Leseprobe
Inhaltsverzeichnis
Abbildungsverzeichnis
Tabellenverzeichnis
Abkürzungs- und Symbolverzeichnis
1 Einleitung
2 Einführung
2.1 Definition Risiko
2.2 Definition Risikomanagement
2.3 Definition Business Continuity Management
2.4 Definition Finanzdienstleister
3 Gesetzliche Anforderungen und Standards
3.1 Gesetzliche Anforderungen
3.1.1 Allgemeine gesetzliche Anforderungen
3.1.2 Anforderungen an Finanzdienstleistungs- und Kreditinstitute
3.1.3 Anforderungen an Versicherungen
3.2 Standards
3.2.1 ISO/IEC 27001:
3.2.2 ISO/IEC
3.2.3 BSI 100-
3.2.4 BS25999:1-
3.2.5 BS 25999:2-
3.2.6 PAS
4 Fazit
Literaturverzeichnis (inklusive weiterführender Literatur)
Abbildungsverzeichnis
Abbildung 1: Beispiel Risikoportfolio
Abbildung 2: Strategien zur Risikobeeinflussung - 3R-S-Modell
Tabellenverzeichnis
Tabelle 1: Abgrenzung der Ungewissheitskategorien
Abkürzungs- und Symbolverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
1 Einleitung
Jede Unternehmung geht bereits mit den Vorbereitungen einer Geschäftsgründung Risiken ein, um mit den eingesetzten Investitionen einen Mehrwert zu erlangen. Somit ist unternehmerische Tätigkeit stets mit Unsicherheiten verbunden. Ziel eines Unternehmens ist es - vor allem kurzfristig - einen Gewinn zu erwirtschaften und - dann langfristig - die Existenz am Markt zu sichern.
Aufgrund der Forderungen vom Gesetzgeber, von den Share- und Stakeholdern sowie auch aus eigenem Interesse hat die Unternehmensleitung zunehmend versucht, den diffusen Risiken Herr zu werden und etablierte ein Risikomanagementsystem. Ziel des Risikomanagements ist es, die Chancen und Risiken zielgerecht zu erkennen und sie gemäß der Eintrittswahrscheinlichkeit und der quantitativen Auswirkungen auf den Unternehmenswert zu bewerten. Eine Kombination der Standardstrategien -Vermeidung von Risiken, Übertragung von Risiken und Verminderung von Risiken - wurde auf ein tolerierbares Maß verringert, sodass das Restrisiko vom Unternehmen selbst getragen wurde. Diese klassische Betrachtung stellt sich allerdings in Hinblick auf die Kombination aus einer geringen Wahrscheinlichkeit des Risikoeintritts und dem hohen Potenzial an verursachten Schäden sehr problematisch dar, da diese existenzbedrohenden Fälle in der Realität vorkommen.
In der vergangenen Zeit wurde vielen Unternehmen bei extremen Einwirkungen klar, dass deren Existenzsicherung bezüglich Risiken vernachlässigt worden ist. Als schmerzhaftes Beispiel ist der Terroranschlag zu nennen, bei dem der American Airlines Flug 11 um 8:46 Uhr am 11. September 2001 in den Nordturm des World Trade Centers in New York eingeschlagen ist.1 Das Risiko eines solchen Anschlags für einen einzelnen Betrieb ist marginal, allerdings trotzdem nicht zu vernachlässigen. Ein funktionierendes Business Continuity Management System verhilft, eine solche existenzielle Krise zu bewältigen und das Fortbestehen am Markt zu gewährleisten. Hier ist es irrelevant, wodurch die Krise herbeigeführt worden ist. Denkbare Szenarien sind Verbrechen (terroristische Anschläge, Hackerangriffe, Sabotage oder Diebstahl), Umweltbedrohungen (Erdbeben, Tornados, Feuer oder Wasser), der Ausfall von Mitarbeitern aufgrund einer Pandemie, der Ausfall der Infrastruktur (Energieversorgung, Transport/Verkehr), Bedrohungen der IT (defekte Datenspeicher, Rechner- und Netzwerkausfälle) oder Abhängigkeiten von Dritten (Kommunikation, externe Dienstleister).
In Deutschland herrscht diesbezüglich ein auffälliger Nachholbedarf - auch in Hinblick auf das gestiegene Bewusstsein in der Politik, das sich in der Gesetzgebung wieder findet und Rahmenbedingungen einer Notfallplanung in Unternehmen einfordert. Bislang haben laut einer Schätzung des Business Continuity Instituts nur zehn Prozent aller Großunternehmen ein Kontinuitätsmanagement errichtet. In mittelständischen Unternehmen besitzen sogar nur einzelne Betriebe ein Business Continuity Management System.2 Dabei soll es nur 23 % der Unternehmen, die von einem größeren Schaden betroffen waren, gelingen, langfristig ihre volle Leistungsfähigkeit wiederherzustellen. Mehr als drei Viertel dieser Unternehmen melden innerhalb von drei Jahren Insolvenz an oder werden übernommen.3
2 Einführung
2.1 Definition Risiko
Unternehmerisches Handeln ist durch die Ungewissheit der zukünftigen Entwicklungen stets mit Risiken verbunden. Abhängig vom Umfang und Bereich der Risiken, dem ein Unternehmen ausgesetzt ist, kann ein solches Risiko den Ertrag verringern oder sogar existenzbedrohend sein.
„ Unter dem unternehmerischen Risiko versteht man die Gefahr, dass aufgrund von nicht beachteten oder falsch eingesch ä tzten St ö rfaktoren das Ergebnis von den Erwartungen bzw. von den Zielen abweichen wird. “ 4
Eine Abweichung vom Erwartungswert kann sowohl negativ als auch positiv ausfallen. So bedeutet ein einzugehendes Risiko auch immer eine Chance, die genutzt werden kann.
Risiko kann mathematisch definiert werden als der Erwartungswert, der sich aus der Kombination der beiden Größen Wahrscheinlichkeit des Schaden verursachenden Ereignisses und des Schadenausmaßes ergibt:
„ Risiko = Wahrscheinlichkeit x Ausma ß“ 5
In Bezug auf die normative Entscheidungstheorie wird rationales Verhalten des Entscheiders zugrunde gelegt, wobei Entscheidungen abhängig vom Informationsstand und von der persönlichen Risikopräferenz getroffen werden (zwischen risikoavers und risikofreudig). Dadurch fallen Entscheidungen im konkreten Fall bei gleichem Informationsstand
unterschiedlich aus und werden zusätzlich durch externe Rahmenbedingungen, wie z. B. durch Gesetze, beeinflusst.6
Abbildung in dieser Leseprobe nicht enthalten
Tabelle 1: Abgrenzung der Ungewissheitskategorien7
Unter rationalem Handeln im ökonomischen Kontext in der modernen Portfoliotheorie von Markowitz wird verstanden, dass eine Transaktion nur dann durchgeführt wird, wenn sie bei gleichem Risiko die höchste zu erwartende Rendite in Aussicht stellt oder bei gleicher erwarteter Rendite das geringste Risiko verspricht und dementsprechend auf der Effizienzlinie liegt.8
Im Rahmen der Entscheidungstheorie können Entscheidungen mit Hilfe von verschiedenen Entscheidungsregeln getroffen werden. Diese Regeln
(Bayes- -Regel, das Bernoulli-Prinzip und das Laplace-
Prinzip) können in Abhängigkeit von den Umweltzuständen und der Eintrittswahrscheinlichkeit genutzt werden (siehe Tabelle 1: Abgrenzung der Ungewissheitskategorien)
Risiken können in folgende klassische Risikokategorien aufgeteilt werden:
Marktrisiken sind Risiken, die in den Märkten auftreten können, in denen das Unternehmen tätig ist. Hierbei sind Beschaffungsmärkte (wie zum Beispiel Rohstoffmarkt, Arbeitsmarkt, in dem Personal nachgefragt wird), Absatzmärkte und Finanzmärkte zu nennen. Es können auch Risiken hinzugezählt werden, die durch Entwicklungen in gesellschaftlichen, technologischen, ökologischen und politischen Bereichen entstehen. Aus aktuellem Anlass wäre hier die Situation am US-amerikanischen Immobilienmarkt zu nennen. Hier wurden Subprime Darlehen von Hypotheken an Kunden mit schlechter Bonität und keinem oder geringem Eigenkapital vergeben. Durch variable Zinssätze haben Banken versucht, das Risiko zu begrenzen, sodass dieser Anteil von 19 % in 2004 auf 57 % in 2005 gestiegen ist.9 Dabei erhöhte das Federal Open Market Committee des Federal Reserve System die US-amerikanischen Leitzinsen von 1,00 % (26.06.2003)10 auf 5,25 % (29. 06. 2006)11, womit die Zinsraten für viele Hypothekenschuldner nicht mehr finanzierbar waren. Die Folge war häufige Versteigerung von Häusern, wodurch die Immobilienpreise immens sanken. Dies bedingte nun Abschreibungen in Höhe von 80 Milliarden US-Dollar bei Banken.12
Strategische Risiken sind Risiken, die sich auf die Strategien des Unternehmens beziehen. Als Beispiel sei die Einführung des Phaeton von Volkswagen zu nennen. Hier bestand das Risiko, dass sich das Management des Unternehmens für die Marktentwicklungsstrategie aus den Produkt/Markt-Strategien nach Ansoff entschieden hat, um neue Käuferschichten zu erschließen. Mit dem Phaeton sollte 2002 bei der Automobilmarke VW im Geschäftsbereich Personenkraftfahrzeuge das Hochpreissegment angesprochen werden, doch der gewünschte Erfolg blieb aus.
Managementrisiken sind Risiken, die auf das Versagen des Managementsystems, das ein Unternehmen errichtet hat, zurückzuführen sind. Hierunter fallen sowohl Schwächen im Planungs- und Kontrollsystem als auch das Fehlverhalten der Unternehmensführung. Eine der bekanntesten Insolvenzen, die durch Fehlverhalten des Managements verursacht worden sind, ist der Konkurs von Enron. Im börsennotierten Energiekonzern wurden systematisch Scheingeschäfte durchgeführt, durch die ein überhöhter Konzerngewinn ausgewiesen worden ist.13 Am 02. 12. 2001 beantragte das Unternehmen Insolvenz, worauf innerhalb von wenigen Tagen die Enron-Aktionäre 60 Milliarden US-Dollar verloren und 4.500 Mitarbeitern gekündigt wurde. Infolgedessen wurde der Sarbanes-Oxley Act vom US-Kongress verabschiedet und vom amerikanischen Präsidenten George W. Bush am 30. 07. 2002 in Kraft gesetzt, das verschiedene Aspekte der Corporate Governance, Compliance und der Berichterstattungspflichten von Publikumsgesellschaften regelt.14
Finanzielle Risiken sind Risiken, die sich auf die Finanzziele des Unternehmens beziehen. Im Vordergrund geht es hier um die Rentabilität und Liquidität einer Unternehmung. Als Beispiel kann hier das Risiko von Wechselkursen genannt werden. Bei einem Kontrakt in einer Fremdwährung - abhängig von der Entwicklung des Wechselkurses - sinken oder steigen die Verbindlichkeiten gegenüber Dritten in der eigenen Währung.
Operative Risiken sind Risiken, die aus der laufenden Geschäftstätigkeit in den unterschiedlichen Geschäftsbereichen resultieren.
„ Operational risk is defined as the risk of loss resulting from inadequate or failed internal processes, people and systems or from external events. This definition includes legal risk, but excludes strategic and reputational risk. ” 15
Es handelt sich hierbei also um Systeme und Prozesse, die nicht effizient durchgeführt werden oder um das Fehlverhalten von Personen. Beispielhaft ist hier der Bankrott der Barings Bank im Jahre 1995 aufzuführen, der durch fehlerhafte Kontrollen der Aktivitäten des Händlers Nick Leeson verursacht wurde. Er war zuerst für die Abwicklung und Kontrolle des Handels in Singapur zuständig und wurde später Händler. Dadurch kontrollierte er seine Handelsgeschäfte, sodass interne Kontrollen versagten.16
2.2 Definition Risikomanagement
Unter dem klassischen Risikomanagement werden sämtliche Aktivitäten, Prozesse, Strukturen und Instrumente verstanden, die der Bewältigung der Risiken eines Unternehmens dienen.17 Der Prozess des Risikomanagements ist in folgende Phasen aufgeteilt:
1. Risikoidentifikation und -analyse
2. Risikobewertung und -klassifizierung
3. Risikosteuerungsmaßnahmen
4. Risikoüberwachung und -reporting
Bei der Identifikation der Risiken wird eine Abgrenzung von Bereichen vorgenommen, in denen Risiken erscheinen können. In der Risikobewertung wird anhand des Schadenpotenzials und der Eintrittswahrscheinlichkeit eine Kategorisierung der Risiken vorgenommen. Hierzu wird sich häufig eines Risikoportfolios bedient.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1: Beispiel Risikoportfolio18
In der Risikosteuerung wird entschieden, wie mit den verschiedenen Risiken umgegangen wird. Es stehen hier die Standardstrategien Risikovermeidung, Risikotransfer, Risikoverminderung und das Selbsttragen bzw. Risikoakzeptanz zur Verfügung (siehe Abbildung 2:
Strategien zur Risikobeeinflussung - 3R-S-Modell). In der Phase „Risikoüberwachung und Risikoreporting“ geht es um das Überwachen, die Früherkennung und das Mitteilen von Risiken, damit beispielsweise eine Risikostrategie für neu aufgetretene Risiken von den Risikoverantwortlichen beschlossen und umgesetzt werden kann.
[...]
1 Vgl. Schmilewki 03. 09. 2006 - 9/11 - fünf Jahre danach
2 Vgl. Buck 13. 06. 2007 - Mittelständische Unternehmen sind kaum auf Krisen und Katastrophen vorbereitet
3 Vgl. Götz 2007 - Business-Continuity-Management in Banken, S. 70 - 71
4 Thommen, Achleitner 2006 - Allgemeine Betriebswirtschaftslehre S. 1013
5 Romeike 2004 - Lexikon Risiko-Management, S. 102
6 Vgl. Kuhn 2006 - Operationelle Risiken im Kontext der Gesamtbanksteuerung, S. 10
7 Vgl. Kuhn 2006 - Operationelle Risiken im Kontext der Gesamtbanksteuerung, S. 10
8 Vgl. Kaiser, Köhne 2004 - Operationelle Risiken in Finanzinstituten, S. 5
9 Vgl. Gottschalck, Lange 16. 03. 2007 - Kredit-Karussell außer Kontrolle
10 Vgl. Pieper 27. 06. 2003 - Der Euro bleibt unter Druck, S. 30
11 Vgl. Häring 03. 07. 2006 - Volkswirte warnen EZB vor Übereifer, S. 1
12 Vgl. Jordan, Karp 08. 01. 2008 - Finanzkrise, S. 25
13 Vgl. Ogger 30. 04. 2003 - Die Bilanzfälscher
14 Vgl. Bertschinger, Schaad 2002 - Der amerikanische Sarbanes-Oxley Act
15 Basel Committee on Banking Supervision of the Bank for International Settlements - International Convergence of Capital Measurement and Capital Standards, S. 137
16 Vgl, Hechenblaikner 2006 - Operational Risk in Banken, S. 15 - 16
17 Vgl. Thommen, Achleitner 2006 - Allgemeine Betriebswirtschaftslehre, S. 1014
18 Vgl. Thommen, Achleitner 2006 - Allgemeine Betriebswirtschaftslehre, S. 1019