Die Umsetzung von Risikomanagementsystemen in deutschen Unternehmen. Theorie und Praxis

Inhaltsverzeichnis

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

Tabellenverzeichnis

1. Einführung
1.1. Problemstellung
1.2. Forschungsziel und Methodik
1.3. Aufbau der Arbeit

2. Theoretische Grundlagen
2.1. Risikodefinition und Risikoarten
2.1.1. Risikodefinition
2.1.2. Risikoarten
2.2. Phasen des Risikomanagementprozesses
2.2.1. Risikoidentifikation
2.2.2. Risikomessung und -Analyse
2.2.3. Risikosteuerung
2.2.4. Risikocontrolling
2.3. Regulatorische Anforderungen an das Risikomanagement
2.3.1. KonTraG
2.3.2. ISO 31000
2.3.3. DCGK
2.4. Konzeptionen und Aufgaben des Risikomanagements
2.4.1. Konzeptionen
2.4.2. Aufgaben
2.5. Risikomanagementinstrumente
2.6. Zusammenfassung

3. Komparative Analyse zur Diskrepanz zwischen der theoretischen und praktischen Umsetzung
3.1. Vorgehensweise und Methodik
3.2. Aktueller Vergleich
3.3. Analyse der Entwicklung zum Umsetzungsstand ab dem Jahr 2000
3.4. Vergleich von Groß- und Kleinunternehmen vom Jahr 2012

4. Ergebnisauswertung

5. Schlussbetrachtung
5.1. Zusammenfassung
5.2. Fazit

Abbildungsverzeichnis

Abbildung 1: Darstellung von Chance und Risiko

Abbildung 2: Der Risikomanagementprozess

Abbildung 3: Übersicht Risikomaße

Abbildung 4: Übersicht Risikostrategien

Abbildung 5: Strategien zur Verringerung der Erwartungslücke

Abbildung 6: Geforderte Bestandteile nach dem KonTraG

Abbildung 7: Grundsätze des Risikomanagements im Sinne der ISO 31000

Abbildung 8: Verteilung der untersuchten Unternehmen nach Branchen

Abbildung 9: Risikomanagementkreislauf

Abbildung 10: Methoden der Risikoidentifikation

Abbildung 11: Frequenz der Risikoidentifikation

Abbildung 12: Definition und Dokumentation von Frühwarnindikatoren

Abbildung 13: Methoden der Risikobewertung

Abbildung 14: Abschluss der Implementierung von Risikomanagementsystemen

Abbildung 15: Der Risikomanagementprozess

Tabellenverzeichnis

Tabelle 1: Funktionen des Risikomanagementsystems

Tabelle 2: Vergleich Prozessschritte des Risikomanagements

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einführung

1.1. Problemstellung

Wie schwer es heutzutage ist, sich am Markt zu behaupten und die Wettbewerbsrentabilität zu wahren sowie welche folgenschwere Konsequenzen Fehlentscheidungen nach sich ziehen können, wird uns immer wieder vor Augen geführt. Zahlreiche Unternehmenskrisen und Konkurse der jüngeren Vergangenheit haben Unternehmen dazu veranlasst, ihre unternehmerische Tätigkeit zu sensibilisieren. Daher sind die Unternehmen stets darauf bedacht, profitabel und gewinnbringend am Wettbewerbsprozess teilzunehmen, um mehr Marktanteile für sich zu beanspruchen. Dieses Unterfangen wird mit der Zeit immer anspruchsvoller. Entwicklungen wie die Globalisierung des Wettbewerbs, rasante Innovationen, der hohe internationale Wettbewerbsdruck und der zunehmende Trend zur Vernetzung von Unternehmen haben eine verschärfte Risikosituation herbeigeführt.

Als Konsequenz der zunehmenden Volatilität in vielen Märkten und der Verkürzung volkswirtschaftlicher Konjunkturzyklen wird die intelligente, risikoorientierte Steuerung eines Unternehmens über ein allumfassendes Chancen- und Risikomanagement zum entscheidenden Erfolgsfaktor. Außerdem sind Risikomanagementsysteme unabdingbare Überwachungssysteme, die einen wesentlichen Beitrag zur langfristigen Existenzsicherung sowie zur nachhaltigen Erhöhung des Unternehmenswerts leisten.

Auch im Kontext der Finanzkrise im Jahr 2008 ist das Thema Risikomanagement immer mehr in den Fokus gerückt. Diese Annahme wird durch eine Studie, welche von der SAS, dem weltweit größten Anbieter von Business-Intelligence- und Business-Analytics-Software, durchgeführt wurde, bekräftigt. Demnach sind mehr als 70% von rund 350 Führungskräften aus dem Finanzdienstleistungssektor der Meinung, dass die Auswirkungen der Finanzkrise maßgeblich mit Defiziten in den Risikomanagementsystemen zusammenhängen.¹ Eine derartige Krise darf allerdings nicht der Anlass zur Implementierung eines Risikomanagementsystems sein, eine solche Maßnahme muss als permanente Aufgabe der Geschäftsführung verstanden werden.

Eine Vielzahl an spektakulären Unternehmenskrisen hat den deutschen Gesetzgeber veranlasst, die gesetzlichen Regelungen zur Unternehmensführung und -überwachung zu reformieren. Infolgedessen wurde im Jahr 1998 das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich = KonTraG) im deutschen Bundestag verabschiedet.² Dabei handelt es sich um einen Zusatz des Aktien- und Handelsrechts, welches die Implementierung eines Frühwarnsystems, einer Controlling-Abteilung, eines internen Überwachungssystems und schließlich eines Risikomanagementsystems vorsieht. Davon betroffen sind ausschließlich börsennotierte Aktiengesellschaften. Die Vorstände müssen dafür Sorge tragen, geeignete Maßnahmen zu treffen, um den Fortbestand der Gesellschaft nicht zu gefährden. Darüber hinaus ist bei börsennotierten Aktiengesellschaften das Risikomanagementsystem Gegenstand der gesetzlichen Abschlussprüfung und muss vom Wirtschaftsprüfer im Rahmen des Prüfungsberichts separat bewertet werden.

Entgegen der neu gestalteten gesetzlichen Grundlagen wird in manchen Unternehmen Risikopotentialen zu wenig Aufmerksamkeit geschenkt. Eine Studie der Marsh GmbH hat das besorgniserregende Ergebnis hervorgebracht, dass 34% der deutschen Mittelständler ihr Risikomanagement nicht regelmäßig überprüfen.³ Zudem geht aus einer Studie von Hamel G. und Prahalad C. K. hervor, dass Entscheidungsträger nur 3% ihrer Zeit mit Risikomanagement verbringen.⁴

1.2. Forschungsziel und Methodik

Der Ausgangspunkt für die komparative Analyse ist die kompakte Darstellung eines Risikomanagementsystems auf Basis der Literatur. Erstes Untersuchungsziel dieser Arbeit ist es daher, die Einzelheiten des Risikomanagements gemäß den vorherrschenden Monografien aus den unterschiedlichsten Aspekten zu beleuchten und somit einen umfassenden Überblick zu schaffen. Im nächsten Schritt wird eine Vielzahl empirischer Studien zur Ausgestaltung und zum Umsetzungsstand deutscher Unternehmen analysiert und ausgewertet. In diesem Zusammenhang stellt die Vergleichsanalyse der Diskrepanzen zwischen der theoretischen und praktischen Umsetzung eines Risikomanagementsystems das zweite Untersuchungsziel dar. Dabei nimmt der Risikomanagementprozess einen großen Stellenwert ein. Hierzu wird eine Auswertung des aktuellen Umsetzungsstandes von Risikomanagementsystemen in deutschen Unternehmen anhand einer Dokumentenanalyse von empirischen Befragungen durchgeführt. Anknüpfend dazu wird unter Bezugnahme verschiedener empirischen Befunde eine chronologische Entwicklungsanalyse zum Umsetzungsstand der Risikomanagementsysteme ab dem Jahr 2000 durchgeführt. Zum Schluss der komparativen Analyse wird ein direkter Vergleich zwischen kleinen und mittelständischen Unternehmen und Großkonzernen vorgenommen, was das letzte Forschungsziel dieser Arbeit darstellt. Mit der Erarbeitung der Umfrageergebnisse wird die Basis für die Ergebnisauswertung zugrunde gelegt.

1.3. Aufbau der Arbeit

Diese Arbeit gliedert sich insgesamt in fünf Hauptkapiteln. Nach der Einleitung, die dem Leser die Notwendigkeit und die Brisanz von Risikomanagementsystemen offenbart, geht der zweite Teil auf die theoretischen Grundlagen eines Risikomanagements ein, um für die Folgekapitel das notwendige Basiswissen zu schaffen. Hierbei werden die Begrifflichkeiten in Bezug auf das Risiko und die unterschiedlichen Erscheinungsformen definiert. Darauf basierend werden die Phasen des Risikomanagement-Prozesses erläutert. Im Anschluss dazu werden die Anforderungen an das Risikomanagement erörtert, um die vorliegende Arbeit von der regulatorischen Perspektive zu beleuchten. Darauf aufbauend werden die wesentlichen Konzeptionen zum Risikomanagement erarbeitet. Ergänzend dazu werden praxisorientierte Risikomanagementinstrumente zur Unterstützung der Prozessschritte erarbeitet. Die theoretischen Grundzüge dieser Arbeit werden abschließend zusammenfassend dargestellt.

Nachdem die theoretischen Grundlagen zum Risikomanagement zugrunde gelegt wurden, wird der Frage nachgegangen, inwieweit die theoretische Ausgestaltung eines Risikomanagementsystems mit der aktuellen Praxis übereinstimmt. Vor diesem Hintergrund wird ein entsprechendes Analyseraster vorgelegt. Nachdem die Diskrepanzen aus dem aktuellen Vergleich erarbeitet wurden, wird eine Zeitraumbetrachtung anhand einer Analyse der Entwicklung zum Umsetzungsstand von Risikomanagementsystemen chronologisch ab dem Jahr 2000 durchgeführt. Der direkte Vergleich im darauffolgenden Abschnitt soll Auskunft darüber geben, wo die Differenzen zwischen Groß- und Kleinunternehmen im Hinblick auf die Ausgestaltung des Risikomanagements liegen. Im letzten Teil dieses Kapitels werden zusammenfassend die Vergleichsergebnisse offengelegt.

Nachdem im Kapitel drei die Ergebnisse der komparativen Analyse herausgearbeitet wurden, werden in diesem Kapitel die Analyseergebnisse als zentraler Bezugspunkt ausgewertet und interpretiert. Diese Arbeit wird mit einer Zusammenfassung und einem Fazit abgerundet.

2. Theoretische Grundlagen

2.1. Risikodefinition und Risikoarten

2.1.1. Risikodefinition

In der betriebswirtschaftlichen Literatur existieren mehrere Definitionen des Risikobegriffes. Der Terminus des Risikos stammt aus dem frühitalienischen Wort „risicare“, welcher wagen bedeutet. Der Risikobegriff wird in der vorherrschenden Literatur relativ häufig als ein möglicher Schaden bzw. potentieller Verlust einer Vermögensposition definiert, ohne dabei die möglichen Gewinne zu berücksichtigen.⁵ Dieser kommt durch die Nichterbringung von ordnungsgemäßen Leistungen zustande, welche mit jeder unternehmerischen Tätigkeit verursacht werden.⁶

Eine etwas andere Interpretationsvariante beruht auf die zukünftigen Folgen von Entscheidungen. Demnach versteht man unter dem Ausdruck Risiko die potentielle Gefahr einer Fehlentscheidung.⁷

Einen anderen Standpunkt vertritt Michael Hupe. Er führt an, dass das Risiko eine negative Diskrepanz vom Planwert einer Kennzahl darstellt, da die Risiken für alle Parteien eine potentielle Bedrohung bedeuten können. In der folgenden Abbildung wird diese Sichtweise veranschaulicht.⁸

Abbildung 1: Darstellung von Chance und Risiko

Abbildung in dieser Leseprobe nicht enthalten

Quelle: In Anlehnung an Böttcher, J., Risikodefinition, 2013, S. 43

Im Hinblick auf die Zielvereinbarung wird ein gewisser Zielwert definiert. In der vorstehenden Grafik kann man erkennen, dass bei einer negativen Abweichung vom festgesetzten Zielwert zukünftig Risiken und Gefahren einhergehen können. Eine positive Diskrepanz wird hingegen als eine Chance betrachtet.

2.1.2. Risikoarten

Risiken lassen sich nach unterschiedlichen Gesichtspunkten kategorisieren und jeweils in verschiedene Risikoarten differenzieren. So lassen sich im Hinblick auf die Hierarchieebene strategische, taktische oder operative Risiken unterscheiden. Strategische Risiken beeinflussen die Umsetzung von langfristigen, globalen Zielen und können somit eine existenzbedrohliche Unternehmenskrise herbeiführen. Taktische und operative Risiken gefährden eher die Ziele und Entscheidungen auf mittel- bis kurzfristiger Ebene in bestimmten Organisationseinheiten der Unternehmung.⁹

Ebenso lassen sich Risikoarten nach den verschiedenen Bereichen des Unternehmens differenzieren. Hierzu gehören zu den verschiedenen Erscheinungsformen Forschungs- und Entwicklungs-, Absatz-, Produktions-, Beschaffungsrisiken sowie finanzwirtschaftliche Risiken, Personalrisiken und Risiken der Unternehmensführung.¹⁰

Weiterhin können Risiken nach den Kriterien der einzusetzenden Produktionsfaktoren unterschieden werden. So kann eine Gesellschaft mit Arbeits-, Personal-, Betriebsmittel-, Werkstoff- und Kapitalrisiken konfrontiert werden. Weiterhin besteht die Gefahr von güterwirtschaftliche, finanzielle und informationelle Risiken.¹¹

Werden die Rechtsformen der Unternehmen oder nach Branchenzugehörigkeit typische Risikoarten betrachtet, kann man Personen- und Kapitalgesellschaften oder Industrie-, Handels- und Versicherungsunternehmen, Banken, Wirtschaftsprüfungsgesellschaften aufgrund ihrer unterschiedlichen Merkmale voneinander abgrenzen. Eine weitere Charakterisierung ist die Unterscheidung zwischen innerbetrieblichen und außerbetrieblichen Risiken. Ein internes Risiko liegt vor, wenn die Ursache einer Problematik im Unternehmen selbst hervorgerufen wird. Beim exogenen Risiko hingegen ist die Ursache im Unternehmensumfeld vorzufinden.¹²

Eine etwas andere Definition, deren Urheber Haller ist, führt aus, dass sogenannte Aktionsrisiken von Bedingungsrisiken unterschieden werden. Aktionsrisiken stellen die Gefahr dar, durch einen gefassten Entschluss die anvisierten Unternehmensziele nicht zu erreichen. Bedingungsrisiken resultieren Haller zufolge aus unerwarteten Änderungen der zugrunde gelegten Rahmenbedingungen.¹³ Diese Differenzierung ist jedoch kritisch zu betrachten, da die Änderungen der Bedingungen auf bewusste oder unbewusste Entscheidungen zurückzuführen ist.

Risiken lassen sich zudem nach der Mess- und damit verbundenen Kalkulierbarkeit klassifizieren. Die Systematisierung von Risiken zu unterschiedlichen Stufen kann sich nach dem Kriterium der Häufigkeit ihres Auftretens und nach der Eintrittswahrscheinlichkeit richten. Nach Phillips Auffassung werden diejenigen Risiken als messbar angesehen, für die eine objektive Eintrittswahrscheinlichkeit vorliegt. Im gegenteiligen Fall werden Risiken bei einem Vorliegen von subjektiven oder gar keinen Eintrittswahrscheinlichkeiten als nicht messbar betrachtet.¹⁴

2.2. Phasen des Risikomanagementprozesses

Die vorherrschende Literatur ist sich darüber einig, dass das Risikomanagement als ein dynamischer Prozess betrachtet werden kann. Die gängigste Systematisierung des Risikomanagement-Prozesses ist die schematische Einteilung einzelner, aufeinander aufbauender Prozessphasen. Folgende Abbildung veranschaulicht den Aufbau des Risikomanagementprozesses.

Abbildung 2: Der Risikomanagementprozess

Abbildung in dieser Leseprobe nicht enthalten

Quelle: In Anlehnung an Wolke, T., Risikomanagementprozess, 2008, S. 4

2.2.1. Risikoidentifikation

Zum Aufgabenbereich der Risikoidentifikation gehört die Lokalisierung aller für das Unternehmen relevanten Risiken. Hierfür gibt es eine Vielzahl an methodischen Vorgehensweisen, deren Anwendung von den Unternehmensbesonderheiten und den Organisationsstrukturen abhängen.¹⁵

Die Risikoidentifikation aller unternehmensspezifischen Risiken lässt sich jedoch nicht abstrahierend darstellen. Um die Verständlichkeit dennoch zu gewährleisten, werden im Folgenden einige Grundkonzepte der Risikoidentifikation thematisiert. Zu den Standardinstrumenten gehören:¹⁶

- Analyseraster
- Risikotabellen
- Interviews
- Analyse von Ablaufprozessen

Die Systematisierung von betriebswirtschaftlichen Risiken ist die entscheidende Voraussetzung, um eine Risikoidentifikation durchzuführen. Im ersten Schritt wird zunächst zwischen naturwissenschaftlichen und wirtschaftswissenschaftlichen Risiken unterschieden. Eine klare Abgrenzung ist hierbei nicht immer möglich, da oftmals die beiden genannten Risiken unmittelbar voneinander abhängen. Auf der zweiten Ebene wird eine Unterscheidung in betriebswirtschaftliche und volkswirtschaftliche Risiken vorgenommen. Im letzten Schritt wird auf der Unternehmensebene zwischen finanzwirtschaftlichen und Leistungswirtschaftlichen Risiken getrennt.¹⁷

2.2.2. Risikomessung und -Analyse

Nachdem die Risiken identifiziert wurden, wird im nächsten Schritt die Risikomessung und –Analyse vorgenommen. Der Risikomessung kommt eine zentrale und wesentliche Bedeutung im Rahmen des Risikomanagements zu. Ausschließlich diejenigen Risiken, die gemessen werden, können auch bei der Risikoplanung und Risikosteuerung berücksichtigt werden. Zunächst wird die Risikomessung aus Gründen der Sinnhaftigkeit in quantitative und qualitative Messverfahren differenziert. Das quantitative Messverfahren bezieht sich hauptsächlich auf Kennzahlen, die die Basis für die Kalkulation der Preise, Kurse und Marktdaten bilden.¹⁸ Abbildung 3 verschafft einen Überblick über die verschiedenen Risikomaße.

Abbildung 3: Übersicht Risikomaße

Abbildung in dieser Leseprobe nicht enthalten

Quelle: In Anlehnung an Wolke, T., Risikomaße, 2008, S. 11

Bei einfachen Verlustmaßen sind die seit langem bekannten Erkenntnisse der Wahrscheinlichkeitsrechnung und der gesunde Menschenverstand die zentralen Bezugspunkte. Die Kehrseite dieses Verfahrens ist die unzureichende Gewinnung von Informationen über den tatsächlichen Risikogehalt. Daher wird diesen Kennzahlen in der Praxis eine untergeordnete Bedeutung beigemessen.¹⁹

Des Weiteren kann das Risiko anhand von verschiedenen Kennzahlen gemessen werden. Zum einen kann auf die Kalkulation der Volatilität von Vermögensposten zurückgegriffen werden. Diesbezüglich gibt es verschiedene Berechnungsmethoden, auf die aus Relevanzgründen im Rahmen dieser Arbeit nicht näher eingegangen wird.²⁰ Zum anderen existiert neben der wichtigen Kennzahl der Volatilität die Sensitivität oder Sensitivitäts-Analyse. Diese Kennzahl sagt aus, wie hoch die Empfindlichkeit der Vermögensposten auf Veränderungen einer oder mehrere Einflussfaktoren ist.²¹

Eine weitere Methode, das Risikogehalt quantitativ zu messen, ist das Value-at-Risk-Konzept. Hierbei handelt es sich um ein verlustorientiertes Risikomaß. Der Value-at-Risk gibt zu einer bestimmten Wahrscheinlichkeit an, welche Verlusthöhe innerhalb eines bestimmten zeitlichen Intervalls mit dem festgelegten Wahrscheinlichkeitsniveau nicht überschritten wird. Ein potentielles Risiko bspw. von 15 Mio. EUR im Zeitraum von einem Tag und einem Wahrscheinlichkeitsniveau von 85% besagt, dass der etwaige Verlust der in Betracht gezogenen Risikoposten von einem Tag auf den nächsten mit einer Wahrscheinlichkeit von 85% den Verlustbetrag von 15 Mio. EUR nicht überschreiten wird.²²

Neben den quantitativen Risikomessungsverfahren gibt es eine Reihe von Methoden der qualitativen Risikomessung. Das Value-at-Risk-Konzept besagt lediglich zu einer bestimmten Wahrscheinlichkeit, welche Verlusthöhe untere den gegebenen Bedingungen nicht überschritten wird. Es gibt jedoch nicht Preis, welche Verlusthöhe oberhalb des bestimmten Wahrscheinlichkeitsniveaus erwartet wird. Das Augenmerk liegt demzufolge auf diejenigen Risiken, die die gewisse Wahrscheinlichkeitsobergrenze überschreiten. Um diese Extrema erfassen zu können, werden Stress-Tests durchgeführt, um das Value-at-Risk-Konzept zu begünstigen. Dieses Verfahren wird angewendet, um die Risiken in Situationen, in denen über den Value-at-Risk hinausgehende Verluste generiert werden, zu identifizieren und zu steuern. Daher wird die sogenannte Szenario-Analyse angewendet. Hierbei geht es darum, dass unter der Annahme verschiedener Bedingungen und Umweltzustände unterschiedliche Szenarien durchgespielt werden. Für die jeweiligen wesentlichen Risikopositionen werden fiktive gravierende Veränderungen der Umstände angenommen. Daraus wird ein entsprechender Verlust ermittelt. Abgesehen davon können ebenso Worst Case-Szenarien durchgespielt werden. Hierbei werden nicht alle möglichen unterschiedlichen Szenarien, sondern vielmehr die denkbar schlechtesten Anwendungsfälle berücksichtigt. Jedoch gibt es eine entscheidende Schwierigkeit bei der Praktizierung von Stress-Tests. Die Problematik liegt darin, eine außergewöhnliche Veränderung der Risikogrößen zu bestimmen. Hierzu können grundsätzlich zwei Methoden angewandt werden. Auf der einen Seite können über eine lange Beobachtungsperiode Risikofaktoren abgeleitet werden. Auf der anderen Seite kann man außerordentliche Verluste aufgrund von Expertisen der Experten und Entscheidungsträgern im Hinblick auf die zukünftige Entwicklung, wie z. B. Ölpreise und Leitzinsen, ermitteln.²³

Ein anderer Ansatz zur qualitativen Risikomessung sind die Scoring-Modelle. Deren Anwendung ermöglicht die Quantifizierung von nicht direkt messbaren Risiken.²⁴ Ein Scoring-Modell ist ein Verfahren zur Alternativbewertung, in der sowohl nicht-monetäre als auch monetäre Faktoren berücksichtigt werden. Monetäre Einflussgrößen werden nicht mit ihren betragsmäßigen Werten herangezogen, sondern in einer, dem Bewertungsschema angepassten Skala, eingestuft. Parallel dazu ist bei einem Scoring Modell eine Liste von relevanten Einflussgrößen zu erstellen. Nachdem alle Risiken anhand dieser Kriterien auf einer Skala bewertet wurden, werden die Ergebnisse gewichtet und zu einem Endwert komprimiert.²⁵

Nachfolgend wird der Frage nachgegangen, wie die Messergebnisse analysiert und daraus ableitende Maßnahmen ergriffen werden. Die Auswertung der Messergebnisse hängt zunächst von der Risikobereitschaft des Unternehmens ab. Eine weitestgehend restriktive Risikopolitik wirkt sich kontraproduktiv auf die unternehmerische Tätigkeit und auf die Gewinnerzielungsabsicht aus, da jedes unternehmerische Handeln mit einem gewissen Risiko behaftet ist. Eine völlige Risikovermeidung würde die Gewinn- und Ertragslage des Unternehmens bedeutend in eine finanzielle Schieflage versetzen. Folglich kann gesagt werden, dass in Bezug auf die Risikoanalyse eine Pauschalisierung branchenübergreifend für alle Unternehmen nicht möglich ist. Da sich keine allgemeinverbindlichen Handlungsempfehlungen herleiten lassen, werden im Folgenden nur allgemeine Grundlagen zur Risikoanalyse aufgegriffen. Dementsprechend wird auch in der Praxis häufig eine erste Vorab-Systematisierung in verschiedene Risikokategorien vorgenommen. Diese sieht vor, die Einflussfaktoren nach den Kriterien „kritische Risiken“, „wichtige Risiken“ und „unwichtige Risiken“ zu untergliedern. Kritische Risiken werden als solche gesehen, die den Fortbestand des Unternehmens nachhaltig und substanziell gefährden können. Wichtige Risiken gefährden zwar nicht die Existenz einer Gesellschaft, können aber der Anlass zu kurzfristigen Kapitalmaßnahmen sein. Unwichtige Risiken können aus dem Alltagsgeschäft heraus bewältigt werden, ohne dass tiefgreifende Maßnahmen initiiert werden müssen. Jedoch liegt die Kategorisierung der Risiken zum einen im eigenen Ermessen der Unternehmensführung, zum anderen hängt dies von der Branche der Gesellschaft ab.²⁶

2.2.3. Risikosteuerung

Nachdem die Risikomessung und –Analyse durchgeführt wurde, werden Maßnahmen abgewogen und selektiert, um die gemessenen und analysierten Risiken zu steuern. Die nächste Abbildung stellt die wesentlichen Merkmale von Steuerungsinstrumenten innerhalb der Risikostrategien dar, die allgemeingültig für alle branchenspezifische Unternehmen angewendet werden können.

Abbildung 4: Übersicht Risikostrategien

Abbildung in dieser Leseprobe nicht enthalten

Quelle: In Anlehnung an Wolke, T., Risikostrategien, 2008, S. 79

Der Begriff Risikovorsorge ist eng mit der Risikotragfähigkeit und damit mit dem Eigenkapital verbunden. Je höher das Eigenkapital ist, desto höher ist auch die Risikotragfähigkeit. Insofern lässt sich feststellen, dass eine hohe Risikotragfähigkeit eine starke Eigenkapitalbasis voraussetzt. Diesbezüglich werden im Folgenden einige Maßnahmen zur Erhöhung der Risikotragfähigkeit genannt:²⁷

- Eigenkapitalerhöhung entweder an den Märkten für langfristige Kredite und Kapitalanlagen oder durch die Gesellschafter
- Rücklagenbildung durch die Rückführung von Gewinnen
- Bildung von stillen Rücklagen durch überproportional hohe Abschreibungen

Die Risikovermeidung und -begrenzung hat die Aufgabe, das unternehmerische Gesamtrisiko auf ein Minimum zu reduzieren. Dabei sollte die Verwendung des Begriffes Risikovermeidung dahingehend erfolgen, dass das Risiko nicht zur Gänze vermieden werden soll, da jede unternehmerische Transaktion mit einem gewissen Risiko verknüpft ist. In dieser Hinsicht haben die Begrifflichkeiten Risikovermeidung und Risikobegrenzung jedoch das gemeinsame Steuerungsziel, die Risiken durch Limits zu begrenzen. Im Hinblick auf die Erscheinungsformen der Limits existieren zahlreiche Varianten, auf deren detaillierte Ausführung im Folgenden aus Relevanzgründen verzichtet wird.²⁸

Bei der Risikoverteilung steht die Ausnutzung von Diversifikationseffekten im Fokus. Diese Effekte kommen dann zur Geltung, wenn sich Risiken von mindestens zwei Vermögensgegenstände gegenseitig begünstigen und dadurch das Gesamtrisiko der Vermögenspositionen kleiner ist als die Tragweite der Einzelrisiken. Zugleich kann man im Gegensatz zur Risikoaggregation durch die Risikostreuung das Gewinnpotenzial besser ausschöpfen.²⁹

Die Grundidee bei der Risikoverlagerung ist hingegen die Umschichtung von bestimmten unternehmensinternen Risiken in unternehmensfremde Bereiche. Kennzeichnend für diese Risikostrategie ist die Verlagerung der zugrunde gelegten Risikoursache bzw. der risikobedrohten Vermögensposition. Eine in der Praxis bewährte Methode der Risikoverlagerung ist das Outsourcing von Unternehmensbereichen, wie z. B.:³⁰

- EDV-Bereich
- Logistikfunktionen
- Facility Management

Bei der Risikoüberwälzung geht es darum, dass der risikoverursachende Vermögensgegenstand zwar im Unternehmen bestehen bleibt, aber das aus der Vermögensposition ausgehende Risiko überwälzt wird. Dies wird bewerkstelligt, indem eine Prämie hierfür gezahlt wird. Die in der Praxis am häufigsten angewendete Methode ist der Abschluss von Versicherungen.³¹

Bei der Risikokompensation steht die Idee im Vordergrund, parallel zur risikoverursachenden Vermögensposition eine zusätzliche Finanzposition zu stellen. Dadurch können mögliche Verluste, welche durch den Anlagegegenstand verursacht werden, durch die gleichzeitige Gewinnerzielung kompensiert werden. Ein mögliches Instrument zur Risikokompensation sind die Derivate.³² Dabei handelt es sich Finanzinstrumente, mit denen man auf die Entwicklung von verschiedenen Kursverläufen, wie z. B. Aktien, Indizes und Währungen setzen kann.³³

2.2.4. Risikocontrolling

Das Risikocontrolling ist als eine Komponente des Risikomanagements zu betrachten. Die Koordinierungsfunktion ist darüber hinaus der Tätigkeitsschwerpunkt des Risikocontrollings. Die Phasen Risikomessung und Risikosteuerung bilden die Grundlage für die Planung von Unternehmensrisiken. Bei der Risikoplanung wird das Ziel verfolgt, zukünftige Unternehmensziele mit einkalkulierten Risiken aufeinander abzustimmen. Das Risikocontrolling nimmt dabei eine unterstützende Rolle der Unternehmensführung ein, um die Planung der Unternehmensziele mit den damit verbundenen Risiken zu harmonisieren.³⁴

Die Basis für die Kontrollfunktion wird durch die Erfassung aller relevanten Risiken gelegt. Anschließend wird ein Vergleich der geplanten Risiken mit dem Ist-Zustand durchgeführt, um daraus mögliche Diskrepanzen zu erarbeiten.

Zum Tätigkeitsfeld des Risikocontrollings gehört ebenso die Informationsfunktion. Diese sieht eine Berichterstattung an die Unternehmensführung und an die einzelnen Unternehmensbereiche vor. Die Berichterstattung an die Geschäftsführung steht eng im Zusammenhang mit der externen Risikoberichterstattung. Für diesen Zweck ist es vonnöten, mit dem externen Rechnungswesen zu kooperieren. Zu den wesentlichen Aufgaben des Risikocontrollings gehört die Koordination der Risikomessung und –Steuerung zwischen:³⁵

- den einzelnen Geschäftsfeldern
- den verwaltenden Organisationseinheiten
- der Geschäftsführung und
- externen Personen und Institutionen

Eine etwas andere Auffassung vertritt Kliebe. Er betrachtet das Risikocontrolling vielmehr als eine Querschnittsfunktion und ordnet es organisatorisch dem Controlling zu. Demzufolge übernimmt das Risikocontrolling die Funktion, jede einzelne Phase des Risikomanagementprozesses konzeptionell und operativ zu unterstützen und zu koordinieren. Außerdem stellt das Risikocontrolling dem Risikomanagement Werkzeuge bzw. Instrumente zur Verfügung und berät das Risikomanagement bei der Maßnahmenumsetzung. Ferner wird das Risikocontrolling mit der Aufgabe betraut, das Risikomanagement mit Informationen zu versorgen, diese aufzubereiten, analysieren und schließlich zu kommunizieren.³⁶

2.3. Regulatorische Anforderungen an das Risikomanagement

2.3.1. KonTraG

Am 1. Mai 1998 wurde das KonTraG im deutschen Bundestag verabschiedet. Dabei handelt es sich um die Sensibilisierung der Sorgfaltspflichten des Vorstands einer Aktiengesellschaft sowie des Geschäftsführers anderer Gesellschaftsformen zur langfristigen Existenzsicherung. Diese Rechtsvorschrift ist im § 289, 317 HGB (kurz: § 289, 317 HGB) und § 91 Abs. 2 AktG (kurz: § 91 II AktG). verankert. Die genaue inhaltliche Ausprägung des Risikofrüherkennungssystems wurde vom Gesetzgeber bewusst nicht definiert, um der fachlichen Weiterentwicklung in Theorie und Praxis Spielraum zu gewähren. Eine adäquate Implementierung setzt voraus, dass ein internes Überwachungssystem, eine Controlling-Abteilung sowie ein Frühwarnsystem eingegliedert werden. Des Weiteren ist die Integration einer internen Revision erforderlich.³⁷

Gemäß § 91 Abs. 2 AktG (kurz: § 91 II AktG) wird der Vorstand mit der Einrichtung eines Überwachungssystems beauftragt. Hierbei wird das Ziel verfolgt, existenzgefährdende Risiken rechtzeitig zu erfassen. In diesem Zusammenhang wird das Frühwarnsystem als ein Bestandteil des Risikomanagementsystems betrachtet, welches das Controlling und das interne Überwachungssystem beinhaltet. Dabei spielt die Beschaffenheit des Unternehmens sowie die Häufigkeit der Risiken für die Ausgestaltung des Risikomanagements eine bedeutende Rolle.³⁸

[...]

---

¹ Vgl. Grahl, J., Finanzkrise, 2013, o. S.

² Vgl. Trauboth, J. H., KonTraG, 2000, o. S.

³ Vgl. Kamphans, K., Überprüfung, 2002, S. 4.

⁴ Vgl. Hamel, G. et al., Studie, 1997, S. 23.

⁵ Vgl. Wolke, T., Risikobegriff, 2008, S. 1.

⁶ Vgl. Mikus, B., Misserfolg, 2001, S. 5.

⁷ Vgl. Mikus, B., Misserfolg, 2001, S. 5.

⁸ Vgl. Hupe, M., Diskrepanz, 1995, S. 46.

⁹ Vgl. Mikus, B., Risikoarten, 2001, S. 7 f.

¹⁰ Vgl. Mikus, B., Risikoarten, 2001, S. 8.

¹¹ Vgl. Mikus, B., Risikoarten, 2001, S. 8.

¹² Vgl. Mikus, B., Risikoarten, 2001, S. 8.

¹³ Vgl. Haller, M., Risikoarten, 1986, S. 19 f.

¹⁴ Vgl. Philipp, F., Risikoarten, 1967, S. 28 ff.

¹⁵ Vgl. Wolke, T., Risikoidentifikation, 2008, S. 4.

¹⁶ Vgl. Wolke, T., Risikoidentifikation, 2008, S. 6.

¹⁷ Vgl. Wolke, T., Risikoarten, 2008, S. 6.

¹⁸ Vgl. Wolke, T., Risikomessung, 2008, S. 4.

¹⁹ Vgl. Wolke, T., Verlustmaße, 2008, S. 12.

²⁰ Vgl. Wolke, T., Volatilität, 2008, S. 15.

²¹ Vgl. Wolke, T., Sensitivität, 2008, S. 25.

²² Vgl. Wolke, T., VaR-Konzept, 2008, S. 27 f.

²³ Vgl. Wolke, T., Stress-Test, 2008, S. 60 f.

²⁴ Vgl. Wolke, T., Scoring-Modelle, 2008, S. 64.

²⁵ Vgl. Reinecke, S., Scoring-Modelle, 2008, S. 45.

²⁶ Vgl. Wolke, T., Stress-Test, 2008, S. 67.

²⁷ Vgl. Wolke, T., Risikovorsorge, 2008, S. 80.

²⁸ Vgl. Wolke, T., Risikobegrenzung, 2008, S. 81.

²⁹ Vgl. Wolke, T., Risikoverteilung, 2008, S. 83.

³⁰ Vgl. Wolke, T., Risikoverlagerung, 2008, S. 84.

³¹ Vgl. Wolke, T., Risikoüberwälzung, 2008, S. 85.

³² Vgl. Wolke, T., Risikokompensation, 2008, S. 85 f.

³³ Vgl. Walter, L., Derivate, 2009, S. 57.

³⁴ Vgl. Wolke, T., Risikocontrolling, 2008, S. 239.

³⁵ Vgl. Wolke, T., Risikocontrolling, 2008, S. 240.

³⁶ Vgl. Kliebe, H., Risikocontrolling, 2008, S. 27 f.

³⁷ Vgl. Schmitz, T., Wehrheim, M., KonTraG, 2006, S. 20.

³⁸ Vgl. Wolf, K., Runzheimer, B., KonTraG, 2009, S. 21.