Risikomanagement: Instrumente des Controllings

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

1 Problemstellung

2 Notwendigkeit eines Risikomanagements und Risikocontrollings
2.1 Aktuelle Entwicklungen
2.2 Definitionen des Risikobegriffs
2.3 Abgrenzung Risikomanagement und -controlling

3 Gesetzliche Anforderungen
3.1 KonTraG
3.2 Weitere gesetzliche Regelwerke

4 Instrumente des Controllings
4.1 Einführung
4.2 Risikoidentifikation
4.2.1 Methoden der Risikoidentifikation
4.2.1.1 Kollektionsmethode
4.2.1.2 Analytische- und Kreativitätsmethoden
4.2.2 Frühwarnsysteme
4.2.2.1 Ausprägungen von Frühwarnsystemen
4.2.2.2 Kennzahlen- und hochrechnungsorientierte Frühwarnung
4.2.2.3 Indikatororientierte Früherkennung
4.2.2.4 Strategische Frühaufklärung
4.2.3 Würdigung der Instrumente zur Risikoidentifikation
4.3 Risikobewertung
4.4 Risikoreporting
4.5 Risikooptimierung

5 Kritische Würdigung

Literaturverzeichnis

Gesetzesverzeichnis

Verzeichnis amtlicher Schriften

Abbildungsverzeichnis

Abbildung 1: Anzahl der Unternehmensinsolvenzen

Abbildung 2: Risikoverständnis

Abbildung 3: Übersicht KonTraG

Abbildung 4: Risikomanagement-Prozess

Abbildung 5: Generationen von Frühwarnsystemen

Abbildung 6: Gesamtkonzept der Risikooptimierung

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Problemstellung

Das Thema Risikomanagement hat in den letzten Jahren nicht an Aktua­lität verloren. Im Jahre 2008 erlebte die Bundesrepublik Deutschland die größte Rezession seit dem zweiten Weltkrieg. Auslöser der Krise war das Platzen der Immobilienblase im Suprime-Markt in den USA und spätes­tens mit der spektakulären Insolvenz von Lehman Brothers erreichte die Krise Deutschland. Seit der Wirtschaftskrise ist die Thematik wieder ganz oben auf der Agenda der Unternehmungen. Gerade solche konjunktur­schwachen Zeiten stellen Unternehmen vor besondere Herausforderun­gen. Häufig reicht es nicht aus, wenn Unternehmen sich erst in Krisenzei­ten intensiver mit dem Thema Risiko befassen. Vielmehr sollte eine Ein­bindung bzw. Einführung eines Risikocontrollings bereits in krisenfreien Zeiten erfolgen.^[1] Ein effektives Controlling von Risiken schafft eine fun­dierte Basis, mit deren Hilfe Entscheidungen im Sinne der Unternehmens­ziele begründet und getroffen werden können. Durch eine zeitgerechte Verfügbarkeit und eine hohe Qualität der erlangten Erkenntnisse wird es dem Management ermöglicht, Risiken frühzeitig abzuwenden oder aber bewusst einzugehen und dadurch Chancen zu realisieren.^[2]

Die vorliegende Arbeit soll dem Leser zunächst in Kapitel 2.1 eine Über­sicht über die aktuelle Entwicklung und Ursachen von Insolvenzen deut­scher Unternehmen geben. Insolvenzen sind nicht die einzigen Auswir­kungen, die sich aus nicht erkannten Risiken für Unternehmen ergeben können, stellen aber aus Sicht der Unternehmen die gravierendste Gefahr dar, da sie den Fortbestand des Unternehmens stark gefährden. Im An­schluss soll in Kapitel 2.2 der Begriff des Risikos definiert werden. Hierbei geht der Autor sowohl auf die etymologische Herkunft des Risikobegriffs, die Auslegung in der Praxis sowie auf die Definition des Gesetzgebers ein, die ihren Eingang u.a. in das Aktiengesetz fand.

Kapitel 3 soll Aufschluss über die gesetzlichen Rahmenbedingungen und Anforderungen an ein Risikomanagementsystem geben. Das Kapitel 3.1 erläutert das KonTraG, welches die wichtigste Gesetzesnovellierung in diesem Zusammenhang darstellt. Ergänzt werden diese Ausführungen durch weitere gesetzliche Regelwerke und Standards in Kapitel 3.2.

Den Schwerpunkt dieser Ausarbeitung bildet die Beschreibung der Instrumente des Controllings zur Risikoerkennung und -optimierung in Kapitel 4. Dort soll dem Leser zunächst ein Überblick über die Umsetzung der gesetzlichen Anforderungen im Unternehmen gegeben werden. Ferner geht der Autor auf die Methoden der Risikoidentifikation sowie auf die im Zeitverlauf entstandenen Generationen von Frühwarnsystemen zur Erkennung von Risiken ein. Anschließend werden die Möglichkeiten der Risikobewertung und Dokumentation beleuchtet. Darüber hinaus wird aufgezeigt, in welcher Art und Weise eine Risikooptimierung erfolgen kann.

Die Arbeit schließt in Kapitel 5 mit einer kritischen Würdigung der Thematik. Der Autor erläutert hier zusammenfassend alle kritischen Punkte, die im Rahmen der Arbeit aufgeworfen wurden und stellt dar, worauf diese zurückzuführen sind.

2 Notwendigkeit eines Risikomanagements und Risikocontrollings

2.1 Aktuelle Entwicklungen

Deutschland verzeichnete 2009 nicht nur einen erheblichen Anstieg an Insolvenzen, sondern auch an notleidenden Unternehmen. Dies ist zum einen maßgeblich auf die durch die Weltwirtschaftskrise verursachte Rezession zurückzuführen. Jedoch ist auch ohne Berücksichtigung der Weltwirtschaftskrise ein stetiger Anstieg an Insolvenzen in Deutschland zu verzeichnen. Die nachfolgende Abbildung 1 stellt die Entwicklung der Insolvenzen in den Jahren 1991 bis 2009 dar und zeigt darüber hinaus eine Prognose für die Kalenderjahre 2010 und 2011. In den Jahren 1991 bis 1998 stieg die Zahl der jährlichen Insolvenzen kontinuierlich von 8.835 auf 27.474. Dies entspricht einem Aufwuchs von über 210 %. Im Jahr 1999 gingen die Insolvenzen leicht zurück (26.476), was auf eine Erholung der Konjunktur zurückzuführen ist. Mit dem Platzen der „New Economy“-Blase im März 2000 ist wieder ein Anstieg der Insolvenzen bis zum Jahre 2003 erkennbar. Die Erholung der Wirtschaft und der damit einhergehende Konjunkturaufschwung ließen die Insolvenzen bis zum Jahre 2008 sinken. Resultierend aus der Weltwirtschaftskrise ist das Insolvenzniveau im aktuellen Zeitraum wieder gestiegen. Die Schätzungen für die Jahre 2010 und 2011 zeigen, dass 2010 der vorläufige Höhepunkt erreicht wird und eine erneute Trendwende erst 2011 erwartet wird.^[3]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Anzahl der Unternehmensinsolvenzen^[4]

Die Euler Kreditversicherungs AG hat in Zusammenarbeit mit dem Zentrum für Insolvenz und Sanierung der Universität Mannheim eine Studie veröffentlicht, in der Insolvenzursachen analysiert wurden. Laut dieser Studie kann eine erhebliche Ursache von Insolvenzen in der zu späten Antragstellung der Insolvenz gesehen werden.^[5] Durch die verspätete Beantragung der Insolvenz sinken die Chancen einer erfolgreichen Sanierung, da die Liquidität des Unternehmens abnimmt. Als eine weitere zentrale Ursache für Insolvenzen werden in der Studie Managementfehler aufgeführt, die auf nicht identifizierte Risiken zurückzuführen sind. Solche Risiken können in sämtlichen Unternehmensbereichen auftreten und schnell zu einer existenziellen Gefahr für das Unternehmen werden. Als häufigste Gründe für die Nichterkennung von Risiken werden in der Studie ein fehlendes Controlling, entstandene Finanzierungslücken sowie ein unzureichendes Debitorenmanagement genannt. Damit einher geht auch eine mangelnde Transparenz und Kommunikation im Unternehmen.

Fasst man die grundlegenden Ursachen für Insolvenzen aus der Studie zusammen, so zeigt sich, dass viele der Ursachen für eine Insolvenz innerhalb eines Unternehmens liegen und somit unabhängig von äußeren Einflüssen sind. Aus der Studie lässt sich somit unmittelbar ableiten, dass durch ein funktionierendes Management und Controlling Risiken früher erkannt und abgewendet werden können.

2.2 Definitionen des Risikobegriffs

Der Begriff des Risikos wird zwar von fast jeder Wissenschaft angewandt, jedoch gibt es derzeit keine allgemeingültige Definition die sich über alle Fachrichtungen herausgebildet hat.^[6] Der Begriff „Risiko“ ist zurückzuführen auf das frühitalienische Wort „Risco“, etwas wagen. Dadurch wird deutlich, dass Risiko schon damals eher eine Wahl als ein Schicksal darstellte.^[7] Allgemein wird heute unter einem Risiko

a) ein mit einem Vorhaben, Unternehmen verbundenes Wagnis oder

b) die Gefahr bzw. Verlustmöglichkeit bei einer unsicheren Unternehmung verstanden.^[8]

Neben der allgemeinen Begriffserklärung haben sich zahlreiche weitere Begriffsbestimmungen durchgesetzt. Wie der Abbildung 2 zu entnehmen ist, lässt sich eine Klassifizierung in asymmetrische Risiken (reine Risiken) und symmetrische Risiken (spekulative Risiken) durchführen. Als reine Risiken werden hierbei solche Risiken bezeichnet, durch die unmittelbar ein Schaden eintritt (z.B. Naturkatastrophen). Dem entgegen liegen spekulativen Risiken unternehmerische Handlungen zugrunde.^[9] Ferner lassen sich spekulative Risiken weiter in Risiken im engeren Sinne und Risiken im weiteren Sinne unterteilen. Das Risiko im engeren Sinne sieht lediglich Verluste vor, während sich im Risikobegriff im weiteren Sinne sowohl Verluste als auch Chancen widerspiegeln können.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Risikoverständnis

Der Risikobegriff wird durch den Gesetzgeber, der herrschenden Meinung in der Literatur aber auch in der Praxis im engeren Sinne ausgelegt. Die Auslegung des Risikobegriffs durch den Gesetzgeber lässt sich insbesondere aus dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) ableiten. Im Rahmen des KonTraG, auf welches im Kapitel 3.1 näher eingegangen wird, wurde vom Gesetzgeber eine Änderung des § 91 AktG vorgenommen.^[10] Dort legt der Gesetzgeber den Risikobegriff sehr eng aus und schreibt vor, dass geeignete Maßnahmen getroffen werden sollen, um ungünstige künftige Entwicklungen für den Fortbestand des Unternehmens frühzeitig zu erkennen.^[11] Der Gesetzgeber verfolgte hierbei lediglich das Ziel der Existenzsicherung des Unternehmens und geht nicht auf die gegebenenfalls bestehenden Chancen ein. Dies verdeutlicht auch die Gesetzesbegründung zu § 91 Abs. 2 AktG. In einer nicht abschließenden Aufzählung werden dort „risikobehaftete Geschäfte, Unrichtigkeiten der Rechnungslegung und Verstöße gegen gesetzliche Vorschriften, die sich auf die Vermögens-, Finanz- und Ertragslage der Gesellschaft oder des Konzerns wesentlich auswirken“^[12] genannt. Die Nutzung von etwaigen Chancen obliegt hierbei dem Management.^[13]

Der durch den IDW entwickelte und auf dem KonTraG basierende Prüfungsstandard IDW PS 340 formuliert Risiko als die „allgemeine Möglichkeit einer ungünstigen künftigen Entwicklung“^[14]. Auch in der Literatur dominiert eine solch enge Auslegung des Risikobegriffs. Eine in der Literatur häufig anzutreffende Auslegung des Risikobegriffs geht auf Diederichs zurück. Er unterscheidet zwischen einer ursachen- und wirkungsbezogenen Komponente von Risiko. Als Ursache des Risikos sieht er die Zielverfehlung durch externe Ereignisse (z.B. Weltwirtschaftskrise) oder aber interne Entscheidungen, wie z.B. der Erwerb eines Unternehmens. Die wirkungsbezogene Komponente beschreibt die Art und das Ausmaß der Abweichungen von den definierten Zielen und Strategien.^[15]

Bei einem Blick in die Praxis zeigt sich, dass trotz der Existenz von verschieden gearteten Risikodefinitionen durch den Gesetzgeber bzw. die Literatur viele Unternehmen den Risikobegriff dennoch selber und nach ihren eigenen Bedürfnissen auslegen. Auf Ebene eines Unternehmens wird die Auslegung häufig präzisiert, da die Beurteilung der Lage eines Unternehmens stark von den Zielvorstellungen der Shareholder^[16] und denen des Managements abhängt.^[17] So wird beispielsweise im EnBW-Konzern der Begriff des Risikos „als der ungeplante potenzielle Ertrags- oder Vermögensverlust definiert, der sich aus möglichen Gefahren ergibt“^[18].

2.3 Abgrenzung Risikomanagement und -controlling

Im Folgenden sollen die Begriffe Risikomanagement und Risikocontrolling voneinander abgegrenzt und erläutert werden. Diese Begriffe sind in der Literatur nicht einheitlich definiert und werden häufig unterschiedlich interpretiert. Während die Begriffe von einigen synonym verwendet werden, grenzen andere diese strikt voneinander ab.

Diederichs definiert den Risikomanagementbegriff als einen immanenten Bestandteil der Unternehmensführung. Das Risikomanagement umfasst hierbei die Integration organisatorischer Maßnahmen, risikopolitischer Grundsätze sowie die Gesamtheit aller führungsunterstützenden Planungs-, Koordinations-, Informations- und Kontrollprozesse, die auf eine systematische und kontinuierliche Identifikation, Beurteilung, Steuerung und Überwachung unternehmerischer Risikopotenziale abzielt und eine Gestaltung der Risikolage des Unternehmens mit dem Ziel der Existenzsicherung ermöglicht. Dem Risikomanagement kommt somit eine begleitende Führungsfunktion zu, die seitens der Führung in die Organisation zu integrieren ist. Die Definition verweist zudem bereits auf den Risikomanagementprozess, der in Kapitel 4 eingehend dargelegt wird.^[19]

In der Literatur finden sich Belege dafür, dass Teile des Risikomanagementprozesses vom Controlling übernommen werden (können). Hierbei kristallisiert sich heraus, dass das Risikocontrolling sowohl auf operativer als auch auf strategischer Ebene einen Baustein innerhalb des Controllings darstellt. Während das Management sich um die Integration risikopolitischer Grundsätze, der Etablierung eines Risikobewusstseins und schwerpunktmäßig der Steuerung von Risiken widmet, unterstützt das Risikocontrolling prozessbegleitend bei der methodischen Umsetzung sowohl mit Hilfe eines umfangreichen Instrumentariums als auch mit der Bereitstellung von Informationen im Rahmen von Berichterstattungen.^[20]

3 Gesetzliche Anforderungen

3.1 KonTraG

Das Gesetz zur Kontrolle und Transparenz in Unternehmen (KonTraG) wurde 1998 als Artikelgesetz von der Bundesregierung verabschiedet und hatte zur Folge, dass insbesondere Paragraphen des Aktien- und Handelsrechts angepasst und ergänzt wurden. Die Notwendigkeit eines solchen Gesetzes ergab sich aus den zunehmenden Unternehmenskrisen. Laut der Gesetzesbegründung war es Ziel des Gesetzes, die Unternehmenstransparenz zu erhöhen und die Kontrollmöglichkeiten der Hauptversammlung zu stärken. Ein weiteres Ziel stellt die Verbesserung der Qualität der Abschlussprüfung und die Zusammenarbeit zwischen Aufsichtsrat und Abschlussprüfer in Aussicht.^[21]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Übersicht KonTraG^[22]

Das KonTraG fordert primär ein Risikomanagementsystem, welches verhindern soll, dass sich Risiken realisieren und negativ auf die Vermögens-, Finanz- und Ertragslage oder gar auf die Existenz des Unternehmens auswirken.^[23] Wie Abbildung 3 zu entnehmen ist, wurden zur Erreichung dieser Zielsetzung durch den Gesetzgeber Anpassungen des Aktienrechts sowie des Handelsgesetzbuches vorgenommen. Während das AktG die Einrichtung eines RMS verlangt, konzentriert sich das HGB auf die Beurteilung eines RMS. Dieses wird durch den Vorstand betrieben und dessen Funktionalität durch die Wirtschaftsprüfer testiert. Die Änderungen betreffen in erster Linie börsennotierte Gesellschaften, entfalten jedoch auch Ausstrahlungswirkungen auf andere (Kapital-) Gesellschaften.^[24]

Der in § 91 AktG neu eingefügte zweite Absatz verpflichtet den Vorstand, geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, um die den Fortbestand der Gesellschaft gefährdenden Risiken frühzeitig zu erkennen. Durch diese Novellierung des Gesetzgebers kristallisieren sich zwei Mindestanforderungen an ein Risikomanagementsystem heraus. Zum einen die Forderung des Gesetzgebers ein Überwachungssystem einzurichten und zum anderen die Implementierung eines Frühwarnsystems. Während das Frühwarnsystem, wie in Kapitel 4.2.2 näher erläutert wird, der Erkennung von Risiken dient, zielt die Überwachung auf die Beobachtung und Berichterstattung bereits identifizierter Risiken ab.

Die handelsrechtlichen Neuregelungen zielen unter anderem auf den Lagebericht ab. Der Gesetzgeber hat durch die Modifizierung des § 289 HGB dafür Sorge getragen, dass Anleger und Investoren mittels des Lageberichts frühzeitig und zukunftsgerichtet über wertbeeinflussende Risiken unterrichtet werden. Die Berichterstattungspflichten wurden dahingehend erweitert, dass die Geschäftsführung bei der Darstellung der Lage der Gesellschaft „auch auf Risiken der künftigen Entwicklung einzugehen hat“^[25]. Ferner muss dieser gemäß § 317 Abs. 2 und Abs. 4 HGB durch einen Abschlussprüfer gutachterlich überprüft und dem Aufsichtsrat gegenüber Stellung bezogen werden.^[26]

3.2 Weitere gesetzliche Regelwerke

Neben den Änderungen durch das KonTraG wurden im Rahmen des 2004 in Kraft getretenen Bilanzrechtsreformgesetzes (BilReG) weitere Anforderungen an ein Risikomanagementsystem konkretisiert, welche die Berichterstattung betreffen. Die Neuregelungen des § 289 HGB sehen beispielsweise vor, dass sowohl Risiken als auch Chancen der künftigen Entwicklung Bestandteil des Lageberichts einer Kapitalgesellschaften darstellen sollen. Folglich kommt seit Einführung des BilReG für den Lagebericht eine Auslegung des Risikobegriffs im weiteren Sinne zur Anwendung. Für den Lagebericht ist nicht nur auf die betrieblichen Funktionsbereiche abzustellen, sondern auch auf externe Faktoren (z.B. Politik, Recht und Gesellschaft). Darüber hinaus soll nicht nur über vorhersehbare Risiken berichtet werden, sondern auch über weiter entfernte.^[27] Der IDW spricht von einem überschaubaren Zeitraum von zwei Jahren. Des Weiteren muss die Gesellschaft auf ihre wesentlichen Ziele und Strategien eingehen. Zudem sind die zugrunde liegenden Annahmen anzugeben. Zentral sind hierbei bestandsgefährdende Risiken (going concern^[28] ). Dieses gilt gemäß § 315 HGB analog für den zu erstellenden Konzernlagebericht.^[29]

Weitere Ergänzungen erfuhr § 289 HGB im Jahr 2009 im Rahmen des Bilanzrechtsmodernisierungsgesetzes (BilMoG). Dieses sieht vor, dass der Lagebericht um die wesentlichen Merkmale der Funktionsweise des internen Kontrollsystems (IKR) und des internen Risikomanagementsystems (RMS) im Hinblick auf den Rechnungslegungsprozess zu erweitern ist (§ 289 Abs. 5 HGB). Zudem fordert der Gesetzgeber, dass ein Unternehmen einen Prüfungsausschuss einzurichten hat, sofern dieses keinen Aufsichts- oder Verwaltungsrat besitzt, der den Anforderungen des § 100 Abs. 5 AktG genügt. Der Prüfungsausschuss dient u.a. dazu, die Wirksamkeit des IKS, des RMS und des Revisionssystems zu überwachen und gegebenenfalls Ergänzungen oder Verbesserungen implementieren zu lassen. An den Sitzungen des Aufsichtsrats bzw. des Prüfungsausschusses nimmt u.a. der Wirtschaftsprüfer teil und berichtet in seiner Abschlussprüfung über das IKR sowie das RMS.^[30]

Im Zusammenhang mit der Berichterstattung ist auch der Deutsche Rechnungslegungsstandard (DRS) 5 zu nennen. Dieser wurde am 3. April 2001 durch den deutschen Standardisierungsrat (DSR) verabschiedet und durch diesen letztmalig am 5. Januar 2010 geändert. Zu den Adressaten des DRS 5 gehören alle Mutterunternehmen, die gemäß § 315 Abs. 1 Satz 5 HGB über die Risiken der voraussichtlichen Entwicklung zu berichten haben.^[31] Darüber hinaus empfiehlt der DSR auch eine Anwendung dieses Standards auf den Lagebericht gem. § 289 Abs. 1 HGB.

Der DSR weist darauf hin, dass die Risikoberichterstattung an die individuellen Erfordernisse der verschiedenen Unternehmen und Branchen angepasst werden muss. Etwaige Risikokonzentrationen (z.B. einzelne Kunden, Lieferanten, Produkte, Patente und Länder) sowie bestandsgefährdende Risiken sind berichtspflichtig. Risiken sind nach dem DRS 5 Nr. 16 zu Risikokategorien zusammenzufassen und nach anerkannten und verlässlichen Methoden zu quantifizieren, sofern diese möglich und wirtschaftlich vertretbar sind. Somit handelt es sich bei Risiken i.S.d. DRS um Finanzrisiken.^[32] Es besteht zudem ein Verbot der Verrechnung von Risiken und Chancen. Darüber hinaus ist im anzufertigenden Lagebericht das „Risikomanagement in angemessenem Umfang zu beschreiben“^[33].

Als Ergänzung zum festgelegten Recht dienen die Empfehlungen des Deutschen Corporate Governance Kodex (DCGK). Diese enthalten keine verpflichtenden Regelungen, sondern sehen eine Selbstverpflichtung von börsennotierten Unternehmen vor. Eine Anwendung des DCGK wird aber auch nicht börsennotierten Unternehmen empfohlen. Börsennotierte Gesellschaften sind gemäß § 161 AktG zu einer Entsprechungserklärung verpflichtet, in der die Gesellschaft nach dem Comply-or-Explain-Prinzip^[34] jährlich erklärt, welchen Empfehlungen entsprochen wurde und welche Empfehlungen nicht angewandt wurden.^[35]

Ziel des DCGK ist es, die Transparenz zu erhöhen, eine stärkere Überwachung des Vorstands durch den Aufsichtsrat zu ermöglichen und die Haftung des Vorstands und Aufsichtsrats auszuweiten. Der Vorstand hat „regelmäßig, zeitnah und umfassend den Aufsichtsrat über alle für das Unternehmen relevanten Fragen der Planung, der Geschäftsentwicklung, der Risikolage, des Risikomanagements und der Compliance“^[36] zu informieren. Zudem fordert der Kodex in Punkt 4.1.4 die Einrichtung eines angemessenen Risikomanagements und -controllings durch den Vorstand.

Neben den in diesem Kapitel beschriebenen nationalen Grundlagen spielen auch internationale Anforderungen eine wichtige Rolle für das Risikomanagement. Besonders herausragend ist hierbei der 2002 in den USA eingeführte Sarbanes-Oxley-Act (SOX) dessen Wirkung aber weit über die Grenzen Amerikas hinausgeht. Er gilt für alle US- und Nicht-US Unternehmen, die den Regelungen des Exchange Act von 1934 oder der amerikanischen Securities and Exchange Commission (Börsenaufsichtsbehörde) unterliegen. Somit erstreckt sich der Geltungsbereich des SOX u.a. auf europäische Unternehmen mit amerikanischer Muttergesellschaft bzw. europäische Konzerne mit Tochtergesellschaften in den USA.^[37] Der Gesetzesinitiative sind zahlreiche Bilanzskandale und damit einhergehende Unternehmenszusammenbrüche vorausgegangen. Die bekanntesten Konkurse in diesem Zusammenhang sind Enron mit 30 Mrd. US-Dollar Schulden und WorldCom mit 100 Mrd. US-Dollar Schulden.^[38] Primäres Ziel des SOX ist die Wiederherstellung des Vertrauens von Anlegern in die Richtigkeit der durch die Unternehmen veröffentlichten Bilanzen sowie eine Überwachung der ordnungsmäßigen Finanzberichterstattung.^[39] Damit einhergehend wurde der Geschäftsleitung im Rahmen des SOX-Act die Aufgabe auferlegt, ein internes Kontrollsystem einzurichten. Dieses verfolgt das Ziel, den Gesellschaftsorganen risikorelevante Informationen über das Unternehmen sowie dessen Konzerngesellschaften zur Verfügung zu stellen.^[40] Für die Effizienz sowie die Funktionsfähigkeit des Kontrollsystems tragen die Gesellschaftsorgane die Verantwortung und müssen ihre Aktivitäten entsprechend dokumentieren.

In diesem Kapitel wurde dargestellt, dass die Erfordernis eines Risikocontrollings in diversen Gesetzen und Grundlagen manifestiert ist. Diese sich aber in deren Ausprägungen und Anforderungen unterscheiden. Das nachfolgende Kapitel soll dem Leser einen Überblick liefern welche Möglichkeiten und Instrumente das Controlling zur Erkennung, Bewertung und schließlich zur Optimierung der Risiken besitzt.

4 Instrumente des Controllings

4.1 Einführung

Aus den in Kapitel 3 dargelegten gesetzlichen Vorgaben wird die Frage, in welcher Art und Weise ein Risikomanagementsystem ausgestaltet werden muss, weitestgehend offen gelassen. Ebenso wird durch den Gesetzgeber nicht näher bestimmt, in welchem Unternehmensbereich ein RMS angesiedelt werden soll. In der Literatur wurden hierzu bereits verschiedene Ansätze diskutiert. Neben der Errichtung einer eigenen Risikomanagementabteilung beschreibt das Schrifttum die Möglichkeit, das RMS auch in die Abteilungen Finanzen, innere Revision oder aber im Bereich des Controllings zu etablieren.^[41] Bei der Implementierung eines RMS kann hierbei auf bestehende Strukturen innerhalb des Unternehmens zurückgegriffen werden. In der Praxis resultiert daraus, dass auf der strategischen Ebene Teile des Risikomanagementsystems in der Regel vom Controlling übernommen werden.^[42]

Für diese organisatorische Einordnung des Risikomanagements ist es hilfreich, die originären Aufgaben des Controllings im Unternehmen zu kennen. So wurden durch die International Group of Controlling folgende Kerntätigkeiten des Controllings definiert. Demnach „gestaltet und begleitet das Controlling den Management-Prozess der Zielfindung, Planung und Steuerung und trägt damit Mitverantwortung zur Zielerreichung“. Ferner „sorgen Controller für die Strategie-, Ergebnis-, Finanz- und Prozesstransparenz“. Darüber hinaus ist das Controlling für das „Koordinieren von Teilzielen und Plänen verantwortlich und organisieren ein zukunftsorientiertes unternehmerisches Berichtswesen“.^[43]

Das Controlling muss hierbei neben der Ergebnisorientierung auch Risikoaspekte bei der Planung, Steuerung, Kontrolle und Berichterstattung berücksichtigen. Hieraus lässt sich der in Abbildung 4 beschriebene Risikomanagement-Prozess ableiten, der sich in einzelne Prozess-Schritte unterteilen lässt. Die Risiken müssen zunächst identifiziert werden (Risikoidentifikation). Anschließend müssen diese Risiken analysiert und bewertet (Risikobewertung) sowie aggregiert und berichtet werden (Risikoreporting), um schlussendlich durch eine gezielte Steuerung des Risikos (Risikosteuerung) eine Risikooptimierung durchführen zu können, aus der sich eine Unternehmensstrategie ableiten lässt. Die bereits erkannten Risiken müssen weiterhin überwacht und gegebenenfalls erneut bewertet werden, um eventuellen Veränderungen entgegenwirken zu können.^[44]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Risikomanagement-Prozess^[45]

4.2 Risikoidentifikation

Die Risikoerkennung steht am Anfang des Risikomanagementprozesses. Ziel der Risikoidentifikation ist es, alle wesentlichen Risiken eines Unternehmens zu erkennen und strukturiert zu erfassen. Aufgrund der hohen Komplexität vieler Unternehmen kann sich die Identifikation der Risiken teilweise als schwierig gestalten.^[46] Es ist daher unerlässlich, die Mitarbeiter aller Fachbereiche mit Fachwissen und Detailkenntnis in diesen Prozess mit einzubeziehen.^[47]

Durch unterschiedliche Unternehmensgrößen, verschiedene Branchen und den verfolgten Strategien des Unternehmens bestehen erhebliche Unterschiede in den möglichen Risiken. Für die Risikoanalyse ist es u.a. von Bedeutung, um welches Risiko es sich handelt, da davon die Art und Weise abhängt, wie mit dem Risiko verfahren wird.^[48] Im Rahmen einer durch die Wirtschaftsprüfungsgesellschaft PricewaterhouseCoopers im Jahr 2010 veröffentlichten Risk-Management Benchmarkstudie wurden 34 Konzerne zu der Ausgestaltung ihres Risikomanagementsystems befragt. Davon waren 94 % börsennotierte Aktiengesellschaften in den Segmenten DAX, MDAX, TecDAX und SDAX.^[49] Hierbei gaben die untersuchten Unternehmen Auskunft, welche Methoden der Risikoidentifikation verwendet werden.

Im weiteren Verlauf soll die in der Literatur und Praxis häufig anzutreffende Kollektionsmethode, die analytische Suchmethode sowie die Kreativitätsmethode zur Risikoidentifikation beschrieben und deren Pro und Contra diskutiert werden.

[...]

^[1] Vgl. Henle (2009), S. 182.

^[2] Vgl. PricewaterhouseCoopers (2010a), S. 1.

^[3] Vgl. Euler Hermes Kreditversicherung (2010), S. 8.

^[4] Quelle: Statistisches Bundesamt (2010) S. 7; Euler Hermes Kreditversicherung (2010), S. 2.

^[5] Vgl. Euler Hermes Kreditversicherung (2006), S. 10.

^[6] Vgl. Hannemann / Schneider / Hanenberg (2006), S. 72.

^[7] Vgl. Campenhausen, v. (2006), S.12.

^[8] Vgl. Dudenverlag (2007).

^[9] Vgl. Hasenmüller (2009), S.7f.

^[10] Vgl. Gleich / Oehler (2006), S. 42.

^[11] Vgl. Wolf (2006), S. 450.

^[12] BT Drucksache 13/9712, S. 15.

^[13] Vgl. Vanini (2009), S.196.

^[14] Vgl. Institut der Wirtschaftsprüfer e.V. (2010), S 2.

^[15] Vgl. Diederichs (2009), S. 10.

^[16] Shareholder (dt. Aktionär): Bezeichnung für Inhaber von Anteilen an einer Aktiengesellschaft.

^[17] Vgl. Schulten (2010), S. 231f.

^[18] Enders / Vetter / Wagner (2008), S. 151.

^[19] Vgl. Diederichs (2010), S. 15 ff.

^[20] Vgl. Nevries / Strauß (2008), S. 106 ff.

^[21] Vgl. BT Drucksache 13/9712; S. 11 ff.

^[22] In Anlehnung an Campenhausen (2006), S. 61.

^[23] Vgl. Hommelhoff / Mattheus (2000), S. 8.

^[24] Vgl. Wolf / Runzheimer (2009), S. 21 m.w.N..

^[25] § 289 Abs. 1 HS 2 HGB.

^[26] Vgl. Preißner (2010), S. 429.

^[27] Vgl. Baumbach / Hopt (2010), S. 1035ff.

^[28] Going Concern-Prinzip ist ein Grundsatz ordnungsmäßiger Bilanzierung. Demnach ist gemäß § 252 Abs. 1 Nr. 2 HGB bei der Bewertung von der Fortführung der Unternehmenstätigkeit auszugehen, sofern dem nicht tatsächliche oder rechtliche Gegebenheiten gegenüber stehen.

^[29] Vgl. § 315 Abs. 1 HGB.

^[30] Vgl. Wolf (2009), S. 920 ff.

^[31] Vgl. Hier und im Folgenden Deutsches Rechnungslegungs Standards Committee (2010),
S. 13 ff.

^[32] Vgl. Wolke (2008); S. 258.

^[33] Deutsches Rechnungslegungs Standards Committee (2010), S. 21, Nr. 28.

^[34] Nach dem Comply-or-Explain-Prinzip (dt. entspreche oder erkläre), muss ein Unternehmen dem Kodex nicht rechtverbindlich folgen, jedoch Abweichungen davon erklären.

^[35] Vgl. Becker / Ulrich (2010), S. 9.

^[36] Vgl. Hier und im Folgenden Regierungskommission Deutscher Corporate Governance Kodex (2010) Nr. 3.4, S. 4.

^[37] Vgl. Färber / Wagner (2005), S. 156.

^[38] Vgl. hierzu Litke (2007), S. 305ff.

^[39] Vgl. Wolf, Klaus (2003), S. 268f.

^[40] Vgl. Färber / Wagner (2005), S. 156.

^[41] Vgl. Nevries / Strauß (2008), S. 107.

^[42] Vgl. Horváth / Gleich (2000), S.101.

^[43] Vgl. International Group of Controlling (2000), S.1.

^[44] Vgl. Fischer (2009), S. 141.

^[45] Vgl. PricewaterhouseCoopers (2010b), S. 14.

^[46] Vgl. Romeike / Hager (2009), S. 85f.

^[47] Vgl. Campenhausen (2006), S. 38f.

^[48] Vgl. Fischer (2009) S. 431ff.

^[49] Vgl. PricewaterhouseCoopers (2010b), S. 12.