Anforderungen an das Risikomanagement und ergänzende Sichtweisen interner Prüfer

Inhaltsverzeichnis

Danksagung

Genderhinweis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

Kurzfassung

Executive Summary

1 Einleitung
1.1 Ausgangslage und Problemstellung
1.2 Zielsetzung und Motivation
1.3 Aufbau und Methodik

2 Begriffsabgrenzungen
2.1 Risikobegriff
2.2 Risikokategorisierung
2.3 Risikomanagement
2.4 Risikomanagementsystem
2.5 Risikoeigentümer
2.6 Risikomanager
2.7 Allgemeine Begriffe

3 Anforderungen an das Risikomanagement
3.1 Konzeptionelle, betriebswirtschaftliche Anforderungen
3.1.1 Rahmenbedingungen zum Risikomanagement
3.1.1.1 Risikostrategie, Risikokultur und Risikoziele
3.1.1.2 Aufbau- und Ablauforganisation
3.1.2 Risikomanagementprozess
3.1.2.1 Identifikation
3.1.2.2 Analyse und Bewertung
3.1.2.3 Bewältigung und Steuerung
3.1.2.4 Berichterstattung, Kommunikation, Information
3.1.2.5 Überwachung
3.1.2.6 Ausgewählte Methoden im Risikomanagementprozess
3.1.3 Zusammenfassung zu konzeptionellen, betriebswirtschaftlichen Anforderungen
3.2 Nationale, internationale gesetzliche Vorgaben bzw. Regelungen
3.2.1 Regelungen in Österreich, rechtliche Rahmenbedingungen
3.2.1.1 Österreichisches Aktiengesetz und GmbH-Gesetz
3.2.1.2 Unternehmensrechtliche Rahmenbedingungen
3.2.1.3 Österreichischer Corporate Governance Kodex (ÖCGK)
3.2.2 Internationale Regelungen, rechtliche Rahmenbedingungen
3.2.2.1 Gesetz für Kontrolle und Transparenz in Deutschland (KonTraG)
3.2.2.2 Bilanzrechtsmodernisierungsgesetz (BilMog)
3.2.2.3 Deutscher Corporate Governance Kodex (DCGK)
3.2.2.4 Sarbanes-Oxley Act of 2002
3.2.2.5 Basel
3.2.2.6 Solvency
3.2.3 Zusammenfassung zu gesetzlichen Vorgaben und Regelungen
3.3 Normen, Rahmenwerke (Standards)
3.3.1 Risikomanagement nach ISO 31000
3.3.2 Risikomanagement nach ONR 49000ff
3.3.3 Unternehmensweites Risikomanagement nach „COSO - ERM“
3.3.4 Zusammenfassung zu ISO 31000, ONR 49000ff und „COSO - ERM“
3.3.5 Allgemeine Anforderungen an Risikomanagement-Standards
3.4 Zusammenfassung und Erkenntnisse

4 Risikomanagement und das „Three Lines of Defense Model“
4.1 Das „Three Lines of Defense Model“
4.1.1 Beschreibung der drei Verteidigungslinien
4.1.1.1 Einordnung, Abgrenzung des Risikomanagements im TLoD-Modell
4.1.1.2 Einordnung, Abgrenzung der Internen Revision im TLoD-Modell
4.1.2 Kritische Würdigung TLoD-Modell
4.2 Risikomanagement und Interne Revision
4.2.1 Schnittstellen zwischen Risikomanagement und Interner Revision
4.2.2 Interne Revision und Aufgaben externer Prüfer
4.2.3 Prüfung des Risikomanagements durch die Interne Revision
4.2.4 Prüfungsgrundlagen und anzuwendende Prüfungsstandards
4.2.4.1 Internationale Standards zur beruflichen Praxis der Internen Revision
4.2.4.2 DIIR Revisionsstandard Nr. 2
4.2.4.3 Beurteilung des Risikomanagements gemäß Regel 83 ÖCGK
4.2.4.4 Prüfungsstandard IDW PS 340
4.2.4.5 Kritische Würdigung der Prüfungsgrundlagen und Prüfungsstandards

5 Praxisbezug, Fallbeispiel
5.1 Erläuterungen zum Risikomanagement des Unternehmens
5.1.1 Risikomanagement-Rahmenbedingungen, -Fundamente
5.1.2 Risikomanagementprozess
5.1.2.1 Risikoidentifikation
5.1.2.2 Risikobewertung
5.1.2.3 Risikobewältigung
5.1.2.4 Dokumentation
5.1.2.5 Überwachung
5.1.2.6 Information und Kommunikation
5.2 Kritische Betrachtung des Risikomanagements des Unternehmens
5.2.1 Kritische Betrachtung des Geschäftsberichts zum Unternehmen
5.2.2 Kritische Betrachtung auf Basis ausgewählter Prüfungsstandards
5.2.2.1 Österreichischer Corporate Governance Kodex
5.2.2.2 Prüfungsstandard IDW PS 340
5.2.3 Kritische Betrachtung auf Basis DIIR Revisionsstandard Nr. 2
5.2.4 Kritische Betrachtung aus Sicht der Internen Revision
5.3 Erfahrungswerte ausgewählter Studien
5.3.1 Risikomanagement Panel 2015 (Österreich)
5.3.2 IIAA Umfrage 2013 (Deutschland, Österreich, Schweiz)
5.3.3 Erkenntnisse weiterer Studien
5.3.4 Studie zur Risikoberichterstattung nach IFRS 7
5.4 Grenzen des Risikomanagements

6 Fazit
6.1 Kritische Würdigung
6.2 Verifizierung/Falsifizierung der Hypothese
6.3 Zusammenfassung
6.4 Ausblick

7 Literaturverzeichnis

8 Anhang Praxisteil, beispielhafte Formulare und Masken

9 Anhang Praxisteil, Fragenkatalog und Formulare
9.1 Fragenkatalog DIIR Revisionsstandard Nr. 2
9.2 Formular, Stichprobendokumentation
9.3 Formular, Planabweichung/Abweichungs-Test

Danksagung

DANKE an alle,

die mich unterstützt haben und dadurch diese Arbeit ermöglicht haben.

Besonderer Dank gilt meiner Freundin, meinen Eltern und meinem Arbeitgeber.

Genderhinweis

Geschlechtergleichberechtigung (im Sinne des biologischen Sexus, grammatikalischen Geschlechts und des soziokulturellen Gender) ist meine gelebte Realität, im Sinne der Lesbarkeit verwende ich aber völlig wertfrei jeweils nur ein Geschlecht im grammatikalischen Sinn des Wortes. Die Formulierungen sind somit als geschlechtsneutral anzusehen, im Sinne der Gleichberechtigung werden generell beide Geschlechter angesprochen (so sind beispielsweise unter Mitarbeiter die Mitarbeiterinnen und Mitarbeiter eines Unternehmens zu verstehen - gewählte Formulierungen implizieren keinesfalls eine Benachteiligung des jeweils anderen Geschlechts).

Meinungen und Sichtweisen des Verfassers dieser Arbeit sind i.d.R. mit der Formulierung „aus Sicht des Autors“ gekennzeichnet.

Abbildungsverzeichnis

Abbildung 1: Darstellung des Risikobegriffs aus betriebswirtschaftlicher Sicht

Abbildung 2: Kulturebenen nach Schein

Abbildung 3: Risikomanagementprozess

Abbildung 4: Strategien zur Risikobewältigung

Abbildung 5: Hauptbestandteile der ISO 31000

Abbildung 6: Unternehmensweites Risikomanagement nach „COSO - ERM“

Abbildung 7: „The Three Lines of Defense Model“

Abbildung 8: Prüfungsumfang zum Risikomanagement gemäß IDW PS 340

Abbildung 9: Checkliste (Fragenkatalog), Risikokategorisierung

Tabellenverzeichnis

Tabelle 1: Kategorisierung von Risiken

Tabelle 2: Gruppierung der Methoden

Tabelle 3: Übersicht ausgewählter Methoden im Risikomanagementprozess

Tabelle 4: Vergleich von Risikomanagement-Standards

Tabelle 5: Elemente normierter Risikomanagementsysteme

Tabelle 6: Prüfungsbestandteile Risikomanagement lt. DIIR Revisionsstandard Nr. 2

Tabelle 7: Risikobewertungsmatrix

Tabelle 8: Beispiel zur Prüfung der RM-Funktionsfähigkeit nach Regel 83 ÖCGK

Tabelle 9: Beispiel zur freiwilligen Evaluierung von C-Regeln des ÖCGK

Tabelle 10: Fehler der Praxis

Tabelle 11: Beispiel, Liste identifizierter Risiken

Tabelle 12: Beispiel, Risikobewältigung und Bewertung

Tabelle 13: Beispiel, Frühwarnindikatoren

Tabelle 14: Beispiel, Meldung von Frühwarnindikatoren

Tabelle 15: Beispiel, Risikobewertung FMEA

Tabelle 16: Beispiel, Fragenkatalog nach DIIR Revisionsstandard Nr. 2

Tabelle 17: Beispielformular, Stichprobendokumentation (Funktionsprüfung)

Tabelle 18: Beispielformular, Planabweichung/Abweichungs-Test

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Kurzfassung

Die Bedeutung des Risikomanagements ist in den letzten Jahren nicht zuletzt aufgrund globaler Unsicherheiten und Krisen, gestiegener Unternehmensschieflagen aber auch durch unterschiedlichste Sichtweisen der einzelnen internen und externen Anspruchsgruppen stark gestiegen. Damit einhergehend haben sich auch die Anforderungen in Bezug auf ein ganzheitliches Risikomanagement an sich ändernde Rahmenbedingungen erhöht bzw. angepasst.

Im Zuge der vorliegenden Arbeit wurden die an das Risikomanagement gestellten Anforderungen aus unterschiedlichen Blickwinkeln betrachtet (betriebswirtschaftlich, konzeptionelle Sicht sowie Betrachtung ausgewählter gesetzlicher Vorgaben und Regelungen, Risikomanagement-Standards bzw. Prüfungsstandards) und die Stellung der Internen Revision und deren Beitrag zu einem wirksamen Risikomanagement erörtert.

- Konzeptionelle, betriebswirtschaftliche Anforderungen bedingen Risikomanagement-Rahmenbedingungen (wie Risikostrategie, -kultur, -ziele, Risikomanagement-Organisation) und einen Risikomanagementprozess (wie Risikoidentifikation, -analyse, -bewertung,
- bewältigung, -steuerung inkl. Berichterstattung, Überwachung sowie Information und Kommunikation), welche in ihrer konsequenten Anwendung in einem wertorientierten Risikomanagement resultieren.
- Aus nationalen und internationalen Vorgaben bzw. Regelungen (wie z.B. Gesetze in Österreich und Deutschland) sind gesetzliche Erfordernisse für ein Risikomanagement erkennbar, daraus ableitbare Anforderungen sind durch betriebswirtschaftliche Konzepte abgedeckt. Gesetzliche Vorgaben bieten wenig Unterstützung hinsichtlich konkreter Ausgestaltung bzw. praktischer Umsetzung und fokussieren auf die externe Berichterstattung.
- Risikomanagement-Standards sind i.d.R. durch ein hohes Abstraktionsniveau gekennzeichnet, ergänzen und konkretisieren durch unterschiedliche Schwerpunktsetzungen betriebswirtschaftliche Aspekte und bieten durchaus konkrete Umsetzungshilfen.
- Prüfungsstandards, welche von Abschlussprüfern angewandt werden, übersteigen zum Teil gesetzliche Anforderungen oder legen diese umfassender aus und sind in vielen Punkten sehr allgemein. Die von Prüfungsstandards an ein Risikomanagement gestellten Anforderungen sind durch betriebswirtschaftliche Konzepte ebenfalls abgedeckt.
- Methoden im Bereich des Risikomanagement-Prozesses, Risikomanagement- und Prüfungs-Standards können in ihrer jeweils kombinierten Betrachtung ergänzenden Input liefern.
- Die Interne Revision kann durch Prüfungs- und Beratungstätigkeiten einen wertorientierten Beitrag zur Sicherheit über Angemessenheit und Wirksamkeit des implementierten Risikomanagements liefern und zu einer weiteren Reduktion bestehender Risiken beitragen.

Durch die Betrachtung eines konkreten Beispiels und das Heranziehen von empirischen Studien konnten Erkenntnisse der Praxis in die Arbeit eingebunden werden.

Executive Summary

The importance of risk management has risen sharply in the last years, not least due to global uncertainties and crises, increased company slumps, but also by diverse views of individual internal and external stakeholders. As a result, requirements relating to risk management have also adapted or increased to changing conditions.

In the course of this thesis the requirements placed on risk management were viewed from different angles (conceptual view as well as supplementary considerations for selected legal regulations, risk management standards and audit standards) and the position of the internal audit and its contribution to effective risk management were discussed.

- Risk management concepts require a risk management frame (e.g. risk strategy, risk culture, risk objectives, risk management organization) and a risk management process (e.g. risk identification, analysis, evaluation, management, control, reporting, monitoring, information and communication) which result in a value-oriented risk management in their consistent application.
- Needs for risk management can be identified within national and international regulations (e.g. Austrian or German laws). Deductible risk management requirements are covered by general concepts. Legal regulations offer limited support with regard to concrete design or practical implementation and focus on external reporting.
- Risk management standards are characterized by a high level of abstraction. They supplement respectively concretize general concepts through different focus areas and offer help for implementation.
- Audit standards used by external auditors (chartered accountants) in some cases exceed legal requirements or interpret them in a more comprehensive way and are very general in most areas. Risk management requirements imposed by audit standards are also covered by general concepts.
- Methods in the area of the risk management process respectively risk management standards and audit standards can provide complementary input in their respective combined use.
- Internal Audit and its auditing and consulting services can provide a supplementary value-oriented contribution to the assurance of the appropriateness and effectiveness of the implemented risk management and can also contribute to a further reduction of existing risks.

A case study and the usage of surveys and their results add practical experiences to this work.

1 Einleitung

1.1 Ausgangslage und Problemstellung

Die Bedeutung des Risikomanagements ist in den letzten Jahren nicht zuletzt aufgrund globaler Unsicherheiten und Krisen, gestiegener Unternehmensschieflagen und verschärfter Wettbewerbssituationen aber auch durch unterschiedlichste Sichtweisen der einzelnen internen und externen Anspruchsgruppen stark gestiegen. Damit einhergehend haben sich auch die Anforderungen in Bezug auf ein ganzheitliches Risikomanagement und die damit im Zusammenhang stehenden Kontrolltätigkeiten (extern aber auch intern) an sich ändernde Rahmenbedingungen angepasst bzw. erhöht.

Einrichtung als auch Betrieb eines wirksamen Risikomanagements sind für Unternehmen Aufgabenstellungen von großer ökonomischer als auch rechtlicher Bedeutung.^[1] Es gilt einer Vielzahl interner und externer Anforderungen bzw. Erwartungshaltungen nachzukommen:

- So besteht z.B. aus unternehmerischer Sicht höchstes Interesse an einem integrierten Ansatz, welcher die risiko- und chancenorientierte Unternehmenssteuerung gezielt unterstützt und die nachhaltige Leistungsfähigkeit im Wettbewerb sichert.^[2]
- Investoren bzw. Gesetzgeber streben nach Transparenz hinsichtlich risikobehafteter bzw. riskanter Aspekte.^[3]
- Die Prüferseite (wie z.B. Abschlussprüfer oder Interne Revision) verfolgt vorrangig wiederum andere Ziele (wie z.B. Systemgestaltung, Nachvollziehbarkeit) und sucht nicht zuletzt in bestehenden Regelungen (wie z.B. Gesetzen und Prüfungsstandards) die Verankerung des eigenen Vorgehens.^[4]

Für Aufbau und Ausgestaltung eines Risikomanagements stehen in der Literatur und Praxis unterschiedlichste Ansätze zur Verfügung. Seitens der Gesetzgebung existieren hingegen nur wenige Vorgaben. Prüfinstanzen begrüßen die Anwendung von Risikomanagement-Standards in Form von Normen und Rahmenwerken, da diese aus deren Sicht ein strukturiertes Vorgehen unterstützen. Unternehmen stehen so gesehen vor der Herausforderung, ein wertorientiertes Risikomanagement zu gestalten und zu betreiben, das unterschiedlichsten internen und externen Anforderungen gerecht wird. Mit dieser beispielhaften Auflistung soll auf die Zielsetzung dieser Arbeit übergeleitet werden.

1.2 Zielsetzung und Motivation

Ziel der Arbeit ist es, anhand bestehender betriebswirtschaftlicher Risikomanagement-Konzepte die Anforderungen an ein Risikomanagement darzustellen und darauf aufbauend zusätzliche Anforderungen bzw. den sich ergebenden Mehrwert aus nationalen sowie internationalen gesetzlichen Vorgaben und Regelungen bzw. ausgewählten Risikomanagement-Standards und Prüfungsstandards herauszuarbeiten, ohne auf Branchenspezifika einzugehen. Ergänzend soll auf die Stellung der Internen Revision eingegangen und deren Beitrag zu einem wirksamen Risikomanagement hervorgehoben werden.

Da die Arbeit auch von der Hypothese ausgeht, dass Prüfungsstandards zwar einerseits die unternehmerische Risikosichtweise einschränken aber andererseits eine optimale Ergänzung zu einem wirksamen Risikomanagement darstellen können,

sollen unterschiedliche Prüfungsansätze betrachtet und auf deren Unterschiede eingegangen werden, um die Hypothese in weiterer Folge belegen bzw. widerlegen zu können.

Die Themenwahl erfolgte aufgrund der beruflichen Tätigkeit des Autors (Risk Management and Internal Auditing in einem international agierenden Unternehmen), der steigenden Bedeutung des Risikomanagements sowie dessen interner und vor allem auch externer Beurteilung und nicht zuletzt auch aufgrund des gegebenen Interesses am Thema.

1.3 Aufbau und Methodik

Die vorliegende Arbeit gliedert sich in sechs Kapitel, die sich an den genannten Zielsetzungen orientieren:

- Nachdem im ersten Kapitel auf die Problemstellung sowie Zielsetzung der Arbeit eingegangen wurde, folgen im zweiten Kapitel grundlegende Begriffsbestimmungen.
- Das dritte Kapitel beschäftigt sich schwerpunktmäßig mit den an das Risikomanagement gestellten Anforderungen. Im ersten Abschnitt werden mit konzeptionellen, betriebswirtschaftlichen Anforderungen auch die Rahmenbedingungen und der Risikomanagementprozess sowie ausgewählte Methoden und Instrumente vorgestellt. Der zweite Abschnitt geht auf ausgewählte nationale und internationale Vorgaben bzw. Regelungen zum Risikomanagement und sich daraus ergebende Anforderungen ein. Im dritten Abschnitt werden ergänzende Sichtweisen und Umsetzungsunterstützungen auf der Grundlage wesentlicher Normen und Rahmenwerke erörtert. Eine kritische Stellungnahme beendet das Kapitel.
- Im vierten Kapitel erfolgt die Schwerpunktsetzung auf die Positionierung des Risikomanagements im Unternehmen und es wird das sogenannte „Three Lines of Defense Model“ vorgestellt. Da dieses Modell auch der Internen Revision als unabhängige Prüfungs- und Beratungsinstanz eine tragende Rolle für ein wirksames Risikomanagement zuschreibt, wird in diesem Kapitel näher auf die Aufgaben der Internen Revision und vorhandene Schnittstellen zum Risikomanagement eingegangen. Im weiteren Verlauf dieses Kapitels werden ausgewählte Prüfungsstandards dargestellt und deren Mehrwert kritisch betrachtet.
- Das fünfte Kapitel stellt den Praxisteil der vorliegenden Arbeit dar. Es wird zunächst auf das Risikomanagement eines börsennotierten österreichischen Unternehmens eingegangen, welches im Anschluss auf Basis der im dritten und vierten Kapitel herausgearbeiteten Erkenntnisse näher durchleuchtet wird. Dabei wird auch eine praxisnahe Anwendung ausgewählter Prüfungsstandards (z.B. in Form von Selbstaudits und auch als Vorbereitung für interne oder externe Prüfungen) zum Aufzeigen etwaiger Lücken bzw. Verbesserungspotenziale erörtert. In diesem Zusammenhang wird eine Möglichkeit zur Prüfung des Risikomanagements durch die Interne Revision thematisiert. Ergebnisse empirischer Studien und ein Fazit zu möglichen Fehlern im Risikomanagement beenden das Kapitel.
- Im sechsten Kapitel erfolgt nach einer kritischen Gesamtbetrachtung die Verifizierung/Falsifizierung der aufgestellten Hypothese. Anschließend werden die Erkenntnisse dieser Arbeit zusammengefasst.

Neben der Literaturarbeit und der kritischen Auseinandersetzung mit ausgewählten gesetzlichen Vorgaben, Rahmenwerken und Normen sowie Prüfungsstandards wird durch die Betrachtung eines konkreten Beispiels der weitere Bezug zur Praxis hergestellt, ergänzend werden Erkenntnisse aus empirischen Studien aufgezeigt.

Im Rahmen dieser Arbeit sollen wesentliche Anforderungsaspekte zum Risikomanagement thematisiert und auch Gestaltungsmöglichkeiten aufgezeigt werden. Aufgrund des weitreichenden Umfangs des Themas und der gegebenen Bandbreite an unterschiedlichsten Erkenntnissen und Autorenmeinungen zum Thema Risikomanagement können nachfolgende Ausführungen keinen Anspruch auf Vollständigkeit erheben, aus Sicht des Autors werden in der getroffenen Auswahl jedoch wesentliche Aspekte aufgegriffen. Die Ausführungen beziehen insbesondere Sichtweisen eines börsennotierten Industrieunternehmens ein.

2 Begriffsabgrenzungen

In diesem Abschnitt sollen grundlegende Begriffsbestimmungen erfolgen, um in weiterer Folge elementare Anforderungen an das Risikomanagement darzustellen.

2.1 Risikobegriff

In Theorie und Praxis der Unternehmensführung existieren zum Begriff Risiko vielfältige Definitionen.^[5] Umgangssprachliche Erklärungen konzentrieren sich zumeist auf die negative Komponente der Nichterreichung eines erwarteten Zielzustandes.^[6] Etymologisch lässt sich Risiko u.a. auf das griechische „rhiza“ (Wurzel, über die man stolpern kann) als auch auf das frühitalienische „risico“ (Klippe, die es zu umschiffen gilt) zurückverfolgen.^[7] Beides kann zu Planabweichungen führen und somit ein Risiko darstellen, beides ist aber auch vermeidbar indem man z.B. einen anderen Weg wählt.^[8] Ausgehend vom arabischen Wort „rizq“ lässt sich Risiko auf Schicksal bzw. das göttlich Gegebene rückführen.^[9] Das Hauptunterscheidungsmerkmal dieser Ableitungen liegt in der Beeinflussbarkeit.^[10] Diese Erklärungen betonen die negative Ausrichtung des Begriffs. Die chinesische Kultur wiederum bringt den Risikobegriff unmittelbar mit Chancen in Verbindung, so setzt sich das entsprechende Schriftzeichen für Risiko aus den Zeichen der Gefahr und der Gelegenheit bzw. der Chance zusammen.^[11]

Neben den unterschiedlichen Erläuterungen der sprachlichen Herkunft zum Risikobegriff existiert auch in der Betriebswirtschaftslehre ein unterschiedliches Begriffsverständnis.^[12] Allen Definitionen ist jedoch das Verständnis gemeinsam, dass ein Risiko die Gefahr einer künftigen Abweichung von geplanten Unternehmenszielen darstellt.^[13] Uneinigkeit besteht z.B., ob in der Betrachtung nur existenzgefährdende Entwicklungen relevant sind, ob Risiken nur finanzielle Ziele betreffen bzw. ob auch positive Zielabweichungen (Chancen) in den Risikobegriff einzubeziehen sind.^[14]

Gleißner/Romeike verstehen Risiko „ als die aus der Unvorhersehbarkeit der Zukunft resultierenden, durch „zufällige“ Störungen verursachten Möglichkeiten, von geplanten Zielwerten abzuweichen “.^[15] Dahingehend können Risiken, wie in Abbildung 1 dargestellt, auch als Streuung um einen Ziel- bzw. Erwartungswert betrachtet werden. In diesem Verständnis sind Risiken im direkten Zusammenhang mit der Planung zu interpretieren, Abweichungen zu geplanten Zielen stellen Risiken dar (dies gilt für negative und auch für positive Abweichungen).^[16] Nach Gleißner/Romeike sind Risiken als Überbegriff zu Chancen und Gefahren zu sehen.^[17]

Abbildung 1: Darstellung des Risikobegriffs aus betriebswirtschaftlicher Sicht^[18]

Abbildung in dieser Leseprobe nicht enthalten

Andere Autoren sehen das Risiko als Gefahr möglicher unternehmerischer Fehlentscheidungen, welche in der Nicht-Erreichung gesetzter Unternehmensziele resultieren.^[19] Dies setzt neben dem Vorhandensein von Zielen auch das Treffen von Entscheidungen voraus.^[20]

In der Literatur werden Risiken, welche sich ausschließlich auf negative Abweichungen beziehen auch unter dem Begriff reine Risiken (auch statisches Risiko bzw. Risiko i.e.S. oder „downside-risk“, wie z.B. Sturmschäden) subsumiert, wohingegen spekulative Risiken (auch dynamisches Risiko bzw. Risiko i.w.S. oder „upside-risk“, wie z.B. die Markteinführung eines neuen Produktes) für Risiken mit positiven als auch negativen Zielabweichungen stehen.^[21] Weiters können Risiken in eine ursachenbezogene und eine wirkungsbezogene Komponente unterschieden werden.^[22]

Auf weitere Ausführungen zum Risikobegriff soll hier nicht näher eingegangen werden, es wird auf die entsprechende Literatur verwiesen.^[23] In der vorliegenden Arbeit soll der Risikobegriff als eine Kombination unterschiedlicher Ansätze verstanden werden. Demnach stellt ein Risiko die Möglichkeit einer positiven bzw. negativen Abweichung von geplanten Unternehmenszielen dar, ausgelöst durch Ereignisse bzw. durch Entscheidungen.^[24]

2.2 Risikokategorisierung

Nachdem im vorangegangenen Abschnitt der Risikobegriff näher erläutert wurde, soll nun auf eine Systematisierung von Risiken eingegangen werden. Damit kann einerseits die vorhandene Komplexität reduziert und andererseits eine vollständige Risikoidentifikation unterstützt und auch der Gegenstand des Risikomanagements veranschaulicht werden.^[25] Zur Systematisierung von Risiken können z.B. nachfolgende Ansätze verfolgt werden:

- In Abhängigkeit der Relevanz und des zeitlichen Bezugs kann zwischen strategischen, taktischen und operativen Risiken unterschieden werden. Strategische Risiken stellen i.d.R. eine Gefahr für das Unternehmen in seiner Gesamtheit dar.^[26]
- Werden Risiken nach Unternehmensbereichen, in denen sie auftreten können, unterschieden, lassen sich diese z.B. in Forschungs- und Entwicklungsrisiken, leistungswirtschaftliche (Absatz-, Produktions- bzw. Beschaffungsrisiken) und finanzwirtschaftliche Risiken, Personalrisiken und Risiken der Unternehmensführung differenzieren.^[27]
- Bei Betrachtung einzusetzender Faktoren kann z.B. nach Personal-, Betriebsmittel-, Werkstoff- und Kapitalrisiken systematisiert werden.^[28]
- Nach den Unternehmenszielen kann wiederum eine Unterscheidung nach Erfolgs-, Liquiditäts-, Wert- und Sachrisiken erfolgen.^[29]
- Je nach Rechtsform bzw. Branchenzugehörigkeit können ebenfalls typische Risikoarten identifiziert werden (wie z.B. bei Kapital- oder Personengesellschaften bzw. bei Banken, Versicherungen, Beratungs- und Prüfungsgesellschaften, etc.).^[30]
- Es ist auch zwischen typischen Risiken der unternehmerischen Tätigkeit (unternehmerische Risiken) und Risiken, die außerhalb der typischen unternehmerischen Tätigkeit auftreten können (operationelle Risiken), zu differenzieren.^[31]
- Risiken können endogenen (innerbetrieblichen) und exogenen (außerbetrieblichen) Umständen bedingt sein. Weiters kann eine Unterscheidung in quantifizierbare und nicht quantifizierbare oder versicherbare und nicht versicherbare Risiken erfolgen.^[32]

Für weitere Unterscheidungen wird auf die einschlägige Literatur verwiesen.^[33] Risiken sollen systematisiert werden, um die Risikoidentifikation zu unterstützen und um erkannte Risiken in weiterer Folge mit geeigneten Methoden bzw. Instrumenten zu analysieren, zu bewerten und zu steuern.^[34] Die Kriterien zur Kategorisierung sind unternehmensspezifisch festzulegen,^[35] Tabelle 1 zeigt ein mögliches Beispiel.

Tabelle 1: Kategorisierung von Risiken^[36]

Abbildung in dieser Leseprobe nicht enthalten

2.3 Risikomanagement

Risikomanagement bezeichnet die Aktivitäten eines Unternehmens im Umgang mit Risiken.^[37] Dies inkludiert einen strukturierten, einheitlichen und schrittweisen Prozess zur systematischen Handhabung jener Risiken, die das Erreichen der Unternehmensziele negativ und positiv beeinflussen können.^[38] Risikomanagement ist als Querschnittsaufgabe zu verstehen,^[39] dabei steht eine Risikooptimierung und nicht die alleinige Risikominimierung im Vordergrund.^[40] Die Handhabung als Aufgabe der Unternehmensführung wird häufig einer spezifischen Funktion oder Institution, dem Risikomanagement, zugeordnet.^[41]

2.4 Risikomanagementsystem

Unter Risikomanagementsystem sind in weiterer Folge jene organisatorischen, technischen, personellen und prozessualen Vorkehrungen zu verstehen, die ein Unternehmen zum professionellen Umgang mit dessen (Chancen und) Risiken einsetzt.^[42]

2.5 Risikoeigentümer

Unter Risikoeigentümer (Risikoverantwortlicher bzw. „Risk Owner“) ist die im jeweiligen operativen Bereich verantwortliche Person zur bereichsbezogenen Risikobeobachtung,
-bewertung, -steuerung und -berichterstattung zu verstehen.^[43]

2.6 Risikomanager

Der Risikomanager stellt in seiner Koordinationsfunktion sicher, dass das Risikomanagement unternehmensweit und entsprechend den Vorgaben der Unternehmensleitung implementiert und auch angewandt wird (dieser wird i.d.R. von der Unternehmensleitung nominiert und kann z.B. als Stabsstelle direkt dieser unterstellt sein).^[44]

2.7 Allgemeine Begriffe

Unter einem Internen Kontrollsystem (IKS) sind die im Unternehmen vom Management eingeführten Grundsätze, Verfahren und Maßnahmen zu verstehen, die auf die organisatorische Umsetzung der Entscheidungen des Managements gerichtet sind (wie z.B. zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit, zur Ordnungsmäßigkeit und Verlässlichkeit wesentlicher Geschäftsprozesse inkl. interner und externer Rechnungslegung, zur Einhaltung der für das Unternehmen maßgeblichen internen und externen Vorschriften).^[45] Dabei kann zwischen einem internen Steuerungssystem (Regelungen zur Steuerung der Unternehmensaktivitäten) und einem internen Überwachungssystem (Regelungen zur Überwachung der Einhaltung der Regelungen) unterschieden werden.^[46] Das Interne Kontrollsystem unterstützt das Risikomanagement, indem die Einhaltung getroffener Maßnahmen auf operativer Ebene durch Kontrollen sichergestellt wird.^[47] Ein IKS wird oftmals als Teilsystem des Risikomanagements gesehen.^[48]

Der Begriff Corporate Governance bezeichnet den Ordnungsrahmen zur Leitung und Überwachung von Unternehmen (Grundsätze der Unternehmensführung), dieser Ordnungsrahmen wird maßgeblich durch Gesetzgeber und Eigentümer bestimmt.^[49] Die konkrete Ausgestaltung erfolgt durch die Unternehmensleitung in Abstimmung mit den Überwachungsorganen. Der Begriff beinhaltet dabei generell Rechte, Verantwortungsbereiche und Aufgaben von Organen, Anteilseignern, Mitarbeitern sowie von Stakeholdern.^[50]

Im weiteren Verlauf der Arbeit ist eine Organisation gleichbedeutend mit einem Unternehmen zu verstehen. Weitere Begriffe sollen kapitelbezogen und in der Reihenfolge ihres Auftretens näher bestimmt werden.

3 Anforderungen an das Risikomanagement

Nachfolgend sollen grundsätzliche Anforderungen, die an ein Risikomanagement gestellt werden, aus unterschiedlichen Blickwinkeln betrachtet werden. Neben konzeptionellen, betriebswirtschaftlichen Anforderungen werden in diesem Kapitel ausgewählte rechtliche Aspekte diskutiert und ergänzende Sichtweisen sowie etwaige Umsetzungsunterstützungen auf der Grundlage von Normen und Rahmenwerken erörtert.

3.1 Konzeptionelle, betriebswirtschaftliche Anforderungen

Aufgabe des Risikomanagements ist es, künftige Chancen und risikobehaftete Entwicklungen frühzeitig zu erkennen, diese zu analysieren und zu bewerten, zu kommunizieren und zu steuern bzw. fortlaufend zu überwachen, um damit das Erreichen der Unternehmensziele positiv zu beeinflussen und das Unternehmen an dynamische Umfeldbedingungen anzupassen.^[51] Daraus ergeben sich wesentliche Anforderungen. Die Ausgestaltung des Risikomanagements ist nicht zuletzt von Größe, Branche, Struktur und Komplexität eines Unternehmens abhängig.^[52] In diesem Verständnis sollen grundlegende betriebswirtschaftliche bzw. konzeptionelle Anforderungen an ein Risikomanagement beschrieben werden, ohne im Detail auf deren konkrete Ausgestaltung einzugehen.

3.1.1 Rahmenbedingungen zum Risikomanagement

Um Risikomanagement zielgerichtet anzuwenden, sind im Unternehmen entsprechende Voraussetzungen und Rahmenbedingungen zu schaffen bzw. zu gestalten.^[53] Diese werden nachfolgend kurz erläutert.

3.1.1.1 Risikostrategie, Risikokultur und Risikoziele

Die Grundlage für ein erfolgreiches Risikomanagement bilden Risikokultur sowie Risikostrategie des Unternehmens.

Die Risikostrategie leitet sich aus der Unternehmensstrategie ab und gibt die Risikoziele des Unternehmens wieder, welche wiederum im Einklang mit den Unternehmenszielen stehen.^[54] Zwischen Unternehmensstrategie und Risikostrategie besteht Wechselwirkung. Die Risikostrategie wird durch Richtlinien bzw. risikopolitische Grundsätze konkretisiert und trägt zur Schaffung eines Risikobewusstseins und einer entsprechenden Risikokultur bei.^[55] Mit der Risikostrategie ist der Risikoappetit (bzw. die Risikoneigung) eines Unternehmens zu bestimmen, es ist das bewusste Eingehen und der Umgang mit Risiken innerhalb der Risikotragfähigkeit (diese wird i.d.R. von Größen wie Eigenkapital bzw. Liquiditätsreserven bestimmt) zur Erreichung der übergeordneten Unternehmensziele festzulegen.^[56]

Die Risikokultur als Teil der Unternehmenskultur spiegelt sich im Risikobewusstsein sowie in der Risikoeinstellung aller im Unternehmen beteiligten Personen wider.^[57] Die Risikokultur unterstützt einen durchgehend einheitlichen Umgang mit Risiken und fördert die Akzeptanz eingesetzter Risikomanagementinstrumente.^[58] Führungsstil, festgelegte Zuständigkeits- und Verantwortungsbereiche unterstützen das Entstehen einer Risikokultur.^[59] Da sich die Unternehmenskultur auch in der Risikokultur widerspiegelt, soll an dieser Stelle auf den Begriff der Unternehmenskultur eingegangen werden. Schein stellt die Unternehmenskultur als vielschichtiges Phänomen dar und definiert drei Ebenen der Unternehmenskultur, diese unterscheiden sich, wie in Abbildung 2 dargestellt, bzgl. ihrer Sichtbarkeit.^[60]

Abbildung 2: Kulturebenen nach Schein^[61]

Abbildung in dieser Leseprobe nicht enthalten

Das Drei-Ebenen-Modell kann auch mit einem Eisberg verglichen werden.^[62] Es ist nur ein kleiner Teil der Unternehmens- bzw. Risikokultur nach außen hin sichtbar und bewusst (Artefakte, Werte und Normen), der Großteil bleibt unsichtbar und unbewusst (Basisannahmen). Diese drei Ebenen gilt es, bei der Entwicklung einer Risikokultur einzubeziehen.^[63]

Als begleitende Führungsfunktion zielt Risikomanagement auf die systematische Berücksichtigung zugrundeliegender Risikomanagement-Zielsetzungen in sämtlichen Entscheidungssituationen und auf allen Führungsebenen ab.^[64] Risikomanagement ist nicht Selbstzweck, als vorrangige Ziele des Risikomanagements können die Erfüllung gesetzlicher Vorschriften zur Vermeidung persönlicher Haftungsfolgen, die Existenzsicherung, die nachhaltige Sicherung des Unternehmenserfolgs und die Steigerung des Unternehmenswertes sowie die Optimierung der Risikoposition des Unternehmens betrachtet werden.^[65] Sicherung geplanter Unternehmensziele, Eröffnung neuer Handlungsspielräume, Senkung von Risiko- und Kapitalkosten sind als weitere Ziele des Risikomanagements zu sehen.^[66]

3.1.1.2 Aufbau- und Ablauforganisation

Zur Umsetzung des Risikomanagements sind eine entsprechende Risikomanagement-Organisation (dies kann z.B. unter Nutzung vorhandener Strukturen erfolgen) und ein entsprechender Risikomanagementprozess erforderlich.^[67] Aufbau- und ablauforganisatorische Regelungen im Umgang mit Risiken sind festzulegen und auch klare Verantwortungen und Zuständigkeiten zuzuweisen, dabei sind auch Fragestellungen wie Aufgabenumfang, zentrale/dezentrale Aufgabenerledigung zu klären.^[68]

Risikostrategie, Risikokultur, Risikoziele, und Risikomanagement-Organisation bilden das Fundament zum Risikomanagement.^[69]

3.1.2 Risikomanagementprozess

Risikomanagement läuft im Unternehmen als Prozess ab.^[70] Obwohl dieser Prozess zum Risikomanagement in der Literatur nicht einheitlich dargestellt wird und Unterschiede in einzelnen Prozessschritten und deren Abgrenzungen bestehen, ergeben sich im Kern einheitliche Grundzüge.^[71] Wie in Abbildung 3 dargestellt, kann der Risikomanagementprozess in die Phasen Risikoidentifikation, Risikoanalyse und -bewertung, Risikobewältigung und -steuerung sowie Risikoberichterstattung unterteilt werden. Um die Effizienz und Effektivität des Risikomanagements zu gewährleisten, ist der Prozess in allen Phasen einer Überwachung zu unterziehen.^[72] Regelmäßiges Reporting und laufende Kommunikation sollen einen systematischen Informationsaustausch sicherstellen.^[73] Durch einen kreislaufförmigen Ansatz und die systematische, fortlaufende Anwendung ist das Risikomanagement auch einem ständigen Verbesserungsprozess unterworfen.^[74]

Abbildung 3: Risikomanagementprozess^[75]

Abbildung in dieser Leseprobe nicht enthalten

Der dargestellte Risikomanagementprozess wird nachfolgend näher erläutert, um im Anschluss anwendbare Instrumente bzw. Methoden beispielhaft vorzustellen bzw. voneinander abzugrenzen.

3.1.2.1 Identifikation

Ein effizientes Risikomanagement setzt die Kenntnis möglichst sämtlicher Risiken aus allen Unternehmensbereichen voraus, welche das Erreichen der Unternehmensziele beeinflussen können.^[76] Diese bilden die Basis für alle nachfolgenden Prozessschritte, nur identifizierte Risiken können bewertet und gesteuert werden.^[77] In diesem Zusammenhang ist eine unterstützende Risikokategorisierung zielführend (siehe dazu Kapitel 2.2).^[78] Risiken lassen sich in einem kombinierten top-down- und bottom-up-Ansatz identifizieren.^[79] So wird z.B. eine grobe Risikokategorisierung von der Unternehmensleitung vorgegeben, die von den operativen Einheiten verfeinert und um identifizierte Risiken ergänzt wird.^[80] Die Risikoidentifikation selbst zählt vorrangig zu den Aufgaben der operativen Bereiche.^[81]

In der Literatur wird z.B. zur Risikoidentifikation die unterstützende Betrachtung eines hierarchisch aufgebauten Prozessmodells eines Unternehmens vorgeschlagen, dies soll die Einbindung wesentlicher Bereiche und Prozesse auf allen Hierarchieebenen sicherstellen.^[82]

Zur systematischen Identifikation relevanter Risiken stehen vielfältigste Instrumente bzw. Methoden zur Verfügung, diese werden beispielhaft in Kapitel 3.1.2.6 beschrieben. Vollständigkeit, Aktualität im Sinne einer schnellen und frühzeitigen Erkennung, Wirtschaftlichkeit sowie Akzeptanz und Systematik im Vorgehen sind einige in der Literatur genannte Anforderungen, die an die Risikoidentifikation bzw. den Methodeneinsatz gestellt werden.^[83]

Ergebnis der Risikoidentifikation ist eine Risikoinventur, diese beinhaltet eine Auflistung aller identifizierten Risiken. Da Risiken nicht konstant bleiben und sich im Zeitverlauf verändern, ist die Risikoidentifikation eine permanente Aufgabe. Um neu auftretende Risiken rechtzeitig zu identifizieren, ist ein Früherkennungssystem in Form von Indikatoren, Kennzahlen oder qualitativen Informationen notwendig (dies kann z.B. Daten zur Konjunktur, Auslastung, Fluktuation, etc. umfassen).^[84]

Im Zuge der Risikoidentifikation kann bereits eine grobe Bewertung (Ersteinschätzung) der Risiken erfolgen.^[85]

3.1.2.2 Analyse und Bewertung

Ausgangsbasis dieser Phase bildet die Risikoinventur. Identifizierte Risiken sind nach deren Ursachen und Auswirkungen zu analysieren und anschließend einer quantitativen bzw. qualitativen Bewertung unter Ermittlung von Schadenshöhen und Eintrittswahrscheinlichkeiten zu unterziehen.^[86] Auch hier stehen eine Vielzahl von Methoden und Instrumenten zur Verfügung, welche ebenfalls beispielhaft in Kapitel 3.1.2.6 beschrieben werden.

Im Zuge der Risikobewertung kann zwischen einer Bruttobewertung (ohne Einbeziehung bereits gesetzter risikosteuernder Maßnahmen) bzw. einer Nettobewertung (Einbeziehung getroffener risikosteuernder Maßnahmen) erfolgen.^[87] Die Ermittlung des verbleibenden (Rest-)Risikos erfolgt in weiterer Folge unter Einbeziehung noch zu treffender Steuerungsmaßnahmen. Im Zuge der Bewertung ist auch sicherzustellen, dass die Gesamtheit der vorhandenen Risiken die Risikotragfähigkeit des Unternehmens nicht übersteigt,^[88] dazu ist eine Risikoaggregation unter Berücksichtigung von Wechselwirkungen zwischen Risiken vorzunehmen.^[89] Dabei ist auch zu beachten, dass einige Risiken schwer zu quantifizieren sind (wie z.B. Auswirkung auf Leib und Leben bzw. Image und Reputation).

Zur Handhabung weiterer Steuerungsmaßnahmen können Risiken in einem Koordinatensystem (sog. Risikomatrix) nach Schadenshöhe und Eintrittswahrscheinlichkeit visualisiert und unter Berücksichtigung etwaiger Abhängigkeiten priorisiert werden,^[90] um in der Folge Normstrategien auf Basis festgelegter Schwellwerte abzuleiten (wie z.B. kein, eingeschränkter sowie unbedingter Handlungsbedarf).^[91]

3.1.2.3 Bewältigung und Steuerung

Nachdem Risiken identifiziert und bewertet wurden, sind unter Berücksichtigung von Risikostrategie und Risikozielen sowie Risikotragfähigkeit und Risikoneigung geeignete Maßnahmen zur Risikosteuerung bzw. -bewältigung festzulegen.^[92] Diese Maßnahmen dienen der Optimierung der Risikoposition des Unternehmens.^[93] Wie nachfolgend beschrieben und in Abbildung 4 dargestellt, gibt es unterschiedliche Strategien im Umgang mit Risiken bzw. zu deren Bewältigung:^[94]

- Risikovermeidung (wie z.B. Beseitigung der Risikoquelle durch Rückzug aus einem Betätigungsfeld oder durch Ausstieg aus einem Projekt).
- Risikoverminderung durch Reduktion der Eintrittswahrscheinlichkeit (ursachenorientiert) bzw. der Schadenshöhe (wirkungsorientiert) oder Kombinationen daraus. Dies kann z.B. durch technische, organisatorische oder personelle Maßnahmen erfolgen. Zur Risikoverminderung kann auch eine Streuung von Risiken erfolgen (wie z.B. Risikodiversifikation durch das Bedienen unterschiedlicher Märkte, Produktdiversifikation oder Know-how-Verteilung, etc.).
- Überwälzen von Risiken (wie z.B. durch Versicherungen, Absicherungen, entsprechende Vertragsgestaltungen mit Kunden/Lieferanten, etc.).
- Tragen von Risiken, die nach Reduzierung/Verlagerung verbleibenden und vom Unternehmen getragenen Risiken müssen im Einklang mit der gegebenen Risikotragfähigkeit des Unternehmens stehen. Es sind entsprechende Vorsorgen zu bilden.

Abbildung 4: Strategien zur Risikobewältigung^[95]

Abbildung in dieser Leseprobe nicht enthalten

Eine aktive Risikobewältigung zielt in Richtung Reduktion der Eintrittswahrscheinlichkeit und/oder Schadenshöhe. Durch passive Risikobewältigung bleibt die Struktur eines Risikos großteils unverändert, es werden etwaige Konsequenzen soweit möglich auf Dritte abgewälzt oder Reserven zur Vorsorge aufgebaut bzw. Risiken selbst getragen.^[96]

Die Auswahl der je Risiko zu verfolgenden Risikobewältigung inkl. der damit verbundenen Steuerungsmaßnahmen soll unter Kosten-Nutzen-Überlegungen und unter Einbindung des zuständigen Managements erfolgen.^[97] Im Zuge der Risikobewältigung sind auch Kombinationen (wie z.B. das Vermindern und Überwälzen bei einem Brandrisiko) möglich. Die Verantwortung zur Risikosteuerung inkl. Monitoring liegt beim Risikoverantwortlichen, eine diesbezügliche Validierung und auch Steuerung der gesamten Aktivitäten kann durch den Risikomanager (bzw. durch ein Risiko-Controlling) erfolgen.^[98]

3.1.2.4 Berichterstattung, Kommunikation, Information

Zur Sicherung der Funktionsfähigkeit des gesamten Risikomanagementprozesses ist eine zielgerichtete, zeitnahe und verdichtete Weitergabe von Informationen zu Risiken und Chancen an relevante Interessensgruppen unerlässlich.^[99] Dabei sind wesentliche Informationen rechtzeitig und im notwendigen Detailierungsgrad an die betroffenen Entscheidungsträger weiterzuleiten (die Fragen was, wann, wer, wie, wozu sind zu klären^[100] ). Dazu können, um eine Informationsflut zu vermeiden, Schwellwerte bzw. weitere Kriterien zur Kommunikation an die unterschiedlichen Instanzen vorgesehen werden. Diese sind z.B. im Zuge der Risikostrategie festzulegen (so kann z.B. bei Imagerisiken eine verpflichtende Berichterstattung an die Geschäftsführung - unabhängig von der Schadenshöhe - vorgesehen sein). Neben einer regelmäßigen Risikoberichterstattung, die idealerweise in bestehende Berichtsstrukturen integriert ist, soll auch eine Ad-hoc-Berichterstattung vorgesehen sein.^[101]

3.1.2.5 Überwachung

Im Rahmen einer prozessbezogenen Überwachung soll die Funktionsfähigkeit und Wirksamkeit des Risikomanagementprozesses laufend beobachtet und weiterentwickelt werden, dies kann durch die am Prozess Beteiligten erfolgen (wie z.B. Risk Owner, Risikomanager, Controlling).^[102] Fragestellungen wie Vollständigkeit der identifizierten Risiken, ordnungsgemäße Risikobewertung anhand festgelegter Methoden, Wirksamkeit der Steuerungsmaßnahmen stehen dabei im Mittelpunkt.^[103]

Das Risikomanagement soll auch einer prozessunabhängigen Prüfung unterzogen werden, um u.a. Ordnungsmäßigkeit, Wirtschaftlichkeit und Zweckmäßigkeit des Risikomanagements als Ganzes zu beurteilen bzw. sicherzustellen.^[104]

Dies dient auch der kontinuierlichen Weiterentwicklung des gesamten Risikomanagements, die prozessunabhängige Prüfung kann z.B. durch die Interne Revision oder Externe erfolgen.^[105] In der Regel stehen dabei übergeordnete Fragestellungen zum System, zum Prozess, zur Berichterstattung im Vordergrund. Auf die Prüfung des Risikomanagements durch die Interne Revision soll im Laufe dieser Arbeit (siehe Kapitel 4 und 5) noch näher eingegangen werden.

Für ein zielgerichtetes Risikomanagement ist der Risikomanagementprozess auf allen Ebenen des Unternehmens und als integraler Bestandteil aller Geschäftsprozesse regelmäßig anzuwenden und zu durchlaufen.^[106] Effektivität, prozessuale und instrumentale Integration in die Unternehmenssteuerung, Flexibilität, Kontinuität und Wirtschaftlichkeit sind weitere allgemeine Anforderungen an das Risikomanagement.^[107]

3.1.2.6 Ausgewählte Methoden im Risikomanagementprozess

Risikoidentifikation, -analyse und -bewertung sowie Risikobewältigung sollen systematisch und unter Zuhilfenahme geeigneter Methoden erfolgen. Die in der Literatur vielfältig angebotenen Methoden können zum Teil in mehreren Phasen des Risikomanagementprozesses und auch in kombinierter Form angewandt werden.^[108] Die Methodenauswahl sollte nachvollziehbar und der Situation bzw. dem Unternehmen angemessen sein, die Methoden selbst müssen ebenfalls nachvollziehbar sowie wiederholbar und beweisbar sein.^[109] Methoden können, wie das Beispiel in Tabelle 2 zeigt, gruppiert werden.^[110]

Tabelle 2: Gruppierung der Methoden^[111]

Abbildung in dieser Leseprobe nicht enthalten

Weiters kann die Methodenauswahl durch verfügbare Ressourcen, Kosten-Nutzen-Überlegungen, Methoden-Know-how und Komplexität der zu betrachtenden Risiken beeinflusst sein. In nachfolgender Tabelle 3 sollen ausgewählte, verbreitete und weitestgehend branchenunabhängige Methoden kurz beschrieben und deren Stärken aufgezeigt werden.

Tabelle 3: Übersicht ausgewählter Methoden im Risikomanagementprozess^[112]

Abbildung in dieser Leseprobe nicht enthalten

Für detaillierte Beschreibungen sowie weitere Methoden wird auf die Literatur verwiesen.^[113]

Aus Sicht des Autors erscheint es sinnvoll, Methoden der Risikoidentifikation zur vollständigen Identifizierung relevanter Risiken kombiniert anzuwenden. Im Zuge der Risikobewertung sind methodenbedingte Datenanforderungen sowie Methodenkenntnisse zu beachten. Auch bei der Bewertung sollen mehrere Methoden kombiniert werden, da keine Methode alle Anforderungen erfüllt bzw. zur Bewertung aller Risiken geeignet sein muss. Dies kann eine Kombination von qualitativen und quantitativen Bewertungsmethoden einschließen. In der Literatur erscheint eine weitgehend monetäre Risikobewertung wünschenswert. Dabei ist zu beachten, dass einige Risiken schwer quantifizierbar sind (wie z.B. Leib und Leben, Image oder Reputation) und bei vorhandenem Datenmaterial geeignete, praxistaugliche Methoden auszuwählen sind.

3.1.3 Zusammenfassung zu konzeptionellen, betriebswirtschaftlichen Anforderungen

Konzeptionelle bzw. betriebswirtschaftliche Anforderungen unterstützen die Errichtung eines aktiven Risikomanagements, mit dessen Hilfe potenzielle unternehmerische Risiken systematisch und laufend adressiert werden können. Dabei kann unterschieden werden zwischen:^[114]

- dem operativen Risikomanagement, das die Gesamtheit aller Aktivitäten der Risikoerkennung und -bewertung sowie der unternehmensweiten Risikosteuerung und
-kommunikation bzw. -überwachung im Sinne eines ganzheitlich und regelmäßig anzuwendenden Prozesses, der auf allen Unternehmensebenen und -bereichen stattfindet und sich auf alle Risiken erstreckt,^[115] und
- dem strategischen Risikomanagement, das als integrative Klammer und als Fundament des gesamten Risikomanagementprozesses zu verstehen ist und Risikostrategie, Risikokultur, Risikoziele und organisatorische Grundlagen beinhaltet.^[116]

Die Ausgestaltung des Risikomanagementsystems ist wiederum von vielen unternehmensspezifischen Faktoren (wie z.B. Größe, Rechtsform, Branche, etc.) abhängig.

Nachfolgend werden weitere Anforderungen an das Risikomanagement erläutert.

3.2 Nationale, internationale gesetzliche Vorgaben bzw. Regelungen

In diesem Abschnitt soll auf nationale und internationale Vorgaben bzw. Regelungen zum Risikomanagement eingegangen, Sichtweisen eines börsennotierten Industrieunternehmens berücksichtigt und wesentliche bzw. ausgewählte Punkte skizziert werden.

3.2.1 Regelungen in Österreich, rechtliche Rahmenbedingungen

Die nähere Betrachtung gesetzlicher Regelungen in Österreich zeigt nur wenige Gesetzesstellen, die explizit auf das Thema Risikomanagement Bezug nehmen. Diese Regelungen betreffen vorrangig Mitglieder geschäftsführender Organe (wie Geschäftsführung und Vorstand) sowie Aufsichtsratsmitglieder und sind zu einem großen Teil im Aktiengesetz (AktG), im GmbH-Gesetz (GmbHG) sowie im Unternehmensgesetzbuch (UGB) zu finden.^[117]

3.2.1.1 Österreichisches Aktiengesetz und GmbH-Gesetz

Bzgl. Risikomanagement und Internem Kontrollsystem (IKS) erscheinen aus Sicht des Autors folgende Regelungen im österr. Aktiengesetz sowie GmbH-Gesetz von Interesse:

- Bereits aus der gesetzlichen Sorgfaltspflicht nach § 84 AktG^[118] bzw. § 25 GmbHG^[119] sowie aus den allgemeinen Leitungsaufgaben des Vorstandes nach § 70 AktG^[120] (bzw. § 20 Abs. 1 GmbHG^[121] für Geschäftsführer) erscheint ein Risikomanagement bzw. ein IKS sinnvoll, eine allgemeine Verpflichtung ist jedoch nicht ableitbar.
- Nach § 81 AktG bzw. § 28a GmbHG ist der Vorstand bzw. die Geschäftsführung gegenüber dem Aufsichtsrat verpflichtet, neben Darstellungen zur Geschäftspolitik auch die künftige Entwicklung der Vermögens-, Finanz- und Ertragslage regelmäßig (bzw. anlassbezogen unmittelbar) aufzuzeigen. Dem Aufsichtsrat sind Umstände, die für die Rentabilität oder Liquidität der Gesellschaft von erheblicher Bedeutung sind, unverzüglich zu berichten.^[122] Gemäß § 82 AktG hat der Vorstand (bzw. nach § 22 Abs. 1 GmbHG der Geschäftsführer) Sorge zu leisten, dass ein Rechnungswesen sowie ein IKS geführt werden, welche den Anforderungen des Unternehmens entsprechen.^[123] Eine allgemeine Risikomanagement-Verpflichtung ist auch hier nicht ableitbar.
- Risikomanagement ist nicht nur als Aufgabe des Vorstandes bzw. der Geschäftsführung zu sehen. Gemäß den Bestimmungen nach § 92 Abs. 4a AktG und § 30g Abs. 4a GmbHG ist der Aufsichtsrat u.a. verpflichtet, einen Prüfungsausschuss einzurichten, zu dessen Aufgaben u.a. die Überwachung des Rechnungslegungsprozesses, die Prüfung des Konzernabschlusses inkl. Lagebericht und die Überwachung der Wirksamkeit des IKS und gegebenenfalls des Risikomanagementsystems sowie der Internen Revision zählen.^[124] Diese Anforderung ergibt sich nach gesetzlich festgelegten Größenmerkmalen zur Gesellschaft.^[125] Dies resultiert aus dem Unternehmensrechtsänderungsgesetz (URÄG) aus dem Jahr 2008, welches die Umsetzung der EU-Abschlussprüfungsrichtlinie auf nationaler Ebene beinhaltet.^[126]

Es ist anzumerken, dass einzelne Gesetzesstellen allgemein die Entwicklung eines Risikomanagements in Unternehmen unterstützen bzw. fordern und ggf. sehr allgemein gehaltene Formulierungen erkennbar sind.^[127] Konkrete Handlungsanweisungen lassen sich daraus nicht ableiten, es besteht somit großer Umsetzungsspielraum.^[128]

3.2.1.2 Unternehmensrechtliche Rahmenbedingungen

Seit Inkrafttreten des Rechnungslegungsänderungsgesetzes 2004 besteht für österr. Unternehmen die explizite Pflicht der Risikoberichterstattung im (Konzern-)Lagebericht.^[129] Demnach sind Kapitalgesellschaften^[130] gemäß § 243 Abs. 1 und § 267 Abs. 1 UGB verpflichtet, über wesentliche Risiken zu berichten. „ Im Lagebericht sind der Geschäftsverlauf […] und die Lage des Unternehmens so darzustellen, dass ein möglichst getreues Bild der Vermögens-, Finanz- und Ertragslage vermittelt wird, und die wesentlichen Risiken und Ungewissheiten, denen ein Unternehmen ausgesetzt ist, zu beschreiben."^[131]

Gemäß URÄG 2008 müssen börsennotierte Unternehmen laut § 243a Abs. 2 UGB im (Konzern-)Lagebericht die wichtigsten Merkmale des Internen Kontrollsystems und des Risikomanagementsystems im Hinblick auf die Rechnungslegung erläutern.^[132] Darüber hinaus hat der Lagebericht auch einzugehen auf „ die Verwendung von Finanzinstrumenten, sofern dies für die Beurteilung der Vermögens-, Finanz- und Ertragslage von Bedeutung ist; diesfalls sind anzugeben

a) die Risikomanagementziele und -methoden, […] die im Rahmen der Bilanzierung von Sicherungsgeschäften angewandt werden, und

b) bestehende Preisänderungs-, Ausfall-, Liquiditäts- und Cashflow-Risiken."^[133]

Ebenso werden Chancen im Lagebericht dargestellt, diese sind z.B. im Prognosebericht und im Bereich Forschung und Entwicklung zu finden.^[134] Mit §§ 243 und 267 UGB wird vor allem die Berichterstattung finanzieller Risiken geregelt, Anhaltspunkte zur konkreten Ausgestaltung eines Risikomanagements erfolgen nicht.^[135] Da vom Gesetzgeber lediglich angeführt wird, über „ wesentliche Risiken und Ungewissheiten “^[136] zu berichten, ist keine Verpflichtung zur Beschreibung eines gesamten und über die Handhabung finanzieller Risiken hinausgehenden Risikomanagementansatzes erkennbar.^[137] Die Bestimmungen stärken allerdings die Bedeutung des Lageberichts als ein wesentliches Informationsinstrument.^[138]

Unterstützende Argumente für ein Risikomanagement lassen sich zum Teil und in sehr allgemeiner Form auch aus anderen, zum Teil branchenspezifischen, Gesetzen ableiten (wie z.B. Bankwesengesetz (BWG), Versicherungsaufsichtsgesetz (VAG) bzw. Insolvenzrechtsänderungsgesetz (IRÄG), Unternehmensreorganisationsgesetz (URG), Börsegesetz (BoerseG) u.a.). Auf diese wird nicht näher eingegangen, auch diesen mangelt es an konkreten Ausgestaltungshinweisen.^[139]

3.2.1.3 Österreichischer Corporate Governance Kodex (ÖCGK)

Der ÖCGK ist Teil des nationalen Corporate Governance Systems und richtet sich vorrangig an börsennotierte österreichische sowie in Österreich eingetragene börsennotierte europäische Aktiengesellschaften.^[140] Österreichische börsennotierte Unternehmen sind gemäß URÄG 2008 bzw. RÄG 2014 verpflichtet, einen Corporate Governance-Bericht aufzustellen und zu veröffentlichen.^[141] Für inländische Gesellschaften ist eine Verpflichtungserklärung Aufnahmevoraussetzung für den Prime Market der Wiener Börse.^[142]

Im Kodex sind in Anlehnung an das URÄG bzw. RÄG wesentliche gesetzliche Vorgaben und international übliche Vorschriften angeführt, deren Nichteinhaltung aus Sicht des Unternehmens erklärt und begründet werden muss.^[143] Der Kodex soll ein hohes Maß an Transparenz für alle Stakeholder schaffen, nach dem Grad der Verpflichtung umfasst er folgende Systematisierung:^[144]

- Legal Requirement (L): Regel beruht auf zwingenden Rechtsvorschriften.
- Comply or Explain (C): Regel ist einzuhalten bzw. ist Nichteinhaltung zu begründen.
- Recommendation (R): Regel mit reinem Empfehlungscharakter. Der Kodex wird i.d.R. einmal jährlich überprüft und angepasst.^[145] Er beinhaltet einige relevante Punkte zur Internen Revision und zum Risikomanagement, wie z.B.:^[146]
- Nach Regel 9 (L) hat der Vorstand den Aufsichtsrat regelmäßig, zeitnah bzw. anlassbezogen und umfassend über relevante Fragen zur Geschäftsentwicklung einschließlich der Risikolage und des Risikomanagements der Gesellschaft zu informieren.
- Gemäß Regel 18 (C) ist in Abhängigkeit von der Größe des Unternehmens eine Interne Revision einzurichten.
- Regel 37 (C) besagt, dass die Strategie, die Geschäftsentwicklung und das Risikomanagement zwischen Aufsichtsrat und Vorstand zu diskutieren sind.
- Nach Regel 40 (L) ist ein Prüfungsausschuss einzurichten, zu dessen Aufgaben u.a. die Überwachung des Rechnungslegungsprozesses sowie die Überwachung der Wirksamkeit des Internen Kontrollsystems, des internen Revisions- und Risikomanagementsystems und des Prozesses zur Abschluss- und Konzernprüfung zählen.
- Gemäß Regel 69 (L) sind im Lagebericht des Konzernabschlusses angemessene Aussagen über mögliche finanzielle und nichtfinanzielle Risiken sowie eine Beschreibung der wichtigsten Merkmale des Internen Kontrollsystems und des Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess vorzulegen.
- Laut Regel 70 (C) sind ergänzend die eingesetzten Risikomanagementinstrumente in Bezug auf nichtfinanzielle Risiken im Konzernlagebericht zu beschreiben.
- Gemäß Regel 83 (C) hat der Abschlussprüfer die Funktionsfähigkeit des Risikomanagements zu beurteilen. Vom Austrian Financial Reporting and Auditing Committee (AFRAC) wurde in einer diesbezüglichen Stellungnahme die Beurteilung der Funktionsfähigkeit des Risikomanagements durch den Abschlussprüfer beschrieben (AFRAC 19).^[147] Auf diesen Punkt soll im weiteren Verlauf der vorliegenden Arbeit noch näher eingegangen werden (siehe Kapitel 4.2.4.3 sowie Kapitel 5). Regel 83 des ÖCGK ist jedoch nicht verbindlich (sog. „Comply or Explain“).

Die Erstellung des ÖCGK-Berichts ist ebenfalls vom Abschlussprüfer zu überprüfen.^[148] Er hat dabei lediglich festzuhalten, ob ein Corporate Governance-Bericht erstellt wurde.^[149] Eine inhaltliche Prüfung ist, abgesehen von Regel 83, nicht vorgesehen.

Positiv hervorzuheben ist, dass mit dem ÖCGK bzw. dem ÖCGK-Bericht Mindestangaben zum Risikomanagement angesprochen werden und die Ausführungen des ÖCGK auch nichtfinanzielle Risiken einschließen. Konkrete Vorgaben zur Berichterstattung selbst sowie zur Ausgestaltung eines Risikomanagements werden auch im ÖCGK nicht gegeben, AFRAC wiederum empfiehlt die Orientierung an internationalen Standards.^[150]

Hasenauer/Pracht kritisieren, dass zahlreiche auslegungsbedürftige Begriffe zum ÖCGK ohne inhaltliche Erklärungen bleiben (wie z.B. Langfristigkeit, Angemessenheit) und sehen daher die Gefahr, dass vorgesehene Regelungen in der Praxis nicht immer den gewünschten Effekt erreichen und in ihrer Anwendung „soft“ bleiben.^[151]

3.2.2 Internationale Regelungen, rechtliche Rahmenbedingungen

3.2.2.1 Gesetz für Kontrolle und Transparenz in Deutschland (KonTraG)

Durch die wirtschaftliche Verflechtung mit Deutschland ist aus österreichischer Sicht auch auf das 1998 in Deutschland verabschiedete Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG^[152] ) zu verweisen, wonach in der Meinung vieler Autoren vom deutschen Gesetzgeber die Errichtung eines adäquaten Risikomanagementsystems gefordert wird.^[153] Auslöser waren spektakuläre Unternehmenskrisen, welche nach Auffassung des dt. Gesetzgebers durch ein fehlendes Risikobewusstsein und durch nicht ausreichende Kontrollmechanismen verursacht wurden.^[154] KonTraG führte zur Anpassung mehrerer Gesetze bzw. Verordnungen, welche hauptsächlich das Aktiengesetz (dAktG) und das Handelsgesetzbuch (dHGB) betreffen und eine Verbesserung der Corporate Governance anstreben.^[155] Mit dessen Einführung wurden unter anderem Zielsetzungen wie Verminderung unternehmerischer Risiken, Stärkung der Kontrollsysteme und eine Verbesserung der Transparenz gegenüber Anlegern, Stakeholdern sowie der Öffentlichkeit verfolgt.^[156]

KonTraG und Änderungen im dt. Aktiengesetz (dAktG) Mit der Änderung des § 91 Abs. 2 dAktG hat „ der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden “.^[157] Weiters ist in der Gesetzesbegründung eine „Ausstrahlungswirkung“ auf andere Gesellschaftsformen angeführt.^[158]

Demnach ist der Vorstand zu den Organisationsmaßnahmen, ein Früherkennungssystem für Risiken sowie ein internes Überwachungssystem im Unternehmen einzurichten, verpflichtet.^[159] Inwieweit sich aus § 91 Abs. 2 dAktG tatsächlich die Pflicht zur Einrichtung eines vollwertigen Risikomanagementsystems ergibt, wird in der Literatur unterschiedlich diskutiert. Beispielhaft führt Lorenz folgende drei Auffassungen zu § 91 Abs. 2 dAktG an:^[160]

- Im juristischen Schrifttum überwiegt eine enge Auslegung, demnach ist gemäß Wortlaut § 91 Abs. 2 dAktG (Früherkennung bestandsgefährdender Entwicklungen und Einrichtung eines unternehmensinternen Überwachungssystems) keine Pflicht zur Einrichtung eines umfassenden Risikomanagementsystems begründet.^[161]
- Betriebswirtschaftliches Schrifttum sowie Prüfungspraxis vertreten überwiegend die Auffassung, dass die Grundlage für eine Verpflichtung zur Implementierung eines umfassenden Risikomanagementsystems gegeben ist (diese Auffassung stützt sich auf die Gesetzesbegründung, wonach der Vorstand für ein angemessenes Risikomanagement und eine angemessene Interne Revision zu sorgen hat).^[162]
- Die vermittelnde Auffassung greift den Punkt auf, dass sich keine Pflicht zur Einrichtung eines umfassenden Risikomanagementsystems ergeben kann, da die Vorschrift nur bei existenzbedrohenden Risiken Relevanz erlangt.^[163]

Die Notwendigkeit zur Einrichtung eines Risikomanagementsystems kann jedoch aus weiteren Vorschriften (wie z.B. dAktG, dHGB, Deutscher Corporate Governance Kodex u.a.) abgeleitet werden.^[164] So kann gemäß § 93 dAktG die Unterlassung der Einrichtung eines Risikomanagementsystems zu einer Schadensersatzpflicht führen, mit § 91 Abs. 2 dAktG ist die Sorgfaltspflicht hinsichtlich Risikofrüherkennung und Überwachung konkretisiert.^[165]

KonTraG und Änderungen im dt. Handelsgesetzbuch (Lagebericht, Prüfungsausschuss)

Zusätzlich wurde vom dt. Gesetzgeber mit dem KonTraG in Abhängigkeit der Gesellschaftsform auch die Pflicht zur Berichterstattung im Lagebericht erweitert. So hat die Unternehmensleitung bei der Darstellung des Geschäftsverlaufs und der Lage der Gesellschaft auch auf die Chancen und Risiken der künftigen Entwicklung einzugehen.^[166] In den Festlegungen zum KonTraG sind dabei bestandsgefährdende Entwicklungen ausdrücklich anzuführen, soweit sich diese nachteilig auf die Vermögens-, Finanz- und Ertragslage auswirken bzw. diese den Bestand des Unternehmens gefährden können.^[167]

Abschlussprüfer sind verstärkt zur Risikobeurteilung verpflichtet, insbesondere ist auf die Beurteilung des Fortbestandes und der künftigen Entwicklung des Unternehmens unter Berücksichtigung des Lageberichts einzugehen.^[168] Diese Anforderung wurde in einem Prüfungsstandard konkretisiert,^[169] auf diesen soll im weiteren Verlauf der vorliegenden Arbeit noch näher eingegangen werden (siehe Kapitel 4.2.4.4 sowie Kapitel 5).

Das Risikomanagement gemäß KonTraG bezieht sich weitgehend auf Risiken i.e.S., eine explizite Einbeziehung von Chancen erfolgt kaum.^[170] Während ein auf die Erfüllung des KonTraG abzielendes Risikomanagement (z.B. juristische Auslegung) eher dem speziellen Risikomanagement entspricht, richtet sich ein umfassendes und bestandsgefährdende Entwicklungen beachtendes Risikomanagement (z.B. betriebswirtschaftliche Auslegung) im Sinne eines generellen Risikomanagements und unter Einbeziehung von Chancen auf das unternehmerische Gesamtrisiko.^[171] Eine Risikobewältigung wird im KonTraG nicht ausdrücklich gefordert.^[172] Die Anforderungen an ein Risikomanagementsystem sind grundsätzlich unternehmensspezifisch und werden durch die Ausstrahlungswirkung einzelner Vorschriften beeinflusst, auch diese (wie z.B. dAktG, dHGB) sind in ihren Vorgaben sehr unpräzise und führen zu Interpretations- und auch Umsetzungsproblemen.^[173] Konkrete Hinweise zur Ausgestaltung eines Risikomanagements sind auch mit dem KonTraG kaum gegeben. Eine vergleichbare österreichische Regelung besteht nicht.^[174]

3.2.2.2 Bilanzrechtsmodernisierungsgesetz (BilMog)

In Deutschland wurden die EU-Abschlussprüfungsrichtlinie und EU-Abänderungsrichtlinie in Form des Bilanzrechtsmodernisierungsgesetzes (BilMog) in deutsches Recht transformiert. Hier ergeben sich starke Ähnlichkeiten zum österreichischen URÄG (siehe dazu auch Kapitel 3.2.1.1). Auch hier wird der Aufsichtsrat aufgefordert, u.a. die Wirksamkeit des Risikomanagementsystems, des Internen Kontrollsystems und der Internen Revision zu prüfen.^[175] Dies kann durch Bestellung eines Prüfungsausschusses erfolgen,^[176] diesbezüglich gibt es jedoch keine gesetzlich geregelte Berichterstattungspflicht.^[177] Kapitalmarktorientierte Unternehmen haben das Risikomanagementsystem im Hinblick auf Strukturen und Prozesse im Lagebericht zu beschreiben.^[178] Konkrete Hinweise zur Ausgestaltung eines Risikomanagements werden auch hier nicht gegeben.

[...]

---

^[1] Vgl. Winter, P. (2007), S. 149.

^[2] Vgl. Romeike, F. / Hager, P. (2013), S. 96.

^[3] Vgl. Gleißner, W. (2017), S. 62.

^[4] Vgl. Pampel, K. (2005), S. 5.

^[5] Vgl. Denk, R. / Exner-Merkelt, K. / Ruthner, R. (Hrsg.) (2008), S. 29;
Wolke, T. (2008), S. 1; Filipiuk, B. (2008), S. 13.

^[6] Vgl. Romeike, F. / Hager, P. (2013), S. 11ff; Strohmeier, G. (2007), S. 29; Dudenredaktion (o.Jz.), Stichwort „Risiko“, online im Internet: http://www.duden.de/rechtschreibung/Risiko (dl: 31.03.2017).

^[7] Vgl. Gleißner, W. / Romeike, F. (Hrsg.) (2015a), S. 5.

^[8] Vgl. Strohmeier, G. (2007), S. 30.

^[9] Vgl. Brünger, C. (2011), S. 8.

^[10] Vgl. Brünger, C. (2011), S. 8.

^[11] Vgl. Campenhausen, C. (2006), S. 12f; Mikus, B. (2001), S. 7.

^[12] Vgl. Pampel, K. (2005), S. 8; Vanini, U. (2012), S. 7f; Kunze, B. (2007), S. 13.

^[13] Vgl. Denk, R. / Exner-Merkelt, K. / Ruthner, R. (Hrsg.) (2008), S. 29; Vanini, U. (2012), S. 7.

^[14] Vgl. Vanini, U. (2012), S. 7.

^[15] Gleißner, W. / Romeike, F. (2015b), S. 22.

^[16] Vgl. Vanini, U. (2012), S. 7; Gleißner, W. / Romeike, F. (2015b), S. 22.

^[17] Vgl. Gleißner, W. / Romeike, F. (Hrsg.) (2015a), S. 6.

^[18] Quelle: eigene Darstellung in Anlehnung an Gleißner, W. / Romeike, F. (2015b), S. 22.

^[19] Vgl. Mikus, B. (2001), S. 7.

^[20] Vgl. Imboden, C. (1983), S. 42ff.

^[21] Vgl. Kless, T. (1998), S. 93ff; Keller, G. (2002), S. 16;
Denk, R. / Exner-Merkelt, K. / Ruthner, R. (Hrsg.) (2008), S. 17.

^[22] Vgl. Denk, R. / Exner-Merkelt, K. / Ruthner, R. (Hrsg.) (2008), S. 29; Keller, H.E. (2004), S. 61ff.

^[23] Vgl. Laux, H. (1995); Romeike, F. (1995); Liekweg, A. (2003); Gleißner, W. / Romeike, F. (Hrsg.) (2015a); Vanini, U. (2012); Brünger, C. (2011); Rescher, N. (1983); u.v.a.m.

^[24] Vgl. Vanini, U. (2012), S. 10.

^[25] Vgl. Vanini, U. (2012), S. 15; Kunze, B. (2007), S. 20; Strohmeier, G. (2007), S. 53ff.

^[26] Vgl. Mikus, B. (2001), S. 7f.

^[27] Vgl. Diederichs, M. (2010), S. 320; Denk, R. / Exner-Merkelt, K. / Ruthner, R. (Hrsg.) (2008), S. 29.

^[28] Vgl. Mag, W. (1981), S. 491; Härterich, S. (1987), S. 90.

^[29] Vgl. Vanini, U. (2012), S. 12.

^[30] Vgl. Philipp, F. (1967), S. 33.

^[31] Vgl. Gleißner, W. (2017), S. 161.

^[32] Vgl. Kupsch, P. (1995), S. 533; Philipp, F. (1967), S. 32.

^[33] Siehe dazu z.B. Ausführungen in Mikus, B. (2001); Gleißner, W. / Romeike, F. (Hrsg.) (2015a);
Jessenberger, J. / Zimmermann, G. (2008); Vanini, U. (2012); Schimmelpfeng, K. (2001); u.a.

^[34] Vgl. Vanini, U. (2012), S. 15.

^[35] Vgl. Grof, E. (2007), S. 214.

^[36] Quelle: eigene Darstellung in Anlehnung an Denk,R. / Exner-Merkelt,K. / Ruthner,R. (Hrsg.) (2008),S.29.

^[37] Vgl. Gleißner, W. / Romeike, F. (2015b), S. 22f; IIA, The Institute of Internal Auditors (2009), S. 2.

^[38] Vgl. IIAA, Institut für Interne Revision Österreich (Hrsg.) (2014), S. 21; Fiege, S. (2006), S. 53.

^[39] Vgl. Brühwiler, B. (2007), S. 83; Gleißner, W. (2017), S. 2.

^[40] Vgl. Hofmann, M. / Bühler, P. (2004), S. 168.

^[41] Vgl. Mikus, B. (2001), S. 9f.

^[42] Vgl. IIAA, Institut für Interne Revision Österreich (Hrsg.) (2014), S. 21.

^[43] Vgl. IIAA, Institut für Interne Revision Österreich (Hrsg.) (2014), S. 22.

^[44] Vgl. IIAA, Institut für Interne Revision Österreich (Hrsg.) (2014), S. 22.

^[45] Vgl. Bungartz, O. (2012), S. 23f; IIAA, Institut für Interne Revision Österreich (Hrsg.) (2004), S. 18.

^[46] Vgl. Bungartz, O. (2012), S. 24.

^[47] Vgl. Gleißner, W. / Hinrichs, K. / Sieger, C. (2001), S. 431.

^[48] Vgl. DIIR, Deutsches Institut für Interne Revision e.V. (2006), S. 3f; AFRAC 9, Rz. 78.

^[49] Vgl. Pampel, K. (2005), S. 34.

^[50] Vgl. Aigner, J. / Aigner, D. (2009), S. 84.

^[51] Vgl. Pampel, K. (2005), S. 15; IIAA, Institut für Interne Revision Österreich (Hrsg.) (2014), S. 21;
Fiege, S. (2006), S. 95; Gleißner, W. (2000), S. 1629; Reh, G. (2001), S. 35.

^[52] Vgl. Gleißner, W. (2017), S. 3.

^[53] Vgl. Vanini, U. (2012), S. 101.

^[54] Vgl. IIAA, Institut für Interne Revision Österreich (Hrsg.) (2014), S. 42.

^[55] Vgl. Vanini, U. (2012), S. 42f.

^[56] Vgl. Romeike, F. / Hager, P. (2013), S. 94ff; Vanini, U. (2012), S. 116; Berger, T.B. (2015), S. 644.

^[57] Vgl. Hofmann, M. / Bühler, P. (2004), S. 174.

^[58] Vgl. Burger, A. / Buchhart, A. (2002), S. 21.

^[59] Vgl. Berger, T.B. (2015), S. 652.

^[60] Vgl. Schein, E.H. (1997), S. 16f.

^[61] Quelle: eigene Darstellung in Anlehnung an Schein, E.H. (1997), S. 17.

^[62] Vgl. Paschinger, S. (2015), S. 40f.

^[63] Vgl. Berger, T.B. (2015), S. 646.

^[64] Vgl. van Uum, C. (2015), S. 226.

^[65] Vgl. Kirchner, M. (2003), S. 15; Romeike, F. / Hager, P. (2013), S. 96.

^[66] Vgl. Vanini, U. (2012), S. 19.

^[67] Vgl. Vanini, U. (2012), S. 43.

^[68] Vgl. Pampel, K. (2005), S. 16f.

^[69] Vgl. Vanini, U. (2012), S. 42.

^[70] Vgl. Alquen, K. (1999), S. 25.

^[71] Vgl. Pampel, K. (2005), S. 15.

^[72] Vgl. Scherpereel, P. (2006), S. 16.

^[73] Vgl. Denk, R. / Exner-Merkelt, K. / Ruthner, R. (Hrsg.) (2008), S. 82ff; Alquen, K. (1999), S. 134.

^[74] Vgl. Wolke, T. (2008), S. 5; Fiege, S. (2006), S. 96f; Wittmann, E. (2000), S. 286.

^[75] Quelle: eigene Darstellung in Anlehnung an Hölscher, R. (2002), S. 13; Brauweiler, H.C. (2015), S. 8.

^[76] Vgl. Pampel, K. (2005), S. 18.

^[77] Vgl. Seidel, U.M. (2002), S. 62; Pampel, K. (2005), S. 18.

^[78] Vgl. Vanini, U. (2012), S. 126.

^[79] Vgl. Pampel, K. (2005), S. 18.

^[80] Vgl. Seidel, U.M. (2002), S. 62.

^[81] Vgl. Pampel, K. (2005), S. 18.

^[82] Vgl. Jessenberger, J. / Zimmermann, G. (2008), S. 212.

^[83] Vgl. Vanini, U. (2012), S. 126.

^[84] Vgl. Pampel, K. (2005), S. 20; Vanini, U. (2012), S. 134f.

^[85] Vgl. Vanini, U. (2012), S. 126f; Gleißner, W. / Romeike, F. (2015b), S. 25f.

^[86] Vgl. Gleißner, W. / Romeike, F. (2015b), S. 25f; Vanini, U. (2012), S. 157ff.

^[87] Vgl. IIAA, Institut für Interne Revision Österreich (Hrsg.) (2014), S. 51.

^[88] Vgl. Wolke, T. (2008), S. 249f.

^[89] Vgl. Vanini, U. (2012), S. 198f; Fasse, F.W. (1995), S. 67; Macharzina, K. (1999), S. 502.

^[90] Vgl. Hölscher, R. (2002), S. 9.

^[91] Vgl. Vanini, U. (2012), S. 167.

^[92] Vgl. Diederichs, M. (2010), S. 188.

^[93] Vgl. Gleißner, W. / Romeike, F. (2015b), S. 40.

^[94] Vgl. Pampel, K. (2005), S. 26ff; Gleißner, W. / Romeike, F. (2015b), S. 40ff; Vanini, U. (2012), S. 99ff; Denk, R. / Exner-Merkelt, K. / Ruthner, R. (Hrsg.) (2008), S. 127ff.

^[95] Quelle: eigene Darstellung in Anlehnung an Gleißner, W. / Romeike, F. (2015b), S. 40.

^[96] Vgl. Diederichs, M. (2010), S. 188f; Gleißner, W. / Romeike, F. (2015b), S. 40ff.

^[97] Vgl. Pampel, K. (2005), S. 30.

^[98] Vgl. IIAA, Institut für Interne Revision Österreich (Hrsg.) (2014), S. 60.

^[99] Vgl. Pampel, K. (2005), S. 25.

^[100] Vgl. Vanini, U. (2012), S. 213.

^[101] Vgl. Seidel, U.M. (2002), S. 62.

^[102] Vgl. Vanini, U. (2012), S. 251f.

^[103] Vgl. Strohmeier, G. (2007), S. 50f.

^[104] Vgl. Vanini, U. (2012), S. 252f.

^[105] Vgl. Pampel, K. (2005), S. 31.

^[106] Vgl. OMV AG (2017), S. 85.

^[107] Vgl. Vanini, U. (2012), S. 39.

^[108] Vgl. Smirska, K. (2009), S. 49.

^[109] Vgl. ISACA Germany Chapter e.V. / Risk Management Association e. V. (2014), S. 23.

^[110] Vgl. Risk Management Association e. V. (Hrsg.) (2015), S. 41; weitere Systematisierungsmöglichkeiten und Methodendetails siehe z.B. Romeike, F. / Hager, P. (2013), S. 252; Vanini, U. (2012), S. 127ff.

^[111] Quelle: eigene Darstellung in Anlehnung an Risk Management Association e. V. (Hrsg.) (2015), S. 41.

^[112] Quelle: eigene Darstellung in Anlehnung an Austrian Standards Institute (2014g), S. 11.

^[113] Vgl. Romeike, F. / Hager, P. (2013); Vanini, U. (2012); Pampel, K. (2005); Gleißner, W. (2017); u.v.a.m.

^[114] Vgl. Wengert, H. / Schittenhelm, F.A. (2013), S. 3f.

^[115] Vgl. Denk, R. / Exner-Merkelt, K. / Ruthner, R. (Hrsg.) (2008), S. 82ff; Alquen, K. (1999), S. 25;
Brühwiler, B. (2007), S. 83.

^[116] Vgl. Vanini, U. (2012), S. 42.

^[117] Vgl. Bundesministerium für Verkehr, Innovation und Technologie (2014), S. 74.

^[118] Vgl. § 84 Abs. 1 AktG, demnach haben Vorstandsmitglieder bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden.

^[119] Vgl. § 25 Abs. 1 GmbHG, demnach sind Geschäftsführer der Gesellschaft gegenüber verpflichtet, bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.

^[120] Vgl. § 70 Abs. 1 AktG, demnach hat der Vorstand die Gesellschaft so zu leiten, wie es das Wohl des Unternehmens - unter Berücksichtigung unterschiedlicher Interessen - erfordert.

^[121] Vgl. § 20 Abs. 1 GmbHG, demnach sind Geschäftsführer der Gesellschaft gegenüber verpflichtet, alle Beschränkungen einzuhalten, die für den Umfang ihrer Vertretungsbefugnis festgesetzt sind.

^[122] Vgl. § 81 AktG; § 28a GmbHG; Denk, R. / Exner-Merkelt, K. / Ruthner, R. (Hrsg.) (2008), S. 45f.

^[123] Vgl. § 82 AktG; § 22 Abs. 1 GmbHG; Grof, E. / Pichler, M. (2002), S. 1018.

^[124] Vgl. § 92 Abs. 4a AktG; § 30g Abs. 4a GmbHG; Huemer, D. (2008), S. 576f.

^[125] Vgl. § 271a Abs. 1 UGB, dieser bezieht sich z.B. auf die Größenmerkmale gemäß § 221 Abs. 3 UGB.

^[126] Vgl. Milla, A. / Vcelouch-Kimeswenger, R. / Weber, M. (2008), S. 47.

^[127] Vgl. Denk, R. / Exner-Merkelt, K. / Ruthner, R. (2006), S. 9f.

^[128] Vgl. Aigner, J. / Aigner, D. (2009), S. 86; Goworek, M. (2009), S. 9; Hölzl, M. (2016), S. 58.

^[129] Vgl. Denk, R. / Exner-Merkelt, K. / Ruthner, R. (Hrsg.) (2008), S. 47.

^[130] Dies betrifft im Wesentlichen Aktiengesellschaften und größenabhängig GmbHs.

^[131] § 243 Abs. 1 und § 267 Abs. 1 UGB.

^[132] Vgl. § 243a Abs. 2 UGB und § 189a Zif. 1 lit.a UGB sowie Begriffsbestimmungen § 1 Abs. 2 BoerseG.

^[133] § 243 Abs. 3 Zif. 5 UGB.

^[134] Vgl. Aigner, J. / Aigner, D. (2009), S. 84.

^[135] Vgl. Denk, R. / Exner-Merkelt, K. / Ruthner, R. (Hrsg.) (2008), S. 47.

^[136] § 243 Abs. 1 und § 267 Abs. 1 UGB.

^[137] Vgl. AFRAC 9, Rz. 63.

^[138] Vgl. AFRAC 9, Rz. 3.

^[139] Vgl. Hölzl, M. (2016), S. 58.

^[140] Vgl. Österreichischer Arbeitskreis für Corporate Governance (Hrsg.) (2015a), S. 11f.

^[141] Vgl. AFRAC 22, Rz. 1 und Rz. 1a.

^[142] Vgl. Österreichischer Arbeitskreis für Corporate Governance (Hrsg.) (2015a), S. 12.

^[143] Vgl. Österreichischer Arbeitskreis für Corporate Governance (Hrsg.) (2015a), S. 13.

^[144] Vgl. Österreichischer Arbeitskreis für Corporate Governance (Hrsg.) (2015a), S. 11 und 14.

^[145] Vgl. Österreichischer Arbeitskreis für Corporate Governance (Hrsg.) (2015a), S. 13ff.

^[146] Vgl. Österreichischer Arbeitskreis für Corporate Governance (Hrsg.) (2015a), S. 18.

^[147] Vgl. AFRAC 19.

^[148] Vgl. § 269 Abs. 3 UGB.

^[149] Vgl. AFRAC 22, Rz. 36f.

^[150] Vgl. AFRAC 9, Rz. 60 und Rz. 66, Rz. 68, Rz. 78, Rz. 84, Rz. 125, Rz. 141.

^[151] Vgl. Hasenauer, C. / Pracht, L. (2010), S. 17.

^[152] Vgl. KonTraG.

^[153] Vgl. Bungartz, O. (2012), S. 457f; Vanini, U. (2012), S. 2; Henselmann, K. (2001), S. 31;
IIAA, Institut für Interne Revision Österreich (Hrsg.) (2014), S. 25.

^[154] Vgl. IIAA, Institut für Interne Revision Österreich (Hrsg.) (2014), S. 25; Henselmann, K. (2001), S. 31.

^[155] Vgl. Denk, R. / Exner-Merkelt, K. / Ruthner, R. (Hrsg.) (2008), S. 43; Henselmann, K. (2001), S. 31.

^[156] Vgl. Reichling, P. / Bietke, D. / Henne, A. (2007), S. 210.

^[157] KonTraG, Teil I, Nr. 24, S. 787 und § 91 Abs. 2 dAktG.

^[158] Vgl. Lorenz, M. (2008), S. 6.

^[159] Vgl. Lorenz, M. (2008), S. 7.

^[160] Vgl. Lorenz, M. (2008), S. 6ff.

^[161] Vgl., Pahlke, A.K. (2002), S. 1680ff.

^[162] Vgl., S. Eggemann, G. (2000), S. 505ff; Reichling, P. / Bietke, D. / Henne, A. (2007), S. 209;
IIAA, Institut für Interne Revision Österreich (Hrsg.) (2014), S. 25.

^[163] Vgl. Drygala, T. / Drygala, A. (2000), S. 297.

^[164] Vgl. Lorenz, M. (2008), S. 8.

^[165] Vgl. Bungartz, O. (2012), S. 458.

^[166] Vgl. KonTraG, Teil I, Nr. 24, S. 789; § 289 Abs. 1 dHGB; § 315 Abs. 1 dHGB.

^[167] Vgl. § 91 Abs. 2 dAktG.

^[168] Vgl. KonTraG, Teil I, Nr. 24, S. 789; § 289 Abs. 1 dHGB; § 317 Abs. 2 und Abs. 4 dHGB.

^[169] Vgl. IDW PS 340.

^[170] Vgl. Mikus, B. (2001), S. 13.

^[171] Vgl. Mikus, B. (2001), S. 13.

^[172] Vgl. Vanini, U. (2012), S. 39.

^[173] Vgl. Lorenz, M. (2008), S. 24; Henselmann, K. (2001), S. 31.

^[174] Vgl. Gleißner, W. (2017), S. 81.

^[175] Vgl. § 107 Abs. 3. S. 2 dAktG; § 324 dHGB.

^[176] Vgl. § 107 Abs. 3. S. 2 dAktG.

^[177] Vgl. Welge, M.K. / Eulerich, M. (2014), S. 123.

^[178] Vgl. Welge, M.K. / Eulerich, M. (2014), S. 123.