Bedeutung und Ausgestaltungsmöglichkeiten der Balanced Scorecard als Instrument des Risikocontrollings

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1 Einleitung
1.1 Problemstellung und Zielsetzung
1.2 Gang der Untersuchung

2 Begriffliche und konzeptionelle Grundlagen
2.1 Risiko
2.2 Risikomanagement
2.2.1 Notwendigkeit und Ziele eines Risikomanagementsystems
2.2.2 Regulatorische Rahmenbedingungen
2.2.2.1 Gesetzliche Regulierung
2.2.2.2 Corporate Governance Kodizes
2.2.2.3 Risikomanagement-Standards
2.2.3 Risikomanagementprozess
2.2.3.1 Risikostrategie
2.2.3.2 Risikoidentifikation
2.2.3.3 Risikobewertung
2.2.3.4 Risikosteuerung
2.2.3.5 Risikokontrolle und -reporting
2.2.4 Mängel von Risikomanagementsystemen
2.3 Risikocontrolling
2.3.1 Abgrenzung zum Controlling und Risikomanagement
2.3.2 Ziele, Aufgaben und Instrumente
2.3.2.1 Phasenspezifische Instrumente
2.3.2.2 Phasenübergreifende Instrumente
2.4 Balanced Scorecard
2.4.1 Die Perspektiven
2.4.2 Balanced Scorecard-Prozess
2.4.3 Kritik an der Balanced Scorecard

3 Balanced Scorecard und Risikomanagement
3.1 Ergänzungen der klassischen Balanced Scorecard
3.1.1 BSC mit separater Risikoperspektive
3.1.2 BSCPlus
3.1.3 Risk Enhanced Balanced Scorecard
3.2 Neukonzeptionen der Balanced Scorecard
3.2.1 Balanced Chance and Risk Card
3.2.2 Erfolgsfaktor-basierte BSC
3.2.3 Risk Adjusted Balanced Scorecard

4 Bewertung der Tauglichkeit einer BSC als Instrument des Risikocontrollings
4.1 Bewertungssystematik
4.1.1 Phasenspezifische Anforderungen
4.1.2 Phasenübergeifende Anforderungen
4.2 Bewertung der Integrationsansätze
4.2.1 Bewertung der phasenspezifischen Anforderungen
4.2.1.1 Phase der Strategie/Risikostrategie
4.2.1.2 Phase der Risikoidentifikation
4.2.1.3 Phase der Risikobewertung
4.2.1.4 Phase der Risikosteuerung
4.2.1.5 Phase der Risikokontrolle
4.2.2 Bewertung der phasenübergeifenden Anforderungen
4.3 Zusammenfassung Bewertung

5 Fazit

6 Thesenförmige Zusammenfassung

Literaturverzeichnis

Abbildungsverzeichnis

Abb. 1: Normsetzung im Risikomanagement

Abb. 2: COSO Enterprise Risk Management - Integrated Framework (2004)

Abb. 3: AS/NZS 4360 Risk Management Process

Abb. 4: ON-Regeln Risikomanagement für Organisationen und Systeme

Abb. 5: ONR 49001 Risikomanagement-System

Abb. 6: Entstehungselemente der ISO 31000

Abb. 7: Risikomanagementprozess

Abb. 8: Risikokategorisierung

Abb. 9: Riskmap

Abb. 10: Die Rolle des Risikocontrollings im Risikomanagement-Prozess

Abb. 11: Aufbau der Balanced Scorecard

Abb. 12: Die interne Prozessperspektive - das Wertkettenmodell

Abb. 13: Schritte zum Aufbau einer Balanced Scorecard

Abb. 14: Ursache-Wirkungskette in der BSC

Abb. 15: RM und BSC als Teil eines integrierten Führungssystems

Abb. 16: Strukturelle Gemeinsamkeiten von BSC und Risikomanagement

Abb. 17: Ein um Risiken erweitertes Ursache-Wirkungsmodell eines Energieversorgers

Abb. 18: Integration einer separaten Risikoperspektive in die klassische BSC

Abb. 19: Balanced ScorecardPlus

Abb. 20: Ergänzende Informationen zum Risikomanagement in der REBSC

Abb. 21: Risk Enhanced Balanced Scorecard

Abb. 22: Balanced Chance and Risk Card

Abb. 23: Erfolgsfaktor-basierte Balanced Scorecard

Abb. 24: Grundstruktur RABASCO

Abb. 25: Befüllung der RABASCO

Tabellenverzeichnis

Tab. 1: Vergleich von Controlling- und Risikocontrollingansätzen

Tab. 2: Abgrenzung Risikomanagement vs. Risikocontrolling

Tab. 3: Systematisierung von Erfassungsinstrumenten

Tab. 4: Methoden der Risikobewertung

Tab. 5: Möglichkeiten der BSC zur Behebung von Mängeln in Risikomanagementsystemen

Tab. 6: Mögliche Ausprägung einer Risikoperspektive im Bereich „Private Banking“ eines Schweizer Finanzinstitutes

Tab. 7: Beispiele für Risiken der supplementären Risk Card

Tab. 8: Scoringverfahren zur Ermittlung des „Qualifikationsstands“ von Rohstoff- und Produkthändlern

Tab. 9: Phasenspezifische Bewertungskriterien

Tab. 10: Kriterium „Ausrichtung am strategischen Zielsystem“

Tab. 11: Kriterium „Risiko-/Chancen-Verantwortlichkeiten

Tab. 12: Kriterium „Vollständige Risikoerfassung“

Tab. 13: Kriterium „Früherkennung“

Tab. 14: Kriterium „Gegenüberstellen von Chancen und Risiken“

Tab. 15: Kriterium "Interdependenzen Chancen/Risiken und Risiken untereinander“

Tab. 16: Kriterium „Risikoreporting“

Tab. 17: Phasenübergreifende Bewertungskriterien

Tab. 18: Kriterium „Übersichtlichkeit von Chancen und Risiken“

Tab. 19: Kriterium „Nachvollziehbarkeit/Verständlichkeit“

Tab. 20: Kriterium „Geringer Implementierungsaufwand (Kosten/Nutzen-Aspekt)“

Tab. 21: Zusammenfassung Bewertungsergebnisse

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

1.1 Problemstellung und Zielsetzung

Seit dem Inkrafttreten des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Jahr 1998 rückt der Umgang mit unternehmerischen Risiken in Theorie und Praxis verstärkt in den Vordergrund. Die Verpflichtung zur Etablierung eines unternehmensweiten Frühwarnsystems für Risiken soll in Zeiten zunehmender Dynamik, Globalisierung und Komplexität des wirtschaftlichen Handelns die zukünftige Entwicklung eines Unternehmens planbar gestalten. Die aktuelle Wirtschafts- bzw. Finanzkrise und die über 29000 Unternehmensinsolvenzen^[1] im Jahr 2008 liefern ein mahnendes Beispiel dafür, wie wichtig und vor allem existenziell eine Auseinandersetzung mit den verschiedenen Unternehmensrisiken ist. Trotz dieses Bewusstseins scheint das Thema effektives (die richtigen Dinge tun) und effizientes (die Dinge richtig tun) Risikomanagement aber noch nicht in allen Unternehmen angekommen zu sein, sei es aufgrund fehlender Systeme zur Erfassung und Steuerung von Risiken oder, wie häufig anzutreffen, der unzureichenden Ausgestaltung und Durchführung genau dieser Systeme. Hier bedarf es eines umfassenden und integrierten Managementsystems, dass der Unternehmensführung unterstützend zur Seite steht und die Betrachtung von Risikoaspekten in das unternehmerische Handeln einbindet. Ein Instrument, das in diesem Zusammenhang in den letzten Jahren verstärkt diskutiert wird, ist der 1992 von Kaplan und Norton entwickelte Ansatz der Balanced Scorecard (BSC). Dabei handelt es sich um ein kennzahlengestütztes Planungs-, Steuerungs- und Kontrollsystem, das die Unternehmensstrategie in Ziele, Messgrößen und Maßnahmen umwandelt und so steuerbar macht. Zusätzlich ermöglicht die BSC aufgrund ihres systematischen Aufbaus ein klar strukturiertes Vorgehen und eignet sich daher im Besonderen als ordnungstiftendes Konstrukt im Rahmen des Risikomanagements. Dazu kommen die strukturellen Gemeinsamkeiten von Balanced Scorecard und Risikomanagement als Systeme der strategischen Unternehmensführung, die eine gegenseitige Integration ermöglichen. Denn auch beim Risikomanagement erfolgt eine Top-Down-Operationalisierung von der Risikophilosophie des Unternehmens ausgehend bis zur Umsetzung von Maßnahmen im Rahmen der Risikosteuerung.^[2]

Das Ziel der vorliegenden Arbeit ist es also, diese verschiedenen Integrationsmöglichkeiten von Balanced Scorecard und Risikomanagement anschaulich darzustellen und ihre jeweiligen Vor- und Nachteile herauszuarbeiten. Dabei orientiert sich die Bewertung der vorgestellten Ansätze anhand der Anforderungen eines wirksamen Risikocontrollings, also der Unterstützung der Unternehmensleitung bei der Identifikation, Beurteilung, Steuerung und Kontrolle von Risiken.^[3] Dies ermöglicht einen systematischen Vergleich auf Tauglichkeit als Instrument im Rahmen der Unternehmenssteuerung und soll damit unter anderem eine Orientierungshilfe sein, um die anfangs erwähnten Schwierigkeiten und Umsetzungsdefizite von Risikomanagementsystemen auszugleichen.

1.2 Gang der Untersuchung

Das Kapitel zwei dieser Arbeit befasst sich einleitend mit den konzeptionellen Grundlagen von Risikomanagement, Risikocontrolling und der Balanced Scorecard. In einem ersten Schritt wird der Risikobegriff dabei kurz erläutert und dessen Einbindung in das unternehmerische Handeln im Rahmen des Risikomanagements dargestellt. Dabei liegt ein besonderer Fokus auf der Notwendigkeit eines Risikomanagements, den regulatorischen Rahmenbedingungen und dem Risikomanagementprozess, bestehend aus Identifikation, Bewertung, Steuerung und Kontrolle, da dieser im späteren Verlauf der Arbeit mehrmals aufgegriffen wird. Im Anschluss folgt die Einordnung des Risikocontrollings in den Kontext von Controlling und Risikomanagement. Hier geht es neben der Frage einer funktionellen oder institutionellen Einordnung besonders um die spezifischen Ziele, Aufgaben und Instrumente, die dem Risikocontrolling in Theorie und Praxis zugedacht werden. Dabei erfolgt die Darstellung des Risikocontrollings anhand der herrschenden Meinung, d.h. es werden nicht alle existierenden Risikocontrollingkonzepte vorgestellt, sondern lediglich ein zusammenfassendes Konzept, auf dem die weiteren Untersuchungsschritte dieser Arbeit aufbauen. Auf das im Gegensatz zu anderen Branchen differenzierte Risikocontrolling in Finanzinstituten wird im Rahmen dieser Arbeit größtenteils verzichtet.

Die Darstellung der Balanced Scorecard orientiert sich an der Ursprungsfassung, die 1992 von Kaplan und Norton entwickelt wurde. Hier geht es in erster Linie um den Aufbau der BSC mit den vier Perspektiven Finanzen, Kunden, Interne Prozesse und Lernen & Entwicklung sowie dem Prozess zur Implementierung einer BSC im Unternehmen. Die Kritik an der BSC in ihrer Ursprungsfassung bildet den Schluss des Kapitels und spannt damit den Bogen zur Notwendigkeit einer Erweiterung der BSC, unter anderem um risikoorientierte Gesichtspunkte.

Nach den Grundlagen zu Beginn stellen die Kapitel drei und vier den zentralen Analyserahmen dieser Diplomarbeit dar. Im Kapitel drei wird zunächst die Verbindung von Risikomanagement bzw. Risikocontrolling und der Balanced Scorecard erläutert und die Frage beantwortet, warum man gerade diese beiden Konzepte miteinander verbinden sollte. Darauf aufbauend folgt eine ausführliche Darstellung von Ansätzen der Balanced Scorecard, die auf verschiedene Art und Weise risikoorientiert erweitert oder neu konzipiert wurden. Es handelt es sich dabei um sechs Ansätze, nämlich die

- BSCPlus,
- BSC mit separater Risikoperspektive,
- Risk Enhanced BSC,
- Balanced Chance and Risk Card,
- Erfolgsfaktor-basierte BSC und
- Risk Adjusted BSC.

Im Anschluss daran erfolgt in Kapitel vier eine Bewertung der verschiedenen Scorecards. Dabei werden die Ansätze anhand der Anforderungen an ein Instrument des Risikocontrollings im direkten Vergleich gegenübergestellt und im Rahmen einer verbalen Bewertung verglichen. Ein Fazit der gewonnenen Erkenntnisse, ob sich die vorgestellten BSCs und die BSC im Allgemeinen als Instrument des Risikocontrollings eignen bildet den Schluss dieser Diplomarbeit.

2 Begriffliche und konzeptionelle Grundlagen

2.1 Risiko

Unternehmerisches Handeln ist seit jeher mit dem Treffen von Entscheidungen unter Unsicherheit verbunden. Damit ist das Risiko ein wesensimmanenter Bestandteil jeder unternehmerischen Tätigkeit.^[4] Wie aber lässt sich Risiko genau definieren? In der betriebswirtschaftlichen Literatur wird der Begriff des Risikos in unterschiedlichen Ausprägungen verwendet, oft abhängig von dem jeweiligen Untersuchungsgegen-stand, der Branche der betrachteten Unternehmen oder der zugrunde gelegten betriebswirtschaftlichen Theorie. Somit kann man Risiko beispielsweise als Gefahr einer (negativen) Zielabweichung^[5] oder aber als Kombination von Wahrscheinlichkeit eines Schadenseintrittes und seinem Schadensausmaß definieren.^[6] Verbreitet ist auch die Auffassung des Risikos in engem und weitem Sinne.^[7] Dabei stellt das Risiko in engem Sinne eine Verlustgefahr, d.h. die Möglichkeit einer ungünstigen, gefährlichen oder existenzbedrohenden zukünftigen Entwicklung dar. Risiko im weiteren Sinne umfasst dagegen die Variabilität/Streuung des Zukunftserfolgs wirtschaftlicher Aktivitäten und umfasst damit zusätzlich die Möglichkeit positiver Entwicklungen (Chancen). Im weiteren Verlauf dieser Arbeit wird hauptsächlich der Risikobegriff im engeren Sinne verwendet. Das liegt zum einen daran, dass Risiken aufgrund ihrer komplexen Wechselwirkungen und des nicht eingrenzbaren Ausmaßes separat zu betrachten sind und deshalb keineswegs einfach mit Chancen verrechnet werden dürfen.^[8] Zum anderen besteht im Rahmen der Untersuchung von Risiko und der Balanced Scorecard nicht die Notwendigkeit einer gemeinsamen Betrachtung unter dem Risikobegriff, da die Berücksichtigung von Chancen ja bereits explizit durch die Nutzung von strategischen Zielen und Erfolgsfaktoren im Konzept der Balanced Scorecard integriert ist. In Unternehmen der Praxis ist es jedoch empfehlenswert, eine feste Begriffsdefinition zu entwickeln, um damit unter den Mitarbeitern ein einheitliches, unternehmensweites Verständnis des Risikobegriffes und damit ein umfassendes Risikobewusstsein zu schaffen.^[9]

2.2 Risikomanagement

2.2.1 Notwendigkeit und Ziele eines Risikomanagementsystems

Unternehmen sehen sich heutzutage einer steigenden Anzahl von Herausforderungen gegenüber. Gründe dafür sind der anhaltende Trend zur Globalisierung, der Wettbewerbsdruck im Rennen um die innovativsten und kundenfreundlichsten Produkte, der Technologiewandel sowie die sich verändernden rechtlichen Rahmenbedingungen. Somit besteht die Notwendigkeit für ein umfassendes, integriertes Risikomanagement, das auf der einen Seite die Risikopotenziale im Unternehmen identifiziert, beurteilt, steuert und überwacht und auf der anderen Seite die Chancen, die sich aus der unternehmerischen Tätigkeit ergeben, nicht außer Acht lässt. Nur so lässt sich das volle unternehmerische Potenzial ausnutzen.^[10]

„Risikomanagement ist die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung.“^[11]

Dabei muss ein wirkungsvolles Risikomanagement folgende Zielsetzungen verfolgen:^[12]

- Existenzsicherung des Unternehmens
- Risikotragfähigkeit in Strategien einbinden
- Wirksamkeit und Effizienz der Führung verbessern
- Planungssicherheit erhöhen
- Risiken transparent machen und kommunizieren
- Risikokosten reduzieren
- Bedürfnisse von Kunden und Partnern befriedigen
- Sicherheit der Mitarbeiter und der Umwelt gewährleisten
- Gewährleistung der Sicherheit und Funktionsfähigkeit der betrieblichen Infrastruktur
- Erfüllung gesetzlicher Anforderungen

2.2.2 Regulatorische Rahmenbedingungen

Spektakuläre Krisen und Insolvenzfälle namhafter Unternehmen (z.B. Schneider, Balsam, Klöckner, etc.) haben in den letzten Jahren gezeigt, dass der Umgang mit Risiken in der Unternehmensführung und -überwachung dringend verbessert werden muss. Aus diesem Grund haben sich Gesetzgeber, Regulierungsorgane und privatrechtliche Institutionen verstärkt mit diesem Thema auseinandergesetzt und anhand ihrer Möglichkeiten die Anforderungen an ein wirkungsvolles Risikomanagement formuliert. Im Hinblick auf die Art der Normsetzung lassen sich dabei drei Bereiche unterscheiden (vgl. Abb. 1).^[13] Der erste Bereich umfasst die staatliche Regulierung durch das Aufstellen von Gesetzen und Verordnungen. Der zweite Bereich enthält Regelungen privater Fachgremien, die im Rahmen von Corporate Governance Kodizes aufgestellt werden. Der dritte Bereich beschäftigt sich schließlich mit sogenannten Risikomanagement-Standards, also Managementsystemen zur Unterstützung eines Unternehmens bei der Gestaltung von Risikomanagementsystemen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Normsetzung im Risikomanagement

2.2.2.1 Gesetzliche Regulierung

Staatliche Regulierung findet mit Hilfe von Gesetzen und Verordnungen statt. Diese Normsetzung ist absolut verbindlich und wird vom Staat zur Not mit Hilfe von Sanktionen durchgesetzt.^[14] Das wohl bekannteste Gesetz, dass sich mit der Betrachtung und Behandlung von Risiken in einem Unternehmen beschäftigt, ist das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), dass im April 1998 vom Deutschen Bundestag beschlossen wurde. Ziel dieser Gesetzesinitiative war, neben einer verstärkten Ausrichtung der Rechnungslegungsvorschriften an die Anforderungen internationaler Kapitalmärkte, vor allem eine Verbesserung des Gläubigerschutzes durch Transparenzerhöhungen und verschärfte Kontrollverfahren, um damit letzten Endes eine deutliche Reduktion unvorhergesehener Insolvenzfälle zu erreichen.^[15]

Gemäß § 91 Abs. 2 AktG ist der Vorstand eines Unternehmens nun verpflichtet, geeignete Maßnahmen zu treffen, um den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig zu erkennen. Damit schreibt der Gesetzgeber explizit die Einrichtung eines Überwachungs- bzw. Risikomanagement-Systems vor und hebt damit die allgemeine Leitungsaufgabe des Vorstandes (§ 76 AktG) sowie dessen Sorgfaltspflicht (§ 93 Abs. 1 Satz 1 AktG) hervor. Dabei haften die Vorstandsmitglieder gemäß § 93 Abs. 2 Satz 1 AktG gesamtschuldnerisch im Falle einer Missachtung der ihnen aufgetragenen Pflichten. Des Weiteren enthält das KonTraG Vorschriften zur Überprüfung des Risikomanagementsystems durch den Abschlussprüfer (§ 317 Abs. 4 HGB) sowie zur Aufnahme von Risiken in den Lagebericht (§ 289 Abs. 1 HGB).

Die gesetzlichen Regelungen des KonTraG gelten nur für Aktiengesellschaften, der Gesetzgeber geht aber von einer Ausstrahlungswirkung auf andere Gesellschaftsformen aus.^[16] Die Ausgestaltung des Überwachungssystems wurde bei der Entwicklung des KonTraG bewusst offen gelassen, da die Umsetzung von der Größe, Branche, Struktur oder auch dem Kapitalmarktzugang des jeweiligen Unternehmens abhängig ist.^[17] Konkrete Ausgestaltungsformen der KonTraG-Anforderungen findet man beispielsweise im Prüfungsstandard 340 des Instituts der Wirtschaftsprüfer (IDW), der die Prüfung des Risikofrüherkennungssystems im Rahmen der Abschlussprüfung regelt oder im Deutschen Rechnungslegungsstandard 5 (DRS 5), der die Risikoberichterstattung im Lagebericht eines Unternehmens konkretisiert. Betroffen vom KonTraG sind in erster Linie Nichtbanken (Industrie, Dienstleistung, Handel). Für Banken stellt Basel II bzw. die Mindestanforderungen an das Risikomanagement (MaRisk) sowie für Versicherungen zusätzlich Solvency II die Rechtsgrundlagen für die Ausgestaltung eines Risikomanagementsystems dar.

Das bekannteste internationale Pendant zum KonTraG ist der amerikanische Sarbanes-Oxley Act (SOX), der im Jahr 2002 als Reaktion auf die Bilanzskandale bei Enron oder Worldcom in Kraft trat und die Berichtspflichten sowie die Haftungsrisiken einer an der US-Börse notierten Gesellschaft erheblich verschärfte.^[18]

2.2.2.2 Corporate Governance Kodizes

Corporate Governance Kodizes enthalten gesetzliche Vorschriften und „best Practice“-Empfehlungen zur Leitung und Überwachung hauptsächlich börsennotierter Gesellschaften. Sie beschreiben die Art und Weise, wie die Führung eines Unternehmens durch die verschiedenen Stakeholder und deren Einflussmöglichkeiten determiniert wird.^[19] Der Deutsche Corporate Governance Kodex (DCGK) wurde im Jahr 2001 von einer Regierungskommission der Bundesrepublik erarbeitet und im August 2002 veröffentlicht. Durch mehr Transparenz im Bereich der Unternehmensleitung und -überwachung erhofft man sich eine Stärkung des Vertrauens in die Unternehmensführung deutscher Gesellschaften. Dabei können Unternehmen von den im Kodex festgeschriebenen „Soll“-Vorschriften abweichen und sich den branchen- bzw. unternehmensspezifischen Anforderungen anpassen, sie sind dann jedoch verpflichtet, dies im Rahmen einer jährlichen Erklärung offen zu legen.^[20]

2.2.2.3 Risikomanagement-Standards

Risikomanagement-Standards sind Regelwerke, die allgemein anwendbare Prinzipien zur Implementierung und Anwendung von Risikomanagement-Systemen beinhalten.^[21] Damit helfen sie bei der Ausgestaltung gesetzlich vorgeschriebener, aber inhaltlich allgemein und oberflächlich gehaltener Überwachungs- bzw. Risikomanagementsysteme und ermöglichen damit einem Unternehmen, seine Verluste zu minimieren und Gewinne zu maximieren.^[22]

„Wenn Kapitalanleger international vergleichbare Abschlüsse nach IAS/IFRS fordern, dann ist es logisch, dass sie auch international vergleichbare Überwachungssysteme wünschen, die das Vermögen der Unternehmen schützen, in die sie investieren – gleich wo sich dieses Unternehmen auf der Welt befindet.“^[23]

Die Aufgabenpalette solcher Risikomanagement-Standards reichen dabei von der Definition wichtiger Begriffe zur Schaffung eines einheitlichen Begriffsverständnisses, über die Konstruktion eines RM-Systems mit seinen Elementen und Wirkungszusammenhängen bis zu einer transparenteren Kommunikation intern im Unternehmen und extern an die Stakeholder. Dabei sollten die Standards folgende Anforderungen erfüllen:^[24]

- Rechtsform- und branchenübergreifende Anwendbarkeit
- Flexibilität im Hinblick auf unternehmensspezifische Besonderheiten
- Anwenderfreundlichkeit
- Vollständigkeit
- Systematische Prozessbeschreibung und Zusammensetzung einzelner Risikomanagementelemente
- Möglichkeit der Kombination mit bestehenden formalisierten bzw. normierten Managementsystemen
- Zertifizierbarkeit zur Beurteilung durch fachkundige Dritte

Im Folgenden werden vier der wichtigsten Standards, namentlich COSO, AS/NZS 4360, ONR 49000 ff. und ISO 31000, kurz vorgestellt.

2.2.2.3.1 COSO

Das Commitee of Sponsoring Organizations of the Treadway (COSO) wurde 1985 von fünf amerikanischen Berufsverbänden des Rechnungswesens gegründet. Im Jahr 1992 wurde der erste Report „Internal Control – Integrated Framework“ von der Secure and Exchange Commission offiziell als Standard für ein Internes Kontrollsystem anerkannt. 2004 folgte die Weiterentwicklung des Standards zu einem umfassenden „Enterprise Risk Management Framework“ (COSO-ERM), der dank seiner Bekanntheit und der branchenübergreifenden Anwendungsmöglichkeiten mittlerweile Best-Practice Status erreicht hat.

Das COSO-ERM Framework umfasst drei Dimensionen, die mittels eines Würfels dargestellt werden (vgl. Abb. 2). Die erste Dimension liefert die Ziele, die mittels des Risikomanagements erreicht bzw. unterstützt werden sollen, beispielsweise die Umsetzung der Unternehmensstrategie (Strategic), effektive und effiziente Abläufe (Operations), Ordnungsmäßigkeit und Verlässlichkeit der Berichterstattung (Reporting) und die Einhaltung von Gesetzen und Vorschriften (Compliance).^[25] Die zweite Dimension beschreibt den Risikomanagementprozess von der Entwicklung einer Risikomanagement-Philosophie und -kultur (Internal Environment) bis zur schlussendlichen Dokumentation des Risikomanagements (Monitoring). Dazwischen werden die Ziele der Organisation im Hinblick auf die Risiken bestimmt (Objective Setting), Chancen und Risiken identifiziert (Event Identification), die Risiken anhand ihrer Wahrscheinlichkeit und Auswirkung bewertet (Risk Assessment), gesteuert (Risk Response), kontrolliert (Control Activities) und schließlich im Unternehmen kommuniziert (Information & Communication).^[26] Die dritte Dimension bindet das Risikomanagement in alle Teilbereiche des Gesamtunternehmens ein, beispielsweise in Abteilungen oder Tochtergesellschaften.^[27]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: COSO Enterprise Risk Management - Integrated Framework (2004) ^[28]

Somit entsteht ein umfassendes und ineinander verknüpftes Risikomanagementsystem, dessen Ziele (Erste Dimension) durch die Umsetzung der acht Komponenten (Zweite Dimension) erreicht werden und zwar in allen Unternehmensbereichen (Dritte Dimension). „There is a direct relationship between objectives, which are what an entity strives to achieve, and the enterprise risk management components, which represent what is needed to achieve them.“^[29]

2.2.2.3.2 AS/NZS 4360

Der AS/NZS 4360 ist ein vom Australisch/Neuseeländischen Normungsinstitut entwickelter Standard, der erstmalig 1995 veröffentlicht, jedoch 1999 und 2004 jeweils überarbeitet und angepasst wurde. Obwohl er sich mit dem Management von Risiken befasst, möchte der AS/NZS 4360 nicht als „Management System Standard“ verstanden werden. „This Standard specifies the elements of the risk management process, but it is not the purpose of this Standard to enforce uniformity of risk management systems.”^[30] Stattdessen steht beim AS/NZS 4360 der Risikomanagementprozess im Vordergrund (vgl. Abb. 3).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: AS/NZS 4360 Risk Management Process ^[31]

Der erste Schritt des Prozesses ist die Vorbereitung der Rahmenbedingungen, in denen der Risikomanagementprozess ablaufen soll (Establish the context). Hier werden die externen und internen Faktoren beschrieben, die das Unternehmen selbst und somit die Risikolage des Unternehmens beeinflussen. Des Weiteren wird die Risikostrategie an die Unternehmensstrategie angepasst und es werden Kriterien zur Risikoerfassung und -bewertung vorgegeben. Im zweiten Schritt des Prozesses folgt eine Auswertung, indem die wichtigsten Risiken identifiziert, analysiert und evaluiert werden (Risk Assessment).^[32] Die Risikosteuerung ist der dritte Schritt, bevor der Prozess wieder von vorne initiiert wird. Begleitend zu den bisher genannten Schritten findet eine permanente Risikoüberwachung und -kommunikation statt (Monitor and Review).

Der AS/NZS 4360 bezieht sich auf Organisationen aller Art wie „public, private or community enterprise, group or individual“ und ist bewusst universell anwendbar.^[33] „It is generic and independent of any specific industry or economic sector […] This standard should be applied at all stages in the life of an activity, function, project, product or asset.” ^[34] Der Standard bedient sich einer Risikodefinition im weiten Sinne, d.h. hierunter fallen sowohl Risiken wie auch Chancen.^[35]

2.2.2.3.3 ONR 49000 ff.

Die ON-Regel 49000 ff. „Risikomanagement für Organisationen und Systeme“ ist ein Regelwerk zum Risikomanagement, das Anfang 2004 vom Österreichischen Normungsinstitut veröffentlicht wurde.^[36] Dabei handelt es ist um einen speziellen Management-Ansatz, der auf der Grundlage der Normfamilie ISO 9000 ff. den Aufbau sowie die Integration von Risikomanagement in ein Management-System beschreibt. Das ON-Regelwerk enthält keine Anforderungen im Sinne von „muss“-Formulierungen, sondern lediglich Empfehlungen.^[37]

Basis des Konzeptes bildet die ONR 49000, welche wichtige Begriffe und Grundlagen des Risikomanagements definiert. ONR 49002-1 zeigt die Einbettung des Risikomanagements in ein bestehendes Managementsystem oder die eigenständige Einführung eines Risikomanagementsystems. Die ONR 49002-2 gibt einen Überblick über die Methoden, die im Rahmen des Risikomanagementprozesses verwendet werden können. Ein Notfalls-, Krisen- und Kontinuitätsmanagement im Hinblick auf unerwartet auftretende Risiken ist Bestandteil der ONR 49002-3, während die ONR 49003 die Anforderungen an die Qualifikation des Risikomanagers determiniert (vgl. Abb. 4).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: ON-Regeln Risikomanagement für Organisationen und Systeme ^[38]

Der Aufbau des Risikomanagementsystems in zwei Ebenen wird in der ON-Regel 49001 beschrieben (vgl. Abb. 5). Die erste Ebene beschäftigt sich mit den organisatorischen Rahmenbedingungen eines Risikomanagementsystems, beispielsweise die Abstimmung zwischen der Unternehmenspolitik und dem Risikomanagement. Auch die Führungsaufgabe einer Organisation, bestehend aus den Elementen Planung, Umsetzung, Leistungsbewertung und laufende Verbesserung („Plan-Do-Check-Act“) wird hier beschrieben. Die zweite Ebene ist der eigentliche Risikomanagementprozess, der in die Organisation eines Unternehmens eingebettet ist und dabei im Kern aus den Stufen Risikoidentifikation, -analyse, -bewertung und -bewältigung besteht. Begleitend zu dem Prozess findet eine permanente Risikokommunikation und -überwachung statt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: ONR 49001 Risikomanagement-System ^[39]

2.2.2.3.4 ISO 31000

Seit 2005 wird auf internationaler Ebene an einem Standard zum Risikomanagement gearbeitet, dessen Veröffentlichung unter dem Namen „ISO 31000 – Guidelines on principles and implementation of risk management“ für das Jahr 2009 geplant ist. Grundlage, auf der die Entwicklung des ISO 31000 basiert, sind die bereits existierenden Standards AS/NZS 4360 und die österreichische ON-Regel 49000 ff. sowie der frühere ISO/IEC Guide 73 „Risk Management – Vocabulary – Guidlines for Use in Standards“ (vgl. Abb. 6).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Entstehungselemente der ISO 31000 ^[40]

Ziel des Standards ist es allgemeine, lebenszyklusunabhängige und branchenübergreifende Richtlinien für die Implementierung eines Risikomanagements in einem Unternehmen vorzugeben sowie eine Harmonisierung von Risikodefinition und Risikomanagementprozess zu erreichen. Eine Zertifizierung nach ISO 31000 wird aber ausgeschlossen.^[41] Die wichtigsten Bestandteile des ISO 31000 sind zum einen der organisatorische Rahmen, der für ein Risikomanagement notwendig ist. Dabei lehnt sich der ISO-Standard vollständig an den Framework-Aufbau der österreichischen ON-Regel 49001 an (vgl. Kapitel 2.2.2.3.3). Und zum anderen steht der Risikomanagementprozess im Fokus, der aus dem australisch/neuseeländischen Standard entnommen wurde und dieselben Schritte umfasst (Vgl. Kapitel 2.2.2.3.2).

Somit bietet der ISO 31000 keine wirklich neuen Inhalte im Vergleich zu den bisher veröffentlichen Standards. Er schafft jedoch auf internationaler Ebene Einheitlichkeit in den Begriffen, Denkweisen, Grundsätzen, Prozessen und Leitlinien, die für die Anwendung eines Risikomanagements notwendig sind.^[42]

2.2.3 Risikomanagementprozess

Neben der Schaffung eines Risikobewusstseins und einer Risikokultur, d.h. der grundsätzlichen Haltung eines Unternehmens im Umgang mit Risiken, ist die systematische und kontinuierliche Auseinandersetzung mit den unternehmerischen Risikopotenzialen zentraler Gedanke des Risikomanagements. Diese Auseinander-setzung kann in Form eines Risikomanagementprozesses beschrieben werden, der alle Aktivitäten zum Umgang mit möglichen Risiken beschreibt. Die einzelnen Schritte des Risikomanagementprozesses werden in der Literatur in unterschiedlichen Aggregationsstufen dargestellt. Zur Veranschaulichung wird im Folgenden der Prozess anhand der Schritte Risikostrategie, Risikoidentifikation, Risikobewertung, Risikosteuerung und der Risikokontrolle bzw. -reporting vorgestellt (vgl. Abb. 7).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7: Risikomanagementprozess

2.2.3.1 Risikostrategie

Bevor der eigentliche Risikomanagementprozess von der Identifikation bis zur Kontrolle in einem Unternehmen durchlaufen werden kann, muss zunächst eine Risikostrategie festgelegt werden. Die Risikostrategie baut auf der allgemeinen Strategie und den Zielen des Unternehmens auf und schreibt die Rahmenbedingungen für den Umgang mit Risiken fest. Bestandteile dieser Rahmenbedingungen sind die Festlegung der Risikoneigung des Unternehmens, der Tragfähigkeit, des Ressourceneinsatzes (erforderliche Eigenkapitalausstattung) oder der Schwellenwerte für die Auswirkungen von Risiken, bei deren Überschreitung bestimmte Maßnahmen ausgelöst werden.^[43] Auch der Zeitraum, innerhalb dessen Risiken neu erfasst und bewertet werden sollen oder die Bestimmung eines für das Risikomanagement verantwortlichen Gremiums bzw. für die einzelnen Risiken verantwortliche Mitarbeiter können Teil einer Risikostrategie sein.

2.2.3.2 Risikoidentifikation

Der wichtigste Schritt und damit kritischster Punkt im Risikomanagementprozess ist die strukturierte, detaillierte und vollständige Identifizierung aller wesentlichen Risiken, von denen Schadensgefahren oder Verlustpotenziale für die Unternehmung ausgehen. Die Risikoidentifikation stellt die Informationsbasis für das weitere Vorgehen dar und bestimmt durch ihre Qualität die Effizienz und Effektivität der nachfolgenden Prozessschritte.^[44] Sie kann als Risikoinventur bezeichnet werden, bei der es nicht nur um die reine Erfassung, sondern auch um die Kategorisierung der verschiedenen Risiken geht, um damit die Transparenz zu erhöhen und die Gefahr einer unvollständigen oder mehrdeutigen Identifikation von Risiken zu vermeiden. Dabei können die Risiken beispielsweise nach dem Zeithorizont in operative oder strategische Risiken eingeteilt werden, nach der Position in der Wertschöpfungskette in Produktions- oder Absatzrisiken oder nach dem Ort der Entstehung in externe und interne Risiken. Abbildung 8 zeigt beispielhaft eine mögliche Einteilung von Risiken in einem Unternehmen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 8: Risikokategorisierung ^[45]

Instrumente zur Risikoidentifikation können beispielsweise standardisierte Befragungen, Brainstorming, Risiko-Checklisten oder Fragebögen sein. Bei der Erfassung der Risiken sollte jedoch der Grundsatz der Wirtschaftlichkeit nicht aus den Augen verloren werden, so dass eine vollständige Erfassung aller Risiken oftmals nur schwer umsetzbar ist.^[46]

2.2.3.3 Risikobewertung

Im Anschluss an die Identifikation folgt die Bewertung der Risiken mit dem Ziel, die Ursachen und Konsequenzen der identifizierten Risiken in einer vollständigen Ur-sache-Wirkungskette zu erfassen und darzustellen.^[47] Die Darstellung der Risikour-sachen soll bei der Identifikation risikobestimmender Faktoren helfen, um daraus geeignete Maßnahmen zu entwickeln und das Risikoverständnis im Unternehmen zu erhöhen.^[48] Die Konsequenzen der Risiken müssen anhand ihres Gefährdungspotenzials analysiert werden. Dazu werden die Risiken mit ihrer Eintrittswahrscheinlichkeit und dem Schadensausmaß bei Eintritt bewertet, um so eine Quantifizierung und damit Vergleichbarkeit der Risikobedeutung zu erreichen. Zur Visualisierung der bewerteten Risiken wird meist eine sogenannte Riskmap angelegt, deren Aufgabe es ist, die Risken und ihre Bedeutung für das Unternehmen anhand der Eintrittswahrscheinlichkeit und ihrem Ausmaß darzustellen (vgl. Abb. 9). Die Notwendigkeit eines Eingriffes in Form gegensteuernder Maßnahmen kann in der Riskmap durch eine im Vorfeld festgelegte Risikoschwelle determiniert werden. Liegen die bewerteten Risiken oberhalb dieser Risikoschwelle, können diese existenzbedrohende bzw. schwerwiegende Verlustpotenziale nach sich ziehen.^[49]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 9: Riskmap ^[50]

2.2.3.4 Risikosteuerung

Im Rahmen der Risikosteuerung erfolgt eine aktive Beeinflussung der identifizierten und bewerteten Risiken durch die Risikobewältigungsstrategien Vermeidung, Überwälzung, Verminderung und Akzeptieren.^[51] Dabei sollten risikoreiche Geschäfte immer dann vermieden werden, wenn deren Realisierung die Existenz des Unternehmens gefährden würde. Allerdings ist hier zu bedenken, dass mit der Aufgabe solcher Risiken auch gleichzeitig bedeutende Chancen wegfallen können. Die Risikoverminderung setzt entweder ursachenorientiert an der Verringerung von Eintrittswahrscheinlichkeiten oder wirkungsorientiert an der Reduzierung des Schadensausmaßes an. Überträgt man die Folgen eines möglicherweise eintretenden Risikos teilweise oder komplett auf Dritte, so spricht man von Risikoüberwälzung (z.B. Versicherungen). Risiken, deren Ausmaße nicht bedeutend sind bzw. die von Unternehmen ohne größere Folgen getragen werden können, werden akzeptiert.

2.2.3.5 Risikokontrolle und -reporting

Die Risikokontrolle und das Risikoreporting bilden den Schluss eines jeden Risikoprozesses. Hier werden die Prozessschritte der Identifikation, Bewertung und Steuerung kontinuierlich überwacht und auf die Wirksamkeit ihrer Zielerreichung analysiert. Hierunter fallen beispielsweise die Erfassung neu auftretender Risiken, die Überprüfung von Eintrittswahrscheinlichkeiten und Schadenshöhen sowie die Erfolgskontrolle der risikosteuernden Maßnahmen.

Das Risikoreporting dient im Speziellen der umfassenden, systematischen und regelmäßigen Darstellung der Risikosituation eines Unternehmens sowie deren Entwicklung. Dies ermöglicht eine Überwachung der Funktionsfähigkeit des gesamten Risikomanagementsystems und fördert die Risikokommunikation und Transparenz der Risikosituation im Unternehmen.^[52] Zur Darstellung bietet sich neben Risikoberichten, Risiko-Ad hoc-Meldungen und Mitteilungen im Lagebericht vor allem die Zusammenstellung eines Risikomanagementhandbuchs an. Darin erfasst werden die grundlegenden Risikomanagementbegriffe, die Risikostrategie, die Organisationsstruktur oder die Prozesse, die für eine effektive und effiziente Durchführung und Weiterentwicklung des Risikomanagementsystems notwendig sind.^[53]

2.2.4 Mängel von Risikomanagementsystemen

Obwohl die Einführung und Umsetzung eines effektiven und effizienten Risikomanagementsystems in zahlreichen Büchern, Aufsätzen und den oben aufgeführten Risikomanagementstandards detailliert beschrieben werden, gibt es dennoch in der Praxis teilweise große Mängel bei der Integration eines Risikomanagementsystems in ein Unternehmen. Dierderichs fasst die Erkenntnisse einer Studie zum Integra-tionsstand des Risikomanagements in börsennotierten Aktiengesellschaften Deutschlands bezüglich auftretender Mängel wie folgt zusammen:^[54]

- Mangelnde Flexibilität bei der Anpassung der Risikomanagementsysteme und deren Inhalte an veränderte Umweltbedingungen^[55]
- Fehlende Systematik der aufbau- und ablauforganisatorischen Integration in bestehende Strukturen und Prozesse
- Mangelhaftes Risikobewusstsein unter den Mitarbeitern, bedingt durch unzureichende Beteiligung am Risikomanagementprozess
- Fehlendes oder mangelhaftes Instrumentarium zur Risikoidentifikation,
- bewertung, -steuerung und -überwachung^[56]
- Fehlende oder lückenhafte Dokumentation von Risiken im unternehmensinternen Berichtswesen sowie Kommunikation risikoorientierter Informationen
- Unzureichende Unterstützung durch DV- und Informationstechnologien zur Implementierung und Begleitung des Risikomanagementprozesses

2.3 Risikocontrolling

Die Beschäftigung mit dem Gegenstand des Risikocontrollings findet in der betriebswirtschaftlichen Forschung und vor allem Praxis verstärkt erst mit der Einführung des KonTraG im Jahre 1998 und den damit einhergehenden Corporate Governance-Bemühungen statt.^[57] Aufgrund des noch jungen Forschungsstandes ist das Risikocontrolling von einer mangelnden begrifflichen Klarheit und einer unzureichenden Abgrenzung zu existierenden Forschungsfeldern, sowie Funktionen und Institutionen in Theorie und Praxis gekennzeichnet.^[58] Damit unterscheidet es sich in keiner Weise von der seit Jahren geführten Diskussion um die Auffassung des Controllingbegriffes in der deutschsprachigen Literatur.^[59] Auch hier gibt es kein einheitliches Verständnis vom Gegenstand des Controlling und dessen Abgrenzung. Unstrittig ist allerdings die Einordnung des Risikocontrollings als Schnittstelle zwischen Controlling und Risikomanagement. Dabei lassen sich die unterschiedlichen Auffassungen des Risikocontrolling-Begriffes in vielfacher Art gruppieren. Man kann beispielsweise zwischen alten und neueren controllingbasierten Auffassungen, KonTraG- bzw. Corporate Governance-geprägten Auffassungen oder auch am Finanzwesen orientierten Auffassungen unterscheiden.^[60]

Aufgrund des begrenzten Umfangs dieser Arbeit wird auf einen umfassenden Vergleich der Controlling-Konzepte verzichtet. Im Folgenden wird daher lediglich eine Risikocontrolling-Konzeption vorgestellt, die sich anhand der Ordnungsmerkmale

- Abgrenzung zum Controlling und Risikomanagement (Kapitel 2.3.1) sowie
- Ziele, Aufgaben und Instrumente (Kapitel 2.3.2)

orientiert.

2.3.1 Abgrenzung zum Controlling und Risikomanagement

Zur Veranschaulichung der engen Beziehung zwischen Risikocontrolling und der „Mutterdisziplin“ Controlling dient im Folgenden eine definitorische Gegenüberstellung von informationsorientierten-, koordinationsorientierten- und rationalitätsorientierten Ansätzen beider Begriffe.

Abbildung in dieser Leseprobe nicht enthalten^{[61] [62] [63] [64] [65] [66]}

Tabelle 1: Vergleich von Controlling- und Risikocontrollingansätzen

Es lässt sich festhalten, dass sich die Definition des Risikocontrollings stark an die des Controllings anlehnt, wobei man aber auch hier zu dem Ergebnis kommt, dass es keine allgemeingültige Aussage zur genauen Ausgestaltung des Risikocontrollings gibt.

Das Controlling kann als zentrale Instanz für die Erarbeitung und Weiterentwicklung unternehmensweiter Risikomanagement-Konzepte und Methoden dienen.^[67] Es tritt dabei sowohl als Träger wie auch als Methodenberater des Risikomanagements auf.^[68] Darüber hinaus ist eine Ansiedlung des Risikomanagements im Controlling nachvollziehbar, da die Erfüllung gesetzlicher Anforderungen, als vorherrschender Zweck des Risikomanagements, durch Dokumentation und Überwachung bereits seit jeher in den Aufgabenbereich des Controllings fällt.^[69] Oder anders gesagt: Ein richtig verstandenes und angewandtes Controlling ist schon Risikocontrolling. Schließlich werden finden seit jeher Risikoaspekte in die Instrumente des Controllings Eingang, beispielsweise im Rahmen der SWOT-Analyse oder der Szenariotechnik.^[70] Dennoch muss das Risikocontrolling einer Abgrenzung unterzogen werden. Nach herrschender Meinung wird dieses daher als Bestandteil der Controlling-Funktion gesehen, welche die Sicherstellung der Risikomanagementfunktion gewährleisten muss.^[71] Das Risikocontrolling kann demnach als unterstützender Teil des Risikomanagements angesehen werden, indem es betriebswirtschaftliche und technische Strukturen schafft und so dem Risikomanagement durch die klassischen Controlling-Funktionen Planung, Steuerung, Kontrolle und Informationsversorgung zu einer effizienten Zielerreichung verhilft.^[72]

Die Abgrenzung des Risikocontrollings vom Risikomanagement lässt sich anhand der Tabelle 2 verdeutlichen:

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2: Abgrenzung Risikomanagement vs. Risikocontrolling ^[73]

Somit hat das Risikocontrolling vor allem in der Unternehmenspraxis zumeist einen funktionellen Charakter und weniger eine institutionelle Dimension.^[74] „Das Risiko-Controlling stellt einen elementaren Funktionsbaustein für ein aktives Risikomanagement dar.“ ^[75] Eine Ausnahme davon bilden Finanzunternehmen, bei denen das Risikocontrolling in Abgrenzung zum Risikomanagement zumeist eine eigenständige Stelle bildet.^[76] Diese Herangehensweise im Gegensatz zu Nicht-Finanzunternehmen lässt sich auf die gesetzlich vorgeschriebene Funktionstrennung (§ 25a KWG) zurückführen, die besagt, dass das Treffen von Entscheidungen und die Kontrolle der getroffenen Entscheidungen nicht in einer Stelle vereint werden dürfen, sondern getrennt voneinander zu verorten sind.

2.3.2 Ziele, Aufgaben und Instrumente

Die Ziele des Risikocontrollings lassen sich in direkte und indirekte Ziele aufteilen.^[77] Indirektes Ziel ist neben der Erfüllung gesetzlicher Vorgaben und Förderung des Risikobewusstseins vor allem die Sicherung der Unternehmensexistenz, die dadurch erreicht wird, dass die Reaktionsfähigkeit, die Koordinationsfähigkeit und die Anpassungsfähigkeit des Unternehmens erhalten bleiben.^[78] Das direkte Ziel des Risikocontrollings hingegen ist die informatorische, instrumentelle und methodische Unterstützung der Unternehmensführung im Umgang mit Risiken.^[79]

Ausgehend von diesen Zielen lassen sich nun die Aufgaben ableiten, die dem Risikocontrolling zugeordnet werden. Dabei erfolgt eine Orientierung an den originären Controlling-Aufgaben Planung, Steuerung, Kontrolle und Informationsversorgung sowie deren zielgerichtete Koordinierung als bedeutende Funktion des Risikocontrollings.^[80] Durch die Berücksichtigung der individuellen Risikosituation des Unternehmens und der Bereitstellung geeigneter Methoden zur Unterstützung der Führung bewirkt das Risikocontrolling eine qualitative Verbesserung der klassischen Unternehmensplanung.^[81] Die im Rahmen einer umfassenden und wirksamen Risikosteuerung notwendigen Instrumente werden vom Risikocontrolling eingeführt, aktualisiert und bedarfsgerecht angepasst.^[82] Des Weiteren stellt das Risikocontrolling, nach Abgleich von Ist- und Soll-Zustand der Risiken, entsprechende Informationen über Abweichungen und Abweichungsursachen für die Überwachung der Risiken zur Verfügung.^[83] Eine permanente Überprüfung der Funktionsfähigkeit und Wirksamkeit des Risikomanagements ermöglicht ein frühzeitiges Erkennen von Fehlentwicklungen, so dass rechtzeitig Maßnahmen zur Begegnung dieser Fehlentwicklungen getroffen werden können.^[84]

Die Aufgabe der Informationsversorgung übernimmt das Risikocontrolling durch den Aufbau eines Risikoberichtswesens. Damit soll die Unternehmensführung systematisch und strukturiert mit den für ihre Entscheidungen relevanten Informationen über die identifizierten und bewerteten Risiken sowie den Konsequenzen aus der Risikosteuerung unterstützt werden.^[85]

Eine große Bedeutung aufgrund der zunehmenden Komplexität von Führungssystemen kommt der Koordinationsfunktion des Risikocontrollings bei. Durch die umfassende und abteilungsübergreifende Position im gesamten Risikomanagement-prozess besitzt das Risikocontrolling einen Überblick über sämtliche relevanten Informationen und ist somit für die Koordination des Prozesses sowie dessen begleitenden Aufgaben prädestiniert.^[86] Dabei kann die Koordinierungsfunktion zum einen systembildend und zum anderen systemkoppelnd umgesetzt werden.^[87] Die systembildende Koordination beinhaltet den Aufbau von Planungs-, Steuerungs- und Informationssystemen zur Bewältigung betrieblicher Risiken sowie die zu deren Ausgestaltung notwendigen Instrumente und Methoden. Die Systemkopplung hingegen baut auf bestehenden Systemen auf und koordiniert die verschiedenen Führungssubsysteme^[88] in den einzelnen Phasen des Risikomanagementprozesses, beispielsweise im Hinblick auf bereichsübergreifende oder interdependente Risiken.^[89]

Um die Aufgaben des Risikocontrollings durchführen zu können, bedarf es einem umfangreichen Instrumenten portfolio, das für jede spezifische Aufgabe eine geeignete Methode oder geeignetes Verfahren zur Verfügung stellen kann. Dabei werden vielfach die Instrumente des originären Controllings übernommen und auf Risikosachverhalte angewandt bzw. mit Informationen über Risiken erweitert, um damit die Unternehmensführung bei der Planung, Steuerung, Kontrolle und Informationsversorgung zu unterstützen.^[90] Da eine umfassende Betrachtung aller möglichen Risikocontrolling-Instrumente den Rahmen dieser Arbeit sprengen würde,^[91] wird in diesem Kapitel nur ein kurzer Überblick über die verschiedenen Arten von Risikocontrolling-Instrumenten gegeben. Bei der Betrachtung der Instrumente erfolgt analog zur Abbildung 10 eine Aufteilung in phasenspezifische und phasenübergreifende Instrumente.^[92]

[...]

---

^[1] Vgl. Statistisches Bundesamt (2009), S. 7.

^[2] Vgl. Tewald (2004), S. 280.

^[3] Vgl. Lück (1999), S. 30.

^[4] Vgl. Pollanz (199a9), S. 394.

^[5] Vgl. Brühwiler (2007), S. 23.

^[6] Vgl. ISO Guide 51:1999.

^[7] Vgl. Kromschröder/Lück (1998), S. 1573.

^[8] Vgl. Hornung/Reichmann/Diederichs (1999), S. 319.

^[9] Vgl. ebenda.

^[10] Vgl. Kessler (2003), S. 68.

^[11] Diederichs/Form/Reichmann (2004), S. 189.

^[12] Vgl. Brühwiler (2007), S. 34-36; Stolle (2003), S. 69.

^[13] Vgl. Kajüter (2004), S. 13.

^[14] Vgl. Kajüter (2004), S. 13.

^[15] Vgl. Bundestag (1998), S. 11.

^[16] Vgl. Bundesrat (1997), S. 37.

^[17] Vgl. Bundesrat (1997), S. 36.

^[18] Der SOX betrifft somit auch ausländische Unternehmen, die den US-amerikanischen Kapitalmarkt in Anspruch nehmen.

^[19] Vgl. Prigge (1999), S. 148-151.

^[20] Vgl. Regierungskommission DCGK (2009), S. 3.

^[21] Ähnlich den Qualitäts- oder Umweltmanagementnormen EN ISO 9000 ff. bzw. ISO 14001 ff.

^[22] Vgl. Weidemann (2001), S. 2613.

^[23] Janke (2007), S. 116.

^[24] Vgl. Winter (2007a), S. 150.

^[25] Vgl. COSO (2004), S. 21.

^[26] Vgl. COSO (2004), S. 22.

^[27] Vgl. COSO (2004), S. 24.

^[28] Quelle: In Anlehnung an COSO (2004), S. 7.

^[29] COSO (2004), S. 23.

^[30] Vgl. AS/NZS 4360 (2004), S. 1.

^[31] Quelle: AS/NZS 4360 (2004), S. 9.

^[32] Zu den Inhalten von Risikoidentifikation, Risikobewertung bzw. Analyse und Risikoevaluation bzw. -kontrolle vgl. Kapitel 2.2.3.

^[33] Vgl. AS/NZS 4360 (2004), S. 1.

^[34] Vgl. ebenda.

^[35] Vgl. AS/NZS 4360 (2004), S. 4.

^[36] Im Jahr 2008 wurde die ON-Regel 49000 ff. überarbeitet und stärker an die neu konzipiert Norm ISO 31000 (vgl. Kapitel 2.2.2.3.4) angelehnt. Die hier verwendeten Abbildungen stammen bereits aus der neuen Version.

^[37] Vgl. Brühwiler (2008), S. 15.

^[38] Quelle: ONR 49001 (2004), S. 3.

^[39] Quelle: ONR 49001 (2004), S. 5.

^[40] Quelle: In Anlehnung an Brühwiler (2008), S. 16.

^[41] Vgl. ISO 31000 (2008), S. 1.

^[42] Vgl. Brühwiler (2008), S. 17.

^[43] Vgl. Stolle (2003), S. 70; Gleißner (2000), S. 1628.

^[44] Vgl. Hornung/Reichmann/Diederichs (1999), S. 320.

^[45] Quelle: In Anlehnung an Diederich/Form/Reichmann (2004), S. 190.

^[46] Vgl. Kromschröder/Lück (1998), S. 1574.

^[47] Vgl. Hornung/Reichmann/Form (2000), S. 155.

^[48] Vgl. Wolf (2004), S. 214.

^[49] Vgl. Hornung/Reichmann/Diederichs (1999), S. 321.

^[50] Quelle: In Anlehnung an Hornung/Reichmann/Diederichs (1999), S. 321.

^[51] Vgl. u.a. Klatt/Kortegast/Schubert (2005), S. 70 oder Diederichs/Form/Reichmann (2004), S. 193.

^[52] Vgl. Knuppertz/Ahlrichs (2007), S. 497; Diederichs/Eberenz/Eickmann (2009), S. 268.

^[53] Vgl. Wolf (2004), S. 215; Diederichs/Form/Reichmann (2004), S. 197.

^[54] Vgl. Diederichs (2004), S. 91.

^[55] Bei rund 30 % der Unternehmen erfolgt keine regelmäßige Aktualisierung der Risikodokumentation. Lediglich knapp 40% passen ihre Dokumentation mehrmals im Jahr bzw. bei Bedarf an veränderte Umweltbedingungen an. Vgl. Diederichs (2004), S. 89.

^[56] Bei der Frage nach verwendeten Risikobewertungsinstrumenten wurden Schadenserwartungswert, Risikoausmaß und Eintrittswahrscheinlichkeit relativ häufig genannt, währenddessen komplexere, aber genauere Instrumente wie Nutzwertanalysen, Scoring-Modelle oder, völlig gegensätzlich, auch die verbale Bewertung als sinnvolle Ergänzung so gut wie gar nicht genannt wurden. Vgl. Diederichs (2004), S. 79.

^[57] Eine Umfrage unter deutschen Unternehmen an der Börse im Jahr 2001/2002 ergab, dass gerade einmal 35 % der befragten Unternehmen bereits vor der Einführung des KonTraG im Jahre 1998 über ein Risikomanagementsystem verfügten. Vgl. Diederichs (2004), S. 69.

^[58] Vgl. Winter (2007b), S. 172.

^[59] „Jeder hat seine eigene Vorstellung darüber, was Controlling bedeutet oder bedeuten soll, nur jeder meint etwas anderes.“ Preißler (1998), S. 12. Zu einer überblickartigen Darstellung der Controllingkonzeptionen vgl. Schneider (2005), S. 65-69.

^[60] Vgl. Winter (2007b), S. 183-198.

^[61] Reichmann (2006), S. 13.

^[62] Vgl. Diederichs (2004), S. 26.

^[63] Küpper/Weber/Zünd (1990), S. 283.

^[64] Vgl. Braun (1984), S. 63-64.

^[65] Weber/Schäffer (1999), S. 743.

^[66] Vgl. Liekweg (2003), S. 14-15.

^[67] Vgl. Peemöller (2002), S. 57.

^[68] Vgl. Hornung/Reichmann/Form (2000), S. 157; Krystek (1999), S. 146.

^[69] Vgl. Nevries/Strauß (2008), S. 107.

^[70] Vgl. Horváth/Gleich (2000), S. 102.

^[71] Vgl. Winter (2007b), S. 252.

^[72] Vgl. u.a. Hornung (1998), S. 280; Burger/Buchhart (2002a), S. 153; Troßmann/Baumeister (2004), S. 77; Mensch (2003), S. 489. In der Literatur gibt es dazu allerdings abweichende Meinungen. Das Risikomanagement wird beispielsweise als Teilbereich des Risikocontrollings verstanden, was durch das Controlling, als Träger des Risikomanagements, begründet wird. Vgl. u.a. Hornung/Reichmann/Form (2000), S. 156; Freidank (2001), S. 623; Krystek (1999), S. 146. Eher unüblich hingegen ist die Einordnung von Risikomanagement und Risikocontrolling als parallele, unabhängige Systeme (Vgl. u.a. Kimmig (2001), S. 38-47 oder Deisenrieder (2006), S. 348) oder die Übernahme der kompletten Risikobehandlung durch das Risikocontrolling. Vgl. u.a. Horváth/Gleich (2000), 101-102.

^[73] Quelle: In Anlehnung an Troßmann/Braumeister (2004), S. 77 und Hornung/Reichmann/Form (2000), S. 158.

^[74] Im Rahmen einer empirischen Untersuchung unter Nicht-Finanzunternehmen zeigte sich, dass das Risikocontrolling bei etwa 60% der befragten Unternehmen nicht als eigene Stelle oder Abteilung, sondern bei operativen Einheiten oder der zentralen Controlling- bzw. Risikomanagementabteilung angesiedelt ist. Auch die Aufgaben des Risikocontrollings werden zumeist ausschließlich von der Controlling-Abteilung übernommen. Vgl. Hoitsch/Winter/Baumann (2006), S. 72.

^[75] Reichmann (2001), S. 608.

^[76] Vgl. Winter (2007b), S. 254.

^[77] Vgl. Hoitsch/Winter/Baumann (2006), S. 76.

^[78] Vgl. Lück (1998), S. 1929.

^[79] Vgl. Burger/Buchhart (2002a), S. 12; Wolke (2007), S. 235.

^[80] Vgl. Burger/Buchhart (2002a), S. 56.

^[81] Vgl. Wolke (2007), S. 235.

^[82] Vgl. Hornung/Reichmann/Form (2000), S. 157.

^[83] Vgl. Burger/Buchhart (2002a), S. 58.

^[84] Vgl. Hornung/Reichmann/Form (2000), S. 158; Mensch (2003), S. 489.

^[85] Vgl. Lück (1998), S. 1929; Baetge/Jerschensky (1999), S. 173.

^[86] Vgl. Nevries/Strauß (2008), S. 108; Küpper/Weber/Zünd (1990), S. 284.

^[87] Vgl. grundlegend Horváth (2003), S. 124 ff., im Kontext des Risikocontrollings vgl. Braun (1984), S. 61 ff.

^[88] Z.B. Planung, Kontrolle, Organisation, Personalführung, etc.

^[89] Vgl. Burger/Buchhart (2002b), S. 153.

^[90] Vgl. Hornung/Reichmann/Form (2000), S. 157.

^[91] Eine ausführliche Beschreibung der verschiedenen Risikocontrolling-Instrumente findet sich bei Burger/Buchhart (2002a), S. 67-191; Reichmann/Form (2003), S. 178-182; Winter (2007b), S. 259-374.

^[92] Vgl. Pedell (2004), S. 9.