Die Bedeutung und Ausgestaltung des Risikocontrollings in kleinen und mittelständischen Unternehmen

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1 Einleitung

2 Theoretische Grundlagen
2.1 Risiko und Risikoarten
2.1.1 Risikodefinition
2.1.2 Risikoarten und mögliche Kategorisierung
2.2 Abgrenzung des Risikocontrollings vom Risikomanagement
2.2.1 Risikomanagement
2.2.2 Risikocontrolling
2.3 Risikomanagementprozess und funktionale Einbettung des Risikocontrollings
2.3.1 Ausgangsbasis: Risikostrategiefestlegung
2.3.2 Hauptphasen des Risikomanagementprozesses
2.3.2.1 Erfassung
2.3.2.2 Bewertung
2.3.2.3 Steuerung
2.3.2.4 Kontrolle
2.3.3 Prozessphasenabhängige Koordination und unabhängige Prozesskontrolle
2.3.4 Risikoberichtswesen
2.3.5 Zwischenfazit
2.4 Instrumente des Risikocontrollings

3 Risikocontrolling in KMU
3.1 Quantitative Merkmale und Bedeutung von KMU
3.2 Qualitative Merkmale und resultierende Risiken
3.3 Status quo und die Rolle des Risikomanagements in KMU
3.4 Status quo und die Rolle des Risikocontrollings in KMU
3.5 Unternehmensexterne Anforderungen an das Risikomanagement und -controlling
3.5.1 Rechtliche Anforderungen
3.5.1.1 Überblick über rechtliche Rahmenbedingungen
3.5.1.2 Das KonTraG als zentrale Rechtsvorschrift für Risikomanagement und -controlling
3.5.1.3 Die Ausstrahlungswirkung des KonTraG auf KMU
3.5.2 Bankenaufsichtsrechtliche Anforderungen bei der Inanspruchnahme von Fremdkapital
3.5.2.1 Basel II
3.5.2.2 Kreditvergabekriterien für KMU
3.6 Steigende Insolvenzen als maßgeblicher Grund für die Einrichtung eines Risikomanagementsystems

4 Ausgewählte Instrumente für das Risikocontrolling in KMU
4.1 Instrumente zur Erfassung von Risiken
4.1.1 Orientierungsgrundlage: Kategorienmodelle
4.1.2 Systematische Erfassung: Checklisten
4.1.3 Ergänzende Methoden: Kreativitätstechniken
4.2 Instrumente zur Bewertung von Risiken
4.2.1 Aggregation der erfassten Risiken: Risikoinventar
4.2.2 Objektivierung und Quantifizierung der das Risiko charakterisierenden Dimensionen
4.2.2.1 Quantitätsdimension: einfache informelle Schätzverfahren
4.2.2.2 Intensitätsdimension: Korrekturverfahren
4.2.2.3 Temporaldimension: Annualisierungsmethode
4.2.3 Strukturierung und Visualisierung der Ergebnisse: Risikoportfolien
4.3 Instrumente zur Kontrolle von Risiken
4.3.1 Kennzahlen- und Hochrechnungsbasierte Frühaufklärungssysteme
4.3.2 Indikatorbasierte Frühaufklärungssysteme
4.4 Interne und externe Informationsversorgung
4.5 Abschließendes Fazit zu den Instrumenten

5 Zusammenfasssung und Ausblick

Anhang A: Weitere Unterlagen und Ausführungen
A.1 Auszüge aus einer Checkliste
A.2 Ausschnitt aus einem Risikoinventar

Literatur

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abb. 1 Risikomanagementprozess als inhaltliche Ausgestaltung eines RMS

Abb. 2 Zusammenhänge bei der Entwicklung von Risikostrategien

Abb. 3 Risikoprofil/Kategorienmodell

Abb. 4 Annualisierungsmethode

Abb. 5 Quantitatives Risikoportfolio

Abb. 6 Beobachtungsbereiche und beispielhafte Frühindikatoren

Abb. 7 Zusammenfassender instrumenteller Überblick

Abb. 8 Ausschnitt aus einem Risikoinventar

1 Einleitung

Das Jahr 2008 wird als das Jahr der „Nullen“ und exzessiven Risiken in die Geschichtsbücher eingehen. Infolge der Niedrigzinspolitik der US-amerikanischen Notenbanken vergaben US-Banken leichtfertig „billige Kredite“ im Glauben an immerwährende steigende Immobilienpreise, ohne Rücksicht auf das Risiko, dass einige Kreditnehmer bei wieder steigenden Zinsen den Kredit nicht würden bezahlen können. Es galt das Prinzip Hoffnung, dabei hätte ein Blick auf die reale Welt der US-Immobilienmärkte selbst einem Laien relativ schnell verdeutlicht, dass alle Marktteilnehmer auf einem riesigen Pulverfass sitzen (Romeike und Hager 2009, S. 11–13). Die weitreichenden Folgen dieses sorglosen Umgangs mit dem Risiko sind heute weitgehend bekannt und werden Wissenschaft und Praxis vielleicht noch über Jahre hinweg beschäftigen.

Allein diese Entwicklung deutet an, dass Unternehmen mehr denn je ein funktionsfähiges Risikocontrolling benötigen. In der Praxis wird jedoch nicht selten erst dann reagiert, wenn „das Kind bereits in den Brunnen gefallen ist“. Durch die zunehmende Globalisierung ist das Fahrwasser unruhiger geworden und Unternehmen sehen sich auf einmal mit Risiken konfrontiert, die ihren Ursprung an den US-Immobilienmärkten haben. Entscheidungen werden immer kürzer und die Reaktionszeiten schneller (Gleißner 2008b, S. 7). Wer nicht auf derartige Risiken und Folgerisiken vorbereitet ist, geht unter. 2009 stieg die Anzahl der Unternehmensinsolvenzen in Deutschland um 16 Prozent gegenüber dem Vorjahr auf 34.300 (Creditreform Wirtschafts- und Konjunkturforschung 2009, S. 1–2). Der dadurch verursachte Schaden für die deutsche Volkswirtschaft nahm um 19,6 Milliarden Euro auf insgesamt 48 Milliarden Euro zu. Dies sind 67,6 Prozent mehr als im Vorjahr (Creditreform Wirtschafts- und Konjunkturforschung 2009, S. 6).

Gerade kleine und mittelständische Unternehmen (KMU) wurden – in einer ohnehin schon schwierigen Finanzierungssituation – durch die Finanz- und Wirtschaftskrise bereits in die Insolvenz gezwungen oder sind noch dabei, die Insolvenz abzuwehren. Indessen sind die Finanzsysteme wieder mit ausreichend Liquidität versorgt, können diese aber nicht an KMU weitergeben, da sich das Kreditausfallrisiko im Mittelstand verdreifacht hat (Barth 2009). Neben der schwierigen Finanzierungssituation stellen weitere Herausforderungen den Mittelstand in Deutschland auf eine harte Probe. Steigende Rohstoffpreise, Kostendruck, Zinsänderungen und Forderungsausfälle sind nur einige Faktoren, die in diesem Zusammenhang zu nennen wären (Arbeitskreis Ausbau der Mittelstandsfinanzierung 2009, S. 8–14).

Die Folgen der Krise erfordern spätestens jetzt konsequentes Handeln. Das jeweilige Risikocontrolling muss eigenverantwortlich in Zusammenarbeit mit sämtlichen Unternehmensbereichen die aktuelle „Bedrohungslage“ bestimmen und quantifizieren, damit die Entscheidungsträger geeignete Maßnahmen ergreifen und somit die Zukunft des Unternehmens sichern können (Gleißner 2008a, S. 3). Je weitsichtiger ein Unternehmen handelt, desto mehr beschäftigt es sich auch mit künftig auftretenden potenziellen Störeinflüssen, die zu Abweichungen in der Unternehmensplanung führen können. Diese proaktive Sichtweise macht ein modernes Risikocontrolling aus. Dadurch steigen nicht nur die Chancen auf eine Kreditvergabe nach Basel II erheblich, sondern es wird auch ein echter ökonomischer Mehrwert geschaffen (Arbeitskreis Ausbau der Mittelstandsfinanzierung 2009, S. 27).

Ziel der vorliegenden Arbeit ist es nun, aus funktionaler und instrumenteller Perspektive aufzuzeigen, dass ein angemessen ausgestaltetes Risikocontrolling gerade für KMU einen entscheidenden Beitrag zu diesem Mehrwert leisten kann.

In Abschnitt 2 werden zunächst begriffliche Grundlagen erläutert und eine funktionale Abgrenzung des Risikocontrollings vom Risikomanagement im Risikomanagementsystem vorgenommen. Aus den Funktionen des Risikocontrollings resultieren die Aufgaben, die anhand des Risikomanagementprozesses beschrieben werden. Zur Aufgabenerfüllung existieren zahlreiche Instrumente, die das Risikocontrolling verwenden kann.

Abschnitt 3 befasst sich mit dem Risikocontrolling in KMU. Nach einer Definition dieser Unternehmen anhand quantitativer Merkmale und deren Bedeutung zeigen qualitative Merkmale die für KMU typischen Risiken auf. Vor allem wegen dieser qualitativen Spezifika können KMU nicht in dem Umfang wie Großunternehmen Risikomanagement und -controlling betreiben. Der Gesetzgeber und besonders die Banken verstärken jedoch den Druck, ein Risikomanagementsystem mit einem Risikocontrolling einzurichten. Neben der Darlegung dieser externen Anforderungen wird herausgearbeitet, dass KMU einen verstärken Umgang mit Risiken vor allem zu ihrem eigenen Schutz anstreben sollten.

Anschließend wird in Abschnitt 4 anhand ausgewählter Instrumente aufgezeigt, wie Risikocontrolling in KMU konkret ausgestaltet sein kann. Der Darstellung folgt eine kritische Beurteilung der einzelnen Instrumente, ob sie vornehmlich unter ökonomischen Gesichtspunkten für ein KMU geeignet sind und dazu beitragen, die in Abschnitt 2 beschriebenen Probleme zu lösen bzw. den Anforderungen gerecht zu werden. Die Arbeit schließt in Abschnitt 5 mit einer Zusammenfassung und einem Ausblick.

2 Theoretische Grundlagen

Die betriebswirtschaftliche Forschung und Praxis befindet sich im Bereich des Umgangs mit den Risiken für Unternehmen, die nicht dem Finanzsektor zugeordnet werden, noch in einem recht frühen Stadium. Die Begriffsbildung ist noch nicht abgeschlossen und es bestehen nur vereinzelt theoretisch fundierte Konzeptionen und tragfähige Technologien. Eine Erweiterung und Vertiefung bestehender Ansätze wird als zentrale Zukunftsaufgabe der betriebswirtschaftlichen Forschung angesehen (Winter 2007, S. 3). Die folgenden Ausführungen befassen sich mit bestehenden Ansätzen für Nicht-Finanzunternehmen, beschreiben begriffliche Grundlagen und nehmen Abgrenzungen vor, soweit dies möglich ist.

2.1 Risiko und Risikoarten

In Theorie und Praxis existiert keine eindeutige Begriffsdefinition von „Risiko“. Vielmehr hat sich über Jahrzehnte hinweg ein breites Spektrum von Termini gebildet, die durch die Akzentuierung unterschiedlicher Aspekte ihren Sinngehalt im jeweiligen Kontext erhielten (Diederichs 2004, S. 9). Ausgehend von einer Risikodefinition im jeweiligen Kontext können auch Aussagen über die Risikoarten getroffen werden.

2.1.1 Risikodefinition

Risiko ist ein zentraler Gegenstand der betriebswirtschaftlichen Entscheidungstheorie (Weilep 2008, S. 156). Unternehmerische Entscheidungen gehen immer mit Risiken einher. Diese könnten nur ausgeschlossen werden, wenn alle Einflüsse, die wirtschaftliches Handeln bestimmen, unzweifelhaft bekannt wären. Dies ist jedoch ausgeschlossen, da die Auswirkungen von Entscheidungen in der Zukunft liegen und deshalb nicht vollkommen prognostizierbar sind. Die Entwicklungen von unternehmensinternen und externen Faktoren sind daher immer mit Unsicherheit behaftet (Oetzel 2007, S. 40). Versucht man eine sachlogische Herleitung des Risikobegriffs, kann man dem lateinischen Ausdruck risicare (etwas wagen, etwas unternehmen) zugrunde legen, wonach sich hinter dem Risiko auch immer etwas Positives, eine Chance, verbirgt (Gietl und Lobinger 2006, S. 8). Unter Risiko versteht man aus einer controllingorientierten Sicht eine mögliche Abweichung von einem Plan- oder Zielwert (Arbeitskreis Ausbau der Mittelstandsfinanzierung 2009, S. 50). Hierbei ist ein enger und ein weiter Risikobegriff zu unterscheiden. Der enge betrachtet nur negative Abweichungen, fokussiert also das Risiko als „Gefahr“ bzw. Schadenspotenzial. Der weite umfasst auch positive Abweichungen, d.h. hier werden auch Chancen bzw. Erfolgspotenziale berücksichtigt (Burger und Buchhart 2002, S. 3). Das Risikocontrolling fokussiert die negativen Abweichungen, jedoch ohne dabei den Chancenaspekt auszublenden, weil das Nichterreichen einer Chance selbst eine „Gefahr“ in Hinblick auf die Zielsetzung darstellen würde (Oetzel 2007, S. 333).

2.1.2 Risikoarten und mögliche Kategorisierung

Unternehmen sind mit einer Vielzahl an Risiken konfrontiert. Daher ist es nicht verwunderlich, dass auch diverse Abgrenzungsmöglichkeiten existieren (Oetzel 2007, S. 51). Die verschiedenen Risikoarten sind abhängig vom Risikoverständnis. Risiken, die Chancen und Risiken i. e. S. beinhalten, werden als symmetrische Risiken bezeichnet. Dagegen haben andere Risiken nur ein Schadenspotenzial und sind demnach asymmetrisch (Burger und Buchhart 2002, S. 4).

Beim Risikocontrolling stehen eher die Struktur und die Eigenschaften von Risiken im Vordergrund. Die Eigenschaften sind insbesondere ausschlaggebend für die Analyse und Steuerung der Risiken. Im Rahmen der Steuerung ist insbesondere zwischen endogenen und exogenen Risiken zu unterscheiden. Endogene Risiken entstehen aus unternehmerischen Entscheidungen, wohingegen exogene Risiken sich einer Steuerung durch den Entscheidungsträger entziehen (Burger und Buchhart 2002, S. 3).

Risikoarten können bestimmten Kategorien zugeordnet werden, wenn sie gemeinsame Merkmale aufweisen. Da die Gliederungsmöglichkeiten praktisch grenzenlos sind, hat sich demnach noch keine allgemeingültige Systematisierung durchgesetzt (Diederichs 2004, S. 101). Ein beispielhaftes Kategorienmodell wird in Abschnitt vier vorgestellt.

2.2 Abgrenzung des Risikocontrollings vom Risikomanagement

Ebenso wie der Risikobegriff ist die Terminologie von Risikomanagement und - controlling uneinheitlich (Burger und Buchhart 2002, S. 9). Demzufolge sind auch die damit verbundenen Inhalte nicht einheitlich definiert und unterschiedlich interpretiert (Diederichs 2004, S. 10). Hinsichtlich der Beziehung von Risikomanagement und Risikocontrolling existieren in der Literatur folgende Auffassungen:

- Die Begriffe werden als synonym erachtet.
- Risikocontrolling ist ein unterstützender Bestandteil des Risikomanagements.
- Risikocontrolling ist ein abgrenzbarer funktionaler und z.T. institutioneller Teilbereich beim Umgang mit Risiken (Winter 2007, S. 175–176).

Im Folgenden soll letztere Auffassung vertreten werden, da eine unklare Abgrenzung für die Ableitung von Aussagen hinderlich ist (Winter 2008, S. 83). Dabei sind insbesondere funktionale Aspekte hilfreich (Burger und Buchhart 2002, S. 9).

2.2.1 Risikomanagement

„Im allgemeinen betriebswirtschaftlichen Sprachgebrauch wird Management als Synonym für die Unternehmensleitung bzw. -führung verstanden und bezieht sich auf die zielorientierte Gestaltung und Lenkung betrieblicher Aktivitäten“ (Diederichs 2004, S. 11). Das Risikomanagement ist ein Subsystem der Unternehmensführung (Diederichs 2004, S. 26). Seine Ziele gehen aus den Unternehmenszielen hervor. Diese umfassen die Existenzsicherung und die Sicherung bzw. Steigerung des aus den Unternehmensaktivitäten resultierenden Einkommens für die Anspruchsberechtigten (Winter 2007, S. 156). Von besonderer Bedeutung ist in diesem Zusammenhang die Charakterisierung des Risikomanagements als Entscheidungsträger (Diederichs 2004, S. 11). Durch das Treffen von Führungsentscheidungen wird die in 2.1.1 skizzierte Unsicherheit im Hinblick auf die Unternehmensziele bewusst beeinflusst (Winter 2007, S. 156). Das Risikomanagement strebt also primär eine Bewältigung der Unternehmensrisiken an (Diederichs 2004, S. 26). In seiner Führungsfunktion trifft das Risikomanagement Aussagen in Hinblick auf das Abwägen von Chancen und Risiken. Auch werden Grenz- bzw. Schwellenwerte für einzelne Risiken und für das gesamte Risiko festgelegt, das sich aus deren Aggregation ergibt. Zudem werden Verantwortlichkeiten für die Einzelrisiken bestimmt. Entscheidungen über die risikopolitische Steuerung liegen alleine beim Risikomanagement (Schorcht und Brösel 2005, S. 11–25; Schmuckall und Lücke 2008, S. 185).

2.2.2 Risikocontrolling

Der Begriff Controlling wird in Theorie und Praxis teils mit sehr unterschiedlichen Inhalten versehen und ist kontextbezogen oftmals in konzeptionelle Bezugsrahmen eingebettet (Diederichs 2004, S. 19). Mittlerweile hat das Controlling nach verbreiteter Auffassung eine ergebnisorientierte Führungsunterstützungsfunktion (Weilep 2008, S. 221–222). Das Risikocontrolling gilt demnach als risikobezogene Führungsunterstützung bzw. -hilfe im Hinblick auf die Unternehmensziele (Winter 2007, S. 255). Nach Horváth, der als Vorreiter einer adäquaten Controllingkonzeption bezeichnet werden kann, kommen dem Controlling in der Praxis hauptsächlich die Funktionen Planung, Kontrolle und Informationsversorgung zu (Oetzel 2007, S. 29–30). Oetzel überträgt diese funktionale Konzeption eins zu eins auf das Risikocontrolling. Wolke, Burger/Buchardt und Münzel/Jenny sprechen dem Risikocontrolling zusätzlich eine Koordinationsfunktion zu (Wolke 2008, S. 239; Burger und Buchhart 2002, S. 13; Münzel und Jenny 2005, S. 56). Die einzelnen Funktionen können hierbei je nach Art des Unternehmens unterschiedlich stark ausgeprägt sein (Münzel und Jenny 2005, S. 56).

Planung als gedankliche Vorwegnahme künftigen Handelns ist ein wesentliches Aktionsfeld des Risikocontrollings, da verschiedene Risikoursachen die Auslöser von Planabweichungen sind und sich somit immer auf eine bestimmte Planungsposition beziehen (Weissenberger und Löhr 2008, S. 8). Die Planungsfunktion kann auch als die Erfassung des Soll-Zustandes bezüglich der Risiken angesehen werden. Die Erfassung und Darstellung aller für das Unternehmen relevanten Risiken bildet die Grundlage für die Kontrolle. Dabei werden die ursprünglichen Planungspositionen mit dem Ist-Zustand abgeglichen und mögliche Abweichungen analysiert (Wolke 2008, S. 239–240).

Das Risikocontrolling erfüllt seine Informationsversorgungsfunktion in einem ganzheitlichen, risikoadjustierten Berichtswesen und ermöglicht dadurch der Unternehmensführung bzw. dem Risikomanagement die Realisierung einer aktiven, risikoorientierten Unternehmenspolitik. Dies entspricht den Ausführungen in 2.2.1, wonach das Risikomanagement die Steuerungs- und Lenkungsentscheidungen auf der Grundlage von Informationen übernimmt (Diederichs 2004, S. 25).

Die Koordinationsfunktion besteht in einer Systembildung und -kopplung. Die systembildenden Aufgaben umfassen den Aufbau von Systemen und Prozessstrukturen (Burger und Buchhart 2002, S. 13–15). Das Controlling ist prädestiniert für den Aufbau von Risikomanagementsystemen (RMS) (Kajüter 2009, S. 116). Ein RMS ist nach den Standards des IDW und des DRSC ein „nachvollziehbares, alle Unternehmensaktivitäten umfassendes System, das auf Basis einer definierten Risikostrategie ein systematisches und permanentes Vorgehen mit folgenden Elementen umfasst: Identifikation, Analyse, Bewertung, Steuerung, Dokumentation und Kommunikation von Risiken sowie die Überwachung dieser Aktivitäten“ (Weilep 2008, S. 179). Das Controlling verfügt über Methodenkompetenz und hat bei der Systembildung die Aufgabe, eine Konzeption für ein RMS zu entwickeln und spezifische Instrumente für die einzelnen Elemente zur Verfügung zu stellen (Kajüter 2009, S. 116). Ist ein RMS eingerichtet, hat das Controlling bzw. das nun bestehende Risikocontrolling auch eine systemkoppelnde Funktion, die sich in der Koordination der einzelnen Systemelemente äußert (Burger und Buchhart 2002, S. 13–14; Schmuckall und Lücke 2008, S. 184).

2.3 Risikomanagementprozess und funktionale Einbettung des Risikocontrollings

Die inhaltliche Ausgestaltung eines RMS orientiert sich an den Phasen des Risikomanagementprozesses (Weilep 2008, S. 179). Sein Ablauf ist an generelle Managementprozesse angelehnt und umfasst sämtliche Unternehmensaktivitäten zum systematischen Umgang mit Risiken (Oetzel 2007, S. 63–64). Der Prozess beschreibt keine einmalige, stichtagbezogene Durchführung von Maßnahmen. Vielmehr erfordern die sich ändernden Rahmenbedingungen, dass sich Unternehmen flexibel an diese anpassen können. Deshalb sind einzelne Phasen in einen kontinuierlichen Prozess zu integrieren (Oetzel 2007, S. 65). Dies bedeutet jedoch nicht, dass der Prozess täglich durchlaufen werden muss. Vorteilhaft sind periodische Review-Zyklen, die auf die Entwicklungsgeschwindigkeit des Unternehmens und seines Marktes abgestimmt sind (Münzel und Jenny 2005, S. 54). Die folgende Abbildung gibt einen Überblick über den gesamten Risikomanagementprozess als inhaltliche Ausgestaltung eines RMS und ordnet die Funktionen des Risikocontrollings, die im vorhergehenden Abschnitt beschrieben wurden, in den Prozess ein. Das Zusammenspiel zwischen Risikomanagement und Risikocontrolling lässt sich insbesondere anhand der einzelnen Prozessphasen beschreiben (Burger und Buchhart 2002, S. 25), die in den folgenden Teilabschnitten erläutert werden. Anhand der Prozessphasen können die führungsunterstützenden Aufgaben des Risikocontrol lings identifiziert werden.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1 Risikomanagementprozess als inhaltliche Ausgestaltung eines RMS

(In Anlehnung an: Rautenstrauch 2008, S. 143; Oetzel 2007, S. 76)

Zu den Phasen ist anzumerken, dass diese keinesfalls immer schematisch hintereinander erfolgen müssen. „Vielmehr ist eine zeitliche oder thematische Überlagerung unterschiedlicher Abschnitte möglich“ (Schmuckall und Lücke 2008, S. 183). Manche Autoren verzichten auf eine Phase der Strategiefestlegung, da der Zielbezug der einzelnen Phasen auch ohne Betonung außer Frage steht. Die Konkretisierung der einzelnen Ziele in Form von Strategien ist jedoch eine wichtige Ausgangsbasis und ist deshalb explizit im Prozessschema berücksichtigt (Oetzel 2007, S. 64).

2.3.1 Ausgangsbasis: Risikostrategiefestlegung

Die Risikopolitik ist Bestandteil der Unternehmenspolitik und wird in umfassenden Ansätzen als ein System risikopolitischer Grundsatzentscheiden definiert. Einerseits werden grundsätzliche Ziele und Aufgaben im Umgang mit Risiken festgelegt. Andererseits resultiert daraus auch die Risikokultur im Unternehmen (Oetzel 2007, S. 93). Die Formulierung risikopolitischer Grundsätze gehört wegen ihrer strategischen Bedeutung zu den Aufgaben der Unternehmensführung (Gleißner 2008c, S. 38). Die Ziele stellen den Ausgangspunkt für die Formulierung von Risikostrategien dar. Die Risikokultur ist ein Ausdruck dafür, wie alle Beteiligten tagtäglich das auf die Risiken ausgerichtete Normen- und Wertegerüst effektiv leben. Dies ist ein wesentlicher Erfolgsbaustein für den Erfolg des gesamten RMS und sollte damit auch bei der Formulierung von Risikostrategien berücksichtigt werden. Bei der Risikostrategiefestlegung werden die Ziele weiter konkretisiert und detaillierte Aktions- und Maßnahmenbündel festgelegt (Oetzel 2007, S. 93–94). Konkret werden die risikopolitischen Maßnahmen, der Zeitpunkt ihrer Durchführung und deren Umfang bestimmt (Oetzel 2007, S. 104). Hier arbeiten Risikomanagement und -controlling eng zusammen, um detaillierte Vorgaben für die Risikosteuerung festzuschreiben (Oetzel 2007, S. 77).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2 Zusammenhänge bei der Entwicklung von Risikostrategien

2.3.2 Hauptphasen des Risikomanagementprozesses

Die Hauptphasen des Prozesses lassen sich in Erfassung, Bewertung, Steuerung und Kontrolle von Risiken unterteilen. Der Schwerpunkt der Führungsunterstützung des Risikocontrollings liegt an dieser Stelle auf der Erfassung, Bewertung und Kontrolle.

2.3.2.1 Erfassung

Ziel der Risikoerfassung ist es, eine Informationsbasis für das Risikomanagement zu schaffen. Dazu müssen alle wesentlichen Risiken im Unternehmen möglichst vollständig identifiziert werden. Da nur erkannte Risiken bewertet, kommuniziert und bewältigt werden können, ist diese Phase sehr bedeutsam für den weiteren Prozessverlauf (Kajüter 2009, S. 119). Das Risikocontrolling ist für die Risikoerfassung eigenständig verantwortlich (Oetzel 2007, S. 77) und hat die Aufgabe, in Zusammenarbeit mit den operativen Stellen Risiken zu erheben (Burger und Buchhart 2002, S. 57). Dabei kann das Risikocontrolling entweder progressiv oder retrograd vorgehen. Die progressive Vorgehensweise setzt an typischen Risikofaktoren an (Oetzel 2007, S. 191). Risikofaktoren sind Elemente, die zu einem Risiko oder dessen Entwicklung beitragen, also die Ursachen für Risiken (Münzel und Jenny 2005, S. 38). Von diesen wird dann auf Schadenswirkungen und mögliche negative Zielabweichungen (Risiken i. e. S.) im Unternehmen geschlossen. Bei der retrograden Methode geht man von festgelegten Zielen aus und ermittelt dann – besonders in risikorelevanten Unternehmensbereichen – etwaige zielbedrohende Risikofaktoren. Für beide Vorgehensweisen empfiehlt sich eine Orientierung an dem erwähnten Kategorienmodell, das auch als Risikoprofil bezeichnet wird (Oetzel 2007, S. 191). Mit der Identifikation unsicherer Planannahmen übernimmt das Controlling somit effizient notwendige Aufgaben für das Risikomanagement. Dadurch kann dieses mit der Unternehmensplanung stärker verzahnt werden (Gleißner 2008c, S. 35).

2.3.2.2 Bewertung

Die Risikobewertung knüpft an die Erfassung an und verfolgt die Zielsetzung, die gewonnenen Informationen zu beurteilen und zu aggregieren. Dadurch wird eine Entscheidungsgrundlage für die Risikosteuerung geschaffen (Burger und Buchhart 2002, S. 101). Auch hierfür ist das Risikocontrolling eigenständig verantwortlich (Oetzel 2007, S. 77). Konkret verfolgt es die Aufgabe, die erhobenen Risiken und die Konsequenzen der unterschiedlichen Möglichkeiten der Risikosteuerung zu quantifizieren (Burger und Buchhart 2002, S. 57). Ziel ist dabei eine möglichst vollständige Quantifizierung aller identifizierten Risiken. Durch eine quantitative Bewertung ist es möglich, Bestandsgefährdungen bzw. wesentliche Abweichungen von Zielgrößen zu erkennen und der Bedeutung der Risiken entsprechend eine Rangordnung zu erstellen (Denk et al. 2006, S. 22). Trotzdem müssen auch bei nicht oder nicht vollständig quantifizierbaren Risiken Bewertungen durchgeführt werden. Dabei handelt es sich meist um strategische Risiken, die aufgrund fehlender Erfahrungswerte häufig ausgeklammert werden. Doch gerade diese Risiken bergen – wie z.B. in der Einleitung durch die Finanzkrise angedeutet – oft erhebliche Krisengefahren für das Unternehmen (Wolf und Runzheimer 2009, S. 57). Die Quantifizierung ist weiterhin auch Voraussetzung für eine Aggregation von Einzelrisiken. Dadurch wird das gesamte Risiko ermittelt und die aggregierte Wirkung der Risiken auf die Unternehmensziele beurteilt (Denk et al. 2006, S. 22). Im Einzelnen muss das Risikocontrolling Eintrittswahrscheinlichkeiten von Risikoursachen (Intensitätsdimension) bestimmen oder abschätzen. Weiterhin ist die erwartete Tragweite von Risikowirkungen, die Schadenshöhe (Quantitätsdimension), möglichst exakt zu quantifizieren oder subjektiv zu schätzen. Außerdem kann, sofern dies möglich ist, eine Quantifizierung unter Zeitbezug (Temporaldimension) erfolgen (Oetzel 2007, S. 222). Wie in Abschnitt 2.2.1 erläutert wurde, ist es Aufgabe des Risikomanagements, Schwellenwerte und damit die Steuerungsrelevanz der Risiken festzulegen. Im Rahmen der Risikobewertung leistet das Risikocontrolling dabei Unterstützung, indem es adäquate Messgrößen festlegt, deren Ausprägungen dann nach der Steuerungsphase kontrolliert werden können (Burger und Buchhart 2002, S. 48).

2.3.2.3 Steuerung

Gegenstand der Risikosteuerung ist die aktive Beeinflussung der ermittelten und analysierten Risiken. Hier trifft das Risikomanagement im Rahmen der festgelegten Strategien anhand seiner Risikopräferenzen Führungsentscheidungen, wie die Risiken gehandhabt werden sollen (Diederichs 2004, S. 188; Burger und Buchhart 2002, S. 57–58). Dabei existieren prinzipiell vier Möglichkeiten: Akzeptanz, Überwälzung, Vermeidung und Verminderung.

Werden Risiken akzeptiert, bedürfen sie keiner Steuerungsmaßnahmen, jedoch ist ihre Entwicklung (vom Risikocontrolling) zu beobachten. Dies ist bei Risiken mit niedriger Eintrittswahrscheinlichkeit und Schadenshöhe der Fall. Bei der Überwälzung wird das Risiko auf einen Dritten übertragen. Dieser Dritte kann ein Vertragspartner jeglicher Art sein. Ob ein Risiko überwälzbar ist, hängt insbesondere von der Art des Risikos ab. Beispielsweise können Marktrisiken durch entsprechende Markttransaktionen (z. B. Finanzderivate)^[1] oder eine vertragliche Übertragung auf individuelle Partner transferiert werden. Unternehmensrisiken können z. B. durch Verlagerung von Teilbereichen der Leistungserstellung auf andere Unternehmen (Outsourcing) übergewälzt oder durch Versicherungen abgedeckt werden (Brandschutz, Diebstahlschutz etc.). Wenn Risiken sehr wahrscheinlich eintreten und eine erhebliche Schadenshöhe bis hin zur Existenzgefährdung aufweisen, sollten sie weitgehend vermieden werden. Dies kann zur Folge haben, dass betroffene Geschäftsfelder liquidiert, bestimmte Prozesse der Leistungserstellung nicht durchgeführt und riskante Märkte nicht bearbeitet werden, wodurch natürlich auch bewusst Erfolgspotenziale aufgegeben werden. Die Verminderung trifft für wahrscheinliche Risiken mit bedeutendem bis erheblichem Schadenspotenzial zu. Hier muss mit entsprechenden Maßnahmen im Ergebnis die Eintrittswahrscheinlichkeit, die Schadenshöhe oder beides reduziert werden (Burger und Buchhart 2002, S. 49–50). Diese Möglichkeit hat eine direkte Auswirkung auf das interne Kontrollsystem, da nur im Kontext dieser Option Maßnahmenkontrollen definiert werden müssen (Klinger und Falk 2007, S. 15).

Bei den Führungsentscheidungen wirkt das Risikocontrolling immer wieder unterstützend, indem es zum einen die nötige Informationsbasis schafft. Zum anderen verfügt es, wie bereits erläutert, über Fachwissen und die Methodenkompetenz und stellt das für die Entscheidungen erforderliche Instrumentarium bereit (Oetzel 2007, S. 78). Dies setzt voraus, dass entscheidungsrelevante Daten für das Risikomanagement vom Risikocontrolling sorgfältig aufbereitet, richtig interpretiert und die Auswirkungen von Entscheidungen reflektiert werden. „Durch eine derartige Mitgestaltung des Entscheidungsprozesses geht der Verantwortungsbereich des Risikocontrollings weit über eine bloße Datenaufbereitung und Instrumentenbereitstellung hinaus“ (Oetzel 2007, S. 264).

2.3.2.4 Kontrolle

Die Kontrolle der Risiken ist wiederum allein dem Risikocontrolling zuzuordnen. Es handelt sich um kontinuierlich durchzuführende, prozessphasenabhängige und rückkoppelnde Prüfungen, die feststellen, ob die geplanten Maßnahmenwirkungen tatsächlich eingetroffen sind (Oetzel 2007, S. 78). Das Risikocontrolling vergleicht Planung und die erreichten Resultate und ermittelt Differenzen (Münzel und Jenny 2005, S. 56). Meistens handelt es sich um klassische Soll-Ist-Vergleiche, wobei das Soll die vom Risikomanagement festgelegten Grenz- bzw. Schwellenwerte darstellt (Weilep 2008, S. 166). Die Bildung detaillierter Grenzwerte resultiert oft erst aus der Ermittlung von Soll-Ist-Abweichungen (Weilep 2008, S. 161). Bei etwaigen negativen Abweichungen sind die Risikoursachen vom Risikocontrolling zu bestimmen und gegebenenfalls vom Risikomanagement erneut über geeignete Steuerungsmaßnahmen zu entscheiden (Oetzel 2007, S. 78). Ausschlaggebend ist an dieser Stelle die Diskussion der Resultate und der Abweichungen mit dem Management und mit den verantwortlichen operativen Einheiten (Münzel und Jenny 2005, S. 56). Im Ergebnis führt die Kontrolle dazu, dass zum einen bereits vorher erkannte und daraufhin dem Risikohandhabungsprozess unterzogene Risiken kontrolliert und gegebenenfalls erneut identifiziert werden müssen und zum anderen zur Identifikation neuer Risiken (Weilep 2008, S. 166). Damit schließt die Kontrolle die Hauptphasen des Risikomanagementprozesses und setzt wieder an den vorangegangen Prozessphasen an, was die Kontinuität des Prozesses bzw. einen Kreislaufgedanken verdeutlicht. Daneben gibt es aber noch weitere Phasen, die im Folgenden erläutert werden sollen.

2.3.3 Prozessphasenabhängige Koordination und unabhängige Prozesskontrolle

Die Koordinationsfunktion des Risikocontrollings manifestiert sich – neben dem Berichtswesen, das im folgenden Abschnitt erläutert wird – besonders bei der prozessphasenabhängigen Koordination. Da eine integrierte Betrachtung von Erfolgspotenzialen und Risiken angestrebt werden soll, müssen bei der Einrichtung eines RMS bestehende Planungs-, Kontroll- und Informationssysteme darauf abgestimmt werden (Systembildung) (Münzel und Jenny 2005, S. 58). Ist ein RMS in der inhaltlichen Ausgestaltung eines Risikomanagementprozesses eingerichtet, obliegt es dem Risikocontrolling, zu gewährleisten, dass jede Prozessphase für sich harmonisch abläuft und die verschiedenen Phasen auch koordinierend aufeinander abgestimmt werden (Systemkopplung). Dies beinhaltet eine sachliche und zeitliche Komponente. „Die sachliche Komponente berücksichtigt den Umfang von Risiken und Abhängigkeiten zwischen den Risiken und soll die einzelnen Risiken zentral zusammenführen.“ Außerdem müssen alle Prozessphasen zeitlich koordiniert werden. Anzustreben ist ein dauerhaftes und konsistentes RMS (Oetzel 2007, S. 76–77).

Daneben existiert eine prozessunabhängige Kontrolle. Diese wird je nach Größe des Unternehmens von der internen Revision, dem Controlling oder einem unternehmensexternen Experten wie z. B. einem Wirtschaftsprüfer wahrgenommen (Henschel 2008b, S. 57). In Ausnahmefällen kann die Kontrolle auch durch eine neutrale, von der Unternehmensführung bestimmte Person durchgeführt werden. Primäres Ziel ist die Überwachung der ordnungsgemäßen Ausführung aller Aktivitäten im RMS und deren Ausgestaltung. Geprüft werden u. a. die Funktionstüchtigkeit des Systems, die Zweckmäßigkeit der Aufbauorganisation und die Vollständigkeit und Regelmäßigkeit der Risikoberichterstattung (Münzel und Jenny 2005, S. 145–146).

2.3.4 Risikoberichtswesen

Neben den Phasen existiert das parallel laufende Risikoberichtswesen mit der zugehörigen Dokumentation. Das Reporting dient als Querschnittsphase zur Unterstützung der Hauptphasen und liegt idealerweise im Verantwortungsbereich des Risikocontrollings, das damit seiner Informationsversorgungsfunktion gerecht wird (Rautenstrauch 2008, S. 145). Das Risikocontrolling ist an der Berichterstellung als informationsgenerierende Instanz maßgeblich beteiligt und kann dabei als Bindeglied zwischen operativen Einheiten, den Entscheidungsträgern und den unabhängigen Kontrollorganen angesehen werden (Burger und Buchhart 2002, S. 175). Inhalte der Risikoberichte sind die Ergebnisse der Risikoerfassung und -bewertung, der Status der Planung, Steuerung und Umsetzung der Maßnahmen zur Risikohandhabung ebenso wie die Informationen zur Risikokontrolle (Denk et al. 2006, S. 25).

Eng verknüpft mit der Berichterstattung an die Entscheidungsträger ist auch die externe Risikoberichterstattung. Hierfür ist eine Abstimmung mit dem externen Rechnungswesen nötig (Wolke 2008, S. 240). Generell bestimmt sich der Informationsbedarf nach inhaltlichen, formalen, zeitlichen und personellen Anforderungen der Adressaten (Wolf und Runzheimer 2009, S. 101). Wie später noch gezeigt wird, sind vor allem die Banken wichtige externe Adressaten, die eine angemessene Berichterstattung bezüglich der Risiken fordern, wenn das Unternehmen einen Bankkredit in Anspruch nehmen möchte.

Vorspann

Die vorliegende Arbeit befasst sich mit der Bedeutung und Ausgestaltung des Risikocontrollings in kleinen und mittelständischen Unternehmen. Es wird aufgezeigt, dass durch ein modernes und angemessenes Risikocontrolling ein echter ökonomischer Mehrwert für diese Unternehmen geschaffen werden kann.

[...]

^[1] Die Überwälzung von Marktrisiken mit Finanzderivaten war ein Faktor, der zu einer massiven Ausweitung der Finanzkrise beitrug und ist m. E. daher momentan nur eingeschränkt empfehlenswert.