Der erfolgreiche Umgang mit Risiken in Unternehmen durch Controlling und Management

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Einleitung

2 Thematische Einordnung und definitorische Grundlagen
2.1 Der Risikobegriff aus betriebswirtschaftlicher Sicht
2.2 Zusammenwirken und Abgrenzung von Controlling, Risikocontrolling und Risikomanagement
2.3 Systematisierung regulatorischer und gesetzlicher Rahmenbedingungen

3 Kritische Analyse phasenabhängiger Instrumente des Risikocontrollings
3.1 Risikoidentifikationsinstrumente
3.2 Risikobewertungsinstrumente
3.3 Risikodokumentation, -steuerung und -kontrolle

4 Empirische Untersuchung des Value-at-Risk orientierten Risikocontrollings
4.1 Grundlegendes zur Vorgehensweise
4.2 Historische Simulation und Backtesting-Analyse
4.3 Kritische Würdigung

5 Zusammenfassende Betrachtung und Ausblick

Literaturverzeichnis

Anhang

5.1 Anhang

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Einbindung des Risiko-Controllings in den Risiko-Management-Prozess (Quelle: Burger/Buchhart (2002): 58.)

Abbildung 2: Gesetzesänderungen im Hinblick auf das Risikomanagement- und Überwachungssystem (Quelle: Fiege (2006): 30.)

Abbildung 3: Zusammenfassende Bewertungsübersicht der Risikoidentifikationsinstrumente (Quelle: Eigene Darstellung)

Abbildung 4: Zusammenfassende Bewertungsübersicht der Risikoanalyseinstrumente (Quelle: Eigene Darstellung)

Abbildung 5: Klassifizierung der VaR-Berechnungsmodelle (Quelle: In Anlehnung an vgl. Kremers (2002): 133.)

Abbildung 6: DAX-Entwicklung von 2012-2017 (Quelle: Eigene Darstellung)

Abbildung 7: Häufigkeitsverteilung der täglichen DAX-Renditen im beobachteten Zeitraum (Quelle: Eigene Darstellung)

Abbildung 8: Historische Simulation absoluter VaR-Werte bei einem Konfidenzintervall von 99% (Quelle: Eigene Darstellung)

Abbildung 9: Historische Simulation absoluter VaR-Werte bei einem Konfidenzintervall von 95% (Quelle: Eigene Darstellung)

Abbildung 10: Historische Simulation relativer VaR-Werte bei einem Konfidenzintervall von 99% (Quelle: Eigene Darstellung)

Abbildung 11: Historische Simulation relativer VaR-Werte bei einem Konfidenzintervall von 95% (Quelle: Eigene Darstellung)

Tabellenverzeichnis

Tabelle 1: Beispiel zur simulierten Marktwertänderung

Tabelle 2: Zusammenfassung der wichtigsten Ergebniswerte der VaR-Berechnung und der Backtesting-Analyse

Tabelle 3: Veranschaulichung der VaR-Anstiege nach Überschreitungen anhand des 99%-Konfidenzintervalls mit 100 historischen Daten

1 Einleitung

Eine Vielzahl von Unternehmensskandalen und –insolvenzen sowie die im Jahr 2007 einsetzende Finanz- und Wirtschaftskrise offenbarten die negativen Konsequenzen unzulänglicher Risikomanagementsysteme. Unternehmerische Risiken können und sollten im globalisierten Marktumfeld nicht gänzlich vermieden werden, weshalb der unternehmensspezifische Risikoumgang entscheidend ist.^[1] Um einen adäquaten Umgang mit Risiken zu gewährleisten, ist die Implementierung eines wirkungsvollen Risikomanagements und Risikocontrollings essentiell. Viele Unternehmen halten Finanzinstrumente, welche zwar eine rentable Finanzanlage darstellen, jedoch mit entsprechenden Risiken einhergehen. Dabei handelt es sich um Marktrisiken, deren Bewertung das klassische Aufgabengebiet des Risikomanagements bzw. Risikocontrollings ergänzt. In dieser Arbeit steht das Konzept des Value-at-Risk (VaR) als Risikoanalyseinstrument im Fokus, wobei die Prognosegüte des VaR mittels einer historischen Simulation und anschließender Backtesting-Analyse kritisch untersucht wird. Demzufolge ist es das Ziel, eine empirisch nachgewiesene Aussage zu formulieren, unter welchen Voraussetzungen der VaR als geeigneter Risikoschätzer eingesetzt werden kann. Dazu werden in Kapitel zwei relevante Grundlagen bestimmt. Insbesondere wird der Risikobegriff definiert, eine Abgrenzung sowie Abhängigkeiten zwischen den Einheiten Risikomanagement, Controlling und Risikocontrolling erklärt und die gesetzlichen Anforderungen im Kontext des Risikoumgangs vorgestellt. In Kapitel drei werden ausgewählte Instrumente des Risikocontrollings dargestellt und kritisch analysiert, wobei zunächst Identifikations- und Bewertungsinstrumente untersucht werden und schließlich die Dokumentation, Steuerung und Kontrolle der Risiken beleuchtet werden. Die empirische Analyse folgt im vierten Kapitel. Konkret liefert Kapitel 4.1 Informationen zum Ablauf, wohingegen die Vorstellung der Datenbasis, die Durchführung der Simulation und die Ergebnispräsentation in Kapitel 4.2 folgen. Im Anschluss werden das VaR-Konzept sowie die historische Simulation kritisch gewürdigt, bevor die Arbeit in Kapitel 5 mit einer Zusammenfassung sowie einem Ausblick auf weiterführende Forschungsthemen abgeschlossen wird.

2 Thematische Einordnung und definitorische Grundlagen

2.1 Der Risikobegriff aus betriebswirtschaftlicher Sicht

Weder in der betriebswirtschaftlichen Literatur noch in der Praxis existiert eine allgemeingültige Definition des Risikobegriffs. Etymologisch besteht jedoch grundsätzlich Konsens darüber, dass sich der Risikobegriff aus dem lateinischen Begriff „risicare“^[2] bzw. aus dem italienischen Wort „ris(i)co“^[3] ableitet und bzgl. der Bedeutung mit den deutschen Begrifflichkeiten „Wagnis“ oder „Gefahr“ gleichzusetzten ist, was die negative Behaftung deutlich macht.^[4] Um im Rahmen dieser Arbeit ein einheitliches Verständnis bzgl. der Risikodefinition zu schaffen, werden zunächst ausgewählte Definitionsvorschläge vorgestellt, um anschließend eine Systematisierung vorzunehmen sowie mögliche Leitlinien bzgl. des unternehmensspezifischen Umgangs mit Risiken zu beleuchten.^[5]

Das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) definiert das Risiko in weit gefasster und somit wenig präzisierter Form als die Möglichkeit von ungünstigen Entwicklungen in der Zukunft, wobei sich jene Ungünstigkeit im unternehmerischen Kontext auf verlustbringende Entwicklungen bezieht.^[6] Ebenfalls in weit gefasster Form – nämlich als mögliche negative Zukunftsentwicklung der wirtschaftlichen Konzernverhältnisse – fasst das Deutsche Rechnungslegungs Standards Committee e. V. (DRSC) den Risikobegriff im Standard Nr. 5 zur Risikoberichterstattung zusammen.^[7] Der Unterschied zur Definition vom IDW liegt darin begründet, dass die wirtschaftliche Konzernlage explizit herausgestellt wird. Auch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), welches als gesetzliche Fundierung des Risikomanagements und –controllings gilt und somit im Kapitel zu den regulatorischen Rahmenbedingungen in dieser Arbeit behandelt wird, liefert keine explizite Definition des Risikobegriffs. Dennoch lässt sich aus der indirekten Formulierung gem. §91 Abs. 2 Aktiengesetz (AktG) „den Fortbestand der Gesellschaft gefährdende Entwicklung“ eine direkte Risikodefinition ableiten, die sich ausschließlich auf die wirtschaftliche Lage eines Unternehmens bzw. auf die Bestandsgefährdung konzentriert und somit deutlich enger gefasst ist als die Definitionen des IDW oder des DRSC.^[8] Aus Sicht der International Group of Controlling (IGC) setzt sich Risiko aus der Eintrittswahrscheinlichkeit eines zukünftigen Ereignisses sowie der Höhe der resultierenden finanziellen Zielverfehlung zusammen.^[9] Da das Risikocontrolling im Fokus dieser Arbeit steht, soll die Definition des IGC zunächst gelten und durch die nachfolgenden Erläuterungen zu den Systematisierungsmöglichkeiten des Risikobegriffs verdichtet werden.

Regelmäßig wird Risiko zunächst als Ergebnisabweichung von einem bestimmten Zielwert beschrieben, wobei sich diese Abweichung in einem ersten Typologisierungsschritt in symmetrisches und asymmetrisches Risiko aufteilen lässt.^[10] Symmetrisches Risiko deckt einerseits das Verlustrisiko und andererseits potentielle Gewinnchancen ab und kann auch als Risiko im weiteren Sinne beschrieben werden.^[11] Die bloße Gefahr zukünftiger Negativentwicklungen wird somit als asymmetrische Risikosystematisierungsmöglichkeit bzw. Risiko im engeren Sinne deklariert und steht im Verlauf dieser Arbeit im Fokus.

Eine weitere Differenzierungsmöglichkeit stellen ursachen- und wirkungsbezogene Risiken dar. Wirkungsbezogene Risiken beziehen sich lediglich auf die Wirkung der Verfehlung unternehmerischer Ziele bzw. des Nicht-Erreichens ökonomischer Pläne – mit positiven und negativen Ausrichtungsmöglichkeiten – und grenzen sich daher inhaltlich nicht von den symmetrischen Risiken ab.^[12] Ursachenbezogene Risiken beschäftigen sich hingegen mit der Herkunft bzw. den Motiven von Risiken, die aus unterschiedlichen Informationszuständen der entscheidenden Individuen sowie potentiellen Umweltzuständen resultieren. Ihren wissenschaftlichen Ursprung haben ursachenbezogene Risiken in der Entscheidungstheorie. Im Sinne des entscheidungstheoretischen Ansatzes lassen sich Sicherheits-, Risiko- und Unsicherheitssituationen unterscheiden.^[13] Die Sicherheitssituation meint den Zustand, dass der Entscheider sich des Eintretens eines künftigen Umweltzustandes gewiss ist und die dazugehörigen Konsequenzen kennt, was im Umkehrschluss zu logischen und rationalen Handlungen des Entscheiders führt. Jedoch ist dies in der Realität nicht gegeben. In Risikosituationen liegen dem Entscheider hingegen objektive und subjektive Wahrscheinlichkeiten bzgl. des Eintretens möglicher Umweltzustände vor, anhand derer Informationsmängel kompensiert und künftige Entscheidungen gezielt ausgerichtet werden können, was eine hohe Realitätsnähe im Rahmen des Umgangs unternehmerischer Risiken schafft.^[14] Ohne die Existenz dieser Wahrscheinlichkeiten, geht man von einer Situation der Unsicherheit aus.^[15]

In Anlehnung an die Risikoklassifizierungen der Bundesanstalt für Finanzdienstleistungsaufsicht^[16] (BaFin) sowie der Bank for International Settlements^[17] (BIS), soll nun eine weitere Systematisierungsmöglichkeit des Risikobegriffs vorgestellt werden, die sich auf den empirischen Teil dieser Arbeit bzw. auf den Value-at-Risk bezieht. Zwar setzen sich die Veröffentlichungen der BaFin und der BIS grundsätzlich mit bankspezifischen Risiken auseinander, doch auch Unternehmen unterliegen Geschäfts-, operationellen und finanziellen Risiken. Geschäftsrisiken meinen im Unternehmenskontext z.B. eine nachfrageschwache Produktpalette oder geschäftsstrategische Defizite bzgl. der Planung, wohingegen sich operationelle Risiken bspw. über interne Prozessschwierigkeiten ausdrücken können.^[18] Das Finanzrisiko von Unternehmen kann sich in Form von möglichen Forderungsausfällen (Kreditrisiko), der Unfähigkeit finanziellen Verpflichtungen nachzukommen (Liquiditätsrisiko) oder dem unternehmensinternen Marktrisiko^[19], welches im Fokus dieser Arbeit steht, äußern. Jenes spezifische Marktrisiko meint z.B. Gefahrenpotenziale, die aus schwankenden bzw. sinkenden Kursen entsprechend gehaltener Finanzinstrumente (z.B. Unternehmensbeteiligungen oder Währungs- bzw. Rohstoffpositionen) resultieren.^[20] Des Weiteren kann der Risikobegriff nach dem Umfang (Einzel- und Gesamtrisiko), dem Grad (Bagatell-, Klein-, Mittelgroß-, Groß- und Existenzrisiken), der Herkunft (endogen oder exogen), der Entscheidungsebene (operative, taktische, strategische Risiken) oder der Versicherbarkeit typologisiert werden.^[21]

Nachdem der Risikobegriff nun definiert und durch verschiedene Typologisierungsansätze verdichtet wurde, soll der unternehmensspezifische Umgang mit Risiken charakterisiert werden. In erster Linie ist dafür die Risikopräferenz der Unternehmensführung entscheidend, da die grundsätzliche Risikopolitik bzw. –ausrichtung von dort auf alle weiteren Unternehmensebenen und letztlich zu den Mitarbeitern getragen wird.^[22] Diesbezüglich wird regelmäßig zwischen Risikoaversion, Risikofreude und Risikoneutralität sowie einer Vielzahl von Mischformen unterschieden. Das Ziel unternehmensinterner Grundsätze zum Risikoumgang besteht darin, ein adäquates Risikobewusstsein im Unternehmen zu implementieren, was die Grundlage für die praktische Umsetzung eines unternehmensinternen Risikomanagementsystems darstellt.^[23] Die vorgegebene Risikopolitik der Unternehmensführung soll den Charakter von Handlungsanweisungen bzw. Leitlinien vorweisen, wobei es essenziell ist, diese nicht zu eng zu fassen, sondern Spielräume – im Rahmen des Risikotragfähigkeitspotenzials sowie der Unternehmensphilosophie – zu gewähren.^[24] Unter diesen Voraussetzungen kann das Risikocontrolling als ein einheitliches und risikoorientiertes Koordinationsinstrument eingerichtet werden. Zur Veranschaulichung werden einige der elementarsten risikopolitischen Grundsätze beispielhaft aufgeführt^[25]:

- Der Fortbestand des Unternehmens darf nicht durch eingegangene Risiken der Mitarbeiter bedroht werden
- Chancen und Risiken dürfen nicht miteinander verrechnet werden, obwohl der kapitalmarkttheoretische Grundsatz zu beachten ist, dass höhere Risiken durch eine entsprechend höhere Rendite vergütet werden (müssen)
- Zur Sicherung der Akzeptanz und Wirksamkeit der Leitlinien ist ein unternehmensinternes Risikomanagementsystem bzw. Risikocontrolling zu etablieren

2.2 Zusammenwirken und Abgrenzung von Controlling, Risikocontrolling und Risikomanagement

Sowohl inhaltlich als auch etymologisch wird das Risikocontrolling oftmals vereinfacht als Schnittstelle zwischen Controlling und Risikomanagement angesehen.^[26] Aufgrund der hohen Relevanz des Risikobegriffs in Theorie und Praxis, existieren heutzutage jedoch eine Vielzahl von Definitionen und Abgrenzvorschlägen hinsichtlich des Controllings, des Risikocontrollings und des Risikomanagements, die eine differenzierte Betrachtung erfordern. In diesem Abschnitt soll einer ausgedehnten Diskussion um die verschiedenen Ansätze gleichwohl ausgewichen werden.^[27] Vielmehr geht es um den Versuch, Klarheit – zumindest für den Verlauf dieser Arbeit – bzgl. der Begriffskonzeptionen, der Aufgaben und Ziele sowie der Zusammenhänge und Abgrenzungsmöglichkeiten zu schaffen. Da es keine allgemeingültigen Ansätze diesbezüglich gibt, werden dafür zunächst ausgewählte definitorische Grundlagen zu den Begrifflichkeiten vorgestellt, um schwerpunktmäßig das Zusammenwirken sowie die Abgrenzungsmöglichkeiten des Risikocontrollings und des Risikomanagements zu verdeutlichen.

Um einen chronologischen Aufbau zu gewährleisten, dient zunächst eine kurze Vorstellung allgemein gehaltener Controlling-Konzeptionen als Ausgangspunkt. Das Controlling ist als Teil des Führungssystems in einem Unternehmen einzuordnen und soll die Unternehmensführung in erster Linie zielorientiert beraten.^[28] Folglich ist es das Ziel bzw. die Aufgabe des Controllings, die entscheidungsbefugten Individuen mit Informationen zu Planungs-, Steuerungs- und Kontrollaspekten zu versorgen, wobei primär die Existenzsicherung und sekundär die Erreichung weiterer unternehmerischer Ziele im Fokus stehen.^[29] Die Managementunterstützungsfunktion des Controllings wird neben der Informationsversorgung durch die Koordination von unternehmerischer Planung, Steuerung und Kontrolle sowie durch weitere Analyseaufgaben und der grundsätzlichen Rationalitätssicherung im Unternehmen erfüllt.^[30] Dabei sind die Einzelaufgaben des Controllers in ein Gesamtkonzept der Controlling-Abteilung einzugliedern. Innerhalb der deutschsprachigen Literatur herrscht grundsätzlich Konsens darüber, dass eine ausgewiesene Koordinationsorientierung des Controllings vorherrscht.^[31] Die Notwendigkeit dieser Koordinationsorientierung liegt in der Existenz unternehmensinterner Abhängigkeiten, also Sach- und Verhaltensinterdependenzen, begründet, die eine koordinative Abstimmung seitens des Controllings erfordern.^[32] Uneinigkeit ist in der Literatur jedoch hinsichtlich der Koordinationsdimensionen gegeben, was die eingangs erwähnten Unstimmigkeiten bzgl. der „wahren“ Controlling-Ansätze deutlich macht. So bezieht sich ein koordinationsorientierter Controlling-Ansatz auf die Koordination von Informationserzeugung- und –bereitstellung mit dem vorliegenden Informationsbedarf.^[33] Diesem Ansatz gegenüber steht die Abstimmung des Planungs- und Kontrollsystems mit dem Informationsversorgungssystem.^[34] Die Koordination des gesamten Führungssystems stellt einen weiteren koordinationsorientierten Ansatz im Rahmen der möglichen Controlling-Konzeptionen dar.^[35] Es gilt festzuhalten, dass im Rahmen dieser Arbeit die Wahrung der Koordination in Anbetracht des gesamten Führungssystems als zentrale Aufgabe des Controllings definiert ist.^[36] Durch systembildende Koordinationsaktivitäten, also der eigenverantwortlichen Entwicklung und Implementierung von Strukturen, Instrumenten und Abläufen, wird versucht, der Koordination im gesamten Führungssystem nachzukommen. Der Einsatz von systemkoppelnden Aktivitäten, der einer fallweisen Optimierung bzw. Koordination bei bereits vorliegenden Strukturen, Instrumenten und Abläufen gleichkommt, stellt eine weitere Möglichkeit der Zielerreichung dar.^[37]

Das Risikocontrolling ^[38] kann als Bestandteil des Controllings bezeichnet werden und lässt sich aus koordinationsorientierter Sicht aus den bestehenden Controlling-Ansätzen ableiten. Aufgrund der immer stärker aufkommenden Bedeutung unternehmerischer Risiken, die im nächsten Abschnitt der Arbeit bzgl. des regulatorischen Umfelds beleuchtet werden, hat sich die Relevanz des Risikocontrollings im unternehmerischen Kontext gesteigert und bezeichnet mittlerweile einen feststehenden Begriff, dem ein hoher Stellenwert in Theorie und Praxis zukommt.^[39] Das bedeutet, dass im Risikocontrolling eine koordinationsbasierte Fokussierung bzgl. der unternehmensspezifischen Risikoelemente vorherrscht.^[40] Die Unternehmensführung wird also vom Risikocontrolling bei Planungs-, Steuerungs- und Kontrollfragestellungen risiko- und zielorientiert informiert, wobei es regelmäßig – aus Sicht von Nicht-Finanzunternehmen ausschließlich – um negative Zielabweichungen bzw. Risiken i.e.S. geht.^[41] Schwerpunktmäßig geschieht dies durch die Identifikation der entsprechenden Risiken mittels adäquaten Instrumentarien, wobei wiederum systembildende sowie systemkoppelnde Risikokoordinationsmöglichkeiten unterschieden werden.^[42] Systembildende Koordination des Risikocontrollings meint hierbei wiederum die Ausarbeitung von Instrumenten und Strukturen^[43], wohingegen systemkoppelnde Koordinationsmöglichkeiten^[44] auf die Verbesserung der Zusammenarbeit bereits bestehender Strukturen abzielen.

Zusammenfassend gehört also die Versorgung des Managements mit risikoorientierten Informationen zu den Aufgaben des Risikocontrollings. Ferner beinhaltet das Anforderungsprofil die Koordination des operativen Vorgehens des Risikomanagements bzw. die Bereitstellung von Instrumenten und Methoden und ggf. die Mithilfe bei der Risikosteuerung und –überwachung.^[45]

Auch bzgl. des Risikomanagements liegen zahlreiche theoretische Definitionen und praktische Ausgestaltungsmöglichkeiten vor. Zunächst versteht sich das Risikomanagement organisatorisch als eigenständiges Managementsystem und Teil der Unternehmensführung.^[46] Dennoch bezeichnet das Risikomanagement einen weit gefassten Prozess zur Identifikation, Analyse bzw. Messung, Steuerung, Berichterstattung und Überwachung unternehmerischer Risiken, der sich über sämtliche Ebenen des Unternehmens erstreckt. Dazu gehören organisatorische Maßnahmen und Regeln zur praktischen Ausgestaltung der beschriebenen Prozessphasen sowie die entsprechenden Instrumentarien.^[47] Die phasenabhängigen Risikocontrollinginstrumente werden im dritten Kapitel der Arbeit nacheinander vorgestellt und analysiert. Aus den beschriebenen Merkmalen können – auszugsweise und zum Zwecke der Veranschaulichung – die wesentlichen Risikomanagementziele abgeleitet werden:^[48]

- Existenzsicherung des Unternehmens (Meta-Ziel), also die Deckelung der eingegangenen Risiken auf das unternehmensspezifische Risikotragfähigkeitspotenzial
- Erreichung der formulierten Unternehmensziele durch optimales Risikoverhalten, womit nicht der Ausschluss bzw. die Vermeidung von Risiken, sondern die Aufnahme von Risiken in Abhängigkeit des Risiko-Chancen-Kalküls gemeint ist
- Optimierung der vorliegenden Risikostruktur, was auf die Senkung der Risiko- bzw. Kapitalkosten abzielt, da „risikobelastete“ Unternehmen bspw. höhere Kreditzinsen bei Kreditinstituten oder höhere Prämien am Kapitalmarkt leisten müssen

Aus den beschriebenen Definitionen, Merkmalen und Zielen lassen sich in einem nächsten Schritt wiederum die zur Zielerreichung zu erfüllenden Aufgaben des Risikomanagements ableiten^[49]:

- Durchführung bzw. Anstoßen des operativen Risikomanagementprozesses, um unternehmerische Risiken fortdauernd sowie in systematischer Form zu identifizieren, bewerten, steuern und überwachen^[50]
- Maßnahmen zur Risikosteuerung und Dokumentation sowie permanente Anpassungen und Verbesserungen des Systems
- Etablierung und Sicherung eines Risikobewusstseins bzw. einer allumfassenden Risikokultur im Unternehmen mittels risikoorientierter Leitlinien sowie Handlungsempfehlungen zur Durchsetzung risikoadäquater Verhaltensformen auf allen Ebenen

Für den weiteren Verlauf der Arbeit wird für das Zusammenwirken und die Abgrenzung von Risikocontrolling und Risikomanagement die folgende zusammenfassende Auffassung vertreten. Organisatorisch ist das Risikocontrolling als Teilbereich des Controllings anzusehen, wohingegen das Risikomanagement – ebenso als Teil des Führungssystems – eigenständig zu betrachten ist.^[51] Insgesamt stehen besonders das Risikocontrolling und das –management jedoch in einem stark vernetzten und stets wechselseitigem Verhältnis.^[52] In gemeinsamer Betrachtung stehen sie folglich für den risikoorientierten Teil des Führungssystems des Unternehmens. Der Risikomanagementprozess bezeichnet den Kern des Risikomanagements und wird vom Risikomanagement verantwortet.^[53] Das bedeutet, dass das Risikomanagement von der Unternehmensführung die Verantwortung übertragen bekommt, einen laufenden, systematischen und risikoorientierten Prozess über alle Unternehmensebenen zu etablieren. Die Identifikation, Bewertung, Steuerung und Überwachung unternehmerischer Risiken bezeichnen dabei die Prozessschritte bzw. –phasen. Das Risikocontrolling unterstützt das Risikomanagement beim Risikomanagementprozess in gestaltender, koordinierender und methodischer Form. Das geschieht durch die Übernahme von konkreter Verantwortung bzgl. einzelner Prozessschritte sowie die risikobasierte Koordination der Phasen. Darüber hinaus versorgt das Risikocontrolling das Risikomanagement mit Informationen, die für einen effizienten Risikomanagementprozess essentiell sind. Außerdem werden phasenabhängige und –unabhängige Instrumente zur Verfügung gestellt. In der ersten (Risikoidentifikation) und zweiten (Risikoanalyse) Prozessphase werden Informationen und Instrumente bereitgestellt und während der letzten (Risikoüberwachung) Phase tragen vornehmlich Soll-Ist-Vergleiche und die Risikodokumentation des Risikocontrollings zur erfolgreichen Umsetzung des Risikomanagementprozesses bei.^[54] Insgesamt deckt sich die dargelegte Auffassung bzgl. des Zusammenwirkens und der Abgrenzungsmöglichkeiten in dieser Arbeit mit der Systematisierung von Burger und Buchhart, weshalb jene Systematisierung zum Abschluss dieses Teilkapitels durch eine entsprechende Abbildung veranschaulicht werden soll.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Einbindung des Risiko-Controllings in den Risiko-Management-Prozess (Quelle: Burger/Buchhart (2002): 58.)

2.3 Systematisierung regulatorischer und gesetzlicher Rahmenbedingungen

Bevor im dritten Kapitel die ausführliche Darstellung und theoretische Analyse der phasenabhängigen Instrumente des Risikocontrollings im Rahmen des Risikomanagementprozesses folgt, stellt dieses Teilkapitel die regulatorischen und gesetzlichen Rahmenbedingungen im Kontext des Risikomanagements und –controllings vor. Die Notwendigkeit der Einrichtung gesetzlicher Novellierungen mit risikoorientiertem Fokus liegt im vermehrten Auftreten von Unternehmenskrisen^[55] oder -insolvenzen der Vergangenheit begründet.^[56] Die zurückliegenden Unternehmenszusammenbrüche zeigen die schwach ausgeprägte Risikoorientierung der Unternehmen in der Vergangenheit und führten zu Initiativen nationaler und internationaler Gesetzgeber. Um einen chronologischen Aufbau zu gewährleisten, werden die eingeführten regulatorischen Rahmenbedingungen in Abhängigkeit ihres zeitlichen Inkrafttretens vorgestellt. Beginnend mit dem deutschen Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Jahre 1998, über das amerikanische Bundesgesetz Sarbanes-Oxley-Act (SOX), welches im Jahre 2002 in Kraft getreten ist, bis hin zum Deutschen Corporate Governance Kodex (DCGK), der erstmals im Jahre 2002 veröffentlicht und bis heute mehrfach überarbeitet wurde.^[57]

Bis zum Inkrafttreten des KonTraG am 01.05.1998 lagen gesetzliche Vorschriften zum Umgang mit Risiken in deutschen Unternehmen lediglich in rudimentärer Form vor.^[58] Das KonTraG steht jedoch nicht als eigenständige Rechtsnorm dar, sondern zeichnet sich durch die Anpassung bzw. Überholung bestehender Gesetze aus.^[59] Das übergeordnete Ziel der Regierung bestand darin, die Konsequenzen unternehmerischer Fehlentscheidungen in Form von bestandsgefährdenden Unternehmensentwicklungen präsenter sowie besser messbar zu machen. Diese Präsenz und Messbarkeit der Risiken soll in der Unternehmenspraxis dazu führen, dass sie in konsequenterer Art und Weise vorhersehbar und somit vermeidbar gemacht werden können. Im Umkehrschluss zielt die Regierung mit der Einführung des KonTraG auf eine Verbesserung der Führungs- und Kontrollinstanzen und somit auf eine verstärkte Shareholder-Orientierung von GmbHs und AGs ab.^[60] Mit jener Zieldefinition werden drei elementare Aufgaben erfüllt^[61]:

- Konkretisierung der Vorstandspflichten
- Transparenzerhöhung sowie Effizienzsteigerung der Aufsichtsratstätigkeiten
- Intensivierung des Zusammenwirkens von Aufsichtsrat und externem Abschlussprüfer

Die wichtigste Vorschrift findet sich in §91, Abs. 2 AktG wieder, da der Vorstand in die Pflicht genommen wird, ein Risikomanagement- sowie Frühwarnsystem einzurichten. Explizit fordert der Gesetzgeber gem. §91 Abs. 2 AktG dabei von der Unternehmensführung, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ Obwohl sich der Gesetzgeber in vergleichsweise enger Form auf ein „Überwachungssystem“ bezieht, herrscht in der Literatur die Meinung vor, dass es sich um ein integriertes Führungssystem aus mehreren Bestandteilen wie bspw. dem Risikomanagement, einem inkludierten Frühwarnsystem sowie Überwachungsmechanismen und dem Risikocontrolling handelt.^[62] In relativ weit gefasster Form geht der Gesetzgeber im Rahmen des §91, Abs. 2 AktG auf die „geeigneten Maßnahmen “ ein und weicht Vorgaben oder Empfehlungen zur konkreten Ausgestaltung des einzurichtenden „Überwachungssystems“ aus.^[63] Das IDW konkretisiert diesbezüglich jedoch, indem es folgende Ausgestaltungshilfen formuliert^[64]:

- Bestimmung der Risikofelder
- Durchführung von Risikoidentifikation, -bewertung und -dokumentation
- Sachliche und personelle Einteilung der Zuständigkeiten
- Implementierung eines Überwachungssystems
- Dokumentation der durchgeführten Maßnahmen bzw. Prozessschritte

Folglich sind die zu treffenden Maßnahmen in der Unternehmenspraxis nicht nur auf bestandsgefährdende Unternehmensentwicklungen ausgerichtet, sondern beziehen bspw. auch fehlerhafte Buchführungsaktivitäten, jegliche Formen von Gesetzesübertretungen und somit sämtliche risikobehafteten Unternehmenshandlungen mit potentiell negativen Auswirkungen mit ein. Ein weiterer wesentlicher Bestandteil des KonTraG ist in §289 HGB geregelt und bezieht sich auf die Einführung eines risikoorientierten Lageberichts.^[65] Das vorherrschende Ziel dessen bezieht sich im Sinne der verstärkten Shareholder-Orientierung auf eine vermehrte Risikooffenlegung, sodass sich die zukünftigen Risikoerwartungen der Adressaten des risikoorientierten Lageberichts idealerweise mit den tatsächlich vorliegenden Risikopositionen decken. Inhaltlich müssen sämtliche Risiken bzgl. möglicher Bestandsgefährdungen sowie sämtliche Risikoaspekte, die die Vermögens-, Finanz- und Ertragslage des Unternehmens betreffen, abgedeckt sein.^[66] Die folgende Abbildung fasst die gesetzlichen Novellierungen, die im Rahmen des KonTraG veröffentlicht wurden und im Sinne dieser Arbeit relevant sind, zusammen:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Gesetzesänderungen im Hinblick auf das Risikomanagement- und Überwachungssystem (Quelle: Fiege (2006): 30.)

Weitere Bestandteile des KonTraG setzen sich mit der Verbesserung bzw. Ausweitung der Jahresabschlussprüfung sowie der Neugestaltung der Aufsichtsratsarbeit auseinander.^[67]

Auch der US-amerikanische Gesetzgeber hat sich mit Gesetzesinitiativen zum Umgang mit unternehmerischen Risiken bzw. zur Etablierung des Risikomanagements und –controllings auseinandergesetzt. Diese gedankliche Auseinandersetzung mündete schließlich im SOX, einem im Juli 2002 vom US-Kongress veröffentlichtem Gesetz. Wie schon beim KonTraG, liegt die Veröffentlichung in der vorherrschenden Unsicherheit der Investoren begründet und zeichnet sich durch die Weiterentwicklung bestehender Gesetze aus.^[68] Das Hauptaugenmerk bzgl. der Zielsetzung liegt auf der Schaffung von Vertrauen und Transparenz sowie der Steigerung des Anlegerschutzes und weist somit ebenfalls Überschneidungen zu den Initiativen des KonTraG auf.^[69] Diese Ziele sollen durch die Einführung von internen Kontrollen, entsprechender Dokumentation und erweiterten Offenlegungsvorschriften erreicht werden. Besonders im Fokus stehen risikobasierte Aspekte und die Generierung sowie Publizierung richtiger und vollständiger Informationen hinsichtlich der Finanzberichterstattung.^[70] Grundsätzlich lässt sich der Geltungsbereich der SOX-Regelungen auf amerikanische Unternehmen mit heimischer Börsennotierung sowie auf ausländische Unternehmen mit US-Börsennotierung beschränken.^[71] Das Gesetz besteht aus insgesamt elf Abschnitten bzw. Sections, wobei in dieser Arbeit ausschließlich einzelne Teilbereiche der Sections drei und vier Relevanz besitzen.^[72] In Section 301 sind bspw. die Aufgaben und die Anforderungen an die personelle Zusammensetzung des unternehmensinternen Prüfungsausschusses geregelt. Der interne Prüfungsausschuss soll die Buchführung und zusätzlich die Jahresabschlussprüfung kontrollieren und somit das Vertrauen der Anteilseigner durch die Weitergabe vollständiger und richtiger Informationen bzgl. der Finanzberichterstattung stärken. Section 302 unterstützt dies, da die Unternehmensführung^[73] zur Abgabe einer eidesstattlichen Beglaubigung verpflichtet wird, in der zu erklären ist, dass die veröffentlichten Informationen den tatsächlichen Verhältnissen des Unternehmens entsprechen. Der vierte Abschnitt bzw. Section 404 zielt auf die Einrichtung eines internen Kontrollsystems ab. Die Wirksamkeit dieses internen Kontrollsystems ist einerseits durch die Unternehmensführung nachzuweisen und andererseits vom Abschlussprüfer zu verifizieren.^[74] Das interne Kontrollsystem im Sinne der SOX-Regelungen wird regelmäßig als elementarer Bestandteil des Risikomanagementsystems verstanden und weist Gemeinsamkeiten zum internen Überwachungssystem nach KonTraG auf.^[75] Schließlich definieren die SOX-Regelungen den Code of Ethics, also Verhaltensregeln, durch die dolose Handlungen im Unternehmen minimiert werden sollen.^[76]

Der DCGK wurde erstmals am 26.02.2002 von der Regierungskommission Deutscher Corporate Governance Kodex veröffentlicht und verfolgt das Ziel, die Grundsätze der guten Unternehmensführung in Deutschland zu verbessern. Dabei wird Corporate Governance regelmäßig als faktischer und rechtlicher Ordnungsrahmen von Unternehmen bezeichnet, der dafür Sorge trägt, dass eine gute und ordnungsgemäße Unternehmensleitung, -kontrolle sowie -überwachung im Sinne aller Share- und Stakeholder durchgesetzt wird.^[77] Der entsprechende Kodex soll dazu beitragen, das Zutrauen jeglicher Anspruchsgruppen eines Unternehmens in das Führungssystem deutscher börsennotierter Aktiengesellschaften zu stärken. Dafür hat die Regierungskommission Regeln^[78] entworfen, die sich mit den Rechten und Pflichten der Leitungs- und Kontrollorgane sowie der Eigenkapitalgeber auseinandersetzen.^[79] Nach der Präambel, die den grundsätzlichen Aufbau sowie die Zielsetzung beleuchtet, werden im zweiten Abschnitt des Kodex Regelungen zu den Aktionären und der Hauptversammlung vorgestellt. Das dritte Kapitel beschreibt das Zusammenwirken von Vorstand und Aufsichtsrat. Risikomanagement und Risikocontrolling, welche im Fokus dieser Arbeit stehen, werden in Ziffer 4.1.4 aufgegriffen, indem die Bedeutung der Begrifflichkeiten veranschaulicht und die diesbezüglichen Verantwortlichkeiten des Vorstandes determiniert werden.^[80] Es wird in diesem Rahmen explizit von der Pflicht des Vorstandes zur Einrichtung eines adäquaten Risikomanagements und Risikocontrollings gesprochen.^[81] Im fünften Kapitel werden Aufgaben, Rechte und Pflichten des Aufsichtsrats behandelt. Transparenzgesichtspunkte stehen im vorletzten Kapitel und die Rechnungslegung sowie die Abschlussprüfung im letzten Kapitel im Fokus. Die regelmäßigen Aktualisierungen seitens der Regierungskommission zeigen, dass es unerlässlich ist, den Kodex an die sich ständig ändernden Bedingungen im Unternehmensumfeld anzupassen.^[82]

Zusammenfassend lässt sich zu den vorgestellten Rahmenbedingungen festhalten, dass es sich lediglich um Mindestanforderungen – seitens der Gesetzgeber bzw. weiterer regulatorischer Organe – hinsichtlich der Einrichtung von Risikomanagement- und Risikocontrollingkonzeptionen handelt. Betroffene Unternehmen müssen sich mit der konkreten Ausgestaltung effizienter Systeme auseinandersetzen, die spezifisch an die Unternehmens- und Risikogegebenheiten angepasst ist. Dies stellt keinesfalls eine triviale Aufgabe dar, sondern erfordert regelmäßig komplexe bzw. koordinative Abstimmungsaktivitäten im Unternehmen.

3 Kritische Analyse phasenabhängiger Instrumente des Risikocontrollings

Das Risikocontrolling unterstützt den Risikomanagementprozess unter anderem durch die Bereitstellung risikospezifischer Instrumente, die entweder phasenabhängig oder phasenunabhängig in den Risikomanagementprozess eingegliedert sein können. Im folgenden Abschnitt dieser Arbeit werden ausgewählte phasenspezifische Instrumente des Risikocontrollings vorgestellt und hinsichtlich ihres Wirkungsgrades analysiert. Dabei wird der Chronologie des Risikomanagementprozesses gefolgt, indem zunächst Risikoidentifikationsinstrumente, gefolgt von Risikoanalyseinstrumenten und schließlich Aspekte bzgl. der Risikodokumentation und -steuerung kritisch beleuchtet werden.^[83] Auf die Darstellung und Analyse phasenunabhängiger Instrumente des Risikocontrollings im Rahmen des kontinuierlichen Risikomanagementprozesses wird verzichtet, um eine stringente Analyseabfolge zu gewährleisten, die schwerpunktmäßig in einer empirischen Analyse des Value-at-Risk orientierten Risikocontrollings mündet.^[84] Phasenabhängige Risikocontrollinginstrumente tragen in koordinierender Form zur unternehmensweiten Systematisierung und Behandlung von Risiken bei.^[85] In Abhängigkeit der Prozessphasen werden die Instrumente so koordiniert, dass ein dem Risikotragfähigkeitspotenzial entsprechender Risikoumgang gewährleistet wird. Durch die Identifikation, Bewertung und Dokumentation der Risiken kann das Risikocontrolling im Zusammenspiel mit dem Risikomanagement die Unternehmensführung risikoorientiert informieren und beraten. Somit können Risiken zielgerichtet gesteuert und Entscheidungen im Sinne des gesamten Unternehmens abgestimmt und getroffen werden.

3.1 Risikoidentifikationsinstrumente

Definitorisch geht es bei der Risikoidentifikation bzw. –erkennung um die Erfassung risikobehafteter Unternehmensaspekte, die ggf. zu Zielabweichungen in der Zukunft führen.^[86] Das Ziel ist folglich die Identifikation sämtlicher Risikopositionen sowie der Interdependenzen zwischen den Einzelpositionen. Im Rahmen des gesamten Risikomanagementprozesses stellt die Risikoerkennung den ersten Prozessschritt dar, wobei die Qualität dieses Teilprozesses maßgeblich für den weiteren Verlauf des Risikomanagementprozesses ist.^[87] Zu den theoretischen Anforderungen an die Risikoidentifikation gehören:^[88]

- Vollständigkeit, womit der Einbezug aller existenten sowie die Berücksichtigung ggf. zukünftig auftretender Risiken gemeint ist
- Wirtschaftlichkeit meint, dass die Kosten bzw. der Aufwand (zeitliche sowie personelle Ressourcennutzung) der Risikoerkennung kleiner als der Nutzen der Risikoerfassung sein sollten
- Systematik bedeutet, dass ein systematischer sowie kontinuierlicher Identifikationsprozess implementiert werden sollte

Die Risikoidentifikation bezeichnet folglich das Fundament des Risikomanagementprozesses, wobei der Ausgangspunkt des Identifikationsprozesses wiederum in der Formulierung eines unternehmensspezifischen Risikokataloges bzw. –profils liegt.^[89] Regelmäßig geht mit der Identifikation von Risiken auch eine erste Einschätzung bzw. Bewertung der erfassten Risiken einher, die sich in diesem Kontext bspw. auf den zeitlichen Horizont (kurz- oder langfristig), das geschätzte Risikoausmaß oder auf Abhängigkeiten zu weiteren existenten Risikopositionen bezieht.^[90] Nachfolgend werden ausgewählte Instrumente^[91] bzw. Methoden der Risikoidentifikation vorgestellt, die sich bzgl. der Systematik, der Aggregation, der Vorgehensweise, der Informationsquelle und der Verarbeitungsmethode der generierten Informationen gliedern lassen.^[92] Zusätzlich lassen sich die Instrumente hinsichtlich des Erfüllungsgrades der beschriebenen Anforderungen analysieren. Eine der Basismethoden der risikoorientierten Informationsgenerierung ist die Besichtigungsanalyse. Dabei werden risikobehaftete Unternehmensbereiche vor Ort inspiziert, um innerbetriebliche Risiken in unsystematischer Form aufzudecken.^[93] Bezüglich der Wirtschaftlichkeit sind Besichtigungen als vergleichsweise zeitaufwändig einzustufen und darüber hinaus weisen sie Schwächen bzgl. der Vollständigkeit auf, da sie sich auf optisch erkennbare und zumeist technische Risiken beschränken.^[94] Regelmäßig wird in der Praxis auf unsystematische Kreativitätstechniken wie das Brainstorming zurückgegriffen, um neuartige Risiken zu identifizieren.^[95] Es geht dabei um intuitiv-kreative Diskussionen in einer Gruppe bzw. einer Abteilung, wobei auf eine bestimmte Größe, Dynamik und personelle Heterogenität der Gruppe zu achten ist.^[96] Während der Generierungsphase ist die Quantität der Vorschläge zunächst vor die Qualität zu stellen, da die Vorschläge in der anschließenden Bewertungsphase des Brainstormings systematisiert und bewertet werden. Bei entsprechender Berücksichtigung der Gruppenmerkmale sowie regelmäßiger Durchführung von Brainstormings können auf unsystematische bzw. kreative Art und Weise interne und externe Unternehmensrisiken identifiziert werden. Somit kann im Sinne der Vollständigkeit ein Mehrwert für das Unternehmen geschaffen werden. Nachteilig muss jedoch erwähnt werden, dass die Kriterien zur optimalen Gruppengestaltung i.d.R. nicht gegeben sind, was sich negativ auf die Ergebnisse auswirkt.^[97] Je nach Ausgestaltung und Gruppenzusammensetzung kann das Brainstorming ein zeitaufwändiges und ineffizientes, aber auch ein schlankes und effizientes Risikoidentifikationsinstrument darstellen. Als gängiges^[98] Kollektionsinstrumentarium werden Risikochecklisten bezeichnet, da sie vornehmlich Einzelrisiken in systematischer und progressiver Form erfassen können.^[99] Dabei werden Fragebögen an die Mitarbeiter ausgeteilt und nach der Beantwortungsphase vom Risikocontrolling ausgewertet.^[100] Inhaltlich zielen die Fragebögen bzw. Checklisten auf die Risikoherkunft, die Risikoart und auf eine erste Analyse bzw. Einschätzung möglicher Fehlentwicklungen im Zusammenhang mit den erfassten Risikopositionen ab.^[101] Bezüglich der Ausgestaltung ist jedoch stets von unternehmensindividuellen und nicht von theoretischen Grundsätzen auszugehen. Voraussetzung für die Anwendung von Risikochecklisten als Instrument der Risikoidentifikation ist, dass das Risikocontrolling die Checklisten in leicht verständlicher und einheitlicher Form konzipiert, eine flexible Handhabung möglich ist sowie dass regelmäßige Anpassungen an die spezifischen Risikoverhältnisse vorgenommen werden können.^[102] Insgesamt zeichnet sich der Einsatz von Risikochecklisten durch eine hohe Systematik und Wirtschaftlichkeit aus, da das strukturierte Erfragen von möglichen Unternehmensrisiken einen hohen informativen Nutzen in Relation zu den Kosten mitbringt. Jedoch eignen sich jene Fragebögen weniger zur Identifikation neuartiger Risiken, sondern bezeichnen – im Sinne der Vollständigkeit sowie bei regelmäßiger Aktualisierung der Fragebögen – eine sinnvolle Ergänzung zu den bereits vorgestellten Instrumenten. Aufgrund von divergierenden Kompetenz- und Hierarchielevel der befragten Mitarbeiter, müssen Subjektivitätsgesichtspunkte beim Einsatz von Brainstorming und Risikochecklisten zur Risikoidentifikation als nachteiliger Aspekt berücksichtigt werden. Auch die Analyse von Dokumenten oder anderen unternehmensinternen Unterlagen kann als Risikoidentifikationsinstrument bezeichnet werden. Risiken werden dabei ex-post erfasst, indem bspw. interne Statistiken, Verträge, Kostenrechnungsanalysen oder Organisations- bzw. Funktionsdiagramme betrachtet und analysiert werden.^[103] Inhaltlich fokussieren sich Dokumentanalysen zumeist auf organisatorische Einzelrisiken, wobei Checklisten die Auswertung aus systematischer Sicht erleichtern und regelmäßig als Grundvoraussetzung für die Anwendung von Dokumentanalysen im Rahmen der Risikoidentifikation gelten.^[104] Hinsichtlich der Vollständigkeit eignen sich Dokumentanalysen nur in geringem Maße als Instrument zur Risikoerfassung, da eine vergangenheitsorientierte Analyse interner Dokumente lediglich Rückschlüsse auf bereits dokumentierte Risikopositionen zulässt und somit externe Risikoeinflüsse ausgeschlossen werden. Außerdem ist der gesamte Prozess sehr zeitaufwändig und erfordert einen vergleichsweise hohen personellen Ressourceneinsatz, weshalb die Wirtschaftlichkeit jenes Instruments als gering einzustufen ist. Ebenso können Experten- sowie Mitarbeiterbefragungen zur Aufdeckung interner und externer Risiken beitragen. Die Delphi-Methode bezeichnet ein systematisches Befragungsverfahren, wobei die Einschätzungen von externen Experten kombiniert und verdichtet werden, um zukünftige (risikoorientierte) Entwicklungen zu prognostizieren.^[105] Dabei wird eine Expertengruppe bestimmt und es erfolgt eine thematische Einordnung in das externe Risikofeld. Anschließend geben die Experten Prognosen mittels eines Fragebogens ab. Die Ergebnisse werden zusammengefasst, ausgewertet und von Seiten der Experten besprochen, bis schließlich ein konvergentes Ergebnis präsentiert werden kann.^[106] Interne Mitarbeiterbefragungen helfen hingegen bei der Identifikation interner Risiken. Wichtig hierbei ist die Einbindung jeglicher Mitarbeiter (mittels Interviews, Workshops oder Risikoidentifikationsbögen) mit Risikobezug, um möglichst viele Risiken zu erfassen, die in weiteren Schritten aggregiert und behandelt werden können.^[107] Sowohl Experten- als auch Mitarbeiterbefragungen werden bei entsprechender Ausgestaltung und Dokumentation als systematische Instrumente angesehen. Im Zusammenspiel können sowohl interne als auch externe Risiken erfasst werden, wobei auch neuartige Risikopositionen identifiziert werden. Dies wird aus Vollständigkeitsgesichtspunkten als vorteilhaft bewertet. Zwar sind beide Methoden vergleichsweise zeitaufwändig und gehen mit monetärem Aufwand bzgl. der Expertenentlohnung einher, dennoch werden Wirtschaftlichkeitsaspekte erfüllt, da der Nutzen regelmäßig höher ist als die Kosten.^[108] Im Rahmen des strategischen Managements werden eine Vielzahl von Unternehmens- und Umweltanalysen durchgeführt, bei denen neben der Identifikation strategischer Nischen sowie der Erstellung langfristiger Unternehmenspläne regelmäßig Chancen- und Risikopotenziale aufgedeckt werden.^[109] Nachfolgend wird die SWOT-Analyse als beispielhaftes Risikoidentifikationsinstrument vorgestellt und analysiert.^[110] Durch die Analyse des Unternehmens werden die jeweiligen Stärken (Strengths) und Schwächen (Weaknesses) ermittelt, wohingegen Umweltanalysen^[111] die Chancen (Opportunities) und Risiken (Threats) im entsprechenden Unternehmensumfeld erfassen.^[112] Die ermittelten Parameter werden nach ausführlicher interner Bewertung in der SWOT-Matrix visualisiert, um anhand dessen Zukunftsstrategien zu entwickeln. Hinsichtlich der Risikoidentifikation ist negativ anzumerken, dass die beschriebenen Analysen in vergleichsweise subjektiver Form erfolgen und die identifizierten Risiken stets kontextspezifisch betrachtet werden müssen.^[113] SWOT-Analysen stellen dennoch ein geeignetes und systematisches Werkzeug zur Identifikation von Risiken dar, weil die Ergebnisse verschiedener Analysen vereint und visualisiert werden. Jedoch erfüllen sie weder Vollständigkeits- noch Wirtschaftlichkeitsanforderungen, da sie sich zwar auf die Identifikation interner und externer Risiken verstehen, jedoch auf die Aufdeckung langfristiger bzw. strategischer Risikopositionen beschränkt sind und sowohl zeitaufwändig als auch personalintensiv sind. Aufgrund von unvorhergesehenen negativen Unternehmensentwicklungen, die aus der verspäteten Identifikation der Risikoherde resultieren, sind Früherkennungssysteme notwendige Informations- und Risikoerfassungssysteme. Dafür werden interne und externe Umgebungsfaktoren abgegrenzt und risikoorientierte Zielgrößen definiert, damit die potentiellen Konsequenzen eingeschätzt werden können.^[114] Die Absicht von Früherkennungssystemen ist folglich die frühzeitige Identifikation von Unternehmensrisiken, um einen zeitlichen Vorsprung im Hinblick auf die Ausgestaltung von Gegensteuerungsmaßnahmen zu gewinnen. Im Rahmen dieser Arbeit wird zwischen den Oberbegriffen Frühwarnung, Früherkennung und Frühaufklärung unterschieden. Frühwarnsysteme beschränken sich bzgl. des Umfangs auf die Erfassung von Risiken, wohingegen Früherkennungssysteme ebenso die Chancenidentifikation miteinschließen und Frühaufklärungssysteme beziehen sich zugleich auf einzuleitende Maßnahmen, die sich an die Risikoidentifikation anschließen.^[115] Frühwarnsysteme (1. Generation) haben einen kurzfristigen bzw. operativen Horizont und konzentrieren sich auf Kennzahlen des Rechnungswesens (bspw. Rentabilität oder Cash Flow) und Prognoseverfahren. Anhand von Abweichungsanalysen werden kurzfristige finanzielle Risiken identifiziert, wobei die Frühwarnung bei der Überschreitung von festgelegten Grenzwerten ausgelöst wird.^[116] Nachteilig ist hierbei, dass lediglich ein grundsätzlicher Überblick ohne die Gewährung eines zeitlichen Vorsprungs bzw. ohne den Einbezug von Umweltzusammenhängen oder Ursachenbeleuchtung vermittelt wird. Früherkennungssysteme (2. Generation) betrachten hingegen einen mittelfristigen Horizont, beziehen interne und externe Faktoren der Risikoidentifikation ein und befassen sich mit Frühwarnindikatoren.^[117] Zunächst müssen jene Indikatoren anhand von Kausalketten ermittelt werden, um risikoorientierte Faktoren und Ereignisse zu determinieren, die zukünftig einen maßgeblichen Einfluss auf die Erreichung bestimmter Unternehmensziele haben können.^[118] Anschließend werden kritische Schwellenwerte für die Risikoindikatoren bestimmt und personelle Zuständigkeiten abgesteckt, die sich auf die Indikatorüberwachung sowie die Weiterleitung von Indikatorwarnungen beziehen. Einen langfristigen bzw. strategischen Horizont haben Frühaufklärungssysteme (3. Generation). Basis derer stellen Zukunfts- bzw. Trendforschungen dar, wobei die Identifikation von ggf. risikobehafteten zukünftigen Entwicklungen im Unternehmensumfeld untersucht wird.^[119] Das übergeordnete Ziel von Frühaufklärungssystemen ist die frühzeitige Einordnung von Chancen und Risiken sowie die strategische Entwicklung von Gegensteuerungsmaßnahmen anhand von schwachen Signalen.^[120] Schwache Signale sind durch unscharfe, unstrukturierte und rein qualitative Informationen gekennzeichnet. Dieses Konzept meint, dass wesentliche Änderungen der Strukturen bzw. des unternehmerischen Umfelds nicht gänzlich unerwartet vonstattengehen, sondern anhand von schwachen Signale frühzeitig erkannt werden.^[121] Das Zusammenwirken der vorgestellten Früherkennungssyteme weist insgesamt eine hohe Systematik auf, da Kennzahlen, Indikatoren und schwache Signale berücksichtigt werden. Ferner werden Vollständigkeitskriterien erfüllt, da sowohl kurzfristige als auch langfristige Horizonte betrachtet werden und neben der Identifizierung interner Risiken neuartige Risiken im Mittelpunkt stehen. Wirtschaftlichkeitsaspekte können lediglich in Abhängigkeit der konkreten Ausgestaltung der Systeme bewertet werden, wobei grundsätzlich von einem hohen Nutzen, zugleich jedoch von einem hohen Zeitaufwand ausgegangen wird. Geht es bei der Risikoerfassung um technische Aspekte bzw. Abläufe, so werden in der Unternehmenspraxis regelmäßig Prozess- und Systemanalysen verwendet. Dazu zählen bspw. die Fehler-Möglichkeits- und Einflussanalyse, die Fehlerbaumanalyse und die Störfallanalyse.^[122] Erstere zerlegt ein technisches System – dem progressiven Bottom-Up-Ansatz folgend – in seine Einzelkomponenten, untersucht mögliche Fehlerquellen zu den separierten Komponenten und fasst schließlich die potentiellen Konsequenzen mitsamt den entsprechenden Eintrittswahrscheinlichkeiten für das gesamte System zusammen.^[123] Die Fehlerbaumanalyse hingegen verfolgt einen retrograden Top-Down-Ansatz und analysiert – ausgehend von den Auswirkungen eines technischen Defekts – die Ursachen.^[124] Die Störfallanalyse verfolgt einen ähnlichen Ansatz, da mögliche Abweichungen von definierten Zielen – ausgehend von ggf. eintretenden Störfällen – hinsichtlich ihrer Ursache sowie Wechselwirkungen zu weiteren technischen Störungen betrachtet werden. Aufgrund des vorausgesetzten technischen Know-Hows, das maßgeblich für die Anwendung dieser Methoden ist, wird auf eine weiterführende Vorstellung von Prozess- und Systemanalysen verzichtet und auf die einschlägige Literatur verwiesen.^[125] Insgesamt eignen sich Prozess- und Systemanalysen aufgrund ihrer systematischen Vorgehensweise, also hinsichtlich der Zerlegung des Gesamtprozesses in einzelne Schritte, zur Erfassung von Risiken. Nachteilig ist jedoch, dass Vollständigkeitsaspekte bei alleiniger Anwendung jener Methoden nicht vollends erfüllt werden, da sich ihre Analysefähigkeit auf interne technische Risiken beschränkt. Das vorausgesetzte technische Wissen bzw. die Komplexität erfordern aus Wirtschaftlichkeitsgesichtspunkten zudem ein hohes Maß an zeitaufwändiger Auseinandersetzung und Koordination. Nach der Identifikation der Risikopositionen erfolgt regelmäßig die Erstellung einer Risikoinventarliste. die zumeist jährlich erstellt wird und die Risiken in aufbereiteter^[126] und komprimierter Form zusammenfasst. Somit stellt sie die Grundlage für die anschließende Risikoanalyse dar.^[127] Obgleich die dargestellten Instrumente Schwächen bzgl. ihrer Wirksamkeit vorweisen, kennzeichnet sie grundsätzlich eine gewisse Systematik. Demgemäß sind sie maßgeblich von der praktischen Ausgestaltung im Unternehmen abhängig und sollten nicht nur anhand von theoretischen Kriterien bewertet werden. Weniger systematisch sind lediglich Besichtigungen und das Brainstorming. Zur Vollständigkeit lässt sich evaluieren, dass nur bei Mitarbeiter- und Expertenbefragungen sowie bei Früherkennungssystemen die Erfassung neuartiger externer Risiken im Fokus stehen. Die nachfolgende Abbildung fasst die Anforderungserfüllung der dargestellten Instrumente in subjektiver Form zusammen und lässt im Ergebnis darauf schließen, dass eine Kombination^[128] der Instrumente effizient ist.

[...]

---

^[1] Mark Zuckerberg, CEO des Unternehmens Facebook, führte diesbezüglich an, dass das größte Risiko in der Vermeidung der Aufnahme von Risiken stecke. In einer sich ständig verändernden Welt sei die einzige Strategie, die unter Garantie scheitert, in der Risikovermeidung begründet. Vgl. Beahm (2012): 108.

^[2] Vgl. Kalwait et al. (2008): 24.

^[3] Der Terminus wird seit dem 16. Jahrhundert verwendet und stammt aus dem kaufmännischen Bereich. Vgl. Cottin/Döhler (2013): 1.

^[4] Vgl. Form (2004): 18.

^[5] Für eine umfangreichere Übersicht über die Vielzahl der existenten Risikodefinitionen vgl. Brühwiler (2011): 22f.

^[6] Vgl. IDW (1999): 658.

^[7] Vgl. DRSC (2000): 9.

^[8] Da laut der abgeleiteten Risikodefinition des KonTraG eine Gefährdung des Fortbestands der Unternehmung wesentlich für die Bestimmung des Risikos ist, werden anderweitige negative Unternehmensentwicklungen nicht unter den Risikobegriff gefasst. Vgl. Form (2004): 19.

^[9] Vgl. IGC (2010): 225.

^[10] In der einschlägigen Literatur wird das symmetrische Risiko auch als spekulatives Risiko und asymmetrisches Risiko als reines Risiko bezeichnet. Vgl. Form (2004): 24. Aus kapitalmarkttheoretischer Sicht kann die Streuung bzw. Volatilität von zukünftigen Erwartungswerten als symmetrisches Risiko angesehen werden, da positive und negative Abweichungen möglich sind, wohingegen sich asymmetrische Risiken, wie bspw. der Kursrückgang einer Aktie, ausschließlich auf negative Entwicklungen beziehen. Vgl. Markowitz (1952): 78f.

^[11] Risiko i.w.S vereint also sowohl positive als auch negative Zielabweichungen, wohingegen sich das Risiko i.e.S. auf negative Abweichungsmöglichkeiten beschränkt. Vgl. Selch (2000): 362.

^[12] Vgl. Oetzel (2007):41.

^[13] Vgl. Burger/Buchhart (2002): 1f.

^[14] Vgl. Burger/Buchhart (2002): 2.

^[15] Grundsätzlich kann man in diesem Kontext jedoch nicht von klaren Grenzen zwischen den beschriebenen Situationen sprechen, da diverse Mischformen – bspw. durch getroffene Annahmen zur Eintrittswahrscheinlichkeit der Umweltzustände – existieren. Vgl. Bamberg/Coenenberg/Krapp (2012): 115f.

^[16] Die Risikosystematisierung der BaFin wurde im Rahmen der Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlicht. Vgl. BaFin (2012): 5.

^[17] Die Risikosystematisierung der BIS wurde im Rahmen der Baseler Regelungen veröffentlicht. Vgl. Bank for International Settlements (2005): 7f.

^[18] Vgl. Fricke (2006): 10.

^[19] Von diesen Marktrisiken sind nicht nur Banken, sondern alle Unternehmen betroffen, die Finanzinstrumente halten. Vgl. Scherpereel (2005): 12

^[20] Vgl. J.P. Morgan/Reuters (1996): 17.

^[21] In dieser Arbeit werden die weiteren Systematisierungsmöglichkeiten jedoch vernachlässigt. Siehe dazu Pfohl (2002): 11f.

^[22] Vgl. Reichmann (2011): 623.

^[23] Vgl. Diederichs (2012): 18.

^[24] Vgl. Reichmann (2011): 624.

^[25] Vgl. Diederichs/Form/Reichmann (2004): 191.

^[26] Das liegt unter anderem daran, dass viele Unternehmen in der Praxis die Begrifflichkeiten Risikomanagement und Risikocontrolling synonym verwenden. Vgl. Hoitsch/Winter/Baumann (2006): 69f. Außerdem trägt der historisch begründete enge Zusammenhang der Begriffe zur verwässerten Abgrenzungsform der Begriffe bei.

^[27] Diese Diskussion geht in der betriebswirtschaftlichen Literatur so weit, dass auch unter führenden Akademikern/Lehrenden (Péter Horváth & Hans-Ulrich Küpper) Uneinigkeit hinsichtlich verschiedener Controlling-Ansätze herrscht. Vgl. Horváth (2011): 132.

^[28] Diese zielorientierte Beratung zielt auf die Effektivität und Effizienz zukünftiger Entscheidungen ab. Vgl. Horváth/Gleich/Seifer (2015): 13.

^[29] Vgl. Liessmann (1999): 63.

^[30] Weitere Analyseaufgaben meinen beispielsweise ad-hoc-Analysen, die durch unvorhergesehene Unternehmensentwicklungen kurzfristige Relevanz entwickeln. Vgl. Leonetti/Blume (2016): 255.

^[31] Vgl. Weber/Schäffer (2014): 24.

^[32] Dabei spielt bspw. die Allokation unternehmerischer Ressourcen eine große Rolle.

^[33] Vgl. Horváth (2011): 132. Koordinationsdimension nach Müller, 1974.

^[34] Vgl. Horváth (2011): 132. Koordinationsdimension nach Horváth, 1978.

^[35] Vgl. Horváth (2011): 132. Koordinationsdimension nach Küpper, 1988.

^[36] Der koordinationsorientierte Controlling-Ansatz von Küpper wird also aufgegriffen und im weiteren Verlauf der Arbeit schwerpunktmäßig behandelt.

^[37] Vgl. Weber/Schäffer (2001): 15.

^[38] Die initiale Verwendung des Begriffs stammt aus dem Bankensektor. Demnach wird das Risikocontrolling als System zur Messung und Überwachung von Risikopositionen verstanden und soll zur Analyse des vorliegenden Risikopotentials beitragen. Vgl. Rudolph/Johanning (2000): 18. Hinsichtlich der regulatorischen Gesetzmäßigkeiten bzgl. Risikomanagement und Risikocontrolling haben Finanz- und Nicht-Finanzunternehmen unterschiedliche Sichtweisen, da Finanzunternehmen bzgl. der qualitativen und quantitativen Anforderungen an die Implementierung von Risikomanagement und Risikocontrolling – mindestens seit den Regelungen des Basel III-Pakets – wesentlich stärker reguliert werden. Vgl. Deutsche Bundesbank (2011): 34f. Weiterhin gilt es hierbei anzumerken, dass der amerikanische Begriff „Risk Control“ nicht mit dem Risikocontrolling gleichzusetzten, da „Risk Control“ mit dem deutschen Begriff „Risikosteuerung“ zu übersetzen ist. Vgl. Winter (2007): 181.

^[39] Vgl. Lachnit/Müller (2006): 223f.

^[40] Dabei gilt es – wie bei den Controlling-Ansätzen auch – Risikointerdependenzen zu beachten. Diese können in der Existenz verschiedener Ziele von unterschiedlichen Unternehmensbereichen begründet sein. Vgl. Ewert/Wagenhofer (2014): 402.

^[41] Vgl. Winter (2007): 181. Bei Finanzunternehmen hingegen stehen regelmäßig Risiken i.w.S im Fokus des Risikocontrollings. Bei Nicht-Finanzunternehmen lässt sich die Betrachtung der Risiken i.e.S. durch die Beachtung des Vorsichts- sowie des Imparitätsprinzips erklären. Vgl. Gräfer/Scheld (2016): 20f.

^[42] Vgl. Winter (2007): 224.

^[43] In der Praxis ist die Entwicklung und Implementierung computergeschützter Informationssysteme regelmäßig Gegenstand systembildender Maßnahmen. Vgl. Horváth (2011): 109.

^[44] Es geht konkret um die Abstimmung laufender Aktivitäten hinsichtlich der vorhandenen Mittel bzw. Tools.

^[45] Vgl. Vanini (2012): 23f.

^[46] Vgl. Gleißner/Kalwait (2010): 27. Der Gesetzgeber bezeichnet das Risikomanagementsystem gem. §91 Abs. 2 als „Überwachungssystem“. Konkretisiert wird diese Auffassung durch das IDW, da das Risikomanagement als Regelungs- und Maßnahmenbündel zur Identifikation und zum Umgang unternehmerischer Risiken zusammengefasst wird. Vgl. IDW (1999): 659.

^[47] Vgl. Diederichs (2012): 14f.

^[48] Vgl. Gerpott/Hofmann (2008): 8f.

^[49] Vgl. Hornung/Reichmann/Form (2000): 158.

^[50] Außerdem ist die Schaffung einer konsequenten Organisationsstruktur mit besonderem Augenmerk auf eine klare Abstimmung der personellen Verantwortlichkeiten essentiell. Vgl. Vanini (2012): 20.

^[51] In Literatur und Praxis existieren zwei Möglichkeiten zur organisatorischen Einordnung des Risikomanagements. Einerseits als separate Abteilung und andererseits als inkludierter Bereich des Controllings, wobei es in beiden Fällen zum Teil des Führungssystems gehört. Zur ausführlichen Diskussion vgl. Oehler (2016): 101. Die Mehrheit der Unternehmen präferiert eine isolierte Einordnung in die Organisationsstruktur. Vgl. Tekathen (2015): 323f.

^[52] Vanini und Leschenko sind der Auffassung, dass die Integration (in organisatorischer, personeller, instrumenteller und technischer Form) des Risikomanagements in das Controlling Voraussetzung für eine effiziente Risikosteuerung im Unternehmen ist. Dennoch hat ihre empirische Untersuchung gezeigt, dass der Reifegrad der Integration in den meisten Unternehmen sehr gering ist. Vgl. Vanini/Leschenko (2017): 36f. Bestätigt werden diese Erkenntnisse durch ältere Studien. Bspw. von Angermüller und Gleißner. Vgl. Angermüller/Gleißner (2011): 308f.

^[53] Die Verantwortungs- und Führungsdimension erfordert im Umkehrschluss rein terminologisch die Verwendung des Begriffs „Management“ im Risikomanagement.

^[54] Lediglich die Risikosteuerung wird von der Unternehmensführung übernommen, da es um die Umsetzung der Risikopolitik in Form von Entscheidungen bzgl. der Vermeidung, Verminderung, Akzeptanz oder Überwälzung von Risiken geht.

^[55] „Unternehmenskrisen sind ungeplante und ungewollte Prozesse von begrenzter Dauer und Beeinflussbarkeit sowie mit ambivalentem Ausgang. Sie sind in der Lage, den Fortbestand der gesamten Unternehmung substanziell und nachhaltig zu gefährden oder sogar unmöglich zu machen. Dies geschieht durch die Beeinträchtigung bestimmter Ziele (dominanter Ziele), deren Gefährdung oder gar Nichterreichung gleichbedeutend ist mit einer nachhaltigen Existenzgefährdung oder Existenzvernichtung der Unternehmung als selbständig und aktiv am Wirtschaftsprozess teilnehmender Einheit mit ihren bis dahin gültigen Zweck- und Zielsetzungen.“ Krystek (1987): 6f. Eine Unternehmensinsolvenz bezeichnet hingegen den Sachverhalt, dass ein Unternehmen (Schuldner) seinen Zahlungsverpflichtungen ggü. dem Gläubiger nicht nachkommen kann.

^[56] Dabei sind besonders die Skandale von Worldcom (2002) und Enron (2001) sowie eine Vielzahl weiterer Unternehmensinsolvenzen (auf nationaler Ebene kann bspw. die Insolvenz der Schneider AG angeführt werden) in den 1990er und 2000er Jahren hervorzuheben. Vgl. Kißler (2011): 1f.

^[57] Vgl. Welge/Eulerich (2014): 114.

^[58] Vgl. Fiege (2009): 301.

^[59] In dieser Arbeit werden daher besonders ausgewählte Modernisierungen bzw. Anpassungen an neue Gegebenheiten des Aktien- sowie des Handelsrechts (AktG und HGB) im Fokus stehen.

^[60] Vgl. Hommelhoff/Mattheus (1998): 250f. Der Geltungsbereich des KonTraG umfasst Kapitalgesellschaften aus der Industrie, dem Handel und der Dienstleistungsbranche, wohingegen die Baseler Regelungen den Bankensektor und Solvency II die Versicherungsbranche im risikoorientierten Kontext regulieren.

^[61] Vgl. Müller (2007): 204.

^[62] Vgl. Bitz (2000): 237f.

^[63] Der Gesetzgeber verzichtet auf konkrete Gestaltungshilfen, da die Implementierung des geforderten risikoorientierten Systems abhängig von der Größe, der Organisationsstruktur, der Branche und einer Vielzahl weiterer unternehmensspezifischer Bedingungen ist. Vgl. Welge/Eulerich (2014). 115. Hierbei bleibt jedoch zu erwähnen, dass der Gesetzgeber den Vorstand gleichwohl mit der Zahlung von Schadensersatz belegen kann, wenn er es verpasst, adäquate Maßnahmen bzgl. der Einrichtung des Überwachungssystems einzurichten. Vgl. Gleißner (2008): 25.

^[64] Vgl. IDW PS 340 (1999): 659f. § 317, Abs. 4 HGB wurde in diesem Zuge ebenfalls reformiert, da eine risikoorientierte Abschlussprüfung im Fokus dieser Vorschrift stehen. Dabei hat der Abschlussprüfer bei börsennotierten AGs zu prüfen, ob die Unternehmensführung entsprechend effektive Maßnahmen implementiert hat.

^[65] Es ist zu beachten, dass der Lagebericht neben dem Jahresabschluss angefügt wird. Risikoorientierte Lageberichte sind von großen und mittelgroßen Kapitalgesellschaften, Mutterunternehmen, Kreditinstituten, rechnungslegungspflichtigen Unternehmen, Versicherungen und Genossenschaften zu erstellen. Vgl. IDW (1998): 654. Außerdem sind allgemeine Prinzipien der Vollständigkeit, Klarheit und Übersichtlichkeit einzuhalten sowie quantitative und qualitative Informationen mit in den risikoorientierten Lagebericht einzubeziehen. Vgl. Martin/Bär (2002): 54f.

^[66] Die Thematisierung darüber hinausgehender Risiken ist ebenso möglich. Vgl. Welge/Eulerich (2014): 116.

^[67] Dies wird in dieser Arbeit jedoch vernachlässigt. Zur näheren Erläuterung siehe Martin/Bär (2002): 57-66 und Lutter/Krieger/Verse (2014): 19f.

^[68] Vgl. Menzies (2006): 14f.

^[69] Vgl. Keitsch (2007): 21.

^[70] Vgl. Welge/Eulerich (2014): 131f.

^[71] Für nähere Informationen zu den speziellen Regelungen des Geltungsbereichs oder zu Anwendungseinschränkungen sei auf Welge/Eulreich (2014): 132. verwiesen. Ebenso sei hier erwähnt, dass die konkrete Umsetzung der SOX-Regelungen über zusätzliche Richtlinien der amerikanischen Börsenaufsicht – Securities Exchange Commision (SEC) – geregelt ist.

^[72] Das liegt daran, dass die ersten beiden Abschnitte regulatorischer Natur sind und sich die weiteren Abschnitte mit strafrechtlichen Konsequenzen bei Missachtung der Regelungen auseinandersetzen.

^[73] In diesem Kontext ist zwischen dem amerikanischem One-Tier und dem deutschen Two-Tier Board zu differenzieren. Für ausführliche Informationen siehe Salacuse (2003): 471f.

^[74] Vgl. Penert (2008): 17.

^[75] Vgl. Fiege (2006): 34f. In diesem Kontext ist es wichtig das COSO-Rahmenwerk zu erwähnen, da es die Bestandteile sowie den Aufbau des internen Kontrollsystems determiniert. Es ist ein weltweit anerkanntes – jedoch nicht verpflichtendes – Rahmenwerk zum unternehmensweiten Risikomanagementprozess, welches vier Zielkategorien, acht Komponenten und vier Organisationseinheiten zusammenfasst. Mit Hilfe des Rahmenwerks aus dem Jahr 2004 können Unternehmen ihre Risikomanagementsysteme auf ihre spezifischen Anforderungen ausrichten und etablieren. Für ausführliche Informationen siehe COSO (2004): 1-17. Für aktuelle Informationen bzgl. der Anpassungen des Rahmenwerks, in dem der Zusammenhang von Risiko, Unternehmensstrategie und Performance thematisiert wird, siehe COSO (2016): 3f.

^[76] Vgl. Volkwein (2008): 32.

^[77] Vgl. Böckli (1999): 2. Ferner wird das Controlling regelmäßig als Instrument zur Qualitätssicherung der Corporate Governance bezeichnet. Vgl. Eulerich/Mohr/Velte (2014): 58f.

^[78] Die Regelungen des Kodex haben Empfehlungscharakter und setzen sich konkret aus Anregungen, Soll-Bestimmungen sowie wenigen Muss-Bestimmungen zusammen, wobei die Muss-Bestimmungen gesetzlich durch das Transparenz- und Publizitätsgesetz (TransPuG) im HGB und AktG verankert sind. Vgl. Ringleb et al. (2008): 33.

^[79] Vgl. Welge/Eulerich (2014): 139. Die Ziele des DCGK können darüber hinaus als Dokumentations- und Transparenzverbesserung bzw. Verbesserung der Informationsbasis für Kapitalmarktteilnehmer bzgl. der Grundsätze der Corporate Governance definiert werden. Der Kodex stellt „soft law“ dar und wurde aus „Best Practice“-Grundsätzen entwickelt. Vgl. Pfitzer/Oser/Orth (2008): 17f.

^[80] Vgl. Regierungskommission DCGK (2017): 6.

^[81] Hiermit wird ein Bezug zum KonTraG geschaffen, indem inhaltlich auf das Risikomanagement und Risikocontrolling im Sinne des §91, Abs 2. AktG eingegangen wird.

^[82] So wurden im Jahr 2010 Regelungen bzgl. der Frauenquote und Konkretisierungen zu den Bedingungen zur fachlichen Kompetenz von Vorständen und Aufsichtsräten in Kodex aufgenommen. Zwei Jahre später wurden Regelungen hinsichtlich der Transparenz der Vorstands- und Aufsichtsratsvergütung hinzugefügt und 2017 kam es zu einer Erweiterung der Präambel und Ergänzungen bzgl. der besseren Beurteilung der Unternehmensgovernance durch die Stakeholder. Für weitere Informationen wird dazu auf die aktuelle Fassung des Kodex vom 07.02.2014 verwiesen. Vgl. DCGK (2017): 1-19.

^[83] Bei der Risikodokumentation und –steuerung geht es nicht um den Einsatz von Instrumenten des Risikocontrollings, daher werden jene Aspekte in komprimierter Form dargestellt, um den Fokus auf dem Instrumenteneinsatz während der Identifikations- und Bewertungsphase zu halten.

^[84] Zu den phasenunabhängigen Instrumenten zählt die Budgetierung, wobei neben der klassischen Budgetierung verschiedene Ansätze (Better, Advanced und Beyond Budgeting) unterschieden werden. Siehe dazu bspw. Pfläging (2011): 9f. Andererseits sind in diesem Kontext risikoorientierte Kennzahlensysteme zu nennen. Siehe dazu bspw. Burger/Buchhart (2002): 248-256.

^[85] Hierbei gilt es zu beachten, dass viele der Instrumente ihren Ursprung im Banken- und Versicherungswesen haben oder aus strategischen Controlling-Konzeptionen abgeleitet wurden. Vgl. Burger/Buchhart (2002): 63f. Außerdem ist eine differenzierte Betrachtung der Einsatzmöglichkeiten der Instrumente von Nöten, da diese bspw. von der Unternehmensgröße, den Geschäftsfeldern, der Risikoneigung, der Risikoeigenschaft und weiterer Eigenschaften abhängen. Ferner ist es essentiell, die genutzten Instrumente stets als Ganzes zu betrachten, da der separate Einsatz der Instrumente dem Zweck des Risikomanagementprozesses widerspricht. Dabei ist der Zusammenhang der Risikoidentifikation und –bewertung besonders herauszustellen. Vgl. Homburg/Stephan (2004): 313f.

^[86] Vgl. Vanini (2012): 125.

^[87] Vgl. Gampenrieder/Greiner (2002): 284.

^[88] Neben den genannten, gehören auch die Aktualität, die sich auf die zeitnahe Erfassung von Risiken bezieht sowie die Akzeptanz, welche auf die Mitarbeiterakzeptanz abzielt, zu den theoretischen Anforderungen der Identifikationsinstrumente. Vgl. Runzheimer/Wolf (2009): 41f. In dieser Arbeit gehören weder die Aktualität noch die Akzeptanz zu den Analyseschwerpunkten, da sie in hohem Maße von unternehmensspezifischen Faktoren abhängig sind und aus theoretischer Sicht lediglich in rudimentärer Form analysiert werden können.

^[89] Vgl. Reichmann (2011): 628. Der Katalog bzw. das Profil umfasst die unternehmensinterne Risikodefinition und eine Systematisierung. Ferner werden spezifische Risikofelder und –kategorien beschrieben und es erfolgt eine umfassende Determinierung ggf. auftretender Risiken sowie deren Ursachen. Vgl. Schneck (2010): 115.

^[90] Vgl. Vanini (2012): 126.

^[91] Für eine umfassende Übersicht über die Vielfalt der Instrumente sei auf Burger/Buchhart (2002): 67f. und Diederichs (2012): 59f. verwiesen.

^[92] Risiken können in systematischer und unsystematischer Form identifiziert werden. Ferner existieren Instrumente zur Erfassung von Einzelrisiken oder auch von aggregierten bzw. zusammenhängenden Risiken. Hinsichtlich der Methodik wird zwischen progressiven, also von der Risikoursache ausgehenden und retrograden, also von der Risikoausprägung ausgehenden Methoden differenziert. Weitere Abgrenzungskategorien ergeben sich aus internen und externen Informationsquellen bzw. aus Analyse- und Prognosemethoden.

^[93] Bspw. können Produktionshallen auf mögliche Brandrisiken untersucht werden. Vgl. Martin/Bär (2001): 20. Besichtigungsanalysen können Einzel- oder aggregierte Risiken in progressiver oder retrograder Form erfassen.

^[94] Besichtigungen dienen entweder zur Verschaffung eines Überblicks über unternehmensinterne Risiken oder tragen zur Identifikation bei, wobei sie regelmäßig durch weiterführende Identifikationsinstrumente unterstützt werden. Ebenso können Einzel- oder aggregierte Risiken in progressiver und/oder retrograder Form erfasst werden.Vgl. Mikus (2001): 20.

^[95] Dabei bezeichnet das Brainstorming einen Prozess der mündlichen Ideenfindung bzw. Diskussion, wohingegen sich das Brainwriting auf eine schriftliche Kreativitätstechnik bezieht.

^[96] Vgl. Burger/Buchhart (2002): 67-71.

^[97] Vgl. Gleißner (2008): 58.

^[98] Mehr als 75% der befragten Unternehmen arbeiten im Rahmen der Risikoidentifikation mit entsprechenden Checklisten und Fragebögen. Siehe dazu Diederichs/Reichmann (2003): 229f.

^[99] Vgl. Vanini (2012): 130.

^[100] Wichtig ist dabei, dass es sich um standardisierte Fragebögen handelt, die anhand von bereits erfassten Risiken erstellt werden. Regelmäßig geschieht dies im Anschluss an Brainstormings. Außerdem lassen sich offene und geschlossene Fragestellungen unterscheiden, wobei geschlossene Fragestellungen auszuwählende Antwortmöglichkeiten vorgeben und somit eine einfachere Auswertung sowie vergleichbarere Ergebnisse liefern.

^[101] Vgl. Ehrmann (2012): 64.

^[102] Vgl. Oetzel (2007): 198.

^[103] Vgl. Burger/Buchhart (2002): 68.

^[104] Vgl. Vanini (2012): 131.

^[105] Vgl. Thonemann (2010): 36f.

^[106] Vgl. Thonemann (2010): 37.

^[107] Mitarbeiterbefragungen spielen im Rahmen dieser Arbeit eine untergeordnete Rolle, da bereits Brainstorming und Risikochecklisten vorgestellt wurden. Ebenso wie bei den erwähnten Instrumenten, ist bei Mitarbeiterbefragungen die eingeschränkte Objektivität zu berücksichtigen. Für weitere Informationen zu Mitarbeiterbefragungen siehe Gleißner (2011): 60f.

^[108] Im BASF Konzern werden sowohl externe Experteninterviews als auch interne Teamansätze zur Identifikation von Risiken genutzt. Man vertraut also auf die Kombination von internen und externen Informationsquellen. Außerdem gilt ein unternehmensspezifischer Risikokatalog, der als (Risiko-)Checkliste genutzt wird. Vgl. BASF (2017): 111f.

^[109] Vgl. Hoeben/Lenie/Vanhoof (1999): 125f.

^[110] Auf eine ausführliche Darstellung bzgl. der Analyse und Prognose von Umwelt und Unternehmung wird in dieser Arbeit verzichtet. Siehe dazu Horváth (2011): 327f.

^[111] Umweltanalysen befassen sich bspw. mit der Analyse der Branchenstruktur und wie Unternehmen in diesem Umfeld Wertschöpfung generieren können. Vgl. Porter (2008): 78f.

^[112] Vgl. Baum/Coenenberg/Günther (2007): 74f.

^[113] Da ein Bewusstsein bzgl. des Risikos bei vielen Mitarbeitern fehlt, ist eine Einbindung sämtlicher Mitarbeiter oftmals nicht möglich. Gepaart mit einem Unternehmensbereichsdenken führt dies zu tiefgreifenden Koordinationsmaßnahmen des Risikomanagements und –controllings, um Risiken dennoch adäquat zu erfassen. Vgl. Weber/Schäffer (2014): 384f.

^[114] Vgl. Vanini (2012): 135.

^[115] Vgl. Krystek/Herzhoff (2006): 306.

^[116] Vgl. Diederichs (2012): 74f.

^[117] Vgl. Brühwiler/Romeike (2010): 48f.

^[118] Hinreichende Ursache-Wirkungs-Beziehungen müssen dabei gegeben sein. Ferner müssen ausreichende Zeitspannen zwischen dem Erreichen eines kritischen Schwellenwertes und dem tatsächlichen Risikoeintritt berücksichtigt werden. Die Dynamik jener Modelle führt dazu, dass sie kontinuierlich weiterentwickelt werden müssen, da die Qualität der Risikoidentifikation maßgeblich von der Indikatorgestaltung abhängt. Vgl. Martin/Bär (2002): 116.

^[119] Konkret geht es dabei um soziale, ökonomische, technologische oder kulturelle Entwicklungen, bei deren Identifikation bspw. das Internet, Expertendiskussionen, Fachzeitschriften oder Gesetzesänderungen dienen. Vgl. Brühwiler/Romeike (2010): 47.

^[120] Vgl. Burger/Buchhart (2002): 78f.

^[121] Vgl. Ansoff (1976): 129f. Die Anwendung des Konzeptes der schwachen Signale erfordert ein hohes Maß an innovativem Umdenken. Vgl. Romeike/Hager (2009): 276.

^[122] Vgl. Gleißner (2011): 66f.

^[123] Vgl. Vanini (2012): 141.

^[124] Zur Veranschaulichung der Fehlerbaumanalyse siehe Rosenkranz/Misslehr-Behr (2005): 161.

^[125] Ebenso wird auf die Vorstellung und Analyse von Prozess- und Wertkettenanalysen als Instrument der Risikoidentifikation verzichtet. Für eine ausführliche Analyse der Prozess- und Systemanalysen im Rahmen der Risikoidentifikation sei auf Diederichs (2012): 60-74. verwiesen.

^[126] Aufbereitung meint hier, dass die Risiken einer ersten Bewertung unterlagen, nach ihrer Relevanz sortiert und Überschneidungen zwischen den Positionen bereinigt wurden.

^[127] Vgl. Burger/Buchhart (2002): 92

^[128] Einzelne Instrumente sind nicht in der Lage eine vollständige Erfassung der Risiken zu gewährleisten, daher erfolgt regelmäßig eine integrierte Anwendung der Instrumente.