches Risikomanagement zu einem wichtigen Instrument zur Sicherung der Unternehmensexistenz. Die stärkere Beschäftigung der Banken mit den Risiken ihrer Kreditneh- ⁴⁹ Vgl.Romeike, Finke (Erfolgsfaktor Risiko-Management 2003), S. 77.

⁵⁰ Vgl. Keitsch (Risikomanagement 2004), S. 219.

⁵¹ Vgl. Romeike (Was sind die MaRisk? 2005), S. 52.

⁵² Vgl. Koopmann, Hauser (MaRisk 2005), S. 40ff.

17