Anwendungshinweise bei der Implementierung eines Risikomanagementsystems für Aktiengesellschaften (angelehnt an das KonTraG) unter spezieller Beachtung der e-Businessproblematik

Inhaltsverzeichnis

A Einleitung

B Erläuterungen zum Themenverständnis
B.1 Gesetzliche Grundlagen
B.1.1 Entstehung des KonTraG
B.1.2 KonTraG - § 91 Abs. 2 AktG
B.2 Veränderungen innerhalb der Verantwortlichkeiten
B.2.1 Vorstand
B.2.1.1 Gemeinschafts- und Konzernverantwortung
B.2.1.2 Verantwortung für die Lageberichterstellung
B.2.2 Aufsichtsrat
B.2.3 Abschlussprüfer
B.2.4 Risikomanager
B.3 Definitionen
B.3.1 Risikobegriff
B.3.2 Risikomanagementbegriff
B.3.3 Elemente des Risikomanagementsystems
B.3.3.1 Internes Überwachungssystem (IKS)
B.3.3.2 Frühwarnsystem
B.3.3.3 Risiko-Controlling

C Risikomanagementprozess
C.1 Risikomanagement - Proaktiver Regelkreis
C.2 Unternehmensvision
C.2.1 Umsetzung der Risikomanagementvision
C.2.2 Unternehmenspolitik - Risikopolitik
C.2.2.1 Definition der Risikomanagementkodizes
C.2.2.2 Umsetzungshilfe - Risikohandbuch
C.3 Risikostrategie
C.4 Risikoanalyse
C.4.1 Risikoidentifizierung
C.4.1.1 Risikofelder
C.4.1.2 Risikoerfassung
C.4.1.3 Zuordnungen zu den Perspektiven
C.4.2 Risikobewertung
C.4.2.1 Bewertungsmethoden
C.4.2.1.1 Quantifizierbare Risiken
C.4.2.1.2 Qualifizierbare Risiken
C.4.2.2 Ermittlung der Schwellenwerte
C.5 Darstellung des Risikoprofils – Tools zur Analyse
C.5.1 Risikoinventur
C.5.2 Risikomatrix
C.5.3 Risikoerfassungsbogen (Riskmap)
C.6 Risikosteuerung
C.6.1 Vermeidung
C.6.2 Verminderung
C.6.3 Finanzierung
C.6.3.1 Überwälzung
C.6.3.2 Selbsttragen
C.7 Risiko-Controlling
C.8 Berichts- und Kommunikationswesen

D Krisenmanagement
D.1 Krisenprävention
D.2 Früherkennung
D.3 Schadenbegrenzung
D.4 Beseitigung negativer Folgewirkungen
D.5 Krisennachbearbeitung

E Umfrage zum Risikomanagement in der Praxis
E.1 Umfrageergebnis
E.2 Auswertung des Umfrageergebnisses
E.3 Einordnung des Umfrageergebnisses

F Schlussteil – Zukunftsperspektiven

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung B‑1: Gesetzlicher Zusammenhang der Verantwortlichkeiten nach KonTraG / RMS

Abbildung B‑2: Erläuterung der Risikodefinition nach KonTraG / RMS

Abbildung B‑3: Übersicht über das Risikomanagementsystem im weiteren Sinne

Abbildung C‑1: Schematische Darstellung des proaktiven RMS-Regelkreislaufs

Abbildung C‑2: Aufzeigen der externen und internen Risikobereiche des e-Business

Abbildung C‑3: Grafisches Modell der Szenariotechnik (= Einsetzen von Handlungsbedarf, Berichterstattung & Risikosteuerung)

Abbildung C‑4: Beispiel einer Risikomatrix

Abbildung C‑5: Unvollständiger Ausschnitt einer Riskmap des Finanzbereiches

Abbildung C‑6: Risikohandhabung nach RMS

Abbildung E‑1: Diagrammdarstellung des Umfrageergebnisses

A Einleitung

Seit jeher haben sämtliche Kulturen weltweit eine spezielle Affinität für den Blick in die Zukunft. Wir haben Angst vor dem Ungewissen und versuchen mit Hellseherei, Horoskopen, Handlesen sowie sonstigen Methoden diese Angst zu mildern. Im privaten Bereich wird Vorhersehung, wenn auch unauslöschbar praktiziert, belächelt. Auf der ökonomischen Ebene besprechen erfolgreiche Unternehmen auf andere Weise das „Orakel“. Das es sich hierbei um keinen Hokuspokus handelt und die bewusste Auseinandersetzung mit der unklaren Zukunft durchaus von existenziellem Nutzen ist, soll diese Diplomarbeit verdeutlichen.

Der neue Markt boomt. So gut wie stündlich wird ein Start-Up-Unternehmen gegründet, welches im rasanten Tempo der heutigen Globalisierung emporschießt um auf der Welle des „Internetzeitalters“ mitsurfen zu können. Wie die kürzlichen Entwicklungen verdeutlichen, folgt für viele „Newcomer“ nach Schwindel erregendem Höhenflug nicht all zu selten eine Talfahrt mit endgültigem Crash. Die dramatischen Zusammenbrüche sind keine zufälligen, unausweichlichen und unvorhersehbaren Katastrophen. Nachteile des schnellen Erfolgs sind offensichtlich. Die künstlich geformten Unternehmen dieser Entwicklungsbranche sind ganz besonders anfällig. In Zeiten der aktuellen Marktbereinigung, hängt die Zukunft der meist investorabhängigen Unternehmen am seidenen Faden der nächsten Finanzierungsrunde. Es gibt keine natürliche, über Jahre gewachsene Unternehmensleitkultur, durch das blitzartige Wachstum werden die Kompetenzen der siegessicheren Geschäftsführung schnell überfordert, Fehlentscheidungen sind die Folge. Zudem sind einhergehende Fluktuationsraten sowie die unausweichlichen Schwierigkeiten der New Economy Kunden zu binden einige wesentliche Probleme, die am neuen Markt zusätzlich zu bewältigen sind. Nicht selten werden jedoch die überdurchschnittlich hohen Risiken nur halbherzig, wenn überhaupt erkannt.

Die Umstände und Bedingungen, welche zu Risikosituationen führen, sind zu komplex um wirklich vollständig kontrollierbar zu sein. Dennoch ist es falsch hieraus abzuleiten Risikomanagement sei vergeblich. Jede (gewichtige) unternehmerische Entscheidung sollte heutzutage durch Proaktivität bestimmt sein. Im Falle der Schadenverhütung und -kontrolle ist ein funktionierendes Früherkennungssystem also unumgänglich, vor allem wenn sich entsprechende Maßnahmen innerhalb eines angemessenen Kostenrahmens bewegen. Der bewusste und kalkulierte Umgang mit Gefahren ist seit jeher eine Voraussetzung für unternehmerischen Erfolg, heute wird jedoch die Entscheidungsfindung im besonderen Maße durch die Komplexität des globalen Marktes erschwert. Sich hier bietende Chancen zu nutzen ist das Ziel jedes gewinnorientierten betriebswirtschaftlichen Strebens, doch heute wie schon immer existiert eine unumstößliche Wahrheit, die all zu gerne verdrängt wird: keine Chance ohne Risiko! Ziel ist nicht die absolute Risikovermeidung - eine optimale, nicht maximale Sicherheit ist gefordert. Ein effizientes Riskmanagement bedeutet also gleichzeitige Chancennutzung bei proaktiver Kontrolle und Steuerung der akzeptierten Risiken^[1].

Genau diese Problematik versucht die hier vorliegende Diplomarbeit zu verdeutlichen. Das Ziel ist es dem Leser nachfolgende Fragen zu beantworten, um ihm somit die Systematik des Risikomanagements, angelehnt an das KonTraG^[2] und im speziellen Bezug auf Aktiengesellschaften des e-Business^[3] näher zu bringen:

- Welche Schritte muss das Unternehmen gehen, um den aktuellen gesetzlichen Anforderungen des § 91 Abs. 2 AktG gerecht zu werden und darüber hinaus ein effektives Management der vorherrschenden Risiken aufzubauen?
- In wie weit ist die Entwicklungsbranche des e-Business speziell von der Thematik betroffen?
- Was ist zu tun, wenn im Fall einer extremen Fehlentwicklung eine Krise zu bewältigen ist?
- Inwieweit hält in der Praxis der e-Business-Unternehmen das Risikobewusstsein Einzug?
- Welche Zukunftsperspektiven können hier erwartet werden?

Der Anspruch dieser Diplomarbeit ist nicht, eine vollkommene Bedienungs-anleitung für die Implementierung eines Risikomanagementsystems zu schaffen, dafür bedarf es Spezialisten. Vielmehr wird dem interessierten Leser ein Grundverständnis für das Thema gegeben. Den Verantwortlichen in den Unternehmen soll eine gleichberechtigte Zusammenarbeit mit eben diesen Spezialisten bei der Einführung des Systems gewährleistet werden. Der Leitsatz zum Erreichen dieses Zieles lautet: So einfach wie möglich und so umfangreich wie nötig!

Die Organisation der personellen Strukturen, ist im besonderen Maße den individuellen Ansprüchen des Unternehmens anzupassen, weshalb auf eine separate Ausarbeitung verzichtet und allein innerhalb der Prozesserörterung darauf hingewiesen wird. Die Erläuterungen zu im e-Business vorhandenen IT-Sicherheiten werden vermieden. Der Bereich ist nicht Teil der Betriebswirtschaft und zudem zu komplex um ihn innerhalb dieses Essays allgemein verständlich zusammen zu fassen. Weiterhin wird nicht auf die einzelnen Risikoberechnungsmethoden im Detail eingegangen. Um zu einem aussagefähigen Ergebnis beizutragen, müssten ganze Kennzahlensysteme besprochen werden, was den Rahmen dieser Diplomarbeit sprengen würde^[4]. Die Arbeit basiert im Wesentlichen auf Quellen aus dem Internet. Der Leser hat somit die Möglichkeit Online sofort auf die Ursprungsliteratur zurückzugreifen und sich gegebenenfalls über spezielle Einzelheiten zu informieren.

B Erläuterungen zum Themenverständnis

Im allgemeinen Teil der Diplomarbeit steht das Themenverständnis im Vordergrund. Das Aufzeigen des generellen Hintergrundes eines Risikomanagementsystems bildet hierfür die Grundlage. Das Ziel wird sein die Verschärfung zur bisherigen Gefahrenkontrolle durch die aktuelle Gesetzessituation zu verdeutlichen. Inhaltlich sind das risikomanagement-bezogene KonTraG, die Hauptverantwortlichkeiten sowie letztlich einige wichtige Definitionen erläutert.

B.1 Gesetzliche Grundlagen

Eine der Grundaufgaben innerhalb der Unternehmensführung in Deutschland ist von jeher die Überwachung betriebswirtschaftlicher Abläufe. Um sämtliche Stakeholder^[5] und vor allem die Kapitalgeber vermehrt zu schützen, hat die hiesige Regierung im Mai 1998 ein Gesetz verabschiedet, welches bereits bestehende Pflichten noch einmal ausdrücklich unterstreicht^[6]. So sucht man folgenschwere, unerwartete, negative Ereignisse zu vermeiden und dem international geforderten Standard gerecht zu werden.

B.1.1 Entstehung des KonTraG

Angeregt wurde die Entwicklung durch die „Corporate Governance“ Diskussion. Obwohl keine einheitliche Definition dieses Begriffes existiert, liegt der Schwerpunkt bei der „(...) Effizienzsteigerung der Leitungs- und Überwachungsstrukturen sowie die Erhöhung der Börsenkapitalisierung durch eine transparente und prospektive Informationspolitik.“^[7] Einen wesentlichen Beitrag zur Umsetzung des Geforderten leistet das Gesetz zu mehr Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Dieses erhöhte Niveau befriedigt die Ansprüche der (internationalen) Kapitalgeber, durch mehr Integrität und Kredibilität bei den potenziellen Kapitalnehmern. Das Unternehmen selbst hat zudem ein großes Interesse etwaige Fehlentwicklungen rechtzeitig vorherzusehen.

Als Vorreiter für das KonTraG kann die Qualitätsnorm für Dienstleistungen ISO 9001 bezeichnet werden, welche bereits seit 1994 teilnehmende Unternehmen zur Risikovorsorge verpflichtet. Auch der amerikanische COSO-Report^[8] beschreibt schon seit Anfang der 90er-Jahre Leitlinien zur Bewertung von Systemen der „Internal Control“ sowie der systematischen Erfassung und Kontrolle aller Risiken im Gesamten Unternehmen^[9]. Durch die nachfolgend aufgezeigte gesetzliche Formulierung ist jetzt die Anpassung an diese (geforderten) Standards in Deutschland allgemein gültig.

B.1.2 KonTraG - § 91 Abs. 2 AktG

Das KonTraG regelt mehrere Bereiche innerhalb des Unternehmens neu. Hervorzuheben sind die reformierten Rechte und Pflichten der leitenden Organe einer Aktiengesellschaft, sprich Vorstand, Aufsichtsrat und der Abschlussprüfer. Die Pflichten der Hauptversammlung haben sich hinsichtlich dieses Themas nicht wesentlich verändert, deshalb ist eine Ausarbeitung hier ausgespart.

Insbesondere wurden die Organisationspflichten des Vorstandes klargestellt^[10]. Sie verfestigen sich explizit im § 91 Abs. 2 AktG. Wörtlich wird das RMS^[11] i.e.S. wie folgt beschrieben: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“^[12] An dieser Stelle ist vorwegzunehmen, dass der Inhalt des §91 Abs. 2 AktG in der Umsetzung nicht einem kompletten Risikomanagementprozess entspricht, sondern lediglich einen wesentlichen Teil davon beschreibt.^[13]

B.2 Veränderungen innerhalb der Verantwortlichkeiten

Zunächst sind den Verantwortlichen die wesentlichen Aufgaben intern sowie extern zuzuordnen, durch die ein System der Früherkennung und des Controllings von Risiken funktionsfähig wird. In wie weit durch die gesetzlichen Regelungen Vorstand, Aufsichtsrat und letztlich auch der Abschlussprüfer neuen Verpflichtungen unterliegen ist nachfolgend dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung B‑1: Gesetzlicher Zusammenhang der Verantwortlichkeiten nach KonTraG / RMS^[14]

B.2.1 Vorstand

Die oben genannte Verpflichtung (nach § 91 Abs. 2 AktG) der Vorstände deutscher Aktiengesellschaften (lt. weitläufiger Meinung aber auch GmbH-Geschäftsführer - sog. „Ausstrahlungswirkung“) ist Teil ihrer Sorgfaltspflicht (nach § 93 Abs. 1 AktG) und der Organisationsverantwortung. Im Rahmen seiner Aktivitäten delegiert der Vorstand Teile der Steuerung und Ausführung der Risikoüberwachung an untere Ebenen. „Dies entbindet den Vorstand jedoch nicht von seiner Verantwortung. Erreicht werden soll, dass der Vorstand sich aller wesentlichen Risiken frühzeitig bewusst ist und entscheidet, welche Maßnahmen zur Verringerung dieser Risiken zu ergreifen sind.“^[15] Kommt es zu einer Krise im Unternehmen muss der Vorstand beweisen (nach § 93 Abs. 2 AktG), dass er sich sowohl objektiv als auch subjektiv pflichtgemäß im Sinne des § 93 Abs. 1 AktG verhalten hat. Wichtig ist: Die Reaktion des Vorstands auf durch das System gewonnene Risikoinformationen an sich ist zwar logischer Bestandteil des vollständigen Prozesses (da hier die höchste Entscheidungskompetenz liegt), jedoch ist sie nicht Gegenstand des § 91 Abs. 2 AktG.

Gegenüber dem Aufsichtsrat besteht auch im Bereich des diskutierten Themas eine Berichtspflicht gemäß § 90 Abs. 1 Nr. 1 AktG. Verschärft wurden durch das neue Gesetz indirekt die Schadenersatzansprüche der Aktionäre. Versäumt der Vorstand seine beschriebenen Pflichten, können unter Umständen eben genannte Ansprüche nach § 93 Abs. 2 AktG eingeklagt werden. Im Hinblick darauf und auf die Jahresabschlussprüfung, sollte es der Vorstand nicht versäumen die Risikomanagementmaßnahmen zu dokumentieren^[16].

B.2.1.1 Gemeinschafts- und Konzernverantwortung

Wird das Unternehmen durch mehrere Vorstände geführt, so handeln diese in gemeinsamer Verantwortung nach § 76 Abs. 1+2 i.V.m. § 77 AktG i.V.m. § 91 Abs. 2 AktG. Im Innenverhältnis kann jedoch einer bestellt werden, der entscheidungsberechtigt auf diesem Gebiet handelt. Der Vorstand, welcher bereits die finanzielle Führung innehat, ist aufgrund der Themenverwandtheit prädestiniert für diese Aufgabe^[17]. Alle Pflichten erstrecken sich bei einem Konzern auf die Mutter sowie sämtliche Töchter im In- oder Ausland.

B.2.1.2 Verantwortung für die Lageberichterstellung

Eine weitere Pflicht des Vorstands ist das Erstellen des (Konzern-) Lageberichts. Er muss an gesonderter Stelle nach §§ 289 Abs. 1, 315 Abs. 1 HGB aufgrund des KonTraG auf die Risikosituation im Unternehmen hinweisen. Wie üblich stellt der Bericht die Situation der Gesellschaft innerhalb der Branche dar. Zu diesen Erörterungen zählt nunmehr folgende wesentliche Risiken zu prognostizieren (Risikobericht):

- Risiken, welche die Vermögens-, Finanz- und Ertragslage spürbar nachteilig beeinflussen können, und
- Bestandsgefährdende Risiken bzw. die Gefahr künftigen Scheiterns des Unternehmens.^[18]

Die beschriebenen Ergebnisse müssen sich entsprechend im Jahresabschluss ablesen lassen können. Bei der Offenlegung ist darauf zu achten in erster Linie das Interesse des Unternehmens zu schützen. Eine all zu klare Preisgabe sämtlicher Risiken an die Öffentlichkeit, kann einerseits eine Self-Fulfilling Prophecy „heraufbeschwören“ und andererseits im Hinblick auf die Einsicht der Konkurrenz in solche sensible Daten erhebliche Nachteile mit sich bringen. Allerdings schafft eine zeitnahe Offenlegung sowohl Vertrauen als auch Akzeptanz bei den, für Start-Up-Unternehmen so wichtigen, Kapitalgebern.

B.2.2 Aufsichtsrat

Dem Aufsichtsrat, in seiner Überwachungsfunktion (nach § 111 AktG) und Sorgfaltspflicht (nach § 116 AktG), werden durch die Gesetzesänderung auch neue Pflichten zuteil. Er muss beispielsweise zur Kommunikationsförderung zwischen sich und der Geschäftsführung eine Informationsordnung erstellen, in der die Berichtspflichten des Vorstandes über das Risikomanagement und seine Überwachung aufgezeigt sind^[19]. Die Prüfungspflichten des Aufsichtsrates erstrecken sich jetzt auf alle neuen Bereiche des Abschlusses (§§171 Abs. 1, 337 Abs. 1 AktG). Die Zusammenarbeit mit den Abschlussprüfern wird gestärkt (z.B.: Der Prüfungsauftrag an den Abschlussprüfer wird nicht mehr durch den Vorstand, sondern durch den Aufsichtsrat erteilt^[20] ). Durch die vereinfachte Schadenersatzforderung von Aktionären verbunden mit der Beweislastumkehr, ist jetzt der Aufsichtsrat mehr denn je an seine Sorgfaltspflicht gebunden. Schon seit 1997 muss der Aufsichtsrat Pflichtverletzungen des Vorstandes aufdecken, da er sonst seine Kontrollpflicht verletzt und selbst beklagt werden kann. Neu ist nunmehr, dass Schadenersatzansprüche schon von einer Aktionärsminderheit mit einem Anteilsvolumen von insgesamt 1 Million Deutsche Mark oder 5% des Grundkapitals erhoben werden können (§ 147 Abs. 3 AktG).

B.2.3 Abschlussprüfer

Entsprechend den vorgenannten Ausweitungen innerhalb der Gesellschaft übertragen sich diese auf die Aufgaben des Wirtschaftsprüfers, speziell hinsichtlich amtlich notierter Aktiengesellschaften (siehe §§ 316, 317 Abs. 2+4, 321 Abs. 1+4, 322 Abs. 2+3 HGB). Die neuen Angaben werden nicht wie gewohnt an einem vorgegebenen Sollstatus gemessen. Der Gesetzgeber hat absichtlich keinerlei Richtlinien für die Implementierung des Überwachungs- bzw. Risikomanagementsystems hinterlegt. Der Prozess funktioniert nur, wenn er auf die Verhältnisse jedes einzelnen Unternehmens zugeschnitten ist. Beispielsweise verlangt es je nach Größe, Branche, Struktur oder Kapitalmarktzugang nach einer anderen Ausarbeitung. Der Abschlussprüfer hat also nicht nur die Pflicht die Lage des Unternehmens zu erkennen, er hat auch eingesetzte Risiko vorbeugenden Maßnahmen einzuschätzen, was bedeutet, dass er die Risiken der Gesellschaft beherrschen muss^[21]. Diese erweiterten Prüfungspflichten verlangen oft zusätzliche Expertenhilfe. Das Ergebnis der hier erforderlichen Systemprüfung^[22] sowie des Vergleichs zwischen Lagebericht und Jahresabschluss hat der Wirtschaftsprüfer im Prüfungsbericht schriftlich fest zu halten. Der Umfang der Prüfung umfasst allein die im Unternehmen vorgenommene Umsetzung der Gesetzestexte und somit nicht das gesamte Risikomanagementsystem.

B.2.4 Risikomanager

Eine weitere wesentliche Aufgabe im Bezug auf die tatsächliche Systemumsetzung, fällt dem Risikomanager zu. Diese Person, oder der Ausschuss (je nach Unternehmen), ist dafür verantwortlich, dass die Ansprüche der vorgenannten Organe auf allen Ebenen sowohl eingeführt als auch eingehalten werden. Ausführliche Kenntnis über die Materie ist unbedingte Voraussetzung, deswegen sind in der Phase der Implementierung vorwiegend externe Spezialisten (welche vor allem als Moderatoren fungieren) gefragt. Unterstützend (als ausführendes Organ) sind interne Projektleiter einzusetzen, vorzugsweise aus dem Controlling- und Revisionsbereich. Unter Zuhilfenahme von computergestützten Risikomanagementprogrammen kann das Unternehmen nach einer entsprechenden Schulung unter Vorbehalt auch selbstständig entsprechende Maßnahmen ergreifen.

B.3 Definitionen

Dies ist zwar eine wissenschaftliche Arbeit und erhebt somit den Anspruch auf betriebswirtschaftliche Grundkenntnisse beim Leser, um dennoch Missverständnissen vorzubeugen folgen nun zum Abschluss des „allgemeinen Teils“ Begriffserklärungen. Einerseits werden Risiko und Risikomanagement definiert und andererseits werden mit dem Aufzeigen der RMS-Elemente die Unterschiede zwischen den beiden Begriffen hervorgehoben. Ziel ist eine zweifelsfreie Abgrenzung zum allgemeinem Sprachgebrauch.

B.3.1 Risikobegriff

Die Definition des Wortes „Risiko“ beinhaltet die Möglichkeit von negativen künftigen Entwicklungen der wirtschaftlichen Lage des Unternehmens^[23]. Darunter versteht man das nicht Zustandekommen von gewollten Ergebnissen, aber auch eine nicht genutzte Chance. Innerhalb der Gesetzesdefinition des KonTraG reduzieren sich die geforderten Abwehrmaßnahmen auf wesentliche Risiken.

Lück systematisiert wie folgt^[24], wobei eine effektive Gefahrenstrategie vor allem die bezeichneten „Risiken im engeren Sinne“ frühzeitig zu erkennen sucht:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung B‑1: Erläuterung der Risikodefinition nach KonTraG / RMS

B.3.2 Risikomanagementbegriff

„Die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung kann als Risikomanagement bezeichnet werden.“^[25] Es sind nicht allein Vermögens-, Finanz- und Ertragsbereiche innerhalb einer Aktiengesellschaft angesprochen, auch externe Gefahrenbereiche sind zu beachten. Die hier identifizierten (potenziellen) direkten und indirekten^[26], sowohl strategischen als auch operativen Schäden, werden letztlich zusammengeführt, zu einem Gesamtrisikoprofil („Risk exposure“) des Unternehmens. „Bei der Beurteilung der (Gesamt-) Risikolage eines Unternehmens ist zu beachten, dass das aggregierte Unternehmensrisiko aufgrund möglicher kompensatorischer bzw. kumulativer Effekte der Einzelrisiken untereinander nicht unbedingt der Summe der Einzelrisiken entspricht.“^[27] Hinsichtlich wesentlicher negativer Veränderungen wird die vorausschauendste Sichtweise propagiert. So können rechtzeitig präventive Maßnahmen eingeleitet werden. Die Chance des Konzepts liegt darin, dass ein effektives sowie transparentes Management aller wesentlichen Risiken zu einer wert- und erfolgsorientierteren Unternehmenssteuerung beiträgt^[28].

B.3.3 Elemente des Risikomanagementsystems

Die Elemente Internes Kontrollsystem, Frühwarnsystem und Risiko-Controlling vereinen sich im Optimalfall zu einem gut funktionierenden Risikomanagementsystem, welches den neuen gesetzlichen Bestimmungen nicht nur gerecht wird, sondern diese gar übersteigt. Wie bereits erwähnt handelt es sich bei dem Regelwerk um keine Innovation deshalb ist es wesentlich bereits bestehende Gefahrenabwehrmaßnahmen zu überprüfen (Analyse des Istzustandes vor Einführung) und sie bei der Implementierung des neuen Risikomanagementsystems miteinzubeziehen. Die einzelnen Elemente besitzen verwandte Inhalte, wodurch fließende Übergänge existieren.

B.3.3.1 Internes Überwachungssystem (IKS)

Das Interne Überwachungs- bzw. Kontrollsystem (IKS) ist eine seit langem etablierte Maßnahme der Unternehmenssteuerung, die aus organisatorischer Absicherung, Überwachung sowie interner Revision besteht^[29]. Erst genanntes Element dient der Fehlervermeidung bei der Ausführung von Arbeitsprozessen. Die Überwachung bezeichnet jede prozessabhängige Kontrolle, wobei eine Kontrolle immer durch die mit der Ausführung der Aufgabe befassten Personen vorgenommen wird^[30]. „Interne Revision ist eine unabhängige und objektive Tätigkeit mit dem Ziel, durch Prüfung und Bewertung zur angemessenen Beurteilung der Risikosituation („assurance“), zur Sicherheit, Wertsteigerung und Verbesserung der Geschäftsprozesse beizutragen. Interne Revision unterstützt die Organisation (...) sowie die Prozesse in Bezug auf Unternehmensverfassung und Unternehmensführung („corporate governance“).“^[31] Gerade hier fördert der Einsatz von betriebsexternen Kompetenzen die Objektivität der Beurteilungen, die für die Ergebnisfindung sehr wesentlich ist.

B.3.3.2 Frühwarnsystem

Das Frühwarnsystem wird allgemein als „Risikomanagementsystem im engeren Sinne“ verstanden. Der Gesetzgeber fordert explizit nur ein solches Frühwarnsystem, das sich zusammensetzt aus der unternehmensspezifischen Strategie, Identifizierung, Bewertung, Bewältigung, Steuerung sowie dem Reporting von Risiken. Behandelt werden nur Gefahren, welche den Fortbestand der Aktiengesellschaft gefährden könnten. Leistungsfähige Frühwarnsysteme müssen möglichst schnell, präzise und nachvollziehbar die zukünftige Entwicklung wesentlicher Variablen prognostizieren können^[32].

B.3.3.3 Risiko-Controlling

Im generellen Verständnis ist ein intaktes Risikomanagementsystem jedoch ohne den Bereich des Risiko-Controllings unvollständig. Der ursprüngliche Controllinggedanke wird um den Risikoaspekt erweitert. Von großer Bedeutung ist die Soll- / Istanalyse des Ergebnisses aus dem gesamten implementierten Prozess. Hier wird sowohl das betriebsinterne Überwachungssystem als auch das Frühwarnsystem überprüft. Das Risikomanagementsystem im umfassenden Sinne ist durch diese übergeordnete Kontrolle zu vervollständigen, wodurch eine kontinuierliche Verbesserung gewährleistet ist. Das Controlling ist ebenfalls für ein zeitnahes Reporting verantwortlich, das dem Vorstand verlässliche Information z.B. in Form eines Risikoerfassungsbogens (Riskmap)^[33] bietet.

Ein effektiver Risikomanagementmix basiert auf dem Zusammenspiel der genannten Elemente. Zum Verständnis der Zusammenhänge hilft nachfolgendes Schaubild:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung B‑1: Übersicht über das Risikomanagementsystem im weiteren Sinne

C Risikomanagementprozess

Der vorangegangenen Abschnitt hat nun zusammen mit der Einleitung das Grundverständnis für das Thema der Diplomarbeit aufgebaut. Auf dieser Basis wird im nächsten Kapitel der detailliert ausgearbeitete theoretische Risikomanagementprozess leicht nachvollziehbar. Hier wird beschrieben in wie weit ein Unternehmen eine unbekannte sowie riskante Zukunft in die Gegenwart transportieren kann, um sie vorhersehbar und somit berechenbarer (ungefährlicher) zu gestalten. Den folgenden Erläuterungen ist das Gerüst eines modernen Unternehmensprozesses zugrunde gelegt, das an die Anforderungen des Risikomanagementsystems angepasst wurde. Mit der einleitenden Regelkreisbeschreibung, sind sämtliche Stationen des Prozesses angesprochen. Das Ziel ist es dem Leser eine Vorstellung hinsichtlich der Komplexität des Systems zu geben, die in erster Linie bei der Implementierung notwendig ist. Das Geschriebene soll nicht abschrecken, sondern motivierend Vorteile offen legen.

C.1 Risikomanagement - Proaktiver Regelkreis

In vielen Bereichen der Unternehmensführung veranschaulichen Regelkreise die Systematik von Prozessen. Schon lange versteht sich eine erfolgreiche Gesellschaft als dynamischer Prozess, der nicht in eine Richtung und auch nicht einmalig durchlaufen wird. Durch den permanenten Wandel, vor allem im Zeitalter des e-Business, ist das Erkennen sowie Ausnutzen aller Chancen überlebenswichtig. Dabei hilft der Prozess des Risikomanagements als Teil der Unternehmensführung, dieser ist auch als proaktiver lernenden Mechanismus zu verstehen, der sich selbst und somit die gesamte Unternehmenssituation iterativ verbessert^[34]. Der Prozess ist auf allen Unternehmensebenen und -bereichen zu integrieren. Top-down (vom obersten Management zur operativen Ebene), als auch umgekehrt bottom-up werden ganzheitlich und kontinuierlich die Ursachen- Wirkungsverhältnisse kommuniziert^[35]. Diese Art von Unternehmensführung hilft nicht nur bei der Risikominimierung, sondern hat auch den angenehmen Nebeneffekt in jungen Start-Up-Unternehmen den Zusammenhalt zu fördern. Durch die Eigenverantwortung der Mitarbeiter sowie deren Verständnis für den ganzheitlichen Zusammenhang steigt die Motivation. Nachfolgend sind die Elemente des Regelkreises skizziert, anhand der Pfeile soll dargestellt werden, dass zwischen den einzelnen Bereichen sowohl Interdependenzen als auch Rückkoppelungen stattfinden, die Sprechblasen stehen für eine permanente Kommunikation und Dokumentation.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung C‑1: Schematische Darstellung des proaktiven RMS-Regelkreislaufs

C.2 Unternehmensvision

An oberster Position steht die normative Ebene und stellt quasi das Fundament einer Gesellschaft dar. Hier sind sämtliche Wertvorstellungen festgelegt, die das Verhalten der Mitarbeiter prägen sollen. Konkret beziehen sich diese Kriterien auf das Tätigkeitsfeld des Unternehmens gegenüber Mitarbeitern, Kunden, Aktionären, Staat und Gesellschaft, auf Grundzüge der Akquisitions-, Beteiligungs- und Kooperationspolitik, auf die Einstellung zu Wachstum, technischen Fortschritt, Ressourcenverwendung sowie natürliche Umwelt und nicht zuletzt auf die Absicht, Gewinne zu erzielen^[36]. Da die Verankerung dieser Grundlagen erst im Laufe der Zeit geschieht, befindet sich hier gerade bei jungen Unternehmen ein sehr sensibler Bereich. Leider wird dem Problem innerhalb der Führungsebene der Dot-Coms oft zu wenig Beachtung geschenkt, da hier die Konzentration oft zu sehr auf kurzfristigen finanzwirtschaftlichen Zielen liegt, was wiederum langfristig Gefahrenpotenzial in sich birgt.

C.2.1 Umsetzung der Risikomanagementvision

Die Implementierung eines Risikomanagementsystems fördert die Sensibilisierung im Bezug auf die Unternehmensleitkultur, da hier die prinzipielle Einstellung zum Thema Risiko als integraler Bestandteil verankert wird^[37]. Als Teil der Werte ist die grundsätzliche Einstellung zur Risikobereitschaft offen zu legen. Der Vorstand entscheidet im Rahmen seiner Schutzfunktion über das Chancen- / Risikenverhältnis der Aktiengesellschaft.

Die Geschäftsführung sollte im Rahmen ihrer Vorbildfunktion eine risikomanagementsensible Unternehmensleitung praktizieren und kommunizieren. Auf diese Weise kann eine Verhaltensänderung bei den Mitarbeitern einfacher angeregt werden, denn das ist die schwierigste und wichtigste Aufgabe bei der Risikomanagementeinführung. Als zusätzliche Umsetzungshilfe können beispielsweise Anreiz- und Vergütungssysteme für aktives Sicherheitsbewusstsein eingesetzt werden.

C.2.2 Unternehmenspolitik - Risikopolitik

Die Unternehmenspolitik operationalisiert die Verhaltensregeln, sie ist sozusagen die Bedienungsanleitung zur Umsetzung der Unternehmensvision. Als wesentliches Hilfsmittel bei der Instruktion fungieren die schriftlichen Risikomanagementrichtlinien, welche auf Führungsebene als Grundlage eines proaktiven Risikomanagementsystems verfasst werden. Sie dienen dem Schutz der obersten Unternehmensziele, egal ob im leistungswirtschaftlichen, sozialen, finanziellen oder technologischem Bereich. Sind diese Ziele abgesichert, so werden langfristig die Kosten der Risikoabwehr reduziert^[38], der Unternehmenserfolg, und als absolute Maxime letztlich auch die Existenz der Gesellschaft gewahrt^[39].

C.2.2.1 Definition der Risikomanagementkodizes

Die Risikomanagementkodizes sind top-down zu formulieren, da sie von der, auf oberster Ebene formulierten, Unternehmensvision abgeleitet werden. Sie müssen mindestens Folgendes hervorheben:

- Die bereits genannte grundsätzliche Einstellung zur Risikobereitschaft wird hier detailliert und eindeutig klargestellt (ist die Aktiengesellschaft risikofreudig, -neutral, -scheu)
- Der Umfang des eingesetzten RMS wird festgelegt, d.h. der optimale Risikomanagementmix (unternehmensspezifische Art der Organisation, Erkennung und Umgang mit Risiken) definiert.
- Hinweis auf Art und Weise der regelmäßigen Anpassung von risikopolitischen Maßnahmen an den aktuellen Sicherheitsstatus des Unternehmens, da unnötig hohe Differenzen zwischen dem monetären Gmax^[40] und Risikomanagementzielen (Zielkonflikt) vermieden werden müssen.^[41]

Jeder Mitarbeiter hat durch diese dokumentierten Leitlinien einen Vergleich, hier kann er sein Verhalten überprüfen und gegebenenfalls anpassen.

C.2.2.2 Umsetzungshilfe - Risikohandbuch

Die Dokumentation der oben genannten Grundsätze sollte allen sowohl zugänglich als auch verständlich sein (in Form eines speziellen Risikohandbuchs oder in die allgemeinen Unternehmensrichtlinien integriert, beide Versionen sind vorstellbar).

[...]

^[1] ) Vgl. URL: Kemnitzer, Reiner (1999), S.7

^[2] ) KonTraG = Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

^[3] ) In der Ausarbeitung wird weitgehendst eine Gleichsetzung von börsennotierten und nicht börsennotierten AG´s vollzogen.

^[4] ) Siehe dazu z.B.: Baetge & Partner (Modell BP 14), URL: http://www.baetge.de

^[5] ) Stakeholder = Alle Interessengruppen innerhalb und außerhalb eines Unternehmens, z.B. Arbeitnehmer und Medien

^[6] ) Vgl. URL: Dt. Bundestag (28.01.1998), S.1-37

^[7] ) URL: Wolfram, Jens (2000), S.10

^[8] ) COSO-Report = Bericht des „Committee of Sponsoring Organisations of the Treatway Commission“

^[9] ) Vgl. URL: o.V.: KonTraG/KapAEG. Hrsg. v. Arthur Andersen (1998), S. 9

^[10] ) Vgl. URL: o.V.: KonTraG/KapAEG. Hrsg. v. Arthur Andersen (1998), S. 9

^[11] ) RMS = Risikomanagementsystem

^[12] ) Gesetzestext zu § 91 Abs. 2 AktG – siehe Anhang: Anlage 1 - Gesetzestexte

^[13] ) Siehe Kapitel: B.3.3 Elemente des Risikomanagementsystems

^[14] ) Gesetzestexte – siehe Anhang: Anlage1 - Gesetzestexte oder URL: http://www.aktiengesetz.de & http://www.dejure.org/gesetze/HGB

^[15] ) Bitz, Horst (2000), S. 4

^[16] ) Siehe Kapitel: C.2.2.2 Umsetzungshilfe - Risikohandbuch

^[17] ) Vgl. URL: Kemnitzer, Reiner (1999), S.23

^[18] ) IDW-PS 350 (1998), S. 663ff.

^[19] ) Vgl. URL: o.V.: KonTraG/KapAEG. Hrsg. v. Arthur Andersen (1998), S. 35

^[20] ) Nach § 111 Abs. 2 AktG und § 318 Abs. 1 HGB

^[21] ) Vgl. Bitz, Horst (2000), S. 9

^[22] ) Vgl. IDW PS 340 (Stand 25.06.1999), S. 658ff.

^[23] ) Vgl. URL: E-DRS 5 (2000), S.9 – TZ B2.

^[24] ) Bitz, Horst (2000), S. 15

^[25] ) IDW PS 340 (Stand 25.06.1999), S. 658ff.

^[26] ) Indirekte Schäden sind beispielsweise Imageschäden oder Marktanteilsverluste

^[27] ) URL: Feinendegen/Nücke (1998), S.6

^[28] ) Vgl. URL: Gleißner/Meier (2000), S.1

^[29] ) Siehe Abbildung: Abbildung B‑1: Übersicht über das Risikomanagementsystem im weiteren Sinne

^[30] ) Vgl. Wöhe, Günter (1996), S. 199

^[31] ) Deutsches Institut für Interne Revision e.v. (IIR), o.V., o.J.

^[32] ) Vgl. URL: Füser/Gleißnder (2001), S. 1

^[33] ) Siehe Kapitel: C.5.3 Risikoerfassungsbogen (Riskmap)

^[34] ) Vgl. URL: o.V.: KonTraG/KapAEG. Hrsg. v. Arthur Andersen (1998), S. 88

^[35] ) Vgl. URL: Kemnitzer, Reiner (1999), S.19

^[36] ) Vgl. Gabele/Kretschmer (1985), S. 176 ff.

^[37] ) Vgl. URL: Romeike/Schäfer (07/2000), S. 3, vgl. auch URL: Feinendegen/Nücke (1998), S. 8f

^[38] ) sieht man Gefahren voraus, so entfallen z.B. die Kosten für Notfallmaßnahmen bzw. Krisenmanagement

^[39] ) Vgl. URL: Romeike, Frank: Cyber Risk (2000), S.9

^[40] ) Gmax = maximaler Gewinn

^[41] ) Vgl. URL: o.V.: Risikopolitik. Hrsg. v. Risknet (2000), o.S.