Heutige Unternehmen existieren im Umfeld einer wachsenden Komplexität und Dynamik der Unternehmensumwelt, verursacht durch Globalisierung, Deregulierung der Märkte, sinkenden Lebenszyklen von Produkten und Dienstleistungen und raschem technologischen Fortschritt. Negative Einflüsse durch Fehlentscheidungen des Managements oder durch externe, nicht beherrschbare Faktoren können in dieser dynamischen Umgebung sehr schnell zu einer Gefährdung der Wettbewerbsfähigkeit und des Fortbestands eines Unternehmens führen.
Jede in einem Unternehmen zu treffende Entscheidung ist mit einem gewissen Risiko verbunden. In einer Umwelt, die durch steigenden Kostendruck und gleichzeitiger Forderung nach Hochverfügbarkeit von technischen Produkten und Dienstleistungen charakterisiert wird, ist alleine der reaktive Umgang mit Risiken nicht mehr ausreichend. Risiken müssen im Rahmen einer wertorientierten Unternehmensführung präventiv in einem effizienten und zielgerichteten Risikomanagementprozess identifiziert, bewertet, aggregiert und bewältigt werden.
Das Qualitätsmanagementsystem leistet dabei einen entscheidenden Beitrag zur Verringerung und Vermeidung von Qualitätsrisiken, sowie zur Minimierung von Prozessabweichungen, und damit Prozessrisiken. Beide Managementbereiche stehen in einer wechselseitigen Beziehung: „Gutes Qualitätsmanagement senkt die Risiken, gutes Risikomanagement steigert die Qualität“.
Dennoch herrschen in der Praxis meist beide Managementansätze als Insellösungen vor und werden nicht aktiv im Rahmen einer wertorientierten Unternehmenssteuerung integriert. Dadurch steigt die Komplexität auf Managementebene, Synergien können nicht realisiert werden und die Verteilung von Zuständigkeiten und Verantwortlichkeiten ist unklar. Zudem können Redundanzen in den Aktivitäten auftreten und die Reaktionsgeschwindigkeit des Managements wird verlangsamt.
Ziel dieser Arbeit ist die Entwicklung eines Ansatzes für ein Managementsystem, welches sowohl das Qualitäts- als auch das Risikomanagementsystem integriert.Zusätzlich soll ein Überblick über die Grundlagen, Herkunft und Methoden des Risikomanagements vermittelt werden. Aufbauend auf der Beschreibung eines Risikomanagementsystems und eines Qualitätsmanagementsystem sollen Schnittstellen, Gemeinsamkeiten und Unterschiede zwischen den Systemen verdeutlicht werden.
Inhaltsverzeichnis
1 Einleitung
1.1 Problemstellung
1.2 Ziel der Arbeit
1.3 Gang der Arbeit
2 Grundlagen des Risikomanagement
2.1 Definition Risiko
2.1.1 Qualitative Beschreibung von Risiko
2.1.2 Quantitative Beschreibung von Risiko
2.2 Wahrnehmung und Messung von Risiko
2.3 Gesetzliche Vorlagen, Trends
2.3.1 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
2.3.2 Basel II
2.3.3 Sarbanes-Oxley Act
2.4 Risikomanagement im Controlling
2.5 Methoden des Risikomanagements
2.5.1 Risikobewältigung
2.5.2 Business Continuity Management (BCM)
2.5.2.1 Krisenmanagement
2.5.2.2 Notfallplanung
2.6 Entwicklung des Risikomanagements
3 Risikomanagementsysteme
3.1 Einführung Managementsysteme
3.1.1 Management
3.1.2 Managementsystem
3.2 Normatives und strategisches Risikomanagement
3.2.1 Risikopolitik
3.2.2 Risikostrategie
3.3 Risikomanagementsysteme in der Praxis
3.3.1 ISO DIN EN 14971:2000
3.3.2 AS/NZS 4360:2004
3.4 Operatives Risikomanagement (Risikomanagementprozess)
3.4.1 Risiko erkennen - Risikoidentifikation
3.4.2 Risiko beurteilen - Risikoanalyse
3.4.3 Risiko beherrschen - Risikosteuerung
3.4.4 Maßnahmen überwachen - Risikokontrolle
3.4.5 Querschnittsfunktion: Risikokommunikation
4 Qualitätsmanagementsysteme
4.1 Der Begriff Qualität
4.2 Aufbau eines Qualitätsmanagementsystems
4.2.1 Qualitätsplanung
4.2.2 Qualitätslenkung
4.2.3 Qualitätssicherung
4.2.4 Qualitätsverbesserung
4.3 Qualitätsmanagement nach DIN EN ISO 9000ff:2005/2000
4.4 Erweiterung zum Total Quality Management
5 Schnittpunkte Risiko- und Qualitätsmanagementsystem
5.1 Methodik des Vergleichs der Managementsysteme
5.2 Einordnung von Qualität und Risiko in das jeweils andere Managementsystem
5.2.1 Qualität aus der Sichtweise des Risikomanagementsystems
5.2.2 Risiko aus der Sichtweise des Qualitätsmanagementsystems
5.2.3 Zwischenfazit
5.3 Schnittpunkte auf normativer und strategischer Ebene
5.4 Schnittpunkte auf operativer Ebene
5.4.1 Vergleich der operativen Prozesse
5.4.2 Verwendete Werkzeuge
6 Integriertes Managementmodell
6.1 Begriffbestimmung
6.2 Grenzen der Integrationsmöglichkeiten
6.3 Integration mit Hilfe der Balanced Scorecard
6.3.1 Grundlagen der Balanced Scorecard
6.3.2 Integration von Qualitäts- und Risikomanagement mit der Balanced Scorecard
6.4 EFQM – Business Excellence Modell
6.5 ONR 49000ff
7 Fazit
8 Anhang
9 Literaturverzeichnis
Abbildungsverzeichnis
Abbildung 2-1: Risiko
Abbildung 2-2: Risikokategorien
Abbildung 2-3: Nettorisiko
Abbildung 2-4: Halbquantitative Risikokategorisierung
Abbildung 2-5: Bruttoschaden gegen Nettorisiko
Abbildung 2-6: Der BCM Lebenszyklus-Ansatz
Abbildung 2-7: Komponenten von BCM
Abbildung 2-8: Der Krisenmanagementprozess
Abbildung 2-9: Der Notfallplanungsprozess
Abbildung 2-10: Entwicklung des Risiko- und Qualitätsmanagements
Abbildung 2-11: Umfrage Ernest & Young: Ziele des Risikomanagementsystems
Abbildung 2-12: Umfrage zu Risikomanagement in KMUs: Bedeutendste Risiken
Abbildung 2-13: Umfrage zu Risikomanagements in KMUs: Vergleich Europa
Abbildung 2-14: Umfrage Ernest & Young: Risikoverständnis
Abbildung 2-15: Umfrage Marsh 2004: Risikoanalyse
Abbildung 2-16: Umfrage Marsh 2004: Qualitativer Vergleich
Abbildung 3-1: Das St. Galler Modell des integrierten Qualitätsmanagements
Abbildung 3-2: Vergleich VaR - CFaR
Abbildung 3-3: Der operative Risikomanagementprozess
Abbildung 4-1: Der operative Qualitätsmanagementprozess
Abbildung 4-2: Qualitätsmanagement nach DIN EN ISO 9001/4
Abbildung 4-3: Das EFQM Modell
Abbildung 6-1: Wirkungskette der Balanced Scorecard
Abbildung 6-2: Einbindung des Risikomanagements durch die FutureValue Scorecard
Abbildung 6-3: Integration mit Hilfe der BSC
Abbildung 6-4: Das EFQM Modell
Abbildung 6-5: Aufbau der ONR 49000ff
Abbildung 6-6: Der Weg von der Umwelt zum Risikomanagement
Abbildung 6-7: Einbindung in das Modell der ISO 9001
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
1 Einleitung
1.1 Problemstellung
Heutige Unternehmen existieren im Umfeld einer wachsenden Komplexität und Dynamik der Unternehmensumwelt, verursacht durch Globalisierung, Deregulierung der Märkte, sinkenden Lebenszyklen von Produkten und Dienstleistungen und raschem technologischen Fortschritt. Negative Einflüsse durch Fehlentscheidungen des Managements oder durch externe, nicht beherrschbare Faktoren können in dieser dynamischen Umgebung sehr schnell zu einer Gefährdung der Wettbewerbsfähigkeit und des Fortbestands eines Unternehmens führen.
Jede in einem Unternehmen zu treffende Entscheidung ist mit einem gewissen Risiko verbunden, denn „wirtschaftliches Handeln bedeutet auch immer, Risiken einzugehen“.[1] In einer Umwelt, die durch steigenden Kostendruck und gleichzeitiger Forderung nach Hochverfügbarkeit von technischen Produkten und Dienstleistungen charakterisiert wird, ist alleine der reaktive Umgang mit Risiken nicht mehr ausreichend. Risiken müssen im Rahmen einer wertorientierten Unternehmensführung präventiv in einem effizienten und zielgerichteten Risikomanagementprozess identifiziert, bewertet, aggregiert und bewältigt werden.
Für Aktiengesellschaften ist Risikomanagement durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTrag) gesetzlich vorgeschrieben und durch den New Basel Capital Accord (Basel II) spielt Risikomanagement eine wichtige Rolle in der Fremdkapitalbeschaffung von Unternehmen.
Das Qualitätsmanagementsystem leistet dabei einen entscheidenden Beitrag zur Verringerung und Vermeidung von Qualitätsrisiken, sowie zur Minimierung von Prozessabweichungen, und damit Prozessrisiken. Beide Managementbereiche stehen in einer wechselseitigen Beziehung: „Gutes Qualitätsmanagement senkt die Risiken, gutes Risikomanagement steigert die Qualität“.[2]
Dennoch herrschen in der Praxis meist beide Managementansätze als Insellösungen vor und werden nicht aktiv im Rahmen einer wertorientierten Unternehmenssteuerung integriert. Dadurch steigt die Komplexität auf Managementebene, Synergien können nicht realisiert werden und die Verteilung von Zuständigkeiten und Verantwortlichkeiten ist unklar. Zudem können Redundanzen in den Aktivitäten auftreten und die Reaktionsgeschwindigkeit des Managements wird verlangsamt.
1.2 Ziel der Arbeit
Ziel dieser Arbeit ist die Entwicklung eines Ansatzes für ein Managementsystem, welches sowohl das Qualitäts- als auch das Risikomanagementsystem integriert.
Zusätzlich soll ein Überblick über die Grundlagen, Herkunft und Methoden des Risikomanagements vermittelt werden. Aufbauend auf der Beschreibung eines Risikomanagementsystems und eines Qualitätsmanagementsystem sollen Schnittstellen, Gemeinsamkeiten und Unterschiede zwischen den Systemen verdeutlicht werden.
1.3 Gang der Arbeit
Die vorliegende Arbeit beschreibt zunächst die Grundlagen des Risikomanagements. Risiko wird dabei qualitativ und quantitativ beschrieben und Methoden zur Messung des Risikos erörtert. Mit dem KonTraG, den Basel II Vorschriften und dem Sarbanes-Oxley-Act werden die wichtigsten gesetzlichen Anforderungen an das Risikomanagement dargestellt. Danach wird die Verbindung zum und die Möglichkeiten des Risikomanagements im Controlling erläutert. Die Methoden der Krisen- und Notfallplanung werden in das Risikomanagement eingeordnet. Abschließend wird auf die Entwicklung des Risikomanagements eingegangen.
Als zweiter Gliederungspunkt wird ein Risikomanagementsystem beschrieben. Dabei wird zuerst die normative und strategische Ebene des Systems erklärt und dann, anhand von Praxisbeispielen existierender Richtlinien, der operative Risikomanagementprozess näher betrachtet. Daran anschließend werden die einzelnen Phasen vorgestellt und die verwendeten Methoden erklärt.
Der nächste Gliederungspunkt beschäftigt sich mit den Grundlagen des Qualitätsmanagements und beschreibt den Aufbau eines Qualitätsmanagementsystems. Dabei wird der operative Qualitätsmanagementprozess erläutert und die Normenreihe DIN EN ISO 9000:2000 vorgestellt. Zudem wird ein Ausblick auf das System des Total Quality Management gegeben.
Ausgehend von den beiden beschriebenen Systemen werden gezielt Schnittstellen, Gemeinsamkeiten und Gegensätze gesucht. Dazu werden Vergleiche auf normativer, strategischer und operativer Ebene durchgeführt und Schnittstellen aufgezeigt.
Abschließend wird versucht einen Ansatz zur Integration der Systeme zu finden. Dazu werden zuerst die Möglichkeiten einer Verschmelzung der Systeme kritisch diskutiert und Methoden zur Integration im Rahmen der wertorientierten Unternehmenssteuerung vorgeschlagen. Die drei betrachteten Konzepte sind das der Balanced Scorecard, das European Foundation for Quality (EFQM) - Business Excellence Modell und das Regelwerk 49000ff des Österreichischen Normeninstituts (ON).
2 Grundlagen des Risikomanagement
2.1 Definition Risiko
Die genaue Herkunft des Wortes „Risiko“ ist nicht eindeutig geklärt, es leitet sich wahrscheinlich aus dem frühitalienischen „risicare“ (wagen) ab, dessen Ursprung im Wort „risco“ (Klippe, die es zu Umschiffen gilt) liegt, welches wiederum aus dem griechischen „riza“ (Wurzel oder Klippe) abgeleitet werden kann.[3]
Risiko ist untrennbar verknüpft mit den Begriffen Gefahr (als Ursache des Risikos) und Schaden (als Wirkung des Risikos). In einer weiten Fassung kann unter Risiko aber auch das symmetrische Paar Risiko und Chance verstanden werden, entsprechend zwischen einem in der Auswirkung positiven (Nutzen) und negativen Risiko (Schaden) unterschieden werden. Die vorliegende Arbeit konzentriert sich dabei auf das negative Risiko im Sinne einer Bedrohung für ein Unternehmen.
Risiko entsteht aus der Unvorhersehbarkeit der Zukunft, die unsichere Ereignisse als Grundlage für Veränderungen hervorrufen kann. Im Rahmen der Entscheidungstheorie liefert Knight 1921 einen ersten Ansatz zur möglichen Abgrenzung von Unsicherheit und Risiko:
To preserve the distinction … between the measurable uncertainty and an unmeasurable one we may use the term "risk" to designate the former and the term "uncertainty" for the latter.[4]
Obwohl dieser Ansatz im modernen Risikomanagement nicht geeignet ist, da unternehmerische Entscheidungen kaum objektive Wahrscheinlichkeiten angeben, zeigt er die Verbindung des Risikoereignisses mit der Wahrscheinlichkeitsrechnung. Das Risiko kann somit als berechenbar und damit gleichbedeutend als steuerbar betrachtet werden.
Ein weiteres Charakteristikum des Risikos ist die Subjektivität. Risiko wird individuell differenziert wahrgenommen und bewertet. Wesentliches Kriterium dabei ist, in wie weit für einen Beurteilenden, abhängig von seinem Kenntnisstand, ein Ereignis unsicher ist und wie er der Wirkung des Risikos gegenübersteht, bzw. seine Werte direkt vom Ereignis betroffen sind. Beispiel hierfür ist die Aktienspekulation. Für den Aktieninhaber ist die Fluktuation des Wertes riskant, für andere ist das Ereignis nicht risikobehaftet.[5] Jedes Risiko hat einen Risikonehmer, ein Ziel an dem es seine Schadenswirkung entfaltet. Das Objekt, welches dabei Schaden nimmt ist eine Ressource, ein Produkt, ein Prozess oder ein Interesse, in jedem Fall aber ein Wert für den Betroffenen.[6]
Bezieht man das Risiko auf die Institution Unternehmen, so kann man auf folgender, allgemeiner Beschreibung aufbauen:
Ein Ereignis stellt für ein Unternehmen ein Risiko dar, wenn es sowohl unsicher ist als auch Auswirkungen auf das Erreichen der Unternehmensziele hat.[7]
Da Unternehmensziele im Rahmen der Unternehmensplanung, welche aufgrund ihres Zukunftsbezugs unsicher ist, konkretisiert werden, kann Risiko somit als SOLL-IST Abweichung definiert werden, die einer bestimmten Dichtefunktion (Wahrscheinlichkeit) unterliegt. Diesem Ansatz folgt die betriebswirtschaftliche Literatur, wie z.B. von Eucken, der Risiko als „Distanz von Plandaten und faktischen Daten“ sieht.[8]
Ursachen für Abweichungen können sowohl aus dem externen Umfeld des Unternehmens kommen, als auch aus der Wertschöpfung und Leistungserstellung heraus anfallen. Entsprechend differenziert man zwischen externen und internen Risiken. Externe Risiken kann man weiter aufspalten in „Risiken höherer Gewalt“, wie z.B. Naturkatastrophen und „politische und/oder ökonomische Risiken“, wie z.B. wechselnde Konjunkturlage oder Gesetzgebung. Analog dazu kann man die internen Unternehmensrisiken in „Geschäftsrisiken“, bezogen auf die Kernbereiche, Produkte und Innovationen, in „Finanzrisiken“, Veränderungen in der Ertrags-, Finanz- und Vermögenslage, und in „Betriebsrisiken“, die sich in den Ablaufprozessen und der Unternehmensorganisation finden, unterteilen.[9]
Im Rahmen der unternehmerischen Tätigkeit sind, nach Meier, vier Muster zur Ursache von Risiko anzutreffen:[10]
- Risiko in der Folge von Nebenwirkungen, Negativfolgen
Die Leistungserstellung und die Leistung an sich erzeugt sowohl die beabsichtigte Wirkung im Sinne von Nutzen, als auch systematisch, wahrscheinlichkeitsgesteuerte Nebenwirkungen in Form von Schaden. Die Leistung kann also durch Negativfolgen und Nebenwirkungen einen Schaden erzeugen.
- Risiko aus Fehlern, Versagen, Ausfällen
Dieses Muster bezeichnet unsystematisch auftretende Fehler und Ausfälle, welche die klassischen Ursachen von Schadensrisiken darstellen.
- Risiko aus Entscheidungen
In jedem Unternehmen werden basierend auf den zur Verfügung stehenden Informationen Entscheidungen getroffen. Innerhalb des komplexen Prozesses der Entscheidungsfindung, können aufgrund von subjektiven Einflüssen oder mangelnder Information Entscheidungen getroffen werden, die einen Schaden verursachen.
- Risiko aus Unbekanntem
Risiken können aus Nicht-Wissen entstehen. Entsprechend können sich unbekannte Risiken im Umfeld einer Unternehmung befinden, die sich erst im Schadensfall zeigen.
Zur Kommunikation von Risiko ist eine allgemeingültige, monetäre Bewertung von Risiko bzw. den Risikoauswirkungen notwendig. Eine Möglichkeit zur Unterscheidung der Auswirkungen findet sich bei Leitner.[11] Schaden kann in Form eines unmittelbaren Vermögensverlusts auftreten, wie z.B. Betriebsmittelverluste durch Naturkatastrophen, Vermögensaufwendungen verursachen, wie z.B. höhere Personalkosten durch den Einsatz von Hilfskräften um die Produktion aufrecht zu halten, oder mittelbare Vermögensverluste, wie z.B. entgangene Gewinne der Produkte, auslösen.[12] Dadurch wird die Bewertung des eingetretenen Schadens erschwert. Im Folgenden wird versucht, sich über eine qualitative und quantitative Beschreibung dem Begriff Risiko weiter zu nähern.
2.1.1 Qualitative Beschreibung von Risiko
Um die Komplexität des Risikos qualitativ zu veranschaulichen, kann man sich der Darstellung der komplexen Zahlen behelfen. Auch Risiko besitzt einen Imaginärteil, in Form der Gefahr und einen Realteil, den tatsächlich entstandenen Schaden. Risiko verknüpft Gefahr und Schaden im Sinne einer Ursache - Wirkungsbeziehung.[13] Risiko kann man entsprechend durch die Kombination von Ursprung, Wirkung und Ziel beschreiben.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2-1: Risiko [Quelle: eigene Darstellung in Anlehnung an Meier (Risikomanagement in Technologieunternehmen 2005), S. 23]
Risiken treten nur im Idealfall isoliert auf. Risikomanagement behandelt im Regelfall mehrere zeitgleich auftretende Risiken, die untereinander Interdependenzen verursachen. Risiken können sowohl andere Risiken nach sich ziehen und/oder anderen Risiken passiv folgen. Entsprechend kann man zwischen vier Risikotypen unterscheiden, die in Abbildung 2-2 in Matrixform dargestellt sind.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2-2: Risikokategorien [Quelle: eigene Darstellung in Anlehnung an Meier (Risikomanagement in Technologieunternehmen 2005), S. 25]
Typ 1 ist ein interaktives Risiko, es hat sowohl hohe Führungstendenz, als auch hohe Folgetendenz. Typ 2 ist ein proaktives Risiko, ein Führungsrisiko, das andere Risiken auslöst. Typ 3 stellt ein Einzelrisiko dar, ein sogenanntes de- oder inaktives Risiko. Typ 4 ist ein rein reaktives Risiko, diese Art von Risiko wird als Folgerisiko bezeichnet.[14]
Neben dem Folge- oder Führungscharakter von Risiken kann es zwischen Risiken auch zu additiven oder substraktiven Effekten kommen. So können sich beispielsweise Folge- und Führungsrisiko akkumulieren. Gleiches gilt für zwei unterschiedliche Risiken, die den gleichen Schaden auslösen. Im Gegenzug kann es aber auch zwei Risiken geben, die sich gegenseitig aufheben. Dies kann entweder aus der Wirkung der Abweichung heraus geschehen, oder beispielsweise, da es sich bei den Risiken um ein Risiko-Chance Paar handelt.[15]
An jedem Risiko sind verschiedene Personen bzw. Personengruppen beteiligt. Jedem Risiko lässt sich, wie bereits erwähnt, ein Risikonehmer zuordnen, der direkt vom Risiko betroffen ist. Auf der Entstehungsseite des Risikos kann man den Risikoerzeuger, in dessen Verantwortungsgebiet wissentlich oder unwissentlich Risiko entsteht, den Risikoeigentümer, der das Risiko beeinflussen kann, und den Risikoverantwortlichen, der das Risiko gegenüber Dritten zu vertreten hat, unterscheiden. Dabei kann eine Person alle drei Merkmale erfüllen. Eine dritte Gruppe stellt der Regulierer von Risiko dar. Dieser hat die Aufgabe die Werte der Allgemeinheit zu schützen. Diese Funktion wird zumeist von amtlichen Institutionen im öffentlichen Auftrag wahrgenommen.
2.1.2 Quantitative Beschreibung von Risiko
Formal lässt sich Risiko über das Zahlenpaar M für Bruttoschaden und P für Eintrittswahrscheinlichkeit als Nettorisiko N definieren:
Abbildung in dieser Leseprobe nicht enthalten
Stellt man dieses Nettorisiko in einem Koordinatensystem mit der Abszisse Eintrittswahrscheinlichkeit und der Ordinate Bruttoschaden dar, so ergibt sich das in Abbildung 2-3 dargestellte Bild. Kurven, die sich jeweils asymptotisch der P- und M-Achse nähern, stellen dabei jeweils Orte gleichen Risikos dar.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2-3: Nettorisiko [Quelle: eigene Darstellung in Anlehnung an Meier (Risikomanagement in Technologieunternehmen 2005), S. 35]
Im Risikomanagement hat es sich als nützlich erwiesen, Risiken durch halbquantitative Attribute zu beschreiben.[16] Vorteile sind die direkte Bewertung eines Risikos und die vereinfachte Kommunikation. Die Größe eines Risikos im Sinne des Nettorisikos N wird dabei zumeist in fünf relativen Stufen angegeben, die durch Konvention zuvor unternehmensspezifisch festgelegt werden:
(1) vernachässigbar
(2) gering
(3) relevant
(4) äußerst relevant
(5) existenzbedrohend
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2-4: Halbquantitative Risikokategorisierung [Quelle: eigene Darstellung in Anlehnung an Meier (Risikomanagement in Technologieunternehmen 2005), S. 35]
Eine weitere verbreitete Darstellung ist die halbquantitative Korrelation Bruttoschaden M gegen Nettorisiko N. Man kann hier zwischen vier Risikoklassen unterscheiden:
Klasse 1: häufige Großschäden
Klasse 2: seltene Großschäden
Klasse 3: mittlere Serienschäden
Klasse 4: seltene Bagatellschäden
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2-5: Bruttoschaden gegen Nettorisiko [Quelle: eigene Darstellung in Anlehnung an Meier (Risikomanagement in Technologieunternehmen 2005), S. 41]
Aus der Risikowahrnehmung und -bewertung lassen sich jedoch auch weitere Kriterien gewinnen um Risiko genauer zu beschreiben. Eigenschaften zur genaueren Beschreibung von Risiko sind:[17]
- Irreversibilität (ir) (Schäden sind nicht wieder auszugleichen.)
- Persistenz (pe) (Schäden akkumulieren sich über lange Zeit.)
- Mobilisierung (mo) (Risiken führen zu Konflikten und ängstigen die Bevölkerung.)
- Verzögerungswirkung (ve) (Vergeht zwischen dem schadenauslösenden Ereignis und dem Schadenseintritt eine längere Zeitspanne, werden Risiken unterschätzt bzw. verdrängt.)
Auch wenn es durch diese nähere Beschreibung möglich ist, eine grobe Risikokategorisierung durchzuführen („Risikokategorisierung nach Renn“ siehe Anhang), fehlt teilweise der unmittelbare Bezug zu den quantitativen Daten N, M und P. Um diesen Bezug wiederherzustellen, kann man auf folgende halbquantitativen Faktoren zurückgreifen:
- Dringlichkeit (vereinigt pe, mo und ve)
- Bekanntheit (indirekt ve und pe)
- Beherrschbarkeit
So kann auf der Basis quantitativer Daten eine Priorisierung (Dringlichkeit korreliert mit Nettorisiko), eine Vorsortierung (Beherrschbarkeit korreliert mit Nettorisiko) der Risiken, die nicht intern über das Risikomanagement gelöst werden können, als auch eine Identifizierung des Informationsbedarfs (Bekanntheit korreliert mit Nettorisiko) durchführen.[18]
Als letzter quantitativer Aspekt ist die Zeitabhängigkeit zu nennen. Aufgrund von Veränderungen aus der Eigenentwicklung des Risikos heraus, als auch durch Eingreifen des Risikomanagements kann man eine zeitliche Abhängigkeit feststellen:
N = N (t) (2)
Daraus folgend entspricht der Trend erster Ordnung, daher die Geschwindigkeit mit der sich das Risiko nähert, der Ableitung erster Ordnung d/dt N (t), und der Trend zweiter Ordnung, d/dt (d/dt N (t)), der Schnelligkeit, mit der sich diese Geschwindigkeit verändert. Halbquantitativ dargestellt kann man jeweils drei Stufen definieren:
Geschwindigkeit Änderung der Geschwindigkeit
- abnehmendes Risiko - beschleunigte Änderung
- gleichbleibendes Risiko - gleichbleibende Änderung
- zunehmendes Risiko - verzögerte Änderung
Der Nutzen für das Risikomanagement besteht darin, Risikofelder, die von besonderer Bedeutung sind, wie z.B. beschleunigtes, zunehmendes Risiko (Gefahr außer Kontrolle zu geraten) oder verzögerte Zunahme von Risiko (eventuell Grenzwert der Schadensauswirkung), abzubilden.[19]
Qualitative als auch quantitative Beschreibungen werden vor allem im Bereich der Risikoanalyse und -bewertung angewendet und sind im später dargestellten Risikomanagementprozess den Phasen Risiken erkennen und beurteilen zugeordnet.
2.2 Wahrnehmung und Messung von Risiko
Die Wahrnehmung von Risiko ist immer vom Kenntnisstand abhängig und davon, welcher Gruppe von Beteiligten man zuzuordnen ist (Risikogeber, Risikonehmer, Regulierer). Entscheider können risikoaffin, risikoneutral oder risikoavers handeln.[20] Diese Art der Kategorisierung der Risikoneigung ist allerdings nur für das symmetrische Paar Risiko / Chance anwendbar. Betrachtet man das reine Schadensrisiko so ist bereits die Existenz des Risikomanagement ein Zeichen für die Risikoaversion der Unternehmung.
Für das Risikomanagement ist eine objektive Beurteilung des Risikos notwendig.[21] Dabei stellt sich die Frage, ob Risiko überhaupt messbar ist. Aus der Definition des Risikos N = MEx P (1), ergeben sich die zu messenden Größen Bruttoschaden und Wahrscheinlichkeit. Die drei Grundvoraussetzungen des Messens sind:
- Die zu messende Größe muss eindeutig definiert sein.
- Die Bezugsgröße oder Einheit muss vereinbart oder durch Konvention festgelegt sein.
- Das Messverfahren muss mit allen Randbedingungen, die sich auf den Messwert auswirken, eindeutig festgelegt sein.
Als Bezugsgröße für Risiko werden monetäre Werte in Form von Geldeinheiten festgelegt. Eine typische Einheit ist N in tausend Euro. Die Frage nach dem Messverfahren gestaltet sich dagegen komplizierter, da ein Verfahren gefunden werden muss, das den Gegenwert des drohenden Schadens isoliert betrachtet. Dies ist oft nicht möglich, da der Bruttoschaden M eines Risikos von möglichen anderen Schäden oder Entwicklungen überlagert sein kann. Dementsprechend sind auch die Randbedingungen der Messung sehr komplex und nur schwer eindeutig festzulegen. Die zu messende Größe ist der Bruttoschaden des Risikos. Der Bruttoschaden an sich ist dabei nur sehr schwer zu definieren. Der unmittelbare Schaden wie z.B. durch Zerstörung eines Betriebsmittels oder Wiederaufbau einer Produktionslinie ist relativ einfach einem Risiko zuzuordnen. Deutlich komplexer wird die Zuordnung mittelbarer Schäden, wie z.B. durch Gewinnausfall. Werden zudem noch intangible Ressourcen wie z.B. Image oder Mitarbeitermotivation geschädigt, sind diese, einem Risiko zurechenbare Schäden, nur sehr schwer zu quantifizieren Der Bruttoschaden ist nicht mehr eindeutig definiert. Ähnlich verhält es sich mit der Eintrittwahrscheinlichkeit P. Durch den Zukunftsbezug ist eine direkte Messung nicht möglich. Die einzige Möglichkeit besteht darin, auf der Basis von Vergangenheitswerten und Simulationen mit Hilfe der Statistik Eintrittwahrscheinlichkeiten abzuschätzen. Man kann also argumentieren, dass Risiko nicht durch Messung zu bestimmen ist, sondern nur durch Abschätzung mit einer gewissen Unsicherheit.
Es gibt zwei Quellen von Daten, die Informationen für diese Abschätzung bereitstellen: Vergangenheitsbezogene, reale Daten aus Schadensfällen und zukunftsbezogene, virtuelle Daten aus Schadenszenarien. Um ein Schadenszenario zu entwerfen sind zuerst die Randbedingungen und Zusammenhänge zu klären, in deren Rahmen sich Fehler und Schäden entwickeln können. Szenarien erhalten besonders in Fällen, in denen es aus wirtschaftlichen (großtechnische Anlagen), technischen (zerstörende Prüfung) oder ethischen Gründen (Gesundheitsrisiken) nicht möglich ist reale Daten zu gewinnen, erhöhte Bedeutung. So weit vorhanden, können reale Daten genutzt werden um Randbedingungen und Quantifizierung des Schadens zu verbessern.[22]
Während das Risiko nur abgeschätzt werden kann, gibt es bestimmte, messbare Indikatoren, die auf ein Risiko oder ein Schadensereignis hinweisen. Das Auffinden und Zuordnen aussagekräftiger Frühindikatoren ist ein wesentlicher Bestandteil des Risikomanagements. Beispiel für einen Frühindikator im Bereich Vertrieb ist eine rückläufige Tendenz im Auftragseingang, ein Beispiel im Bereich Finanzen ist die Deckung des Anlagevermögens durch langfristiges Kapital (Eigenkapital und langfristiges Fremdkapital). Im technischen Bereich ist ein mögliches Beispiel die Temperatur eines Lagers, die Aufschluss über Abnutzung und damit eventuelles Ausfallrisiko geben kann. Über repräsentative Stichproben können die Merkmale eines Prozesses überwacht werden. Das Verhalten von Prozessen lässt sich anhand von Qualitätsregelkarten darstellen, wodurch Aussagen über das Risiko von Ausschussprodukten ermöglicht werden. Entsprechend stellt z.B. Statistical Process Control (SPC) und die Festlegung von Eingriffsgrenzen eine risikovermindernde Handlung aufgrund von Frühindikatoren dar.
Eine im Risikomanagement gebräuchliche Kennzahl für den monetären Gegenwert eines Risikos ist der Value at Risk (VaR), der den maximalen Verlust, der mit einer vorgegebenen Wahrscheinlichkeit innerhalb einer festgelegten Periode nicht überschritten wird, darstellt.[23] Für mittel- bis langfristige Prognosen wird in Unternehmen oft der, im Gegensatz zum statistisch-komparativen VaR, dynamische Cash-Flow-at-Risk (CFaR) benutzt.[24] Der CFaR gibt mit einer bestimmten Wahrscheinlichkeit den Betrag an, den der periodische Cash-Flow nicht durch Veränderungen (beispielsweise der Marktpreise, Absatzmenge oder Instandsetzungskosten) unterschreitet.[25] Wie sich der VaR und CFaR berechnet zeigt Abschnitt 3.4.2 Risiko beurteilen - Risikobewertung. Zur risikoorientierten Ergebnissteuerung lässt sich der Return on Risk Adjusted Capital (RORAC) durch Abzug des VaR vom Betriebsergebnis berechnen.[26] Ein weiterer Ansatzpunkt für eine Risikokennzahl der wertorientierten Unternehmensführung ist der Risk Adjusted Return on Capital (RAROC), eine Weiterführung des Return on Equity (RoE), welcher eine risikoadjustierte Eigenkapitalrendite beschreibt.
2.3 Gesetzliche Vorlagen, Trends
In der Diskussion über eine verbesserte Unternehmensführung und Unternehmensüberwachung (Corporate Governance), wurde Risikomanagement als eine wichtige Aufgabe der Unternehmensleitung erkannt. Primärer Zweck der Corporate Governance ist es „Aktionäre und andere, von der Leistung und dem Verhalten der Kontrollinhaber abhängigen, Parteien vor Vermögensschädigung und anders gearteten Übervorteilungen zu schützen.“[27] Dadurch sollen Anreize für ein effizientes (Investitions-) Verhalten der Anleger geschaffen werden. Unzureichendes Risikomanagement, durch fehlerhaftes Einschätzen von Risiko oder unvollständige Identifikation von Risikoquellen, kann ein Unternehmen schnell in eine finanzielle Schieflage bringen. Im deutschen Raum wurde mit dem KonTraG Risikomanagement als eine Pflicht der Unternehmensleitung gesetzlich verankert.[28]
Auch in der Fremdkapitalbeschaffung spielt Risikomanagement durch die Basel II Regelung eine wichtige Rolle für Unternehmen.
Im amerikanischen Kapitalmarkt lässt sich eine Vorschrift zum Risikomanagement aus dem Sarbanes-Oxley Act ableiten.
2.3.1 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
Im deutschen Wirtschaftsraum ist Risikomanagement durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) gesetzlich vorgeschrieben. Mit dem am 01. Mai 1998 in Kraft getretenen Maßnahmenbündel wurden gezielt Korrekturen und Ergänzungen einzelner Regelungen, unter anderen, in das Aktiengesetz (AktG) und Handelsgesetzbuch (HGB) aufgenommen. Das KonTraG ist per Definition auf Aktiengesellschaften beschränkt und hat dabei Auswirkungen auf drei Bereiche. So ist die hauptamtliche Unternehmensleitung und die nebenamtliche Unternehmensüberwachung in ihrem dualistischen Aufbau, Vorstand und Aufsichtsrat, als auch der zu veröffentlichende Jahresabschluss und die Jahresabschlussprüfung betroffen.
Nach § 91 Abs. 2 AktG obliegt es dem Vorstand ein Risikomanagement im Sinne eines Risikofrüherkennungssystem zu installieren.[29]
Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.[30]
Ziel der Gesetzänderung ist kein Ausschluss der existenzgefährdenden Risiken, sondern eine Sensibilisierung der Unternehmensleitung. Sie soll jederzeit über die Risikobelastung des Unternehmens informiert sein. Unternehmerische Risiken sollen identifiziert, begleitend überwacht und im Zeitpunkt, an dem sie wesentlich für die wirtschaftliche Lage der Unternehmung werden, bewältigt werden.[31] Der Gesetzgeber verzichtet dabei auf Festlegungen im Bereich der Ausgestaltung des Überwachungs- und Risikomanagementsystems und überlässt dieses Gebiet den Aktiengesellschaften selbst. Aufgrund der Rechte und Pflichten des Aufsichtsrates aus § 111 AktG hat dieser sich ebenfalls mit dem Risikomanagement des von ihm kontrollierten Unternehmens zu beschäftigen.[32] Gemäß § 93 Abs. 2 und § 116 AktG haften sowohl Vorstand als auch Aufsichtrat bei Verletzung ihrer Pflichten gegenüber der Gesellschaft.
Aktiengesellschaften haben im Lagebericht „auch auf die Risiken der künftigen Entwicklung einzugehen“.[33] Es besteht damit im Jahresabschlussbericht eine Informationspflicht für Unternehmen, Risiken, welche die Vermögens-, Ertrags- und Finanzlage maßgeblich beeinflussen können und die den Bestand des Unternehmens gefährden, auszuweisen.[34]
Auswirkungen auf die Jahresabschlussprüfung sind über § 317 Abs. 2 HGB gegeben:
... Dabei ist auch zu prüfen, ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind.[35]
Diese Prüfung durch den externen Wirtschaftsprüfer folgt dem Prüfungsstandard (PS) 340 des Instituts der Wirtschaftsprüfer (IDW). In diesem wird Risikomanagement definiert als „die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung“.[36] Kernpunkte der Prüfung sind:[37]
- Feststellung der Existenz eines Risikofrüherkennungssystems (Voraussetzung ist die Dokumentation des Systems)
- Beurteilung der Eignung des Systems
- Prüfung der Einhaltung des installierten Systems
Obwohl das KonTraG nur für Aktiengesellschaften gilt und beispielsweise nicht direkt in das GmbH-Gesetz übernommen wurde, ist entsprechend der Begründung des Gesetzgebers von einer sogenannten Ausstrahlwirkung auf den Pflichtenrahmen der Geschäftsführer anderer Gesellschaftsformen auszugehen.[38][39]
Auch das am 10. Dezember 2004 in Kraft getretene Bilanzrechtsreformgesetz (BilReG), das eine Maßnahme zur Modernisierung und Internationalisierung der deutschen Konzernrechnungslegung im Sinne der International Accounting Standards / International Finance Reporting Standards (IAS/IFRS) darstellt, greift Risikomanagement als einen zentralen, zu prüfenden Bestandteil auf.[40]
2.3.2 Basel II
Mit dem New Basel Capital Accord, besser bekannt unter dem Begriff Basel II, des 1975 durch die Präsidenten der Zentralbanken der G-10 Staaten gegründeten Baseler Ausschuss für Bankenaufsicht, werden indirekt höhere Anforderungen an Controlling und Risikomanagement von kreditnehmenden Unternehmen gestellt.[41] Die Ende 2006 in Kraft tretende Basel II Vorschrift regelt die Eigenkapitaldeckung von Banken neu. Bisher sind Banken dazu verpflichtet Kredite als Risikoaktiva mit mindestens 8% Eigenkapital zu unterlegen.[42] Die Aktiva werden dabei nach Schuldnerklassen unterschiedlich gewichtet, die erforderliche Eigenkapitalunterlegung wird wie folgt berechnet:
Erf. Eigenkapitalunterlegung = Forderungssumme E Risikogewicht E 8% (3)
Abbildung in dieser Leseprobe nicht enthalten
Dabei zeigten sich folgenden Schwächen:[43]
- Operationelle Risiken werden nicht berücksichtigt
- Dominanz quantitativer Faktoren im Risikomanagementprozess
- Geringe Berücksichtigung des Risikoprofils der Bank
Durch Basel II soll nun das individuelle Kreditrisiko zum ausschlaggebenden Faktor in der Kreditpreiskalkulation werden.[44] Damit wird die Höhe der Eigenkapitalunterlegung stärker von individuellen Kreditrisiken und den operationellen Risiken der Bank bestimmt. Operationelle Risiken sind Verlustrisiken, die ihre Ursache in inadäquaten Prozessen, Versagen von Personen oder Systemen und externen Ereignissen haben.[45] Beispiele für operationelles Risiko sind: Ausfall von Computersystemen, terroristische Anschläge oder unerlaubte Handlungen von Mitarbeitern.[46] Ziel von Basel II, wie auch schon von Basel I, ist die Erhöhung der Stabilität des weltweiten Bankensystems.[47] Die drei Säulen, auf denen Basel II dabei basiert, sind die quantitativen Eigenkapitalanforderungen (Mindestkapitalanforderungen), das aufsichtsrechtliche Überprüfungsverfahren (qualitative Ausrichtung) und die Vorschriften und Empfehlungen zur Offenlegung von Informationen (Marktdisziplin). Im Kontext des allgemeinen Risikomanagements, das nicht nur auf Banken beschränkt ist, spielt dabei vor allem die erste Säule, Mindestkapitalanforderungen, eine wichtige Rolle.
Formal wurde die Formel für das zu unterlegende Eigenkapital erweitert:
Erf. EK-Unterlegung = (gewichtete Risikoaktiva des Kreditrisikos + (4)
12,5 · (Anrechnungsbetrag Marktrisiko + operationelles Risiko)) · 8%
Bei der Ermittlung des Kreditrisikos wird durch ein Ratingverfahren die Bonität des Schuldners ermittelt. Für Unternehmen, die Fremdkapital beschaffen wollen, bedeutet dieses Rating:[48]
- Bewertung der zukünftig zu erwartenden wirtschaftlichen Entwicklung
- Einschätzung der Fähigkeit des Unternehmens zukünftigen Zahlungsverpflichtungen nachzukommen
- Einstufung in Risiko(Rating)klassen hinsichtlich der Zahlungsausfallwahrscheinlichkeit
Eine entscheidende Änderung gegenüber Basel I ist die Zulassung bankinterner Ratings (Internal Ratings Based Approach, IRB) neben den bisher einzig anerkannten externen Ratings durch Ratingagenturen wie z.B. Standard & Poors, Moodys, oder Fitch. Basel II verbilligt entsprechend die Fremdkapitalfinanzierung für Unternehmen mit gutem Rating und umgekehrt.[49] Basierend auf Basel II werden Banken zukünftig eine fundierte Risikoanalyse von Unternehmen erstellen, die neben quantitativen Faktoren wie der augenblicklichen und zukünftigen Ertrags- und Finanzlage, verstärkt qualitative Aspekte, wie das Unternehmensmanagement, die Unternehmensorganisation, -struktur und unternehmerische Steuerungsinstrumente - wie z.B. Risikomanagement, Qualitätsmanagement und Controlling - mit einbeziehen.[50]
Einen wesentlichen Bestandteil der zweiten Säule, „qualitative Ausrichtung der Bankenaufsicht“, stellen in Deutschland die von der Bundesanstalt für Finanzdienstleistungen (BaFin) 2005 herausgegebenen „Mindestanforderungen an das Risikomanagement“ (MaRisk) dar.[51] Sie sind als Konsultationspapier zu verstehen, dessen Grundlage §25a Abs 1. des Kreditwesengesetzes (KWG) ist. Die MaRisk integrieren dabei die bereits existierenden Mindestanforderungen an das Kreditgeschäft (MaK), an das Betreiben der Handelsgeschäfte der Kreditinstitute (MaH) und an die Ausgestaltung der Innenrevision der Kreditinstitute (MaIR). Zusätzlich beziehen sie neue Risikoarten wie das Liquiditätsrisiko, das Zinsrisiko und das operationelle Risiko in das Gesamtbank-Risikomanagement mit ein.[52] Das Prinzip der Risikotragfähigkeit wird als zentrale Rahmenbedingung des Risikomanagement der Banken eingeführt und damit die maximale Risikoaufnahme einer Bank begrenzt.
Durch die MaRisk werden die bisher bestehenden Mindestanforderungen an Banken deutlich erweitert und in gewisser Weise wird durch die stetige qualitative Überwachung ein kontinuierlicher Verbesserungsprozess des bankinternen Risikomanagements initiiert. Die Banken geben diese erhöhten Anforderungen in Form einer detaillierteren Risikoanalyse und höheren Ansprüchen an die Informationstransparenz an die Unternehmen weiter. Dadurch wird betriebliches Risikomanagement zu einem wichtigen Instrument zur Sicherung der Unternehmensexistenz. Die stärkere Beschäftigung der Banken mit den Risiken ihrer Kreditnehmer erhöht auch den Druck auf kleine und mittlere Unternehmen (KMU) effiziente Risikomanagementsysteme aufzubauen und frühzeitig Rating-Strategien zu entwickeln, um das vom Kreditinstitut wahrgenommene Risiko bei Kreditengagements zu reduzieren.[53]
2.3.3 Sarbanes-Oxley Act
Der Sarbanes-Oxley Act ist eine direkte Reaktion auf eine Reihe von Finanzskandalen in den Vereinigten Staaten, die zu einem schwindenden Vertrauen der Anleger in die Kapitalmärkte führten. Als Schlüsselereignisse kann man die Insolvenzen des ehemals zweitgrößten US-Telekom-Konzerns WorldCom 2002 und des texanischen Energiekonzerns Enron im gleichen Jahr sehen. In beiden Fällen wurden mit dem Wissen der Unternehmensleitung (WorldCom Chief Executive Officer (CEO) Ebbers bzw. Enron CEO Lay) vorsätzlich Vermögenswerte bzw. Gewinn in der Bilanz erhöht ausgewiesen. Im Fall WorldCom deckte die amerikanische Börsenaufsicht SEC Falschbuchungen in der Höhe von 7,2 Milliarden US-Dollar auf, während Enron in den Jahren 1998 bis 2002 den Unternehmensgewinn um je 20% - insgesamt 586 Millionen US-Dollar - zu hoch angab.[54] Der am 30. Juli 2002 von US-Präsident George W. Bush unterzeichnete Sarbanes-Oxley Act (SOA) stellt die bedeutendste Änderung der US-Wertpapiergesetze seit dem Securities Act von 1933 und dem Securities Exchange Act von 1934 dar. Er umfasst dabei Bestimmungen zur Einführung eines „Public Company Accounting Oversight Boards“ (PCAOB), zur Kontrolle und Überwachung von Wirtschaftsprüfungsgesellschaften, und erweitert in Section 302, „Corporate Responsibility For Financial Reports“, die Verantwortlichkeiten der Unternehmensleitung. Dies umfasst die persönliche Haftung der Unternehmensführung, verschärfte strafrechtliche Bestimmungen bei unrichtiger eidesstattlicher Bestätigung und Unregelmäßigkeiten der Rechnungslegung (Unternehmensbetrug), erweiterte Aufbewahrungspflichten für Dokumente und die persönliche Unterzeichnung der Steuererklärung durch den CEO.[55] Im Rahmen des Risikomanagements spielt vor allem Section 404, „Management Assessment of Internal Controls“, eine Rolle. Risiko-Assessment und Überwachung stellt dabei einen integralen Bestandteil des internen Kontrollsystems dar. Im Assessment kommt es darauf an, Risiken quantitativ zu bewerten und ihren Einfluss auf die Zielgrößen zu bestimmen.[56] Es sind sowohl interne als auch externe Risikofaktoren zu berücksichtigen und der Handlungsbedarf festzulegen. Dadurch wird Risikomanagement im Rahmen eines internen Kontrollsystems für alle Unternehmen, die an einer amerikanischen Börse notiert sind zur Pflicht.
2.4 Risikomanagement im Controlling
Risikomanagement und Controlling sind zwei eng miteinander verwandte Bereiche. So kann man das Controlling als bereichsübergreifende Managementunterstützungs-Funktion sehen, die ein Element des Risikomanagements nach KonTraG ausmacht.[57] Aus der Definition des strategischen Controllings als „systematisches Erkennen und Beachten zukünftiger Chancen und Risiken“, kann man aber auch eine gegensätzliche Meinung in der Literatur erkennen, welche die Behandlung von Risiko dem Fachbereich Controlling unterordnet.[58] Dabei taucht das Begriffspaar Risikomanagement und Risikocontrolling auf, wobei der Begriff Risikocontrolling sowohl als Synonym für das operative Risikomanagement, als auch als eigenständiger Begriff zur Risikobehandlung in der Konzeption des Controllings gebraucht wird.[59]
Trotz der vielen Überschneidungen ist eine klare Abgrenzung erforderlich. Controlling kann funktional definiert werden als „dasjenige Subsystem der Führung, das Planung und Kontrolle sowie Informationsversorgung systembildend und systemkoppelnd ergebniszielorientiert koordiniert und so die Adaption und Koordination des Gesamtsystems unterstützt“.[60] Risikomanagement umfasst dagegen alle Aktivitäten des Unternehmens mit Risiken, insbesondere Identifikation, Bewertung, Aggregation, Überwachung und Maßnahmen zur Bewältigung.[61]
Das Controlling nimmt, entsprechend der Definition, in einem Unternehmen verschiedene Funktionen war. So erfüllt Controlling eine Informationsversorgungsfunktion, indem es die richtigen Daten richtig aggregiert an den richtigen Adressaten übermittelt. Zusätzlich nimmt es durch den Abgleich der Teilpläne und der Erstellung und Erfassung von Plan-, Soll- und Istdaten und Budgets, die an den unternehmerischen Zielen ausgerichtet sind, eine Koordinationsfunktion und Planungsfunktion war. Durch die Einrichtung eines kybernetischen Steuer- bzw. Regelkreises aus erkannten und analysierten Abweichungen von Plan-, Soll- und Istdaten kann dem Controlling zudem eine Lenkungsfunktion innerhalb des Unternehmens zugeordnet werden.
Controlling erarbeitet diejenigen Ziele, die durch das Wirksamwerden von Risiken verfehlt werden können und deckt diese Verfehlungen im Rahmen von Überwachungs- und Kontrollaktivitäten auf. Dadurch besteht eine enge Beziehung zwischen Risikomanagement und Controlling. Entsprechend können einige Instrumente des Controllings bereits Grundaufgaben des Risikomanagements abdecken bzw. dahingehend erweitert werden.[62] Im Rahmen der Planungsfunktion erarbeitet das operative Controlling Planwerte für die kurz- und mittelfristige Zukunft des Unternehmens. Mit dem Ziel einer transparenten Planung werden dabei zunächst alle Planwerte und die zugrunde liegenden Annahmen strukturiert und nachvollziehbar zusammengefasst.[63] Da Risiken per Definition Plan- bzw. Sollabweichungen darstellen, ist die Planung ein erster Ansatzpunkt des Risikomanagements, weswegen Controlling hier zwei Grundaufgaben übernehmen kann. Erstens ist es möglich, durch eine transparente Planung den Risikoumfang reduzieren, indem die Planungsansätze den Anspruch der Erwartungstreue erfüllen.[64] In der Praxis findet sich oft eine gewertete Prognose im Sinne einer konservativen (Planwerte werden mit hoher Wahrscheinlichkeit zumindest erreicht) oder anspruchsvollen Planung (Planwerte nur bei hoher Anstrengung und günstigem Umfeld erreichbar). Diese Werte stellen nicht den tatsächlichen Erwartungswert der Planvariablen dar, sondern Zielwerte aus der Unternehmenssteuerung. Dies führt zu systematischen Abweichungen und damit zu einer erhöhten Risikoposition. Entsprechend ist eine strikte Trennung zwischen erwartungstreuen Planwerten und davon abweichenden Zielwerten vorzunehmen. Zweitens kann über die Annahmen und Überlegungen, die als Grundlage der Planung dienen, bereits eine erste Risikoidentifizierung durchgeführt werden. So kann bei der Erstellung der einzelnen Teilpläne (z.B. Umsatzplan) zwischen risikolosen, fixen (z.B. interne Verrechnungspreise) und risikobehafteten Annahmen (z.B. Wechselkursschwankungen, Wettbewerb, Konjunktur) unterschieden werden. Durch eine strukturierte Sammlung dieser risikobehafteten Planannahmen kann ein erstes Risikoinventar aufgestellt werden.
Eine zentrale Rolle im Controlling spielen Abweichungsanalysen, mit denen die Ursachen für aufgetretene Planabweichungen untersucht werden.[65] Dabei werden den Istdaten durch Benchmarking Vergleichswerte gegenübergestellt. Vergleichswerte erhält man aus der Vergangenheit der Variable, aus Branchenindices und durch Vergleich mit den Planwerten. Falls eine flexible Plankostenrechnung im Unternehmen existiert, durch die sich die Plankosten zur Planbeschäftigung in die Plankosten zur Istbeschäftigung (Sollkosten) umrechnen lassen, ist auch ein Vergleich mit den Sollkosten möglich.[66] Gründe für Abweichungen lassen sich unterscheiden in Beschäftigungsabweichungen (wie z.B. Output einer Maschine, Verkaufsmenge), Verbrauchsabweichungen (durch Mehr- oder Minderverbrauch von Material, Zeit oder Ressourcen) und sonstige Abweichungen, wie Preisabweichungen (z.B. Beschaffungspreise) oder Produkt-Mix-Abweichungen (z.B. Sortimentsabweichungen durch eine Verschiebung der Absatzgebiete oder Abnehmerstruktur). Durch eine flexible Plankostenrechnung auf Teilkostenbasis lassen sich tatsächliche, echte Verbrauchsabweichungen durch die Differenz zwischen Sollkosten zu Planpreisen und Istkosten zu Planpreisen darstellen.[67] Werden die Ursachen der Abweichung analysiert, so können hier eventuell neue Risiken erkannt und in das Risikoinventar eingestellt werden. Kann man die Abweichungen auf bereits erkannte risikobehaftete Planannahmen zurückführen, so entstehen neue Informationen für die Quantifizierung des Risikos.[68] Über die Zeit gesammelt, können aus den Planabweichungen der Vergangenheit Rückschlüsse auf das Gesamtrisiko abgeleitet und somit die Quantifizierung von Risiken unterstützt und Trends analysiert werden.
Darüber hinaus werden Risiken sowohl in der Bilanzierung, dem externen Rechnungswesen und der Kosten- und Leistungsrechnung, dem internem Rechnungswesen, berücksichtigt.[69] Die im Imparitätsprinzip begründete Bilanzposition Rückstellungen stellt einen Abgrenzungsposten dar, der die Aufgabe hat, Aufwendungen, die erst in einer späteren Periode zu einer in ihrer Höhe und Fälligkeitstermin noch nicht feststehenden Vermögensminderung führen, der Periode ihres Entstehens zuzuordnen. Damit kann man Rückstellungen als eine bilanzierte Erfassung bekannter Risiken interpretieren.[70] Benutzt man dabei den VaR Ansatz, so kann die Bewertung der Rückstellungen direkt aus der Risikobewertung des Risikomanagementprozesses übernommen werden. Gleiches gilt für die bilanzwirksame Erfassung von möglichen Forderungsausfällen, die durch Einzelwertberichtigung oder durch Pauschalwertberichtigung, unter Zuhilfenahme von Ratingverfahren, quantifiziert werden. In der Kosten- und Leistungsrechnung besteht die Möglichkeit kalkulatorische Kosten und Leistungen zu erfassen, die in der Bilanzierung nicht angesetzt werden können. Dies umfasst auch die kalkulatorischen Wagnisse, die durch das Vorliegen unvollkommener Informationen (Planannahmen) infolge von Ungewissheit entstehen und entsprechend aus der Gefahr des Misslingens unternehmerischen Handelns resultieren.[71] Dabei kann man zwischen einem nicht zu quantifizierenden allgemeinem Unternehmerwagnis, das sich letztendlich im Betriebsergebnis und damit im Gewinn oder Verlust auswirkt und durch Gewinnzuschlag oder Kapitalkosten erfasst wird, und den speziellen Einzelwagnissen, die aus der Leistungserstellung heraus entstehen, unterscheiden. Diese wirtschaftlich nachteiligen Auswirkungen außergewöhnlicher, unregelmäßig nur von Zeit zu Zeit, sporadisch eintretende Ereignisse sind als Durchschnittswerte zu erwarten und werden entsprechend den in der Vergangenheit gesammelten Erfahrungen und den voraussehbaren Entwicklungen der Zukunft als Erwartungswerte durch die Kostenart Wagniskosten in die Kostenartenpläne aufgenommen.[72] Dies entspricht einer Internalisierung von Risiko. Durch die Berücksichtigung von Wagniskosten entsteht für das Risikomanagement der Vorteil, dass mögliche Planabweichungen schon im Voraus ausgeglichen werden, wodurch sich die Planungssicherheit erhöht.[73] Ob man die kalkulatorischen Wagnisse allerdings direkt als quantifizierte Risiken in den Risikomanagementprozess aufnehmen sollte, steht dabei zur Diskussion. Der Definition nach ist Risiko eine Plan- bzw. Sollabweichung. Durch den Ansatz der Wagnisse als kalkulatorische Kosten werden diese Leistungsrisiken internalisiert und in die Planung mit einbezogen. Man unterscheidet demnach das Risiko nach erwarteten Verlust in Form der kalkulatorischen Wagnisse, der z.B. in den Angebotspreis einkalkuliert wird und in einen unerwarteten Verlust als eigentliches Risiko der Plan- bzw. Sollabweichung, das im Risikomanagement behandelt wird.
Abschließend ist festzustellen, dass Controlling erste Grundaufgaben in der Risikoidentifizierung und -quantifizierung übernehmen und über die Planungssicherheit den Gesamtrisikoumfang reduzieren kann.
Mögliche Erweiterungen des Controlling Instrumentariums können durch statistikgestützte Szenarioplanung, eine erweiterte Integration von Planungs- und Risikomanagementprozess und den Aufbau eines Frühaufklärungssystems realisiert werden. Szenarioplanung zeigt mögliche Szenarien für die Zukunftsentwicklung eines Unternehmens auf. Dabei werden Worst-Case und Best-Case Szenarien unter der Spezifikation von Konfidenzniveaus erstellt. Mit Hilfe der Statistik (Dreiecksverteilung, Normalverteilung) lassen sich auch Aussagen über Szenarien zwischen den Extremfällen treffen. Dabei lässt sich die Methodik der Simulation, z.B. nach der Monte-Carlo-Methode anwenden. Da Szenarien Variationen der möglichen Streuung der Ist- von den Plandaten angeben, stellt die Berechnung der Zielgröße (z.B. Gewinn) aus den Szenarien eine Bewertung der Risiken und damit eine Form der Risikoaggregation dar.[74] Controlling kann durch die Erfassung risikobehafteter Planannahmen die Risikoidentifikation unterstützen. Mit Hilfe der Szenarioanalyse können diese bewertet werden. Eine mögliche Erweiterung der Planung wäre die risikoorientierte Budgetierung (z.B. von Kostenstellen), wobei der Budgetempfänger gleichzeitig als Risikoeigentümer die zusätzliche Funktion der Überwachung der Risikoentwicklung wahrzunehmen hat. Durch die Aufnahme der Statistik, der Erweiterung der traditionellen einwertigen Planung zur stochastischen Planung, lassen sich zahlreiche Funktionen des Risikomanagements im Controlling verwirklichen. Zusätzlich können identifizierte Ursache-Wirkungsketten von Planannahmen als Frühwarnsysteme des Risikomanagementsystems benutzt werden (z.B. sinkender Konsumklima-Index als verzögerter Indikator einer Absatzreduzierung).[75]
2.5 Methoden des Risikomanagements
2.5.1 Risikobewältigung
Nach der Identifikation und Bewertung von Risiken dienen Risikobewältigungs-maßnahmen der direkten Beeinflussung der Risikoposition eines Unternehmens. Grundsätzlich stehen einem Unternehmen mehrere Möglichkeiten zur Optimierung des Gesamtrisikoumfangs zur Verfügung:[76]
- Risikovermeidung
- Risikoreduzierung (ursachen- bzw. wirkungsorientiert)
- Überwälzen von Risiken
- Risiken selbst tragen
Diese vier Möglichkeiten stellen Strategien für den Umgang mit Risiko dar. Im Rahmen eines Top-Down Ansatzes eines Risikomanagementsystem in Form der Gliederung in normatives (Risikopolitik), strategisches (Risikostrategie) und operatives (Risikomanagementprozess) Risikomanagement, ist die Risikobewältigung die Methodik mit deren Hilfe die Ziele aus der Risikopolitik erreicht werden sollen.[77] Entsprechend ist die grundsätzliche Art der Risikobewältigung dem strategischen Risikomanagement zuzuordnen und wird in Punkt 3.2 Strategisches Risikomanagement im Rahmen der Beschreibung eines Risikomanagementsystems detaillierter vorgestellt. Durch den operativen Risikomanagementprozess werden die Strategien konkretisiert und angewendet. Einen wichtigen Beitrag zu diesem Risikomanagementprozess leisten das Kontinuitätsmanagement und die Krisen und Notfallplanung.
2.5.2 Business Continuity Management (BCM)
Im Risikomanagement steht die Existenzsicherung des Unternehmens im Vordergrund. Das traditionelle Risikomanagement neigt dabei zur präventiven Absicherung und der Denkweise, durch zusätzliche Kontrolle das Eintreten ungünstiger Ereignisse verhindern zu können.[78] Diese risikoaverse Grundhaltung begründet sich auch in der erweiterten Haftung der Vorstände und Aufsichtsräte. Erfahrungen aus der Praxis zeigen aber, dass Unternehmen immer wieder, trotz eines ausgebauten internen Kontrollsystems, von Krisen überrascht und in ihrer Existenz bedroht werden. Sowohl die aktuelle, zunehmende globale Vernetzung der Unternehmungen, als auch die Selbstverständlichkeit und der schnelle Fortschritt der Technisierung und Digitalisierung führen zu einer Steigerung der gegenseitigen Abhängigkeiten von Infrastrukturen und Geschäftsprozessen. So können bereits verhältnismäßig kleine Zwischenfälle in kritischen Infrastrukturen (z.B. IT- oder Telekommunikationsnetzwerke, Just-In-Time Produktionsnetze, Transportwesen) Kettenreaktionen auslösen. Folgende Risikofaktoren können zu nachhaltigen Ausfällen und Störungen führen sind:[79]
- Ausfall von Telekommunikation / IT
- Stromausfall
- Naturkatastrophen
- Epidemien
- Terroristische Anschläge
Es handelt sich hierbei um externe, operationelle Risikofaktoren. Beispiele für eingetretene Krisen sind Angriffe auf IT-Systeme durch Varianten der Computerviren Nimda, Blaster und Sasser (2000-2004), der Stromausfall an der Ostküste der USA und Kanada im August 2003, das Elbhochwasser in Deutschland 2002, Überschwemmungen durch Hurrikan Katrina 2005, den Ausbruch der Lungenkrankheit Severe Acute Respiratory Syndrome (SARS) in Südostasien 2003, die Bedrohung durch die mögliche Epidemie von H5N1 Erregern (Vogelgrippe) 2006 und die Anschläge des 11. Septembers 2001.
Nicht nur aus dem operationellen Risiko können sich nicht zu vermeidende Krisen ergeben. Im Rahmen der zunehmenden Optimierung von Geschäftsprozessen, Kostensenkungen, Automatisierung und Outsourcing, werden natürliche Pufferzonen zugunsten des Lean Management-Gedankens beseitigt.[80] Konsequenterweise werden Unternehmen dadurch auch anfälliger für Krisen aus dem Markt bzw. von Zulieferunternehmen (z.B. Schaden bei General Motors durch Insolvenz von Delphi, 2005). Entsprechend hat sich das betriebliche Risikomanagement in der Phase der Risikobewältigung nicht nur mit der Absicherung gegen zukünftige Risiken, sondern auch mit dem Umgang mit eingetretenem Risiko zu beschäftigen. In diesem Zusammenhang taucht der Begriff der betrieblichen Kontinuität und des Kontinuitätsmanagements (Business Continuity Management, BCM) auf. Kontinuitätsmanagement basiert auf einem militärischen Ursprung. Grundgedanken zur Strategie der Krisenbewältigung und Kontinuität sind bereits in frühen Werken von Militärtheoretikern (wie z.B. von Clausewitz: Vom Kriege, 1832) zu finden. Durch die zunehmende Bedeutung der Informationstechnologie in Unternehmen, und das dadurch resultierende Risiko der Abhängigkeit von der Funktionsfähigkeit der IT-Infrastruktur, wird der Begriff des BCM seit den 80er Jahren mit der IT-Notfallplanung assoziiert. Diese Beschränkung als ein technisches Thema der EDV ist im Hinblick auf Corporate Governance und aktives Risikomanagement nicht mehr haltbar. BCM umfasst allgemein, betriebsübergreifend Krisenmanagement, Sicherstellung des Geschäftbetriebs in der Krise (Notbetrieb), als auch Notfall- und Wiederanlaufplanung. Entsprechend ist BCM als Geschäftsaufrechterhaltungs- und Geschäftsfortsetzungsplanung Bestandteil des Risikomanagement und indirekt aus dem KonTraG abzuleiten.[81] Entgegen dieser allgemeinen Meinung hat sich in den letzten Jahren eine zweite Auslegung des BCM entwickelt. Diese zweite Argumentationslinie, die vor allem durch das 1994 in Caversham, England gegründete Business Continuity Institute (BCI) getragen wird, sieht BCM als ganzheitlichen Managementprozess zur Verbesserung der Stabilität von Unternehmen.[82] Ziel von BCM ist es, ein robustes Unternehmen zu vertretbaren Kosten zu schaffen.[83] Das BCI schlägt dabei in den „Good Practice Guidelines“ einen Lebenszyklus-Ansatz (Abbildung 2-6) vor.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2-6: Der BCM Lebenszyklus-Ansatz [Quelle: o.V. (BCI 2005), S. 5]
So sind auf der Basis der kritischen Faktoren des Kerngeschäfts, Business Continuity Strategien zu bilden und diese über einen Maßnahmenkatalog einzuführen. Gleichzeitig soll eine BCM Kultur aufgebaut und die Maßnahmen durch Übung und Auditierung kontinuierlich verbessert werden.
In den Richtlinien versucht das BCI zudem, BCM von Risikomanagement abzugrenzen. Während die Risikobewertung als die Hauptaufgabe des Risikomanagement konstatiert wird, beschreibt das BCI die Business Impact-Analyse, daher die Ermittlung qualitativer und quantitativer Geschäftsauswirkungen eines Verlusts, einer Unterbrechung oder einer Störung, als Kernpunkt des BCM.[84] BCM konzentriert sich auf bestandsbedrohende, plötzliche bzw. schnell eintretende Ereignisse, deren Ursprung außerhalb der Kernkompetenzen des Unternehmens liegen, während Risikomanagement alle Arten von Ereignissen, beliebigen Umfangs und Intensität behandelt und den Schwerpunkt auf die Risiken legt, welche die Kernunternehmensziele betreffen. Trotz dieser spezielleren Auslegung des BCM, wird in dem BCI-Ansatz das Risikomanagement als ein integrierter Bestandteil des Kontinuitätsmanagements angegeben.[85] Das BCI definiert BCM als Managementprozess, der verschiedenste Bereiche einer Unternehmung gegenüber externen Ereignissen schützt. In seiner Anwendung sichert bzw. übernimmt er folgende Komponenten:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2-7: Komponenten von BCM [Quelle: o.V. (BCI 2005), S. 5]
Aus der Sichtweise des Risikomanagements kann man argumentieren, dass betriebliche Kontinuität ein Teil eines integrierten Risikomanagements ist und sowohl das Krisenmanagement, als auch die Notfallplanung wichtige Methoden des Risikomanagements darstellen. Gründe hierfür finden sich bereits in der Gegenüberstellung der beiden Managementkonzepte. Die weitere Auslegung von Risikomanagement lässt eine Integration des BCM in das Risikomanagement sinnvoll erscheinen. Durch das aus der Corporate Governance abzuleitende Ziel, den Fortbestand der Unternehmung sicherzustellen, ist es zudem Aufgabe des Risikomanagements auch bei eingetretenem Risiko bzw. Schaden die zukünftige Existenz des Unternehmens zu gewährleisten. Das BCM wird dadurch zur Methode des Risikomanagements. Vergleicht man BCM mit den Strategien der Risikobewältigung, so kann man das Krisenmanagement und die Notfallplanung als Strategie zur wirkungsorientierten Risikoreduzierung betrachten.
2.5.2.1 Krisenmanagement
„Eine Krise ist ein schwach definiertes Ding.“[86] Eine Krise ist eine ungünstige Situation für ein Unternehmen, die bestandsgefährdend werden kann bzw. ist. Der Begriff Krise kommt aus dem griechischen krísis für „Entscheidung“, „entscheidende Wendung“ und krínein für „trennen“. Bezeichnend ist auch das chinesische Schriftzeichen für Krise, das sich aus „wei“ für Gefahr und „ji“ für Chance, Möglichkeit (im Sinne der Statistik) zusammensetzt. Eine Krise ist ein kritischer Zustand eines Systems, der dadurch ausgelöst wird, dass Risiko oder eingetretener Schaden ein bestimmtes, a priori definiertes Limit überschreitet.[87] Krisenmanagement ist der systematische Umgang mit einer Krisensituation und hat die Rückführung zum Normalbetrieb als Aufgabe. Dagegen kümmert sich Schadensmanagement um die Behebung des Schadens als solchem und beginnt mit der Entdeckung des Schadens und endet mit der Behebung des Schadens. Die Zeit zwischen Entstehung und Entdeckung eines Schadens wird als Detektionszeit bezeichnet. Falls sich eine Krise auf einen Schaden bezieht, stellt Schadensmanagement eine Methode der Krisenbewältigung dar.
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 2-8: Der Krisenmanagementprozess [Quelle: eigene Darstellung]
Das Krisenmanagement besteht aus fünf aufeinander folgenden Prozessen. Den ersten Schritt stellt die Krisenprävention dar. Ziel ist es, die bekannten Risiken für kritische Systeme zu reduzieren. Diese Aufgabe wird bereits vom allgemeinen Risikomanagement übernommen. Eine mögliche Erweiterung stellt die bereits im BCM angesprochene Business Impact-Analyse dar. In dieser können die kritischen Geschäftsprozesse, gegenseitige Abhängigkeiten und die Wirkung von möglichen Schäden auf die Prozesse analysiert werden. Zusätzlich kann über das Ausmaß der Wirkung des Schadens auch ein maximal tolerierbarer Ausfall definiert werden. Dadurch wird ein Limit gesetzt, wann ein eingetretener Schaden eine Krise auslöst.
Ausgehend von den Daten des Risikomanagements und der Business Impact-Analyse werden Krisenszenarien für besonders große Risiken (aus der Risikoanalyse) und Risiken, die kritische Bereiche treffen können (Business Impact-Analyse), erstellt. Ausgehend von diesen Szenarien wird in der Krisenplanung ein Prozessplan entworfen, wie auf eine Krise zu reagieren ist. So können beispielsweise Notfall- und Recoverypläne, Ausweichpläne der Ressourcenbeschaffung oder Produktionskapazität und Versorgungs- und Betreuungspläne für Betroffene zum Einsatz kommen. Um Zuständigkeiten und Verantwortlichkeiten im Krisenfall zu klären und ein sofortiges, organisiertes Eingreifen zu gewährleisten, ist die Planung eines Krisenstabes, in dem Rollen und Verantwortung eindeutig festgelegt sind, Bestandteil der Krisenplanung. Der Krisenstab sollte dabei auf der Ebene der obersten Geschäftsführung angesiedelt werden, um eine schnelle Umsetzung von Entscheidungen zu gewährleisten. Ein weiterer Teil der Krisenplanung ist die Planung der Krisenkommunikation. So ist auf der einen Seite die interne Kommunikationsstruktur festzulegen. Es muss eindeutig hervorgehen, wer, wann, wen, wo zu unterrichten hat, um schnell notwendige Entscheidungen zu treffen.[88] Auf der anderen Seite spielt in Krisen vor allem die externe Kommunikation eine bedeutende Rolle. Die Schnittstelle der Kommunikation zwischen Unternehmung, Shareholder und Stakeholder ist im Plan eindeutig zu definieren und im Krisenstab zu verankern. Möglichkeiten der Planung der externen Kommunikationen sind so genannte „Darksites“, daher nicht sichtbare Seiten im Internetportal des Unternehmens, die bei Bedarf online geschaltet werden können oder vorgefertigte Pressemitteilungen. Schnelle, objektive und organisierte Information der Shareholder und Stakeholder über Art, Ausmaß und Gegenmaßnahmen der Krise schützen das Unternehmen für Imageschäden und erhöhen die Glaubwürdigkeit. Gerade für börsennotierte Unternehmen wird die externe Krisenkommunikation zu einem zentralen Punkt, da Aktienkursverfall die Krise schnell zur Insolvenz ausweiten kann. Sämtliche Planungen sind in einem Krisenmanagementhandbuch zu dokumentieren und werden durch simulierte Krisenübungen verifiziert.
[...]
[1] Gleißner, Romeike (Risikomanagement 2005), S. 7.
[2] Gleißner, Romeike (Risikomanagement 2005), S. 166.
[3] Vgl. Keller (Auf sein Auventura und Risigo handeln 2004), S. 61; vgl. Bitz (Risikomanagement nach
KonTraG 2000), S. 13.
[4] Knight (Risk, Uncertainty and Profit 1921), S. 233.
[5] Vgl. Finke (Grundlagen des Risikomanagements 2005), S. 17.
[6] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 86.
[7] Finke (Grundlagen des Risikomanagements 2005), S. 18.
[8] von Eucken (Grundlagen der Nationalökonomie 1989), S. 141.
[9] Vgl. Keitsch (Risikomanagement 2004), S. 5.
[10] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 15f.
[11] Vgl. Leitner (Die Unternehmensrisiken 1915), S. 7f.
[12] Vgl. Leitner (Die Unternehmensrisiken 1915), S. 7.
[13] Vgl. Meier ( Risikomanagement in Technologieunternehmen 2005), S. 21.
[14] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 24f.
[15] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 26.
[16] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 39.
[17] Vgl. Renn (Risikowissenschaft und Risikomanagement 2000), S. 11.
[18] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 48f.
[19] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 53.
[20] Vgl. Finke (Grundlagen des Risikomanagements 2005), S. 19.
[21] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 69.
[22] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 74f.
[23] Vgl. Hager (Was ist der “Cash Flow at Risk”? 2004), S. 40.
[24] Vgl. Hager (Was ist der “Cash Flow at Risk”? 2004), S. 41.
[25] Vgl. o.V. (cfar.de 2006)
[26] Vgl. Albrecht, Maurer (Investment- und Risikomanagement 2005), S. 789.
[27] Romeike, van den Brink (Corporate Governance 2005), S. 3.
[28] Vgl. von Hohenhorst (Anforderungen an das Risikomanagement nach dem KonTraG 2002), S. 93.
[29] Vgl. Bitz (Risikomanagement nach KonTraG 2000), S. 1f.
[30] § 91 Abs. 2 AktG.
[31] Vgl. Bitz (Risikomanagement nach KonTraG 2000), S. 3.
[32] Vgl. Bitz (Risikomanagement nach KonTraG 2000), S. 4f.
[33] § 289 Abs. 1 HGB.
[34] Vgl. Bitz (Risikomanagement nach KonTraG 2000), S. 6.
[35] § 317 Abs. 2 HGB.
[36] IDW PS 340 Tz. 4.
[37] Vgl. Bitz (Risikomanagement nach KonTraG 2000), S. 8f.
[38] Vgl. von Hohnhorst (Anforderungen an das Risikomanagement nach dem KonTraG 2002), S. 94f.
[39] Vgl. IDW PS 340.
[40] Vgl. o.V. (KPMG Global Conversion Services 2006).
[41] Vgl. Romeike, Finke (Erfolgsfaktor Risiko-Management 2003), S. 68f.
[42] Vgl. Keitsch (Risikomanagement 2004), S. 215.
[43] Vgl. Romeike, Finke (Erfolgsfaktor Risiko-Management 2003), S. 75.
[44] Vgl. Keitsch (Risikomanagement 2004), S. 215.
[45] Vgl. Koopmann, Hauser (MaRisk 2005), S. 40.
[46] Vgl. Romeike, Finke (Erfolgsfaktor Risiko-Management 2003), S. 78.
[47] Vgl. Romeike, Finke (Erfolgsfaktor Risiko-Management 2003), S. 75.
[48] Vgl. Keitsch (Risikomanagement 2004), S. 214.
[49] Vgl. Romeike, Finke (Erfolgsfaktor Risiko-Management 2003), S. 77.
[50] Vgl. Keitsch (Risikomanagement 2004), S. 219.
[51] Vgl. Romeike (Was sind die MaRisk? 2005), S. 52.
[52] Vgl. Koopmann, Hauser (MaRisk 2005), S. 40ff.
[53] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 375.
[54] Vgl. Romeike, van den Brink (Corporate Governance 2005), S. 3.
[55] Vgl. Romeike, van den Brink (Corporate Governance 2005), S. 35f.
[56] Vgl. Romeike, van den Brink (Corporate Governance 2005), S. 42.
[57] Vgl. Keitsch (Risikomanagement 2004), S. 2, S. 14.
[58] Vgl. Mann (Controlling für Einsteiger 2004), S. 29.
[59] Vgl. Götze (Risikomanagement 2001), S. 97ff.
[60] Horváth (Controlling 2003), S. 153.
[61] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 27f.
[62] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 87.
[63] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 114f.
[64] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 115.
[65] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 119f.
[66] Vgl. Kilger (Flexible Plankostenrechnung und Deckungsbeitragsrechnung 1988), S. 69ff.
[67] Vgl. Kilger (Flexible Plankostenrechnung und Deckungsbeitragsrechnung 1988), S. 69ff.
[68] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 121.
[69] Vgl. Hummel, Männel (Kostenrechnung: Grundlagen, Aufbau und Anwendung 1999), S. 3f.
[70] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 124.
[71] Vgl. Hummel, Männel (Kostenrechnung: Grundlagen, Aufbau und Anwendung 1999), S. 178f.
[72] Vgl. Hummel, Männel (Kostenrechnung: Grundlagen, Aufbau und Anwendung 1999), S. 180f.
[73] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 133.
[74] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 143f.
[75] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 147.
[76] Vgl. Gleißner, Romeike (Risikomanagement 2005), S. 36f.
[77] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 147.
[78] Vgl. von Rössing (Betriebliche Kontinuität 2005), S. 14f.
[79] Vgl. Keitsch (Risikomanagement 2004), S. 130f.
[80] Vgl. von Rössing (Betriebliche Kontinuität 2005), S. 15.
[81] Vgl. Keitsch (Risikomanagement 2004), S. 132.
[82] Vgl. o.V. (BCI 2005), S. 5.
[83] Vgl. von Rössing (Betriebliche Kontinuität 2005), S. 15.
[84] Vgl. o.V. (BCI 2005), S. 23.
[85] Vgl. von Rössing (Betriebliche Kontinuität 2005), S. 18.
[86] Meier (Risikomanagement in Technologieunternehmen 2005), S. 156.
[87] Vgl. Meier (Risikomanagement in Technologieunternehmen 2005), S. 159.
[88] Vgl. Keitsch (Risikomanagement 2004), S. 139.
-
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen.