Risikomanagementsysteme

Inhaltverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Kapitel 1: Einleitung
A. Aufbau der Arbeit
B. Problemstellung und Zielsetzung
C. Grundlagen des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)
D. Begriffsbestimmung
I. Risikobegriff
II. Risikomanagement

Kapitel 2: Der Risikomanagement-Prozeß
A. Grundlagen des Risikomanagements
B. Die Ausgestaltung des Risikomanagementsystems
I. Unternehmens- bzw. Risikostrategie als Voraussetzung eines erfolgreichen Risikomanagementsystems
II. Risikoidentifikation
1. Vorbemerkung
2. Klassifikation von Risiken
3. Frühwarnsysteme als Instrument der Risikoidentifikation
3.1 Ausgewählte Beispiele von Prognoseverfahren im strategischen Bereich
3.2 Ausgewählte Beispiele von Prognoseverfahren im operativen Bereich
III. Risikoanalyse und Risikobewertung
1. Vorbemerkung
2. Ausgewählte Verfahren der Risikoanalyse
3. Ausgewählte Verfahren der Risikobewertung
IV. Risikosteuerung
V. Risikocontrolling
VI. Systemgestaltung
1. Vorbemerkung
2. Risikokommunikation
3. Zuordnung von Verantwortlichkeiten
4. Risikodokumentation
5. Organisation des Risikomanagements
5.1 Risikopolitik
5.2 Risikokultur
6. Überwachung des Risikomanagements
7. Schwellenwerte
8. Identifikation von Risiken
C. IT-Unterstützung des Risikomanagements

Kapitel 3: Die Risikomanagementsystem-Studie
A. Methodik der Untersuchung
B. Empirische Ergebnisse
I. Aufbau der Studie
II. Der Risikomanagement-Prozeß
1. Vorbemerkung
2. Unternehmens- bzw. Risikostrategie als Voraussetzung eines erfolgreichen Risikomanagements
3. Frühwarnsysteme als Instrument der Risikoidentifikation
4. Risikoanalyse und Risikobewertung
5. Risikosteuerung
6. Risikocontrolling
III. Systemgestaltung
1. Risikokommunikation
2. Zuordnung von Verantwortlichkeiten
3. Risikodokumentation
4. Organisation des Risikomanagements
4.1 Risikopolitik
4.2 Risikokultur
5. Überwachung des Risikomanagements
6. Schwellenwerte
7. Vollständige Identifikation von Risiken
IV. IT-Unterstützung des Risikomanagements
V. Empfehlungen
1. Unternehmensstrategie und Risikostrategie
2. Zielgerichtetes Projektmanagement
3. Risikowahrnehmung
4. Entwicklung einer Kommunikationsstruktur
5. Zuordnung von Verantwortlichkeiten
6. Überwachung des Risikomanagementsystems

Kapitel 4: Zusammenfassung

Literaturverzeichnis

Anlage 1: Fragenkatalog der Risikomanagement-Studie

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Komponenten des Risikomanagements

Abbildung 2: Risikolandschaft eines Unternehmens

Abbildung 3: Bestandteile eines Risikomanagement- und Überwachungssystems

Abbildung 4: Dringlichkeitsklassen von Risiken

Abbildung 5: Risikomatrix

Abbildung 6: Mindestinhalte eines Risikohandbuchs

Abbildung 7: Die Position der Befragungsteilnehmer

Abbildung 8: Branchenzugehörigkeit der untersuchten Unternehmen

Abbildung 9: Rücklauf der Befragung nach Sektoren

Abbildung 10: Anteil der jeweiligen Umsatzklassen am Rücklauf

Abbildung 11: Integration der Unternehmensziele in den gesamten Unternehmensprozeß (nach Umsatzklassen)

Abbildung 12: Berücksichtigung von kritischen Erfolgsfaktoren in der Planung (nach Umsatzklassen)

Abbildung 13: Frühwarnsysteme als Instrument der Risikoidentifikation

Abbildung 14: Methoden der Risikoanalyse

Abbildung 15: Methoden der Risikobewertung

Abbildung 16: Maßnahmenstrategie zur Risikobewältigung

Abbildung 17: Vorgehensweise bei der Risikobewältigung

Abbildung 18: Einführung eines funktionalen Berichtskonzeptes

Abbildung 19: Kommunikationskonzept

Abbildung 20: Zuordnung von Verantwortlichkeiten (nach Umsatzklassen)

Abbildung 21: Bestandteile der Risikomanagement-Dokumentation

Abbildung 22: Organisatorische Einordnung des Risikomanagements

Abbildung 23: Formulierung einer Risikopolitik durch die Unternehmensleitung (nach Umsatzklassen)

Abbildung 24: Ausgestaltung der Risikokultur

Abbildung 25: Definition von Schwellenwerten (nach Umsatzklassen)

Abbildung 26: Einsatz eigener und/oder fremder Ressourcen

Abbildung 27: IT-Unterstützung des Risikomanagements

Teil 1:

Kapitel 1: Einleitung

A. Aufbau der Arbeit

Die Arbeit gliedert sich in vier Kapitel. Im ersten Kapitel wird auf die Problemstellung und Zielsetzung dieser Arbeit näher eingegangen. Die Grundlagen des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) bilden dabei den Rahmen dieses Manuskripts. Ein gemeinsames Grundverständnis der zentralen Begriffe wird ebenfalls geschaffen.

Kapitel 2 geht auf die Grundlagen des Risikomanagements ein. Weiterhin wird das Risikomanagementsystem in Form eines Risikomanagement-Prozesses dargestellt. Der Risikomanagement-Prozeß teilt sich in die Phasen Risikoidentifikation, Risikoanalyse und -bewertung, Risikosteuerung und Risikocontrolling auf. Die Unternehmens- bzw. Risikostrategie bildet dabei die Voraussetzung eines erfolgreichen Risikomanagementsystems. Ferner werden die Systemgestaltung und die IT-Unterstützung des Risikomanagements erläutert. Den Schwerpunkt der Risikoidentifikation, Risikoanalyse und -bewertung bilden ausgewählte Verfahren, die in der Untersuchung im dritten Kapitel dieser Arbeit von Bedeutung sind.

Zu Beginn des dritten Kapitels wird die Methodik der Untersuchung vorgestellt und der Aufbau der Studie erläutert. Dabei baut die Studie auf den theoretischen Grundlagen des zweiten Kapitels auf. Die empirischen Ergebnisse der Risikomanagementsystem-Studie stellen den Schwerpunkt dieses Kapitels dar. Die Arbeit endet mit einer zusammengefaßten Darstellung der Ergebnisse.

B. Problemstellung und Zielsetzung

Das unternehmerische Risikomanagement hat in jüngerer Zeit stark an Bedeutung gewonnen. Die veränderten Rahmenbedingungen durch die zunehmende Globalisierung des Wettbewerbs und der unternehmerischen Tätigkeit haben die Unternehmen dazu bewegt, Strukturen ihres Risikomanagements kritisch zu überprüfen und mit aktuellen Anforderungen zu vergleichen. Empirische Untersuchungen zum Risikomanagement sind nicht nur von wissenschaftlichem Interesse. Da es aus theoretischer Sicht bislang
keine klaren und eindeutigen Aussagen darüber gibt, wie Unternehmungen ihr Risikomanagement im einzelnen ausgestalten sollen, geben die empirischen Studien den verantwortlichen Führungskräften zumindest Anhaltspunkte über die derzeit vorherrschenden Praktiken in anderen Unternehmungen.

Mit der vorliegenden Arbeit soll der aktuelle Stand der Integration von Risikomanagementsystemen in deutschen und internationalen Unternehmen untersucht werden. Sie basiert auf einer umfassenden empirischen Untersuchung, die Ende 2000 bis Anfang 2001 durchgeführt wurde.

C. Grundlagen des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)

Mit Inkrafttreten des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Mai 1998 hat der Gesamtvorstand „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig erkannt werden“.^[1] „Die Verpflichtung des Vorstands, für ein angemessenes Risikomanagement und für eine angemessene interne Revision zu sorgen, soll verdeutlicht werden.“^[2] Es handelt sich um eine gesetzliche Hervorhebung der allgemeinen Leitungsaufgaben (§ 76 Abs. 1 AktG) des Vorstands^[3] sowie um die Konkretisierung dessen Sorgfaltspflicht (§ 93 Abs. 1 Satz 1 AktG). Die Sorgfaltspflicht des Vorstandes umfaßt dabei u.a. die Festlegung der Unternehmenspolitik, die zugehörige funktionsfähige Unternehmensüberwachung und die Koordination der verschiedenen Führungsebenen.^[4] „Zu den den Fortbestand der Gesellschaft gefährdenden Entwicklungen gehören insbesondere risikobehaftete Geschäfte, Unrichtigkeiten der Rechnungslegung und Verstöße gegen gesetzliche Vorschriften, die sich auf die Vermögens-, Finanz- und Ertragslage der Gesellschaft oder des Konzerns wesentlich auswirken. Die Maßnahmen interner Überwachung sollen so eingerichtet sein, daß solche Entwicklungen frühzeitig, also zu einem Zeitpunkt erkannt werden, in dem noch geeignete Maßnahmen zur Sicherung des Fortbestandes der Gesellschaft ergriffen werden können.“^[5] „Ziel dieser Gesetzesänderung war es nicht, existenzbedrohende Risiken auszuschließen, sondern „nur“ sicherzustellen, daß der Vorstand sie kennt.“^[6] Aus dem Gesetzestext und der allgemeinen Begründung zum KonTraG sowie der Begründung zu § 91 Abs. 2 AktG folgt, daß der Gesetzgeber ein Risikomanagementsystem, ein internes Überwachungssystem, ein Controlling und ein Frühwarnsystem fordert (siehe dazu auch Abbildung 1).

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1 : Komponenten des Risikomanagements

Quelle: in Anlehnung an Palaß, B.: Management Risikosteuerung: Wo Rauch ist..., in: Manager-Magazin, 1999, Heft 5, S. 132-142, hier S. 138.

Obwohl im GmbH-Gesetz keine entsprechende Regelung aufgenommen wurde, ist laut Gesetzesentwurf davon auszugehen, daß für die GmbH, je nach Größe und Komplexität ihrer Struktur, nichts anderes gilt. Ferner hat die Neuregelung auch Ausstrahlungswirkung auf Geschäftsführer anderer Gesellschaftsformen (z.B. § 53 HGrG).^[7] Nach der Begründung zum Gesetzes-entwurf liegt darüber hinaus eine Verpflichtung der Konzernmutter zu einem Risikomanagement für den gesamten Konzern vor, sofern von Tochterunternehmen bestandsgefährdende Entwicklungen ausgehen können. Weiter haben alle Kapitalgesellschaften, mit Ausnahme der kleinen Kapitalgesellschaften, im Lagebericht „... auch auf die Risiken der zukünftigen Entwicklung einzugehen“ (§ 289 Abs. 1 HGB). Eine unzureichende Darstellung der bestandsgefährdenden Risiken im Lagebericht kann zu einer Einschränkung des Bestätigungsvermerks führen.^[8]

D. Begriffsbestimmung

I. Risikobegriff

Der Begriff Risiko wird in der Literatur sehr weitreichend definiert. Lück^[9] unterscheidet zwischen dem reinen Risiko und dem spekulativen Risiko. Reines Risiko beinhaltet nur Schadengefahren, bei denen ein das Vermögen unmittelbar minderndes Ereignis eintritt (z.B. Feuer). Das reine Risiko geht davon aus, daß die Entwicklung des Unternehmens nur von seltenen, unregelmäßigen Gefahren bedroht wird. Das spekulative Risiko umfaßt im Gegensatz zum reinen Risiko diejenigen unsicheren Ereignisse, die sich durch das unternehmerische Handeln vermögensmindernd oder vermögensmehrend aus-wirken. Es wird weiter unterteilt in:

a) Risiko im engeren Sinne (Risiko i.e.S.) umschreibt die vermögensmindernden unsicheren Ereignisse, die aus einer ungünstigeren Entwicklung als geplant resultieren (Verlust- bzw. Schadengefahr).^[10]
b) Risiko im weiteren Sinne (Risiko i.w.S.) umschreibt die vermögensmehrenden unsicheren Ereignisse, die aus einer günstigeren Entwicklung als geplant resultieren (Chance).^[11]

Das Institut der Wirtschaftsprüfer stellt im Sinne des KonTraG sowohl vom Wortlaut als auch vom Sinnzusammenhang her eindeutig auf den engeren Risikobegriff ab.^[12]

II. Risikomanagement

Das moderne Risikomanagement entstand durch die Versicherungspolitik größerer amerikanischer Unternehmen (Insurance Management). Der Versuch der Unternehmen, die Versicherungsprämien zu reduzieren, war der Auslöser für die Versicherungsbranche unternehmensinterne Sicherheitsmaßnahmen zu fordern.^[13] Aufgrund der verstärkten Integration risikoorientierter Denkweisen im Rahmen der Managementphilosophie, erschienen in den 70er Jahren ebenfalls die ersten Publikationen zum Risikomanagement-Konzept in Europa.^[14]

Das Institut der Wirtschaftsprüfer bezeichnet Risikomanagement als „die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung“.^[15] Dabei besteht die Aufgabe eines effizienten Risikomanagements darin, bestehende Risiken sowie zukünftige, potentielle Risiken zu identifizieren, zu kontrollieren und zu steuern.^[16] Es werden Maßnahmen vorbereitet, um bedrohlichen Entwicklungen rechtzeitig gegenzusteuern. Darüber hinaus sollen diese helfen, das Erreichen der angestrebten Ziele zu ermöglichen sowie gleichzeitig die optimalen Chancen des Unternehmens zu nutzen.^[17]

Kapitel 2: Der Risikomanagement-Prozeß

A. Grundlagen des Risikomanagements

Ziel des Risikomanagements ist die rechtzeitige Identifizierung und Bewältigung von Risiken, die für die wirtschaftliche Lage eines Unternehmens von Bedeutung sein können. Risikomanagement kann unter Beachtung der Wirtschaftlichkeit nicht alle Risiken eines Unternehmens in gleichem Maße berücksichtigen. Zumindest die wesentlichen Risiken, die einen erheblichen Einfluß auf die wirtschaftliche Lage eines Unternehmens haben können, sind zu identifizieren und zu bewältigen.^[18] Risiken können in allen Unternehmensbereichen vorkommen.

Abbildung 2 : Risikolandschaft eines Unternehmens

Abbildung in dieser Leseprobe nicht enthalten

Quelle: o.V.: Unternehmensweites Risikomanagement: Maßnahmen zur Sicherung Ihres Unternehmenserfolges, C & L Broschüre, Frankfurt am Main 1998, S. 9.

Wie in Abbildung 2 dargestellt, gibt es Risiken, die aus der Veränderung externer Faktoren, wie z.B. Verhältnisse aus dem Beschaffungsmarkt, entstehen. Grundsätzlich können Unternehmen auf externe Gefahren reagieren oder sich auf ihr Eintreten vorbereiten. Eine genaue Informationsbeschaffung über externe Risikofaktoren ist aus diesem Grund stets erforderlich. Außerdem ergeben sich Risiken aus unternehmensinternen Faktoren wie Personal, Sachmittel und Organisation. Die individuelle Risikolandschaft eines Unternehmens hängt unter anderem von weiteren Faktoren, wie z.B. Branche, Größe oder Marktstellung ab. Die unternehmensindividuellen Risiken sollten sich in der Ausgestaltung des Risikomanagements wiederspiegeln.

B. Die Ausgestaltung des Risikomanagementsystems

Die Ausgestaltung des Risikomanagementsystems läßt sich in Form eines Risikomanagement-Prozesses (siehe Abbildung 3) darstellen und erklären. Der Risikomanagement-Prozeß besteht grundsätzlich aus den Elementen Risikoidentifikation, Risikoanalyse und -bewertung, Risikosteuerung und Risikocontrolling. Dabei ist zu beachten, daß weder der Wortlaut des Gesetzes noch dessen Begründung Aufschluß geben, wie die geforderten Elemente des Risikomanagementsystems konkret auszugestalten sind. Die Anforderungen an das Risikomanagementsystem sind daher stets unter Beachtung betriebswirtschaftlicher Aspekte zu formulieren.

Abbildung 3 : Bestandteile eines Risikomanagement- und Überwachungssystems

Abbildung in dieser Leseprobe nicht enthalten

Quelle: in Anlehnung an Scharpf, P.; Lutz, G.: Risikomanagement, Bilanzierung und Aufsicht von Finanzderivaten, 2. Auflage, Stuttgart 2000, S. 77.

In den nächsten Abschnitten dieses Kapitels werden die wesentlichen Elemente eines derartigen Prozesses vorgestellt. Die einzelnen Komponenten stehen nicht isoliert nebeneinander, sondern bauen aufeinander auf und beeinflussen sich gegenseitig. Im Anschluß an den Risikomanagement-Prozeß wird ausführlich auf eine optimale Systemgestaltung sowie auf die IT-Unterstützung des Risikomanagements eingegangen.

I. Unternehmens- bzw. Risikostrategie als Voraussetzung eines erfolgreichen Risikomanagementsystems

Ein effektives Risikomanagement richtet sich an der geschäftspolitischen Zielsetzung des Unternehmens (Unternehmensstrategie) aus.^[19] Für die Risikobereiche werden von der Unternehmensleitung strategische Vorgaben zur Steuerung der Risiken (Risikostrategie) formuliert und in die Unternehmensstrategie integriert.^[20] Auf der Grundlage der Risikostrategie sind geeignete Maßnahmen zur Risikoidentifikation, zur Risikoanalyse und zur Risikobewertung festzulegen, um Aufschluß darüber zu geben, welche Risiken existieren und welche Auswirkungen eine Verlustgefahr für das Unternehmen haben kann.^[21] Eine permanente und zeitnahe Anpassung der Unternehmensziele an die Umweltbedingungen sind in diesem Zusammenhang eine wichtige Voraussetzung.

Für die Umsetzung der Unternehmensstrategie und Zielerreichung sind auf jeder Unternehmensebene bzw. bei allen Hauptprozessen kritische Erfolgsfaktoren und die damit verbundenen Chancen und Risiken zu identifizieren. Dabei ist eine lückenlose Kommunikation der Strategie unabdingbar.

Die von Kaplan und Norton entwickelte Balanced Scorecard stellt ein mögliches Performance-Measurement-Modell dar, das zur Umsetzung von Strategien sehr gut geeignet ist.^[22] In diesem Zusammenhang „übersetzt“ die Balance Scorecard Strategien in Ziele und Kennzahlen und ist in vier verschiedene Perspektiven unterteilt: die finanzwirtschaftliche Perspektive, die Kundenperspektive, die interne Prozeßperspektive und die Lern- und Entwicklungsperspektive. Diese Perspektiven können branchen- und unternehmensspezifisch angepaßt werden. Innerhalb der Perspektiven werden die wichtigsten strategischen Ziele und Kennzahlen des Anwendungsbereichs transparent gemacht.^[23] Es ist somit ein strategiegeleitetes Kennzahlensystem, das sowohl finanzielle als auch nicht-finanzielle Größen zu einer Gesamtsicht integriert.^[24] Neben der Möglichkeit, Strategien optimal umzusetzen, fördert die Balanced Scorecard auch die Kommunikation der Risikostrategie an hierarchisch nachgeordneten Ebenen.^[25]

II. Risikoidentifikation

1. Vorbemerkung

Die erste Phase des Risikomanagement-Prozesses, die Risikoidentifikation, setzt an den von der Unternehmensleitung vorgegebenen Zielen an. Sie zielt darauf ab, unternehmensweit, d.h. in allen operativen Bereichen bzw. übergreifenden Funktionsbereichen, bestandsgefährdende Risiken grundsätzlich einmal im Jahr zu identifizieren.^[26] Dabei können je nach Branchenzugehörigkeit unterschiedliche Risiken festgestellt werden. Die vollständige Risikoerfassung erfordert organisatorisch eine Einbindung möglichst vieler Mitarbeiter. Die Vermittlung der Unternehmensziele und die Schaffung eines angemessenen Risikobewußstseins ist in diesem Zusammenhang unerläßlich.^[27] Darüber hinaus ist darauf zu achten, daß einmal erkannte Risiken weder konstant bleiben, noch sich zwingend kontinuierlich entwickeln müssen. Aufgrund der sich ständig ändernden Unternehmenssituation ist die Risikoidentifikation zwangsläufig in die geschäftsüblichen Arbeitsabläufe zu integrieren.

Diese Arbeit stellt im weiteren Verlauf verschiedene Frühwarnsysteme gegenüber, die als Instrumente der Risikoidentifikation in der Praxis eingesetzt werden können. Darüber hinaus ist eine Klassifikation von Risiken im Rahmen der Risikoidentifikation zwingend notwendig und wird ebenfalls nachfolgend im zweiten Teil erläutert.

2. Klassifikation von Risiken

„Bei der Prüfung, welche Risiken für das Unternehmen existenzgefährdend werden können, gilt es zunächst „die Spreu von Weizen zu trennen““.^[28] Dies bedeutet, daß jedes Unternehmen individuell diejenigen Risiken bestimmen muß, die im Rahmen der Geschäftstätigkeit zu einer möglichen Unternehmensgefährdung führen. Schierenbeck teilt hierfür Risiken in Dringlichkeitsklassen ein.

Abbildung 4: Dringlichkeitsklassen von Risiken

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Schierenbeck, H.: Risk-Controlling in der Praxis: rechtliche Rahmenbedingung und geschäftspolitische Konzeptionen in Banken, Versicherungen und Industrie, Stuttgart 2000, S. 305.

Die Dringlichkeit stellt das Maß für die Gefährdung der Unternehmensziele dar, die von einem Risiko ausgeht.^[29] Ein Kleinrisiko bezeichnet die geringste Dringlichkeit. Es werden Mittel und Wege geändert, ohne daß schwerwiegende Folgen für das Unternehmen zu verantworten sind. Die geringste Form des Kleinrisikos wird als Bagatellerisiko bezeichnet, das keine weiteren Maßnahmen zur Folge hat. Ein mittleres Risiko weist auf größere Probleme hin, weil Unternehmensziele und Erwartungen zwingend verändert werden müssen. Ein mittleres Risiko ist somit Gegenstand des Risikomanagements. Das Großrisiko zählt zu der höchsten Dringlichkeitsklasse und gefährdet die Existenz des Unternehmens. Das Katastrophenrisiko ist ein „Extremfall“ des Großrisikos, das die höchste Dringlichkeitsklasse erreicht und stets zu vermeiden ist. Die Praxis hat gezeigt, daß Risiken oft dann existenzgefährdend sind, wenn ihr Eintreten mindestens die Hälfte des Eigenkapitals verbraucht.^[30] Je höher und wahrscheinlicher das Risiko ist, desto stärker muß die Unternehmensleitung alle Maßnahmen ausschöpfen, um das Risiko zu beeinflussen. Zwischen den Risiken können Wechselbeziehungen bestehen, wobei die Unternehmensleitung zu untersuchen hat, welche Auswirkungen ein Schadenfall für das Unternehmen im einzelnen oder mit anderen Risiken hat.

3. Frühwarnsysteme als Instrument der Risikoidentifikation

Frühwarnsysteme sind eine spezielle Art von Informationssystemen, die das Ziel verfolgen, zukünftige Entwicklungen und Ereignisse für das Unternehmen frühzeitig zu erkennen.^[31] Mit Frühwarnsystemen sollen Risiken rechtzeitig aufgedeckt werden, daß Reaktionen des Unternehmens zur Abwehr der Risiken möglich sind. Daraus resultiert, daß neben der Erkennung von Risiken auch geeignete Maßnahmen zur Risikobewältigung bereitgestellt werden.^[32] Bei der Ausgestaltung des Frühwarnsystems haben sich die Schwerpunkte im Laufe der Zeit verschoben. Sie liefern nicht nur mehr Informationen über zukünftige Entwicklungen (z.B. Umsatz), sondern fragen auch nach quantitativen und qualitativen Indikatoren innerhalb und außerhalb des Unternehmens, die mit Chancen und Risiken zusammenhängen.^[33] Frühwarnsysteme „fördern darüber hinausgehend die kontinuierliche Auseinandersetzung der Mitarbeiter mit den wahrgenommenen Veränderungen innerhalb und außerhalb des Unternehmens sowie den dahinter vermuteten Ursache-Wirkungs-Beziehungen.“^[34] Es sollte darauf geachtet werden, daß für die Gesamtbeurteilung unternehmensexterner Entwicklungen ein uneingeschränkter Datenzugang gewährleistet ist.^[35] Die Begriffe Frühaufklärungs- oder Prognosesysteme können anstelle von Frühwarnsystemen synonym verwendet werden. In der Praxis gibt es sehr unterschiedliche Prognoseverfahren, die in zwei Bereiche unterteilt werden, den strategischen und den operativen Bereich.

3.1 Ausgewählte Beispiele von Prognoseverfahren im strategischen Bereich

Im strategischen Bereich, der gleichzusetzen ist mit langfristigen Prognosen, bieten sich die bekanntesten Verfahren wie Brainstorming, Expertenbefragung, Simulationsverfahren und das Entscheidungsbaumverfahren an. Diese Verfahren sind Gegenstand dieses Kapitels.

Brainstorming ist ein Problemlösungsverfahren, das eingesetzt wird, um verschiedene kritiklose Meinungen unterschiedlicher Gruppen zu sammeln. Vorteil dieses Verfahren ist es, subjektive Wahrscheinlichkeiten in einer Gruppendiskussion für das Auftreten bestimmter Ereignisse zu gewinnen.^[36] Es ist zu berücksichtigen, daß die Qualität der ermittelten Ergebnisse durch dominierende Persönlichkeiten in der Gruppe negativ beeinflußt werden kann.

Expertenbefragung, auch Delphi Verfahren genannt, ist eine in den 40er Jahren von der RAND- Corporation entwickelte strukturierte Gruppenbefragung. Ziel dieses Verfahrens ist es, Ereignisse in der Zukunft zu ermitteln, die aufgrund des Urteils von Experten (Bereichs- und Funktionsverantwortlichen) festgelegt werden. Der Ablauf der strukturierten Gruppenbefragung erfolgt in vier Runden. In der ersten Runde werden Experten anonym mittels eines Fragebogens zu einer komplexen Problemstellung einzeln befragt. In der zweiten Runde wird eine statistische Gruppenantwort unter Verwendung des arithmetischen Mittels oder Medians ermittelt. In der dritten Runde werden die aufbereiteten Ergebnisse den Teilnehmern bekannt gegeben. In der vierten Runde wird die Befragung wiederholt, um die eigene Prognose zu prüfen und notfalls zu revidieren. Die Befragung sollte solange durchgeführt werden, bis sich ein einheitliches Gruppenurteil bildet. Es ist sinnvoll, wenn externe Berater in die Befragung mit einbezogen werden, weil sonst die Anonymität der internen Experten in Frage zu stellen ist.^[37]

Das Simulationsverfahren wird häufig eingesetzt, um Ergebnisverteilungen zu ermitteln. Dabei wird das bekannte Monte Carlo Verfahren oft als Simulationsverfahren mit Hilfe von Simulationsprogrammen eingesetzt. Durch den Einsatz von Zufallsvariablen und durch mehrmalige Wiederholung möglicher Ereignisse kann eine annähernde gleichmäßige Verteilung ermittelt werden (z.B. Sensitivität des Cash-Flows bzw. Jahresergebnisses gegenüber ausgewählten Risiken).^[38] Von Vorteil dieses Verfahrens ist die Freiheit bei der Modellierung und Datenschätzung. Als Kritik wird häufig der große Aufwand für die Programmerstellung genannt.

Das Entscheidungsbaumverfahren ist ein Hilfsmittel für die Lösung komplexer Problemstellungen unter unsicheren Bedingungen. Mit Hilfe eines Entscheidungsbaums werden mögliche Entscheidungsalternativen zu einem komplexen Problem graphisch dargestellt und die optimale Alternative ermittelt.^[39] Der Vorteil dieses Verfahrens liegt darin, daß eine übersichtliche Darstellung der gegenseitigen Abhängigkeit zwischen gegenwärtigen und zukünftigen Entscheidungen erfolgt. Mögliche zukünftige Datenentwicklungen können von vorneherein mit in die Planung einbezogen werden.^[40]

3.2 Ausgewählte Beispiele von Prognoseverfahren im operativen Bereich

Im operativen Bereich, der gleichzusetzen ist mit kurzfristigen Prognosen, bieten sich die bekanntesten Verfahren, wie Kennzahlenanalysen, Zeitreihenanalysen und neuronale Netze an. Diese Verfahren werden im nachstehendem Kapitel näher erläutert.

Kennzahlen als Hilfsmittel der Analyse ermöglichen die Beurteilung der Wirtschaftlichkeit sowie der finanziellen Sicherheit einer Unternehmung.^[41] Kennzahlen liefern dabei Informationen, die quantitativ erfaßbare Sachverhalte in konzentrierter Form wiedergeben. Der große Vorteil von Kennzahlen besteht darin, daß Tatbestände in einer Ziffer knapp ausgedrückt werden können. Komplizierte Strukturen und Prozesse einer Unternehmung werden auf eine relativ einfache Weise dargestellt. Jedoch ist zu beachten, daß Kennzahlen sich auf einen Zeitpunkt beziehen und wenig Aussagekraft für eine zeitraumbezogene Entwicklung haben.^[42] Vergangenheitsorientierte Basisdaten können für gegenwärtige oder zukünftige Entwicklungen zu falschen Ergebnissen führen. Daraus folgt, daß Kennzahlenanalysen immer eine Interpretation voraussetzen.

Mit Hilfe von Zeitreihenanalysen können bestimmte Gesetzesmäßigkeiten zeitlicher Entwicklungen einer Größe (z.B. Umsatz) analysiert werden. Dabei bilden die zeitlich geordneten Beobachtungswerte eine Zeitreihe, die das Fortschreiben einer regelmäßigen Bewegung in der Zukunft aufzeigen. Die untersuchten Größen werden ausschließlich zeitabhängig betrachtet und bieten für die Ursache einer beobachteten Veränderung keine Erklärung. Die Genauigkeit einer Zeitreihe ist davon abhängig, ob die in der Vergangenheit wirksamen Einflußfaktoren einer Größe auch zukünftig in der gleichen relativen Stärke zueinander wirksam sind.^[43]

Das neuronale Netz beschreibt ein Konzept, das an die Neurobiologie angelehnt ist und die Funktionsweise des menschlichen Gehirns wiederspiegelt.^[44] Ein neuronales Netz umfaßt eine Vielzahl einzelner Rechnereinheiten bzw. Neuronen. Jedes Neuron arbeitet selbständig und erfüllt eine bestimmte Funktion. Die Verknüpfung einzelner Neuronen, die mit Synapsen des Gehirns vergleichbar sind, ermöglicht die Bewältigung komplexer Aufgaben. Die computergestützte Intelligenz entsteht somit erst durch das Zusammenwirken vieler Neuronen.

Wie das menschliche Gehirn ist auch das neuronale Netz lernfähig und verhält sich dynamisch. Dadurch lassen sich komplexe nicht-lineare Beziehungen ebenso abschätzen. Weiterhin ist das neuronale Netz in der Lage, aus den Eingangsdaten gewichtete Werte zu bilden. Das heißt, überschreitet das Ergebnis einen Schwellenwert, leitet das Neuron diese Information weiter und beeinflußt damit weitere Neuronen. Die Lernfähigkeit des neuronalen Netzes basiert auf einem mathematischen Algorithmus, der aufgrund des aufgetretenen Fehlers die Schwellenwerte in den Neuronen solange anpaßt, bis das Ergebnis optimal ist.^[45] Neuronale Netze bieten den Vorteil, daß Aussagen zu entwicklungsfähigen Prognosen möglich werden. Dabei ist jedoch zu berücksichtigen, daß aufgrund der vielen Einflußfaktoren das System
überlastet werden kann. Hier empfiehlt es sich deshalb, auf kurzfristige Prognosen zu beschränken.

III. Risikoanalyse und Risikobewertung

1. Vorbemerkung

Im Rahmen der Risikoanalyse und -bewertung wird eine Informationsbasis für die qualitative Beurteilung bzw. quantitative Messung der identifizierten Risiken geschaffen, um das Risikoportfolio des Unternehmens abzubilden.^[46] Die Risikoanalyse ermittelt die Ursachen der identifizierten Risiken und gibt somit den ersten Anhaltspunkt, welche Maßnahme der Risikosteuerung für einzelne Risiken relevant ist.^[47] Die Risikoanalyse ist eine permanente Aufgabe des Risikomanagements. Die möglichen Risikofaktoren sind in ihrer Entwicklung laufend zu beobachten und neu zu untersuchen. Mit Hilfe der Risikobewertung wird das Ausmaß des einzelnen Risikos ermittelt.^[48] Die quantitative Messung der Risiken ist deshalb erforderlich, weil das Risikomanagement nur bewertete Risiken steuern kann.

„Das Ausmaß eines Risikos (Risk Exposure) wird durch die Wahrscheinlichkeit des Eintretens und des damit zusammenhängenden Schadens bestimmt.“^[49] In diesem Zusammenhang werden Wechselwirkungen zwischen den einzelnen Risiken sowie kumulative Effekte berücksichtigt. In der Literatur wird über viele Verfahren diskutiert, die eine systematische Risikoanalyse und -bewertung unterstützen. Die nächsten beiden Abschnitte erläutern jene Verfahren, die in der Praxis häufig Anwendung finden.

2. Ausgewählte Verfahren der Risikoanalyse

Die Hilfsmittel der Risikoanalyse umfassen an dieser Stelle die Verfahren: Checklisten, Workshops und Benchmarking. Sie sind Gegenstand der nachfolgenden Ausführungen.

Checklisten sind das einfachste Hilfsmittel, um Risiken zu identifizieren. In der Literatur wird eine Vielzahl von Vorschlägen für solche Listen gemacht. Jedoch haben sie den Nachteil, daß meist der Konkretisierungsgrad von Risiken vernachlässigt wird. Dies bedeutet, daß sie entweder wenige globale und hoch aggregierte Risiken oder eine Vielzahl konkreter, aber kaum aggregierter Risiken enthalten.^[50] Die globale Sicht von Risiken hat den Nachteil, daß festgestellt werden muß, wie sich die einzelnen Risiken zusammensetzen. Zusätzlich ist die Vollständigkeit solcher Listen nicht gegeben, da Risiken weitestgehend unternehmensspezifisch analysiert werden müssen.

Benchmarking ist ein strategisches Planungsinstrument, das eingesetzt wird, um Unternehmensteilbereiche oder Unternehmen als ganzes miteinander zu vergleichen. Ziel dieses Instruments ist es, Informationen für betriebliche Lern-, Anpassungs- oder Adaptionsprozesse zu gewinnen. Es wird versucht, die Kosten- und Erlössituation fortlaufend zu verbessern und Wettbewerbsvorteile gegenüber den Konkurrenten zu erlangen.^[51]

„Workshops sind Arbeitstreffen, in denen sich Leute in Klausuratmosphäre einer ausgewählten Thematik widmen.“^[52] Dabei gibt es unterschiedliche Gestaltungsformen solcher Veranstaltungen wie z.B. Moderation oder externe Berater.

3. Ausgewählte Verfahren der Risikobewertung

In diesem Abschnitt stehen die Sensitivitätsanalyse, das Brutto/ Nettoverfahren, die Portfolioanalyse und das Value at Risk Verfahren als mögliche Verfahren der Risikobewertung im Mittelpunkt.

Die Sensitivitätsanalyse untersucht, ob Entscheidungen bei bestimmten Veränderungen von Daten stabil bleiben. Falls die Veränderung der Daten eine Veränderung der Entscheidung hervorruft, so ist zu untersuchen, wie stark das Ergebnis auf bestimmte Datenänderungen reagiert (Sensibilität).^[53]

Das Brutto/Netto-Verfahren, auch als Korrekturverfahren bekannt, berücksichtigt die Unsicherheit durch pauschale Risikoabschläge oder -zuschläge bei der Datenermittlung.^[54] Diese Zu- bzw. Abschläge werden insbesondere für die Nutzungsdauer, Zahlungen oder Zinssatz angesetzt. Für die Bestimmung von Risikoabschläge oder -zuschläge gibt es nur vage Maßstäbe, so daß im Ergebnis diese Methode nur als grobe Orientierungshilfe eingesetzt werden kann.^[55] In der Praxis wird dieses Verfahren häufig angewendet, um das generelle Risiko einer Investition zu erfassen.

[...]

^[1] § 91 Abs. 2 AktG.

^[2] Bundesministerium der Justiz (BMJ), Entwurf eines Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), Stand: 6.11.1997, Begründung zu § 91 AktG.

^[3] Ebenda, Begründung zu § 91 AktG.

^[4] Vgl. Brebeck, F.; Herrmann, D.: Zur Forderung des KonTraG- Entwurfs nach einem Frühwarnsystem und zu den Konsequenzen für die Jahres- und Konzernabschlußprüfung, in: WPg, 1997, Heft 12, S. 381-391, hier S. 382.

^[5] BMJ, a.a.O., Begründung zu § 91 AktG.

^[6] Bitz, H.: Risikomanagement nach KonTraG: Einrichtung von Frühwarnsystemen zur Effizienzsteigerung und zur Vermeidung persönlicher Haftung, Stuttgart 2000, S. 2.

^[7] Eggemann, G.: Risikomanagement nach KonTraG aus dem Blickwinkel des Wirtschaftprüfers, in: BB, 2000, Heft 10, S. 503-509, hier S. 506.

^[8] Vgl. Hahn, K.; Weber, S.; Friedrich, J.: Ausgestaltung des Risikomanagementsystems in mittelständischen Unternehmen, in: BB, 2000, Heft 51/52, S. 2620-2628, hier S. 2621.

^[9] In Dörner, D.; Menold, D.; u.a.: Reform des Aktienrechts, die Rechnungslegung und Prüfung, Stuttgart 1999, S. 212.

^[10] Vgl. Kless, T.: Beherrschung der Unternehmenskrisen: Aufgaben und Prozesse eines Risikomanagements, in: DStR, 1998, Heft 3, S. 93-96, hier S. 93.

^[11] Vgl. Kromschröder, B.; Lück, W.: Grundsätze risikoorientierter Unternehmensüberwachung, in: DB, 1998, Heft 32, S. 1573-1576, hier S. 1573.

^[12] Vgl. IDW Prüfungsstandard: Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340), in: WPg, 1999, Heft 16, S. 658-662, hier S. 658.

^[13] Vgl. Bitz, H., a.a.O., S. 16.

^[14] Vgl. Schuy, A.: Risiko-Management: eine theoretische Analyse zum Risiko und Risikowirkungsprozeß als Grundlage für ein risikoorientiertes Management unter besonderer Berücksichtigung des Marketings, Frankfurt am Main 1989, S. 29.

^[15] IDW Prüfungsstandard, a.a.O., S. 658.

^[16] Vgl. Lück, W.: Der Umgang mit unternehmerischen Risiken durch ein Risikomanagementsystem und durch ein Überwachungssystem, in: DB, 1998, Heft 39, S. 1925-1930, hier S. 1925.

^[17] Vgl. Eggemann, G., a.a.O., S. 503.

^[18] Vgl. o.V.: Unternehmensweites Risikomanagement: Maßnahmen zur Sicherung Ihres Unternehmenserfolges, C&L Broschüre, Frankfurt am Main 1998, S. 9.

^[19] Vgl. Lück, W.: Der Umgang mit unternehmerischen Risiken durch ein Risikomanagementsystem und durch ein Überwachungssystem, a.a.O., S. 1926.

^[20] Vgl. Klees, T.: Beherrschung der Unternehmensrisiken: Aufgaben und Prozesse eines Risikomanagements, in: DStR, 1998, Heft 3, S. 93-96, hier S. 94.

^[21] Vgl. Lück, W.: Der Umgang mit unternehmerischen Risiken durch ein Risikomanagementsystem und durch ein Überwachungssystem, a.a.O., S. 1926.

^[22] Vgl. Horváth & Partner (Hrsg.): Balanced Scorecard umsetzen, Stuttgart 2000, S. 9.

^[23] Vgl. Horváth, P.; Gleich, R.: Controlling als Teil des Risikomanagements, in: Dörner, D.; Horváth, P.; Kagermann, H. (Hrsg.): Praxis des Risikomanagements, Stuttgart 2000,
S. 99-126, hier S. 115.

^[24] Vgl. Harengel, J.; Hess, T.: Entwicklung einer Balanced Scorecard - untersucht am Beispiel des Retailgeschäfts einer Bank, in: krp-Kostenrechnungspraxis, 1999, Heft 4,
S. 238-242, hier S. 239.

^[25] Vgl. Horváth & Partner (Hrsg.), a.a.O., S. 13.

^[26] Vgl. Kohlhoff, C.; Langenhan, K.; Zorn, S.: Risikomanagement nach dem KonTraG – zwischen Theorie und Praxis; zugleich ein Beitrag zum Risikomanagement in der EDV,
in: ZIR, 2000, Heft 1, S. 2-11, hier S. 4.

^[27] Vgl. Emmerich, G.: Risikomanagement in Industrieunternehmen – gesetzliche Anforderungen und Umsetzung nach KonTraG, in: ZfbF, 1999, Heft 11, S. 1075-1089, hier
S. 1080.

^[28] Kuhl, K.; Nickel, J.-P.: Risikomanagement im Unternehmen – Stellt das KonTraG neue Anforderungen an die Unternehmen?, in: DB, 1999, Heft 3, S. 133-135, hier S. 133.

^[29] Vgl. Schierenbeck, H.: Risk-Controlling in der Praxis: rechtliche Rahmenbedingung und geschäftspolitische Konzeptionen in Banken, Versicherungen und Industrie, Stuttgart 2000, S. 305.

^[30] Vgl. Füser, K.; Gleißner, W.: Risikomanagement (KonTraG) – Erfahrungen aus der Praxis, in: DB, 1999, Heft 15, S. 753-758, hier S. 753.

^[31] Vgl. Gleißner, W.; Füser, K.: Moderne Frühwarn- und Prognosesysteme für Unternehmensplanung und Risikomanagement, in: DB, 2000, Heft 19, S. 933-441, hier S. 933.

^[32] Vgl. Lück, W.: Elemente eines Risiko-Managementsystems, in: DB, 1998, Heft 1/2,
S. 8-14, hier S. 13.

^[33] Vgl. Meyer-Pries, L.: Frühwarnsysteme – Ansatzpunkte und DATEV-Instrumente,
in: DSWR, 2000, Heft 10, S. 272-275, hier S. 272.

^[34] Geißner, W.; Füser, K., a.a.O., S. 933.

^[35] Vgl. Lück, W.: Elemente eines Risiko-Managementsystems, a.a.O., S. 13.

^[36] Vgl. Perridon, L.; Steiner, M.: Finanzwirtschaft der Unternehmung, 8 Auflage, München 1995, S. 574.

^[37] Vgl. Schöllhammer, H.: Die Delphi-Methode als betriebliches Prognose- und Planungsverfahren, in: ZfbF, 1970, Heft 22, S. 128-137, hier S. 134.

^[38] Vgl. Zündorf, H.; Burger, K.-M.: Risikomanagement in der Medienbranche, in: Dörner, D.; Horváth, P.; Kagermann, H. (Hrsg.): Praxis des Risikomanagements, Stuttgart 2000,
S. 719-750, hier S. 744.

^[39] Vgl. Perridon, L.; Steiner, M., a.a.O., S. 122.

^[40] Vgl. Schulte, K-H.: Wirtschaftlichkeitsrechnung, 3. Auflage, Würzburg/Wien 1984, S. 176.

^[41] Vgl. Perridon, L.; Steiner, M., a.a.O., S. 16.

^[42] Vgl. Staudt, E.; Groeters, U.; u.a.: Kennzahlen und Kennzahlensysteme, Berlin 1985,
S. 78.

^[43] Vgl. Perridon, L.; Steiner, M., a.a.O., S. 576.

^[44] Vgl. Cesar, G.: Aktienanalyse heute: Gewinnmaximierung an der Börse, Wiesbaden 1996, S. 300.

^[45] Ebenda, S. 301.

^[46] Vgl. o.V.: Integriertes Risikomanagement, KPMG Broschüre, Berlin 1998, S. 23.

^[47] Vgl. Kromschröder, B.; Lück, W., a.a.O., S. 1574.

^[48] Vgl. Lück, W.: Der Umgang mit unternehmerischen Risiken durch ein Risikomanagementsystem und durch ein Überwachungssystem, a.a.O., S. 1927.

^[49] Dörner, D.; Doleczik, G.: Prüfung des Risikomanagements, in: Dörner, D.; Horváth, P.; Kagermann, H. (Hrsg.): Praxis des Risikomanagements, Stuttgart 2000, S. 193-217, hier S. 203.

^[50] Vgl. Schierenbeck, H., a.a.O., S. 318.

^[51] Vgl. Krech, J.: Benchmarking, in: WISU, 2001, Heft 1, S. 53-54, hier S. 53.

^[52] Lipp, U.; Will, H.: Das große Workshop-Buch: Konzeption, Inszenierung und Moderation von Klausuren, Besprechungen und Seminaren, 2. Auflage, Weinheim/Basel 1998, S. 13.

^[53] Vgl. Adam, D.: Investitionscontrolling, 2. Auflage, München/Wien 1997, S. 326.

^[54] Adam, D., a.a.O., S. 335.

^[55] Perridon, L.; Steiner, M., a.a.O., S.98.