Lade Inhalt...

Risikomanagement in Industrieunternehmen

Branchenübergreifende Grundlagenbetrachtungen und praktische Implementierung im internationalen Maschinenbau

©2009 Diplomarbeit 140 Seiten

Zusammenfassung

Inhaltsangabe:Problemstellung:
Im Kontext moderner Corporate Governance entwickelten sich Risikomanagement- Systeme zu einem unverzichtbaren Instrument der Unternehmensführung. Ausgangspunkt dieses Prozesses bildete das 1998 verabschiedete KonTraG, in dessen Folge unternehmensweite Überwachungssysteme kein best practise-Standard mehr waren, sondern bindende gesetzliche Vorgabe. In der Folgezeit wurden weitere Regelungen erlassen, welche diese Anforderungen konkretisierten und ihren vorläufigen Abschluss im BilMoG finden. Die Implementierung und Durchführung des Risikomanagements richtet sich heute an alle Organe einer Kapitalgesellschaft, sie muss vom Abschlussprüfer verifiziert sowie für externe Adressaten publiziert werden. Mit den komplexer werdenden rechtlichen Normen ging gleichzeitig eine Weiterentwicklung der Risikomanagementstandards zu vielschichtigen, unternehmensweiten und aus mehreren Elementen bestehenden Systemen einher. Die anfängliche Schwäche, lediglich Indikatoren-basiert Vergangenheitsdaten auszuwerten, wurde mit der Integration von Risikofrüherkennungssystemen beseitigt. Auch das eher ‘bürokratische Sammeln’ und Bewerten von Risiken wich im Zeitablauf der aktiven Suche nach Chancen sowie deren Inbezugsetzung zu verbundenen Risiken.
Letztlich soll modernes Risikomanagement nicht die Gefahren, denen ein Unternehmen ausgesetzt ist, auf Null reduzieren, sondern durch den bewussten Umgang Risiken aufzeigen, diese steuern und in ein sinnvolles Verhältnis zu den unternehmerischen Chancen setzen. Es wurde schon früh erkannt, dass ‘das größte Risiko für ein Unternehmen [darin] besteht.., keine Risiken einzugehen’!
Gang der Untersuchung:
Die Ziele der Arbeit können in zwei übergeordneten Bereichen angesiedelt werden. Zum Ersten soll im theoretischen Teil ein umfassender Überblick gegeben werden, was Risikomanagement (RiMa) ist. Bei der Auswahl der Themen wurde deren Relevanz zur praktischen Umsetzung eines Risikomanagementsystems zugrunde gelegt, wobei ersichtlich wurde, dass insbesondere deutschen KMU’s die Tragweite der juristischen Sphäre bislang nicht bekannt zu sein scheint. Bei der sich anschließenden Beschreibung des Risikomanagementsystems wird ein in sich geschlossener und umsetzungsfähiger Ansatz entwickelt, welcher in dieser Form in weiten Teilen der Literatur zu vermissen ist. Das vordergründige Anliegen der Arbeit wird in Kapitel 7 beschrieben: die Entwicklung und Implementierung eines Risikomanagementsystems in einem […]

Themenübersicht

Inhaltsverzeichnis


Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Einleitung
1.1 Ausgangslage
1.2 Zielsetzung und Aufbau

2 Elemente des Risikomanagements
2.1 Begriffe
2.1.1 Risiko
2.1.2 Chance
2.2 Umfang des Risikomanagementsystems
2.2.1 Normative Ebene
2.2.1.1 Risikostrategie
2.2.1.2 Risikotragfähigkeit
2.2.1.3 Risikokultur
2.2.2 Risikofrüherkennungssystem
2.2.3 Risikocontrolling
2.2.3.1 Risikomanagementprozess
2.2.3.2 Risikosteuerung
2.2.4 Internes Kontrollsystem
2.2.4.1 Interne Steuerung und Überwachung
2.2.4.2 Interne Revision
2.2.4.3 Kontrollmodelle
2.2.5 Notfallplanung
2.3 Organisatorische Umsetzung
2.3.1 Risikobeauftragter
2.3.2 Risikohandbuch

3 Rechtliche Grundlagen
3.1 Gesetzliche Regelungen zum RiMa
3.1.1 Europäisches Recht
3.1.2 GoB
3.1.3 KonTraG
3.1.4 DCKG
3.1.5 TransPuG
3.1.6 Das „10-Punkte-Programm“ der Bundesregierung
3.1.7 BilReG und BilKoG
3.1.8 UMAG
3.1.9 BilMoG
Exkurs: Sarbanes- Oxley- Act
3.2 Abgrenzung der Rechtsformen
Exkurs: Spezielle Wertpapiere – Industrieobligationen
3.3 Anforderungen der verschiedenen Rechtsformen
3.3.1.2 Die börsennotierte Große AG
3.3.1.3 Die nicht börsennotierte Große AG
3.3.1.4 Mittelgroße und Kleine AG
3.3.2 Die GmbH
3.3.2.1 Herleitung der RiMa-Pflicht für die GmbH
3.3.2.2 Die Mittelgroße und Große GmbH
3.3.2.3 Die Kleine GmbH
3.3.3 Personengesellschaften
3.3.3.1 Ohne persönlich haftenden Gesellschafter
3.3.3.2 Mit persönlich haftendem Gesellschafter
3.4 Haftungsrisiken
3.4.1 Die Aktiengesellschaft
3.4.2 Die GmbH

4 Wirkungen des RiMa auf Kapitalkosten
4.1 Basel II
4.1.1 Inhalt und Aufbau
4.1.2 Säule 1 - Mindestkapitalanforderungen
4.1.3 Säule 2 - Überprüfungsprozess
4.1.4 Säule 3 - Marktdisziplin
4.1.5 Auswirkungen
4.2 MaRisK
4.3 Solvency II
4.4 Folgerungen
4.5 Praktische Relevanz des RiMa

5 Methoden der Risikomessung
5.1 Bewertung und Risikoportfolio
5.2 Entscheidungsmodelle
5.3 Value at Risk
5.4 Darstellung der Risikoverteilung

6 Empirischer Teil: Das Risikomanagement der B-GMBH
6.1 Portrait - „BEISPIEL GmbH“
6.1.1 Branche und Organisation
6.1.2 Normative Unternehmensgrundsätze
6.1.3 Risikopolitik
6.1.4 Quantitative Daten
6.2 Implementierung eines unternehmensweiten RiMa
6.2.1 Aufgabe und Ziel
6.2.2 Überblick zum Risikomanagementsystem
6.2.3 Beschreibung des Risikofrüherkennungssystems
6.2.3.1 Risikofrüherkennung der Locations
6.2.3.2 Risikofrühaufklärung der IBS- und CBS-Leiter
6.2.4 Beschreibung des Risikocontrollings
6.2.4.1 Der Risikomanagementprozess
6.2.4.2 Die Risikosteuerung
6.2.4.3 Risikoüberwachung und Risikoreporting
6.2.5 Internes Kontrollsystem
6.2.6 Interne Revision
6.2.7 Weitere Regelungen
6.2.8 Ergebnisse

7 Schlussbetrachtung

Literaturverzeichnis

Anhang
Anhang 1
Anhang 2
Anhang 3
Anhang 4
Anhang 5
Anhang 6
Anhang 7
Anhang 8

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Das Risikomanagementsystem

Abbildung 2: Der Risikomanagementprozess

Abbildung 3: Struktur des internen Kontrollsystems

Abbildung 4: Mögliches Risikoportfolio

Abbildung 5: Verteilungsfunktion der Standardnormalverteilung

Abbildung 6: Dichtefunktion der Standardnormalverteilung

Abbildung 7: Beispiel einer Lorenz-Kurve

Abbildung 8: das Risikofrüherkennungssystem

Abbildung 9: das Risikocontrolling

Abbildung 10: Risikobegriff

Abbildung 11: Risikoarten

Abbildung 12: Mögliche Risikokulturen

Abbildung 13: Ansoffs Konzept der Schwachen Signale

Abbildung 14: die drei Generationen der RFS

Abbildung 15: Stellung der internen Revision

Abbildung 16: Konzept von COSO- ERM

Abbildung 17: Institutionen in Zusammenhang mit dem SOA

Abbildung 18: Das 3- Säulen-Konzept

Abbildung 19: Einflussfaktoren Rating

Abbildung 20: Ratingskala

Abbildung 21: Kredit Auswahlwahrscheinlichkeiten

Abbildung 22: Risikogewichte IRBA vs. Standardansatz

Abbildung 23: Risikogewichte im Standardverfahren

Abbildung 24: Verteilung der Ratingnoten im Mittelstand

Abbildung 25: Modularer Aufbau der MaRisk

Abbildung 26: Die 3 Säulen von Solvency II

Abbildung 27: Kritische Werte der Kolmogorov- Smirnov Verteilung

Abbildung 28: Organigramm der „BEISPIEL GmbH“

Tabellenverzeichnis

Tabelle 1: Schematischer Aufbau eines Risikohandbuchs

Tabelle 2: Chronologischer Überblick zur Gesetzgebung

Tabelle 3: Einteilung der Entscheidungsmodelle

Tabelle 4: Ergebnismatrix

Tabelle 5: Daten der „BEISPIEL GmbH“

Tabelle 6: Übersicht der Dokumente zum Risikomanagement

Tabelle 7: Beispiel von Risikodimensionen

Tabelle 8: Entscheidungsregeln - Rechenbeispiel

1 Einleitung

1.1 Ausgangslage

Im Kontext moderner Corporate Governance entwickelten sich Risikomanagement- Systeme zu einem unverzichtbaren Instrument der Unternehmensführung. Ausgangspunkt dieses Prozesses bildete das 1998 verabschiedete KonTraG, in dessen Folge unternehmensweite Überwachungssysteme kein best practise-Standard mehr waren, sondern bindende gesetzliche Vorgabe. In der Folgezeit wurden weitere Regelungen erlassen, welche diese Anforderungen konkretisierten und ihren vorläufigen Abschluss im BilMoG finden. Die Implementierung und Durchführung des Risikomanagements richtet sich heute an alle Organe einer Kapitalgesellschaft, sie muss vom Abschlussprüfer verifiziert sowie für externe Adressaten publiziert werden. Mit den komplexer werdenden rechtlichen Normen ging gleichzeitig eine Weiterentwicklung der Risikomanagementstandards zu vielschichtigen, unternehmensweiten und aus mehreren Elementen bestehenden Systemen einher. Die anfängliche Schwäche, lediglich Indikatoren-basiert Vergangenheitsdaten auszuwerten, wurde mit der Integration von Risikofrüherkennungssystemen beseitigt. Auch das eher ‘bürokratische Sammeln’ und Bewerten von Risiken wich im Zeitablauf der aktiven Suche nach Chancen sowie deren Inbezugsetzung zu verbundenen Risiken

Letztlich soll modernes Risikomanagement nicht die Gefahren, denen ein Unternehmen ausgesetzt ist, auf Null reduzieren, sondern durch den bewussten Umgang Risiken aufzeigen, diese steuern und in ein sinnvolles Verhältnis zu den unternehmerischen Chancen setzen. Es wurde schon früh erkannt, dass ‘das größte Risiko für ein Unternehmen [darin] besteht.., keine Risiken einzugehen!’[1]

1.2 Zielsetzung und Aufbau

Die Ziele der Arbeit können in zwei übergeordneten Bereichen angesiedelt werden. Zum Ersten soll im theoretischen Teil ein umfassender Überblick gegeben werden, was Risikomanagement (RiMa) ist. Bei der Auswahl der Themen wurde deren Relevanz zur praktischen Umsetzung eines Risikomanagementsystems zugrunde gelegt, wobei ersichtlich wurde, dass insbesondere deutschen KMU’s die Tragweite der juristischen Sphäre bislang nicht bekannt zu sein scheint. Bei der sich anschließenden Beschreibung des Risikomanagementsystems wird ein in sich geschlossener und umsetzungsfähiger Ansatz entwickelt, welcher in dieser Form in weiten Teilen der Literatur zu vermissen ist. Das vordergründige Anliegen der Arbeit wird in Kapitel 7 beschrieben: die Entwicklung und Implementierung eines Risikomanagementsystems in einem mittelständigen, weltweit tätigen Industrieunternehmen. Ziel dieser Maßnahmen ist es, Rechtssicherheit für die Unternehmensleitung zu gewährleisten, die Corporate Governance weiterzuentwickeln und damit nicht zuletzt den Unternehmenswert zu steigern

Zu diesem Zwecke gliedert sich die vorliegende Arbeit in zwei große Themenkomplexe. Den Beginn bildet ein theoretischer Teil, welcher einen umfassenden Überblick zu den verschiedenen Fassetten des Themas Risikomanagement geben soll. Die betrachteten Bereiche wurden mit Blick auf eine vollständige Erfassung des Themas und stets vor dem Hintergrund des praktischen Nutzens für eine Unternehmung ausgewählt. Die Arbeit beginnt in Kapitel 2 mit einer Darstellung der notwendigen Elemente eines Risikomanagementsystems, wie diese funktionieren und in welcher Beziehung sie zueinander stehen. In Kapitel 3 wird die rechtliche Situation des Risikomanagements in Unternehmen erläutert. Die Darstellung erfolgt in der Systematik, dass Anforderungen an verschiedene Rechtsformen, besonders in Abhängigkeit von Umfang und Komplexität der Geschäftstätigkeit untersucht werden. Im vierten Kapitel schließen sich Folgerungen zum praxisbezogenen Nutzen eines RiMa Systems an, welche besonders im Kontext von Basel II und Fremdfinanzierungskosten von hohem Interesse sein sollten. Die theoretischen Grundlagen werden abschließend in Kapitel 5 zu den quantitativen Methoden der Risikomessung erläutert. Dies geschieht vor dem Hintergrund des Kapitel 6, welches den Praxisteil der Arbeit darstellt. In diesen ist die Umsetzung des eingangs beschriebenen Modells unter Verwendung der genannten Methoden bei der ‘BEISPIEL GmbH’ dargestellt

Das dargestellte RiMa System wurde in der in Kapitel 6 beschriebenen Form tatsächlich in einem deutschen Industrieunternehmen eingeführt. Aus diesem Grunde mussten in der Arbeit einige, zumeist sehr unwesentliche, Veränderungen zur Wahrung der Vertraulichkeitsvereinbarungen vorgenommen werden. Auf die Abbildung einiger Anhänge wird vollständig verzichtet. Das Verständnis der vorliegenden Arbeit sowie ihr Nutzen als Grundlage für Praxisprojekte im Bereich Risikomanagement wird von den vorgenommenen Änderungen zur Originalversion jedoch nicht berührt!

2 Elemente des Risikomanagements

In diesem Kapitel sollen die grundlegenden Begriffe, Elemente und Funktionen des Risikomanagements erläutert werden, welche für das Verständnis der vorliegenden Arbeit von zentraler Bedeutung sind. In der Literatur finden sich zumeist unterschiedliche Definitionen. Somit gestalten sich die folgenden Darstellungen als Auswahl eines breiten Spektrums im Kern identischer, jedoch an den Peripherien sich deutlich unterscheidender Inhalte

2.1 Begriffe

2.1.1 Risiko

Die etymologische Herkunft des Begriffes Risiko ist nicht zweifelsfrei geklärt. Die älteste Deutung beruht auf dem lateinischen „riscare“, was als „Gefahrlaufen“ oder „wagen“ übersetzt werden kann. Eine ebenso weit verbreitete Meinung ist, die Entstehung des Wortes Risiko sei im Griechischen zu vermuten. Der dort im maritimen Bereich verwandte Begriff „rhizikon“ bezeichnete eine „Klippe“

Im allgemeinen Sprachgebrauch bezeichnet Risiko meist die Möglichkeit eines negativen Ergebnisses, was einer Gefahr gleichbedeutend ist. Der in der Wirtschaft verwendete Risikobegriff kann hingegen grundsätzlich in einer „engen“ und einer „weiten“ Fassung verstanden werden. „Risiko im engen Sinne“ bezeichnet die negative Abweichung von einem zukünftig erwarteten Ergebnis und blendet somit die Chancen vollständig aus. „Risiko im weiten Sinne“ hebt diese Einschränkung auf und wird definiert als die absolute Abweichung (negativ und positiv) von einem zukünftig erwarteten Ergebnis (vgl. Abb. 10). Des Weiteren ist in der Wissenschaft die Abgrenzung zwischen Risiko und Unsicherheit zu beachten. Ersteres bezeichnet eine Situation, in der objektive Wahrscheinlichkeiten bezüglich des Eintritts verschiedener Ereignisse vorliegen (Würfeln). Bei Unsicherheit sind zwar mögliche Ereignisse bekannt, diesen können jedoch (konsistent) keine Wahrscheinlichkeiten zugeordnet werden.[2] In diesem Zusammenhang sei auf die Abbildung 11 verwiesen, welche einen kurzen einführenden Überblick zu Risikoarten und Risikoumfeld des Unternehmens geben soll

2.1.2 Chance

Als Chance bezeichnet sich grundsätzlich die positive Abweichung eines zukünftigen Ergebnisses vom Erwartungswert. Die Verbindung von Chance zum weiten Risikobegriff wird hier deutlich und stellt gleichermaßen eine Teilmenge des selbigen dar.[3] Im Kontext der Risikomanagementsysteme ist die Beachtung und Einbeziehung von Chancen essentiell. Da jede unternehmerische Entscheidung Risiken birgt, jedoch erst Chancen schafft, kann es nicht Ziel sein, das Risiko bis zum Letzten auszuschalten, sondern dieses in ein akzeptables und möglichst beherrschbares Verhältnis zu den unternehmerischen Chancen zu bringen.[4]

2.2 Umfang des Risikomanagementsystems

Der Definition des DIIR folgend ist unter Risikomanagement zu verstehen, „...ein nachvollziehbares, alle Unternehmensaktivitäten umfassendes Regelungssystem, das auf Basis einer definierten Risikostrategie ein systematisches und permanentes Vorgehen mit folgenden Elementen umfasst: Identifikation, Analyse, Bewertung, Steuerung, Dokumentation und Kommunikation sowie die Überwachung dieser Aktivitäten. Risikomanagement ist integraler Bestandteil der Geschäftsprozesse sowie der Planungs- und Kontrollprozesse“[5]

Ein den gesetzlichen Anforderungen genügendes und funktionierendes Risikomanagementsystem wird in der Literatur weitgehend durch die zentralen Elemente des Risikocontrolling, des Risikofrüherkennungssystems, des internen Kontrollsystems und der internen Revision beschrieben.[6] Um genannte Instrumente in einen Funktions-Zusammenhang zu stellen sowie diese in ein Unternehmen zu integrieren, ist die Vorgabe normativer Richtlinien erforderlich, welche insbesondere Risikostrategie, -neigung und -tragfähigkeit sind. Aufgrund der sehr divergierenden Literaturmeinungen stellen die abgebildete Konzeption sowie die Aggregation der Funktionen zu Bereiche einen weitgehend eigenen Ansatz dar. Der Aufbau des Systems und dessen Interdependenzen können mittels folgender Grafik verdeutlicht werden:

Abbildung 1: Das Risikomanagementsystem

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Darstellung

Anhand der Abbildung können die grundsätzlichen Abläufe des Risikomanagementsystems wie folgt beschrieben werden. Unterteilt in strategisches und operatives RiMa ist Ersteren das Risikofrüherkennungssystem (RFS) sowie Teile der normativen Vorgaben, insbesondere die Risikostrategie, zuzuordnen.[7] Das RFS ist grundsätzlich nur nach „außen“ gerichtet und soll ohne jede Einschränkung die gesamte Umwelt des Unternehmens nach potenziell bedeutsamen Sachverhalten scannen. Ziel ist dabei, Risiken frühzeitig zu erkennen, um Reaktionen vorbereiten zu können sowie Chancen zu erkennen und diese im Unternehmen zu ergreifen. Das RFS schafft eine Grundlage für zukünftige Erfolge, was eine Reduktion des Insolvenzrisikos beinhaltet.[8]

In einem nächsten Schritt sollen die erfassten und als relevant bewerteten Informationen an die zuständige Stelle, entweder einem Risikomanager oder an das Risikocontrolling weitergegeben werden, um sie detailliert bewerten und gegebenenfalls in den Risikomanagementprozess integrieren zu können. Ist dies der Fall, so werden im Anschluss Maßnahmen der Risikosteuerung getroffen.[9] Die Inputs des RFS stellen folglich die Aktualität des Gesamtsystems sicher. In einem nächsten Schritt ist festzulegen, wie das Risikocontrolling (RC) mit den erkannten Chancen und Risiken umgeht, was maßgeblich von den normativen Vorgaben, namentlich der Risikostrategie, den Zielen und der Tragfähigkeit determiniert ist.[10] Die Institution des internen Kontrollsystems (IKS) ist, im Gegensatz zum RFS, lediglich nach innen gerichtet. Es finden interne Überwachungen und Kontrollen statt, die besonders darauf ausgerichtet sind, Fehler im System zu erkennen und somit die Einhaltung der definierten Regeln sicherzustellen.[11] Im Rahmen des IKS kommt der internen Revision eine Sonderstellung zu. Diese ist lediglich dem Management unterstellt oder von externen Personen besetzt. Ihre Aufgabe ist die Überprüfung aller Prozesse auf regelgerechte Einhaltung und die Aufdeckung von möglicherweise dolosen Handlungen. Der Charakter einer Überprüfung von „außen“ soll Spielräume für Manipulationen oder das Übersehen von Fehlern minimieren.[12]

Ziel des Risikomanagementsystems ist es nicht, Risiken ausschließlich zu minimieren, sondern durch das Aufdecken von Gefahrenquellen und Chancen die risikoadjustierte Rendite zu maximieren.[13] Im Folgenden wird die Ausgestaltung der einzelnen Elemente detailliert beschrieben

2.2.1 Normative Ebene

Die normative Ebene des Risikomanagements legt die übergeordneten Regeln des Gesamtsystems fest[14]. Besonders in kleineren Gesellschaften oder Unternehmen mit Gesellschaftergeschäftsführern basieren Zweck und Ziel der Unternehmung nicht auf Aushandlungsprozessen, sondern sie werden als nicht begründungs-, nicht der Rechtfertigung oder Hinterfragung bedürftige Sollenssätze vorgegeben. Risikoneigungen der Individuen oder Ziele der Eigentümer, unabhängig von Gesellschaftsgröße, determinieren in diesem Umfeld die Festlegung dessen, was als richtig und angebracht im alltäglichen Geschäft gelebt wird

2.2.1.1 Risikostrategie

Bei der Risikostrategie handelt es sich um den obersten Rahmen des gesamten Risikomanagementsystems. Rechtlich verbindliche Normen legt in diesem Kontext das MaRisk AT 4.2 fest. Dessen Geltungsbereich ist auf Kreditinstitute beschränkt, es kann jedoch als unverbindliche Vorgabe für andere Branchen betrachtet werden.[15] Die Erarbeitung und Festlegung einer Risikostrategie ähnelt im Wesentlichen den Schritten des allgemeinen strategischen Managementprozesses. Es werden die grundsätzlichen Ziele des RiMa festgelegt, die gewünschte und akzeptierte Risikobereitschaft sowie die Struktur, welche es in der Organisation umfassen soll. Zur Festlegung allgemeiner Risikoneigungen können die bekannten Kategorien risiko-avers, -neutral oder -freudig eine Orientierung geben.[16] Die Risikostrategie kann wie auch andere strategische Richtlinien auf einzelne Teilbereiche heruntergebrochen und konkretisiert werden, was folglich die Bereitschaft des Unternehmens zur Risikonahme bezüglich Art, Höhe und Konzentration festlegt. Wichtigstes Merkmal ist die Kongruenz zur Geschäftsstrategie, aus welcher die Risikostrategie unmittelbar ableitbar ist und die mit ihr widerspruchsfrei in Einklang stehen sollte. Letztlich zwingt die bewusste Auseinandersetzung mit der Frage einer Risikostrategie das Unternehmen dazu, seine Kompetenzen im Management bestimmter Risiken zu erkennen und unbeherrschbare Risiken zu meiden, woraus ein Vorteil gegenüber weniger spezialisierten Wettbewerbern resultieren kann.[17]

2.2.1.2 Risikotragfähigkeit

Die Risikotragfähigkeit, welche in den MaRisk AT 4.1 detailliert erläutert wird, hat in erster Linie Bedeutung für Banken. Sie ist jedoch auch ein wichtiger, wenn auch nicht zwingend vorgeschriebener Indikator für andere Unternehmen. Die Risikotragfähigkeit trifft eine Aussage darüber, in welchem Verhältnis das vorhandene Eigenkapital des Unternehmens zur gesamten Risikoposition steht. Zur Ermittlung dieser Position ist eine Risikoaggregation unter Berücksichtigung von Wechselwirkungen notwendig. Des Weiteren kann der Bedarf an Eigenmitteln abgeleitet werden, welcher nötig ist, um die im Risiko stehenden Positionen abzusichern. Um den Bestand des Unternehmens langfristig zu sichern, also eine Insolvenzgefahr abzuwehren, sollte das Eigenkapital stets den vom Ausfall gefährdeten Betrag überschreiten.[18]

2.2.1.3 Risikokultur

Die Risikokultur stellt eine grundlegende Leitlinie des gesamten Risikomanagementsystems dar, sie trifft Aussagen über gemeinsam geteilte Normen und schafft so ein Wertegerüst[19] (vgl. Abb. 12). Eine Abgrenzung, welche Elemente exakt der Risikokultur zurechenbar sind, sowie deren Auswirkungen auf unternehmerische Kennzahlen ist nur schwer quantifizierbar. Die Risikokultur soll dazu beitragen, den aktiven Risikomanagementprozess weniger abstrakt zu gestalten, sondern in die denk und Handlungsweisen aller Mitarbeiter zu integrieren, um so eine Akzeptanz des Systems zu erreichen. Die Schaffung der Risikokultur kann in erster Linie nur durch klare und permanente Kommunikation erreicht werden[20]. Die erstmalige Entwicklung eine Risikomanagements und dessen Eingliederung in die Organisation sollten als Meilensteine allen betriebsangehörigen vorgestellt werden. Die Kodifizierung der risikopolitischen Grundsätze und deren Umsetzung auf jeder Hierarchieebene sind die Grundpfeiler einer gelebten Risikokultur.[21]

2.2.2 Risikofrüherkennungssystem

Als wesentlicher Bestandteil des Risikomanagementsystems ist es das Ziel der Risikofrüherkennung, latente Risiken rechtzeitig zu erfassen, um so hinreichend Zeit für die Ergreifung von Abwehrmaßnahmen zu erhalten. Die theoretischen Grundlagen hierzu bilden Ansoff’s Theorie der „Schwachen Signale“ (weak signals)[22] (vgl. Abb. 13) sowie die Diffusionstheorie. Art und Umfang der Risikofrüherkennungssysteme können grundsätzlich in mehreren Kategorien unterschieden werden

1. strategische vs. operative RFS,
2. unternehmensbereichsbezogene vs. gesamtunternehmensbezogene RFS und
3. externe vs. interne RFS.[23]

Im Rahmen eines umfassenden RiMa-Systems werden in hinreichend dimensionierten Unternehmen letztlich alle genannten Bereiche abzudecken sein. Aufbau und Inhalt eines RFS kann in fünf Phasen verdeutlicht werden

1. die Festlegung der Beobachtungsbereiche,
2. die Bestimmung von Frühwarnindikatoren
3. die Ermittlung von Sollwerten und Toleranzgrenzen je Frühwarnindikator,
4. die Festlegung der Zuständigkeit der Informationsverarbeitung,
5. die Entwicklung von Maßnahmen zur Gegensteuerung

Die Integration von quantitativen Indikatoren und Schwellenwerten ist im Rahmen der RFS nicht zwingend notwendig. Die Systeme können sich auch auf qualitative Beobachtungen beschränken, was besonders im strategischen Bereich eine praktikablere Lösung darstellt. Seit der erstmaligen Nutzung der RFS Anfang der 1970er Jahre wurden diese stetig weiterentwickelt, sodass man heute zwischen „3 Generationen“ unterscheidet.[24] (vgl. Abb. 14)

Die erste Generation waren rein kennzahlen- und hochrechnungs-orientiert, es fanden in die rein quantitative Betrachtung nur „Hard Facts“ Eingang. Man führte lediglich Soll-Ist-Vergleiche durch, worin die meist kritisierte Schwäche lag. Es fand eine reine Steuerung anhand vergangenheits-orientierter Daten statt. Zu den jeweiligen Kenngrößen wurden Toleranzschwellen definiert, deren Durchbrechen jedoch erst nach Eintritt des Ereignisses sichtbar wird. Lediglich die zeitnahe Ortung von aufgetretenen Problemen war somit möglich. Diese Form der RFS ist für die strategische Unternehmensführung weitgehend unbrauchbar

RFS der zweiten Generation erweiterten die vorhandenen Systeme um die Einbeziehung von Indikatoren. Diese werden in der Literatur grundsätzlich in drei Kategorien eingeteilt: die globalen Zielindikatoren, differenzierte Zielindikatoren und Ursachenindikatoren. Dies ermöglicht Entwicklungen mit zeitlichem Vorlauf abschätzen zu können (z.B. Auftragseingang) sowie erstmalig über die Risikobetrachtung hinaus auch die Einbeziehung der sich ergebenden Chancen. Das Hauptproblem der indikator-orientierten RFS ist die ausschließliche Suche und Beobachtung bekannter Gefahrenquellen. Vollständig neue Entwicklungen oder Markttrends können mit ihnen nicht erfasst werden.[25]

Letztlich können die RFS der dritten Generation als strategisch quantitative Systeme betrachtet werden. Der Fokus liegt dabei auf einem so genannten „Strategischen Radar“, das heißt einer Abtastung möglichst der gesamten relevanten Unternehmensumwelt, um „Weak Signals“ zu erfassen. Diese stellen Indikatoren für sich allmählich anbahnende Veränderungen dar und bergen meist enorme Chancen und Risiken für das Unternehmen. Ziel ist es, in einem ersten „Scanning“ möglichst viele Weak Signals aufzufangen und diese in einem anschließenden „Monitoring“ genau zu untersuchen. Dadurch sollen Ursache-Wirkungs-Zusammenhänge aufgedeckt und möglichst früh Trendszenarien und Maßnahmen abgeleitet werden können.[26]

Die drei Generationen entsprechen auch den oft gebrauchten Bezeichnungen der Frühwarnung, Früherkennung und Frühaufklärung, wobei die strategisch qualitative Orientierung in dieser Reihenfolge zunimmt. Sind durch das Risikofrüherkennungssystem erstmals Signale für eine Veränderung aufgefangen worden, so rückt die Ableitung von Handlungsalternativen aus diesen neuen Informationen in den Mittelpunkt. Dabei wird das Vorgehen zunehmend strukturierter und es kann auf eine Reihe von Techniken wie z.B. Brainstorming, Brainwritting, synektische und morphologische Methoden zurückgegriffen werden. Letztlich können aus der Durchführung einer Risikofrüherkennung Szenarien, Trends oder indikator-basierte Prognosen abgeleitet werden, welche dem Unternehmen Entwicklungslinien für die zukünftige strategische Ausrichtung vorgeben.[27] Besonders individuelle Risikowahrnehmungen dürfen nicht unbeachtet bleiben, da subjektive Einstellungen die Beobachtungsbereiche und Ergebnisse verzerren können.[28] Resultat dieser Systeme kann die Schaffung eines Zeitfensters und damit die Vergrößerung von Handlungsspielräumen sein, was zukünftige Gewinnpotenziale steigert

2.2.3 Risikocontrolling

Das Risikocontrolling wird weitgehend als eine Division des Controllings verstanden. Es übernimmt zentrale Funktionen der Risikoerkennung, -bewertung und -steuerung. Die Einordnung in die Unternehmenshierarchie fällt schwer, da der Risikomanagementprozess die operative Ebene des Risikomanagementsystems darstellt, jedoch die Bereitstellung von Informationen für das Management zur Basis strategischer Entscheidungen wird. Ziel ist die systematische Analyse der bestehenden und potenziellen Risiken sowie die Entwicklung von Maßnahmen zur Steuerung der Risikobereiche.[29] Obwohl beide Aufgaben im engen Bezug zueinander stehen, können sie als zwei getrennte Prozessschritte betrachtet werden. Aus diesem Grunde sollen beide im Folgenden separat untersucht werden

2.2.3.1 Risikomanagementprozess

In diesem Punkt soll vorrangig auf den Risikomanagementprozess im engen Sinne eingegangen werden

Abbildung 2: Der Risikomanagementprozess

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Darstellung, in Anlehnung an Götze, U., et. al. (2001): S. 333

Zwar ist die Risikosteuerung Teil des Prozesses. Aufgrund ihrer Bedeutung und Komplexität kann diese als eigenständiges Element innerhalb des Risikocontrollings angesehen werden. Der Risikomanagementprozess im engeren Sinne stellt prinzipiell den initiierenden Schritt des gesamten Risikomanagement-Systems dar. Hier werden Überwachungsbereiche festgelegt und quantifiziert.[30]

A.) Die Risikoidentifikation:

Hierbei sollen alle relevanten Risiken systematisch erfasst werden. Zu unterscheiden ist die Identifikation mittels top-down- oder bottom-up-Ansatzes. Es ist sinnvoll, beide in Kombination zu nutzen: Ersteren für strategische und finanzielle Risiken und Zweiteren für operative Risiken, um das Detailwissen der einzelnen Fachbereiche einzubeziehen. Ergebnis der Risikoidentifikation sollte ein Risikoinventar sein, welches in Verzeichnisform alle relevanten Risiken enthält und somit die Datengrundlage des RMS darstellt. Aufgrund der strategisch qualitativen Orientierung moderner Systeme sollte das RFS eine wesentliche Quelle für die stetige Weiterentwicklung und Aktualität des Risikoinventars sein .[31]

2. Die Risikoanalyse:

Sie stellt eine detaillierte Beschreibung der identifizierten Risiken dar. Die Einbeziehung von Kriterien, anhand derer Risiken beurteilt werden, ist grundsätzlich unternehmensindividuell. Gebräuchlich sind hier zumeist Risikoquelle, Risikoauslöser, Risikoeigner, Erwartungswert sowie die Einordnung in Risikokategorien.[32]

3. Die Risikobewertung:

Diese umfasst sowohl quantitative als auch qualitative Gesichtspunkte. Quantitativ sind die Dimensionen Eintrittswahrscheinlichkeit und Schadensausmaß gebräuchlich, welche eine zweidimensionale Matrix, die Riskmap, und damit einen Überblick über das Gesamtrisikoportfolio des Unternehmens ergeben. Zur Ermittlung dieser Parameter sind Vergangenheitsdaten als Basis einer Extrapolation in die Zukunft geeignet. An die Bewertung der Einzelrisiken sollte sich eine Betrachtung der Interdependenzen, Korrelation und die Bestimmung von zugrunde liegenden Verteilungsfunktionen anschließen. Besonders bei der Kategorisierung von Risiken ist zu berücksichtigen, dass der Eintritt einer großen Anzahl als unbedeutend bewerteter Risiken insgesamt zu bestandsgefährdendem Ausmaß anwachsen kann. Letztlich sei erwähnt, dass der Risikomanagementprozess im Zeitablauf wiederholt von Neuem starten soll, um aktuelle Entwicklungen zu berücksichtigen.[33]

2.2.3.2 Risikosteuerung

Im Rahmen der Risikosteuerung werden Maßnahmen für die einzelnen Risiken sowie für das Gesamtrisikoportfolio des Unternehmens festgelegt. Mit Bezug zur Riskmap[34] sind drei Strategien ableitbar: Risikosteuerung zur Reduzierung der Eintrittswahrscheinlichkeit, zur Reduzierung der Schadenshöhe oder die Reduktion beider Dimensionen. Um dies zu erreichen, können Maßnahmen der Risikovermeidung, -verminderung, -überwälzung, -diversifikation und des Risikotragens implementiert werden.[35]

Wie der Begriff schon deutlich macht, bezieht sich das Vermeiden von Risiken grundsätzlich auf das Nichteingehen riskanter Vorgänge, was gleichzeitig Chancen reduziert. Aus diesem Grund ist die Maßnahme in möglichst wenigen Fällen anzuwenden. Sie stellt jedoch gleichzeitig das einfachste Vorgehen dar. Denn, wenn ein Geschäft nicht eingegangen wird, fallen mit diesem speziellen Vorgang auch keine weiteren Verpflichtungen oder Steuerungsmaßnahmen an. Die Risikovermeidung ist in Fällen anzuwenden, in denen Chancen und Risiko in einem auffälligen Missverhältnis stehen. Bei Geschäften, welche nicht durch andere Maßnahmen besicherbar sind, wie bei Großrisiken, welche im Einzelnen schon den Fortbestand der gesamten Unternehmung bedrohen können. Risikovermeidung bezieht sich hier auf die Reduktion der Eintrittswahrscheinlichkeit

Die Risikoverminderung wird meist durch Anpassung der Unternehmensprozesse erreicht und umfasst technische und organisatorische Maßnahmen zum Schutz aller im Unternehmen vorhandener Produktionsfaktoren vor Schaden (bsp. Helmpflicht, Sicherungskopien, Brandschutz). Risikoverminderung bezieht sich dabei auf die Reduktion beider Dimensionen, sowohl auf die Schadenshöhe als auch auf die Eintrittswahrscheinlichkeit

Das Überwälzen beziehungsweise Transferieren von Risiken stellt der klassische Versicherungsschutz dar. Gegen eine Prämie wird die Gefahr des Eintritts auf ein anderes Wirtschaftssubjekt übertragen. Dies ist die praktikabelste Lösung der Risikosteuerung, muss jedoch stets in Rahmen einer detaillierten Kosten-Nutzen-Analyse entschieden werden. Das Überwälzen von Risiken bezieht sich auf die Reduktion der Schadenshöhe

Die Risikodiversifikation knüpft an Theorien zu Gestaltung von Wertpapierportfolios an. Über eine breite Aufstellung oder die Einbeziehung von Partnern wird die Schadenshöhe bei Eintritt einzelner Risiken reduziert. Risikodiversifikation kann durch Kooperationen und Joint Ventures erfolgen, durch Abwicklung von Großinvestitionen mit Partnern, durch vertragliche Vereinbarungen, durch Verteilung von Risiken auf vor- und nachgelagerte Wertschöpfungsstufen oder durch Integration negativ korrelierter Geschäftsbereiche in das Geschäftsfeldportfolio eines Unternehmens. Diversifizieren von Risiken bezieht sich damit auf die Reduktion der Schadenshöhe

Letztlich verbleibt bei jeder unternehmerischen Tätigkeit ein Restrisiko, welches entweder nicht absicherbar ist oder über die Kosten-Nutzen-Rechnung eine Absicherung unwirtschaftlich macht. Diese verbleibenden Risiken werden somit selbst getragen, ihr Schadensausmaß setzt sich folglich aus der Schadenshöhe und Eintrittswahrscheinlichkeit nach allen anderen Risikosteuerungs-Maßnahmen zusammen[36]

Die Risikoüberwachung erfüllt abschließend mehrere Funktionen. Zu den bewerteten Risiken sollen in diesem Rahmen Toleranzgrenzen definiert werden, um problematische Abweichungen sichtbar zu machen und reagieren zu können. Gleichzeitig kann hier der Risikocontrollingprozess von Neuem ausgelöst werden, indem Abweichungen eine Neubewertung der Risiken notwendig machen und gleichzeitig nach nicht identifizierten Risiken geforscht wird. Die Risikoüberwachung kann auch eine weitere Bewertung der identifizierten Risiken beinhalten. Die erste Risikobewertung trifft Aussagen zur Schadenshöhe und Eintrittswahrscheinlichkeit vor Steuerungsmaßnahmen. Eine zweite Bewertung kann die Veränderung dieser Parameter nach den ergriffenen Maßnahmen abbilden. Folglich wird anhand der Betrachtung ungesicherter und abgesicherter Risiken ein Kosten-Nutzen-Vergleich der gesamten Maßnahmen möglich

Den Abschluss und Rahmen des gesamten Risikocontrollings bildet das Risikoreporting. Ziel sind sowohl interne als auch externe Adressaten.[37] Intern erfüllt der Risikobericht primär die Management-Informationsfunktion, schafft somit die von § 93 Abs. 1 AktG geforderten angemessene Information als Grundlage der unternehmerischen Entscheidung. Dem nachrangig einzuordnen ist die Berichtsfunktion an Mitarbeiter, risikoverantwortliche und weitere Instanzen im RiMa-System. Art und Umfang sind dabei vom jeweiligen Unternehmen individuell festzulegen, sodass ein verständlicher und umfassender Blick über das gesamte System ermöglicht wird (was jedoch stets im Kontext des § 93 AktG zu betrachten ist). Die zweite Form des Risikoreportings stellen die Berichte an externe Adressaten dar.[38] Der Schwerpunkt liegt dabei klar auf den Darstellungen zum Risikomanagement-System im Lagebericht der Kapitalgesellschaften bzw. dem aggregierten Risikobericht nach § 285 Abs. 1 Nr. 23 i.V.m. 289a HGB-E. Im Gegensatz zum internen Reporting existieren hier verbindliche gesetzliche Anforderungen, welche lediglich Gestaltungsspielräume zulassen, jedoch klare Anforderungen an Art, Umfang und Zeitpunkte stellen

2.2.4 Internes Kontrollsystem

2.2.4.1 Interne Steuerung und Überwachung

Das interne Kontrollsystem stellt einen Bereich des RiMa dar, welcher sich sozusagen nach „innen“ richtet. Gemäß Prüfungsstandard IDW PS 261 definiert sich das IKS als: „Die von der Unternehmungsleitung im Unternehmen eingeführten Grundsätze, Verfahren und Regelungen, die auf die organisatorische Umsetzung von Entscheidungen der Unternehmensleitung gerichtet sind“. Es sollen hier Risiken abgewehrt werden, welche aus der Nichteinhaltung von Vorschriften, dem bewussten schädlichen Verhalten von Mitarbeitern sowie dem Verstoß gegen generelle gesetzliche Normen resultieren[39]. Des Weiteren stellt das IKS die Anwendung und Funktionsweise der übrigen Komponenten des RiMa-Systems sicher und wird somit als ein besonders bedeutendes Element für die Funktionsfähigkeit des Gesamtsystems angesehen.[40] Das IKS selbst kann noch in weitere Funktionsbereiche untergliedert werden

Abbildung 3: Struktur des internen Kontrollsystems

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Zwirner (2003): S.

Zum einen das interne Steuerungssystem und zum anderen das interne Überwachungssystem. Ersteres legt Maßnahmen zur Steuerung aller Unternehmensaktivitäten unter Gesichtspunkten der Wirksamkeit und Wirtschaftlichkeit fest.[41] Das Steuerungssystem orientiert sich bei seiner Implementierung an der Organisation des Unternehmens. Im Rahmen des gesamten Risikomanagements ist es das Ziel, alle relevanten Prozesse lückenlos zu dokumentieren, um somit Fehler und unklare Zuständigkeiten auszuschließen. Das interne Steuerungssystem bildet zum einen Vorhandenes ab und versucht gleichzeitig die Systeme weiterzuentwickeln. Das interne Überwachungssystem soll organisatorische Sicherungsmaßnahmen implementieren, um den gewünschten und ordnungsgemäßen Ablauf aller Prozesse sicherzustellen. Besonders Fehler in der Aufbau- und Ablauforganisation sollen auf diesem Wege aufgedeckt und verhindert werden, um somit ein gewünschtes Sicherheitsniveau zu erreichen.[42] Einzelne Maßnahmen können in diesem Kontext sein: Funktionstrennung, Zugriffsbeschränkungen, Kontrollmaßnahmen, Realisierung des Vier-Augen-Prinzips und Dokumentation der Prozesse. Einen weiteren Punkt in den prozessintegrierten Sicherungsmaßnahmen stellen die Kontrollen dar. Diese sollen fehlerhafte Arbeitsabläufe aufdecken und vermeiden. Die Durchführung kann zum einen automatisiert erfolgen oder durch einen Überwachungsträger. In der Praxis ist zu beachten, dass das IKS durch den Abschlussprüfer (AP) beurteilt wird.[43] Die Kriterien dafür legt der Prüfstandard IDW PS 260 fest, welcher insbesondere die Kategorien Kontrollumfeld, Risikobeurteilungen, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung des IKS umfasst.[44] Bei der Implementierung des Systems sollte folglich auf eine Entsprechung mit diesen Kriterien geachtet werden. Letztlich zielt auch das interne Kontrollsystem auf einen direkten monetären Nutzen für das Unternehmen. Es soll einen Schutz gegen Vermögensschäden bieten, welche infolge regelwidrigen Verhaltens entstehen, sowie die Aufdeckung doloser Handlungen fördern und vor diesen abschrecken.[45] Auf die interne Revision als ein prozessunabhängiges Element des IKS soll aufgrund ihrer Stellung und Aufgaben gesondert eingegangen werden

2.2.4.2 Interne Revision

Die Struktur, Aufgaben und Inhalte der internen Revision werden durch die Vorgaben des „Deutschen Instituts für interne Revision“ (DIIR) geprägt. Die sog. IIR Revisionsstandards Nr. 1 bis 4 können als verbindliche Rahmenwerke in diesem Themenkomplex betrachtet werden.[46] Interne Revision ist dort definiert als:

„Die interne Revision erbringt unabhängige und objektive Prüfungs- („assurance“) und Beratungs- („consulting“) Dienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft“[47]

Gesetzliche Grundlagen der internen Revision stellen § 91 Abs. 2 AktG (KonTraG), § 319 Abs. 3 HGB, § 153 SolvV, § 25a KWG und die MaRisk[48] dar

Organisatorisch sollte diese unmittelbar der Geschäftsleitung als eine Stabsstelle unterstehen. Sie wird als eine Art Bindeglied zwischen Controlling und Geschäftsführung betrachtet und ist zwingend von anderen Geschäftsprozessen zu trennen (vgl. Abb. 15). Sowohl Aufgaben als auch Personal dürfen keinerlei Verbindung zu anderen Organisationsbereichen aufweisen, um Objektivität zu gewährleisten, Vertrauen in die Tätigkeit zu schaffen und Befangenheit auszuschließen. Die interne Revision soll als ein „System externer Partner“ verstanden werden der frei von hierarchischen Zwängen Schwachstellen aufdeckt, diese der Geschäftsleitung in Berichten mitteilt und so einen essentiellen Beitrag zum Fortbestand des Unternehmens liefert.[49]

Die Ausgestaltung sollte sich an Größe und Komplexität der Organisation orientieren. Grundsätzlich ist die interne Revision durch Mitarbeiter des Unternehmens zu besetzen und besteht meist aus 2 bis 10 Personen. In kleineren und mittleren Unternehmen übersteigt dies jedoch meist die vorhandenen Kapazitäten. In diesen Fällen stellt die Auslagerung auf spezialisierte Gesellschaften (Outsourcing) oder die interne Umsetzung unter Einbeziehung eines externen Partners (Partnering) die praktikablere Alternative dar.[50]

Die Aufgaben der internen Revision können grundsätzlich in zwei Bereiche unterteilt werden: „Internal Audit“ und „Internal Consulting“. Unter Ersteres fallen insbesondere die Prüfung des Risikomanagement-Systems, des internen Kontrollsystems und der Frühwarnsysteme. Die Prüfung soll sich dabei im Grundsatz an den Kriterien der Wirtschaftlichkeit, Zukunftssicherheit, Zweckmäßigkeit, Ordnungsmäßigkeit und Sicherheit orientieren.[51] Ziel ist es, Risiken und Mängel in unternehmerischen Prozessen aufzudecken, bevor diese negative Ereignisse nach sich ziehen. Die wesentlichen Prüfbereiche stellen dabei das Finanzwesen, Rechnungswesen, Organisationsstruktur und das Management dar.[52]

DIIR Revisionsstandard Nr. 1 betont besonders die Zusammenarbeit zwischen interner Revision und Abschlussprüfer. Dieser kann als „externe Revision“ betrachtet werden. Dessen Aufgabe ist vorrangig die Prüfung der Einhaltung gesetzlicher Vorschriften bei der Jahresabschluss-Erstellung mit den Ziel des Gläubigerschutzes, jedoch auch der Beurteilung der Lage der Gesellschaft und der Risikoposition. Um dies einschätzen zu können, um Doppelarbeit zu vermeiden und die Prüfungshandlungen zu reduzieren, kann der Abschlussprüfer auf Dokumentationen der internen Revision zurückgreifen.[53]

Ziel der internen Revision ist in erster Linie die Reduktion von Risiken durch stetige Überwachung und frühzeitige Erkennung sich anbahnender Gefahren. Im Gegensatz zu Früherkennungssystemen liegt der Fokus auf der Überwachung unternehmensinterner Vorgänge, wie Einhaltung von Regeln, Berichtspflichten und Aufdeckung doloser Handlungen. Obwohl die Einrichtung einer internen Revision mit Kosten verbunden ist, soll die Abwehr von Schäden langfristig diese Kosten übersteigen und so einen Mehrwert für das gesamte Unternehmen schaffen.[54]

Im Kontext der Arbeit ist die interne Revision im Hinblick auf die Überwachung des Risikomanagements im engen Sinne bedeutend, womit sie gleichzeitig zu einem Bestandteil des gesamten RiMa-Systems wird[55]

2.2.4.3 Kontrollmodelle

Aus Gründen der Vollständigkeit soll hier ein kurzer Überblick zu den gebräuchlichsten Kontrollmodellen gegeben werden. Das im SOX erwähnte COSO- Modell (Committee of Sponsoring Organizations of the Treadway Commission) wurde 1992 erstmals vorgestellt und 2004 zum COSO-ERM-Modell weiterentwickelt (vgl. Abb. 16).[56] Es gilt als Standard für die Gestaltung, Dokumentation und Analyse interner Kontrollsysteme, ist aber nicht zwingend vorgeschrieben. Die wesentlichen Inhalte gliedern sich in fünf Beobachtungsbereiche: Kontrollumfeld, Risikobeurteilung, Kontrollaktivität, Information/Kommunikation und Überwachung. Ziel dieser Systeme ist es, ethisches Handeln der Mitarbeiter im Unternehmen zu fördern, wirksam die Einhaltung von Regeln zu kontrollieren und zu einer qualitativ guten Unternehmensführung beizutragen. Weitere Rahmenwerke zur Einführung eines IKS stellen das CobiT[57], CoCo und ICoFR[58] dar

2.2.5 Notfallplanung

Die Notfallplanung befasst sich mit Szenarien, welche aufgrund ihrer tief greifenden Wirkungen nicht mehr durch den normalen Risikomanagementprozess handhabbar sind. Wirtschaftskrisen, Börsencrashs oder Naturkatastrophen werden aufgrund ihres insgesamt seltenen Eintretens als zu unberechenbar angesehen, um sie „quartalsmäßig“ in einem Risikocontrolling zu beobachten. Obwohl das Argument im Grundsatz richtig ist, wird dennoch auf die Möglichkeit verwiesen, dass mittels Vorbereitung der Schaden bei Eintritt reduzierbar ist. Besonders die Reaktionsgeschwindigkeit wird erhöht, da alle Beteiligten mittels planvollen Vorgehens die Auswirkungen abschwächen können. Zur Vorbereitung auf Extremszenarien sollte initiierend erfasst werden, welche Szenarien in Betracht kommen.[59] Dazu bietet sich eine historische Analyse an. Welche extremen Zäsuren erschütterten in den letzten 100 bis 200 Jahren die damalige Wirtschaft? Wie oft kam dies vor, gab es Warnsignale? Welche waren es, wie verlief die Krise und wie ordnete sich die Wirtschaft nach dem Zusammenbruch neu? Selbstverständlich lassen sich auch mittels einer Notfallplanung Krisen nicht voraussagen oder beherrschbar machen, jedoch sind Vorbereitungen und Maßnahmenpläne eine praktikable Lösung, die Schadenshöhe zu begrenzen. Sicherlich führen auch noch diese Maßnahmen zu Unterbrechungen im Geschäftsbetrieb oder sogar zu hohen Verlusten. Aber die Chance kann ein Stück weit verbessert werden, das Überleben und die Fortführung des Unternehmens über die Krise hinaus zu ermöglichen.[60]

2.3 Organisatorische Umsetzung

2.3.1 Risikobeauftragter

Die Position des Risikobeauftragten stellt in der Unternehmung die leitende Instanz des gesamten Risikomanagements dar. Organisatorisch ordnet sich dieser zumeist als eine Stabstelle des Managements ein und übt im Zuge seiner Mittlerfunktion eine beratende Funktion aus. Die Anforderungen an den Risikobeauftragten sind dabei insbesondere abhängig von Größe, Struktur und Komplexität des Unternehmens. Mit der Sammlung risikorelevanter Daten wird bereits auf unterster operativer Ebene begonnen, welche somit in einem hierarchischen Prozess bewertet und aggregiert werden müssen, um dem Management komprimierte und entscheidungsrelevante Informationen vorlegen zu können. Die primäre Aufgabe des Risikobeauftragten kann also in der Überwachung, Koordination Steuerung und Aggregation der Informationsflut des Gesamtsystems gesehen werden.[61] Der Logik folgend können diese Aufgaben jedoch erst einen zweiten Schritt darstellen. Initialisierend fällt den Risikobeauftragten die Konzeption, Implementierung und fortdauernde Integration des Risikomanagement-Systems in die Unternehmung zu. In diesen Bereich fallen die Ausarbeitung einer geeigneten Risikomanagement-Struktur mit definierter Aufbau- und Ablauforganisation sowohl für die Muttergesellschaft, als auch für Beteiligungsgesellschaften und strategische Partner. Wichtiges Merkmal ist die Methodenkompetenz des Risikobeauftragten, welcher Standards entwickelt und bereitstellt, um ein einheitliches Risikoportfolio zu erstellen und der den Risk-ownern jederzeit bei der Durchführung des RiMa zur Seite steht. Parallel zu den genannten Aufgaben sollte sich der Risikobeauftragte permanent um die Akzeptanz und Integration des Systems im Tagesgeschäft aller Mitarbeiter bemühen. Die Sensibilisierung und das Schaffen eines Risikobewusstseins sind zentrale, wenn auch nicht quantifizierbare Aufgaben, die für den Erfolg ausschlaggebend sind

Die beschriebenen Tätigkeitsfelder implizieren sehr hohe Anforderungen an die Person des Risikobeauftragten. Besonders ein Blick für „das Ganze“ des Unternehmens, betriebswirtschaftliche Kenntnisse und fundiertes Fachwissen bis in die einzelnen operativen Bereiche sind Grundvoraussetzung, um in der Lage zu sein, ein Risikomanagement zu entwickeln und zu überwachen. Für die unternehmerische Praxis leitet sich noch eine weitere Anforderung unweigerlich ab. Es ist ein Irrglaube, dass das Risikomanagement von einem Mitarbeiter „nebenbei“ erledigt werden könnte. Art und Umfang des Systems machen deutlich, dass ein enormer Entwicklungs-, Wartungs-, und Koordinationsaufwand erforderlich ist. Die Delegation des Postens eines Risikobeauftragten an bereits im Betrieb eingebundene Mitarbeiter würde somit zum Scheitern des Gesamtsystems führen. Die zweifelhafte Funktionsweise hätte folglich negative Auswirkungen auf Unternehmensratings. Letztlich stellt sich die Frage, ob die Position eines Risikobeauftragten überhaupt erlässlich ist bzw. ob die Delegation an einen bereits fachlich eingebundenen Mitarbeiter erfolgen darf, ohne die Rechtmäßigkeit im Zusammenhang mit § 91 Abs. 2 AktG, der Lageberichterstattung und den Erklärungspflichten aus den DCGK in Zweifel zu ziehen.[62]

2.3.2 Risikohandbuch

Das Risikohandbuch ist zentraler Teil der Dokumentation des gesamten Risikomanagement-Systems. Es stellt eine komplette, möglichst aggregierte und leicht verständliche Zusammenfassung dar. Das Handbuch richtet sich nicht nur an Mitarbeiter des Unternehmens, sondern auch an externe Adressaten, wie Banken und Abschlussprüfer[63], um diesen das Vorhandensein und die Funktionsweise des RiMa-Systems vorlegen zu können. Inhaltlich existieren keine bindenden Vorgaben. Es erscheint jedoch nahe liegend, dass alle wesentlichen Elemente des Risikomanagements, normative und strategische Annahmen, Berichtswege, personelle Verantwortung sowie die Darstellung der einzelnen Risiken[64] im Risikohandbuch enthalten sein sollen. Ziel ist es, die Bekanntheit und Transparenz des Risikomanagement-Systems zu fördern und somit den Aufbau der gewünschten Risikokultur zu unterstützen. Obwohl in der Literatur keine einheitlichen Ansätze zur Ausgestaltung[65] eines Risikohandbuchs zu finden sind, soll hier eine Möglichkeit entwickelt und aufgezeigt werden, wie der Inhalt mit Blick auf die Umsetzung in der Praxis aussehen kann.[66]

Tabelle 1: Schematischer Aufbau eines Risikohandbuchs

[Abbildung in dieser Leseprobe nicht enthalten][68]

Quelle: Eigene Darstellung

3 Rechtliche Grundlagen

In diesem Kapitel soll ein Überblick der für das RiMa relevanten gesetzlichen Vorschriften gegeben werden. Beginnend mit der Nennung und Erläuterung einzelner Gesetzeswerke werden in Abschnitt 3.3. die Erfordernisse der jeweiligen Rechtsform einer Unternehmung an Implementierung, Ausgestaltung und Berichtswesen des RiMa aufgezeigt. Beginnend mit europäischen Rechtsquellen über die erstmalige Forderung nach Überwachungssystemen durch das „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG), bis hin zu einer an internationale Standards angenäherten Reform des HGB im BilMoG

3.1 Gesetzliche Regelungen zum RiMa

In weiten Teilen der Fachliteratur findet sich eine sehr undifferenzierte Betrachtungsweise der gesetzlichen Grundlagen des Risikomanagements. Zumeist wird das „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)“ als erste und abschließende Rechtsquelle, welche die Pflicht zur Einrichtung von Überwachungssystemen vorschreibt, angeführt. Eine derartige Darstellung wird dem komplexen Thema Risikomanagement in der deutschen Gesetzgebung der letzten Jahre allerdings nicht gerecht. Vielmehr folgten eine Reihe weiterer Änderungsgesetze, welche den unscharfen Wortlaut des KonTraG konkretisierten. Folglich wird heute die Einrichtung einfacher Überwachungssysteme als nicht mehr den gesetzlichen Erfordernissen entsprechend betrachtet. Um den Handelnden im Unternehmen rechtliche Sicherheit zu gewährleisten, werden komplexe, aus mehreren Elementen bestehende Risikomanagement-Systeme als notwendig erachtet. Um diese Entwicklung ausführlich darstellen zu können, werden in diesem Abschnitt alle, das Risikomanagement betreffende Gesetzeswerke, chronologisch geordnet beleuchtet. Die Art der Bearbeitung folgt dabei durchgängig dem Muster, dass einleitend Allgemeines zum jeweiligen Gesetz dargestellt wird und anschließend die zum Risikomanagement in Bezug stehenden Einzelnormen stichpunktartig genannt und erläutert werden. Aufgrund des Umfangs und dem Basieren auf allgemein zugänglichen Gesetzestexten werden die genannten Darstellungen im Anhang detailliert beschrieben

Tabelle 2: Chronologischer Überblick zur Gesetzgebung

Abbildung in dieser Leseprobe nicht enthalten

Quelle: Eigene Darstellung

3.1.1 Europäisches Recht

Zur Definition: „EU-Richtlinien sind vom Rat der Europäischen Union erlassene Gesetze. Sie zählen zum sekundären Europarecht. Richtlinien legen nur zu erreichende Ziele fest und entfalten grundsätzlich keine direkten Wirkungen gegenüber den Bürgern der EU. Zur Wirksamkeit müssen sie durch die jeweiligen Gesetzgeber der Einzelstaaten in nationales Recht umgesetzt werden.[69] “ Grundlagen der europäischen Gesetzgebung im Bereich des Gesellschaftsrechts, gestützt auf den Vertrag zur Gründung der Europäischen Wirtschaftsgemeinschaft (EWG) stellen die 4. EWG-Richtlinie (1978 „Bilanzrichtlinie“ 78/660/EWG), die 7. EWG-Richtlinie (1983 „Konzernrichtlinie“ 83/349/EWG) und die 8. EWG-Richtlinie (1984 „Abschlussprüferrichtlinie“ 84/253/EWG) dar. Diese Richtlinien wurden 1985 durch das Bilanzrichtliniengesetz (BilRiLiG) in deutsches recht umgesetzt, was die Einführung des neuen, III. Buches des HGB und Ausdehnung der Publizitätspflicht auf alle Kapitalgesellschaften zur Folge hatte.[70]

Ab dem Jahr 2003 wurden auf EU-Ebene Änderungsrichtlinien erlassen, welche direkten Einfluss auf die Tätigkeit des Abschlussprüfers sowie die Anforderung an Kontrollsysteme haben. 2006/43/EG Artikel 8 Abs. 1 f) setzt für die Zulassung des Wirtschaftsprüfers explizit Kenntnisse im Sachgebiet des Risikomanagements und der internen Kontrolle voraus. In Richtlinie 2006/46/EG Artikel 1 Nr. 7 Abs. 1 c) wird eine Erklärung der Unternehmensführung zu den wichtigsten Merkmalen des Risikomanagements und des internen Kontrollsystems in einem gesonderten Abschnitt des Lageberichts bei börsennotierten Gesellschaften gefordert. Artikel 2 Nr. 2 f) fordert zudem die Darstellung der wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im konsolidierten Lagebericht

3.1.2 GoB

Aus den nur teilweise kodifizierten „Grundsätzen ordnungsmäßiger Buchführung“ (GoB) ist das Vorsichtsprinzip aus 252 Abs. 2 Nr. 4 HGB bedeutend, „...namentlich sind alle vorhersehbaren Risiken... zu berücksichtigen...“ es wird ein indirekter Bezug zum RiMa hergestellt, wobei diese Norm so interpretiert werden kann das die Implementierung eines RiMa notwendig ist sowie bei Vorhandensein auf dessen Nutzung zurückgegriffen werden muss, um die Informationsqualität zu verbessern und somit vorsichtig und richtig zu bewerten.[71]

3.1.3 KonTraG

In Anbetracht des RiMa stellt das bereits 1998 erlassene „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG)“ den bedeutendsten gesetzgeberischen Schritt dar. Zentrale Norm ist der neu eingeführte § 91 Abs. 2 AktG: „Organisation. Buchführung - Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“

Hintergrund dieser Entwicklung waren spektakuläre Unternehmenskrisen zu Beginn der 90er Jahre, welche Reformbestrebungen des Aktien- und Handelsrechts zur Folge hatten.[72] Im Januar 1998 wurde ein Regierungsentwurf zum KonTraG vorgelegt, der bereits zum 01.05.1998 umgesetzt wurde. In der Gesetzesbegründung wird verdeutlicht, dass das etablierte System der Corporate Governance deutscher Kapitalgesellschaften nicht in Frage gestellt werden soll, jedoch gezielte Korrekturen erforderlich sind. Diese werden als Chance für Unternehmen begriffen, um deren Wettbewerbsfähigkeit nachhaltig zu steigern und zu sichern. Besonders interessant ist die Anmerkung, dass aus dem KonTraG resultierende Pflichten nicht grundsätzlich neu sind, sondern bei gut geführten und kontrollierten Unternehmen eine Selbstverständlichkeit sein sollten.[73]

In der Gesetzesbegründung wird explizit erwähnt, dass für die GmbH kein äquivalentes Gesetz erlassen wird mit der Begründung einer Ausstrahlungswirkung des § 91 Abs. 2 AktG auf die Geschäftsführung anderer Gesellschaftsformen.[74]

Die wichtigsten Neuregelungen in Bezug auf ein RiMa können nach deren Adressaten differenziert werden:

1. Der Vorstand:

- § 91 Abs. 2 AktG Pflicht zur Einrichtung von Überwachungssystemen
- § 90 Abs. 1 AktG Der Vorstand hat an den Aufsichtsrat (AR) einen Bericht über die zukünftige Unternehmensplanung und Geschäftspolitik abzugeben

2. Der Aufsichtsrat:

- Pflichterweiterung aus § 90 Abs. 1 AktG
- § 171 Abs. 1 Satz 2 AktG Pflicht zur Prüfung des Abschlussprüferberichts
- Nach § 321 Abs. 5 erhält der Aufsichtsrat Zugriff auf die nach § 289 Abs. 1 und § 317 Abs. 4 HGB erstellten Prüfberichte des Abschlussprüfers

3. Der Abschlussprüfer

- § 317 Abs. 2 HGB Der Lagebericht ist in Hinblick auf die zutreffende Darstellung zukünftiger Risiken zu prüfen
- § 317 Abs. 4 HGB Prüfung des Umfangs und der Funktionsfähigkeit des Risikomanagements sowie nach § 321 Abs. 4 HGB Ausfertigung eines besonderen Teils des Prüfberichts zur Beurteilung und eventuell mit Verbesserungsvorschlägen zum Überwachungssystem
- § 321 Abs. 1 Satz 2 HGB Zur Beurteilung der Geschäftsleitung bezüglich Lage, Fortbestand und künftiger Entwicklung der Gesellschaft ist vom Abschlussprüfer Stellung zu nehmen
- § 322 Abs. 2 Satz 3 HGB Im Betätigungsvermerk soll auf, den fortbestand des Unternehmens, gefährdende Risiken gesondert eingegangen werden
- § 322 Abs. 3 HGB Dem Betätigungsvermerk soll eine Erklärung beigefügt werden, dass die durchgeführte Prüfung zu keinen Beanstandungen geführt hat

4. Allgemeine Berichtspflichten:

- § 289 Abs. 1 HGB Der Lagebericht muss eine Darstellung und Beschreibung der wesentlichen Chancen und Risiken enthalten
- § 315 Abs. 1 Satz 5 HGB Der Konzernlagebericht muss Aussagen über die zukünftigen Chancen und Risiken enthalten

Zusammenfassend lassen sich im KonTraG einige wesentliche Strukturen erkennen: Der Vorstand erhält die Pflicht zur Einrichtung eines Risikomanagements.[75] Der Aufsichtsrat erhält sowohl bei der Durchführung als auch bei der abschließenden Beurteilung der Abschlussprüfung erweiterte Kompetenzen. Jedoch die weitreichendsten neuen Verpflichtungen werden an den Abschlussprüfer gestellt. Dessen Aufgaben in Hinblick auf Überwachung und Beurteilung der implementierten Kontrollsysteme werden in großem Umfang ausgebaut

3.1.4 DCKG

Im Zuge der Internationalisierungsbestrebungen des deutschen Kapitalmarktes sowie der stärkeren Betonung der Informationsfunktion im Rahmen shareholder-orientierter Sichtweisen schafft der „Deutsche Corporate Governance Kodex (DCKG)“ präzisierte Verhaltensanweisungen an eine „gute“ Unternehmensführung.[76] In dessen Präambel wird die Pflicht zur Beachtung auf börsennotierte[77] Gesellschaften beschränkt, jedoch die Möglichkeit eingeräumt und empfohlen, den Kodex auch auf andere Unternehmensformen auszudehnen. Von einer Regierungskommission 2001 begonnen, wurde das Regelwerk im Februar 2002 verabschiedet. Zentrales Element der Kapitalmarktkommunikation stellt die Entsprechenserklärung gemäß 3.10 DCGK dar, welche durch das Transparenz- und Publizitätsgesetzes (TransPuG) im § 161 AktG eingeführt und somit auf eine gesetzliche Grundlage gestellt wurde. Die Inhalte des Kodex unterscheiden sich in 3 Hierarchieebenen. Die „Soll“- Empfehlungen: Von ihrer Einhaltung kann abgewichen werden, was aber im Entsprechensbericht aufgezeigt werden muss - nach dem Prinzip „comply or explain“. Zum zweiten die bloßen Anregungen, gekennzeichnet durch „kann“ oder „sollte“: Diese stellen allgemein anerkannte Grundsätze guter Geschäftsführung dar, müssen aber weder beachtet noch erklärt werden. Die übrigen sprachlich nicht gekennzeichneten Vorschriften beruhen auf zwingenden rechtlichen Erfordernissen. Sie präzisieren lediglich das Aktiengesetz und sind keineswegs neu geschaffen, folglich müssen Sie von allen Aktiengesellschaften eingehalten werden. Sowohl Empfehlungen als auch Anregungen haben lediglich den Charakter dispositiven Gesetzesrechts.[78] In Anlehnung an § 91 Abs. 2 AktG präzisiert der DCKG die Anforderungen an das RiMa und die interne Kontrolle, womit deren Bedeutung und Notwendigkeit verschärft und auf eine Einführung und Umsetzung hingedeutet wird.[79] Die für das RiMa bedeutenden Normen im Einzelnen:

4.1.4 DCKG: „Der Vorstand sorgt für ein angemessenes Risikomanagement und Risikocontrolling“. Diese Norm konkretisiert die nach § 76 Abs. 1 AktG gegebene Führungs- und nach § 91 Abs. 2 AktG verlangte Überwachungsfunktion. Die Verwendung von „angemessen“ lässt auch hier eine konkrete Ausgestaltungsempfehlung offen

3.4 DCKG: In der Zusammenarbeit von Aufsichtsrat und Vorstand, abgeleitet aus § 90 Abs. 1 AktG, wird die regelmäßige und zeitnahe Information des Aufsichtsrates über alle relevanten Aspekte der Planung, Entwicklung und Abweichung des Risikomanagements und der Risikolage gefordert

5.2 DCKG: Die Einbeziehung und Information des Aufsichtsratsvorsitzenden aus § 90 Abs. 1 Satz 3 AktG wird konkretisiert, die Beratung zwischen Vorstand und Aufsichtsrat soll sich auch speziell mit dem Risikomanagement beschäftigen

5.3.2 DCKG: Die Einrichtung eines Prüfungsausschusses, der sich mit Fragen des Risikomanagements beschäftigt, wird gefordert und konkretisiert damit § 107 Abs. 3 AktG

Obwohl in keinem Artikel des DCGK wörtlich die „Einrichtung“ eines RiMa-Systems, eines IKS oder eines Risikocontrolling niedergeschrieben wurde, ergibt sich diese Verpflichtung aus dem Wissen, ohne diese Systeme den vorangenannten Normen nicht Rechnung tragen zu können

3.1.5 TransPuG

das 2002 erlassene „Gesetz zur weiteren Reform des Aktien- und Bilanzrechts, zu Transparenz und Publizität“ (TransPuG) stellt keine direkten neu Regelungen für das Risikomanagement auf. So wird in Gesetzestext wörtlich weder Risiko noch Chance oder Kontrollsystem erwähnt. Jedoch über eine reihe von neu geregelten Berichtspflichten werden Anforderungen an ein RiMa konkretisiert:

- § 90 Abs. 1 Nr. 1 Satz 1 AktG die Berichtspflicht des Vorstands wird erweitert, so sind Abweichungen von früher gesetzten zielen zu berichten und zu begründen. Was die Nutzung von Daten aus den Risikomanagement System nahezu unumgänglich macht. Somit können Plandaten den tatsächlich eingetretenen Entwicklungen gegenüber gestellt und mit Chancen und Risiken begründet werden
- § 161 AktG i.V.m. § 285 Nr. 16 HGB Entsprechenserklärung zu DCGK.[80]
- § 317 Abs. 4 HGB Prüfpflicht des RiMa im Sinne des (i.S.d.) § 91 Abs. 2 AktG durch den Abschlussprüfer wird auf alle Börsennotierten Aktiengesellschaften i.S.d. § 3 Abs. 2 AktG Ausgeweitet.[81]

3.1.6 Das „10-Punkte-Programm“ der Bundesregierung

2003 wurde durch die Bundesregierung das so genannte „10-Punkte-Programm“ beschlossen. Ziel war ein verbesserter Anlegerschutz und die Stärkung des Finanzplatzes Deutschland.[82] In Anbetracht des Themas der Arbeit sind die wichtigsten darin enthaltenen Gesetze das BilReG und UMAG, welche im Folgenden noch ausführlich erläutert werden (vollständiger Text, vlg. Anhang 2)

3.1.7 BilReG und BilKoG

Das „Gesetzt zur Einführung internationaler rechnungslegungsstandarts und zur Sicherung der Qualität der Abschlussprüfung“ (BilReG) dient der umsetzung der EU- Richtlinien 2003/51/EG, 2003/38/EG und 2001/65/EG. Das Gesetz trat im Dezember 2004 in kraft, ziele sind die weitere Internationalisierung deutschen Bilanzrechts sowie eine Stärkung der rolle des Abschlussprüfers. Grundsätzlich läst sich das Gesetz in 4 bereiche unterteilen:[83]

1. erweiterte Anwendung der IAS/IFRS für deutsche unternehmen
2. Erweiterung des Anhangs und des Lageberichts
3. verbesserte Abschlussprüfung durch Sicherung der Unabhängigkeit des Prüfers
4. Anhebung der größenklassen Einteilung von unternehmen in rahmen dieses gesetztes wurden eine ganze reihe neuer Normen im Bezug auf das RiMa eingeführt, welche im einzelnen sind:

- § 289 Abs. 1 HGB die fassung aus den KonTraG wird wessentlich erweitert. Die wessentlichen Chancen und Risiken sind zu beurteilen und zu erläutern sowie deren wessentlichen zugrunde liegenden annahmen anzugeben
- § 289 Abs. 2 Nr. 2a) HGB im Lagebericht soll auf die risikomangementziel und Methoden der geselschaft eingegangen werden. Sowie die Darstellung der Methoden zur Absicherung wichtiger Transaktionen
- § 289 Abs. 2 Nr. 2b) HGB sofern für die lage relevant sollen auch die risiken denen die geselschaft durch Zahlungsstromschwankungen, preisänderungen ausfall und liquidität ausgesetzt ist im Lagebericht dargestellt werden.[84]
- § 315 Abs. 1 und § 315 Abs. 2 Nr. 2 a) und b) HGB diese entsprechen in wortlaut den § 289 Abs. 1 und § 289 Abs. 2 Nr. 2a) und b) HGB mit den unterschied das selbige pflichten in verbindung mit § 271 Abs. 1 HGB auch für den Konzern formuliert werden
- § 317 Abs. 2 Satz 2 HGB bei der prüfung des jahresabschlusses und des konzernabschlusses ist auch die zutreffende darstellung der chancen und risiken zu prüfen
- § 322 Abs. 6 HGB die Beurteilung des Prüfergebnisses durch den AP soll auch beurteilen ob die zukünftigen Chancen und Risiken zutreffend dargestellt sind

An dieser stelle sei der Vollständigkeit halber auch das „Gesetz zur Kontrolle von Unternehmensabschlüssen“ (BilKoG) erwähnt, welches nur 5 Tage nach dem BilReG verabschiedet wurde. Auch dieses verfolgt den Zweck einer Weiterentwicklung des deutschen Bilanzrechts, jedoch ohne Regelungen mit direkter Relevanz für das RiMa einzuführen.[85]

3.1.8 UMAG

den weitgehenden Abschluss des 10 punkte Programms der Bundesregierung bildete das am 22.09.2005 eingeführte „Gesetz zur Unternehmensintegrität und Modernisierung des Anfechtungsrechts“ (UMAG). Im Bezug auf das Risikomanagement ist der Neueingeführte § 93 Abs. 1 Satz 2 AktG die zentrale Norm. Die aussage “...auf Grundlage angemessener Informationen...“ stellt einen direkten Bezug zum RiMa System her. Es obliegt dem vorstand im rahmen seiner Sorgfaltspflicht erstens ein RiMa zu implementieren und zum zweiten die daraus zur Verfügung gestellten Informationen auch zu nutzen und in Entscheidungsprozesse Einfließen zu lassen. Unterlässt ein Geschäftsführer dies verstößt er möglicherweise gegen die ihm obliegende Sorgfaltspflicht (§ 93 Abs. 2 AktG) und kann damit zum Ersatz des entstehenden Schadens verpflichtet werden.[86]

3.1.9 BilMoG

den vorläufigen Abschluss eines, bereits in den 80er Jahren angestoßenen Reform Prozesses des HGB bildet das „Gesetz zur Modernisierung des Bilanzrechts“ (BilMoG). Durch Änderungsanträge des Bundesrates am Gesetzentwurf, welche inhaltlich eher marginale Auswirkungen nach sich ziehen, wurde die endgültige Verabschiedung verzögert, mit in kraft treten des BilMoG ist trotz dessen noch in diesen oder nächsten Jahr zu rechnen. Somit ist es nahe liegend mit blick auf sinnhaftigkeit und aktuallität der arbeit diesen reformschritt zu beachten. Das BilMoG setzt vorrangig die Richtlinien der EU 2001/65/EG, 2003/51/EG, 2006/43/EG und 2001/46/EG um.[87]

- § 254 i.V.m. 285 Satz 1 Nr. 23 HGB-E in Anhang sind Informationen über abgesicherte Geschäfte zu machen sofern diese nicht im Lagebericht gemacht wurden
- § 264d HGB-E einführung einer definition der „kapitalmarktorientierten kapitalgeselschaft” – bedeutend für die Pflicht ein RiMa zu implementieren[88]
- § 267 Abs. 1 und 2 HGB-E Anhebung der Größenklassen Einteilung[89]
- § 267 Abs. 3 Satz 2 HGB-E legt fest das jede Kapitalmarktorientierte Kapitalgesellschaft i.S.d. 264d HGB-E ein „Große“ Gesellschaft darstellt
- § 288 HGB-E Größenabhängige Erleichterungen z.b. keine Entsprechenserklärung zum DCGK
- § 289 Abs. 5 HGB-E Kapitalgesellschaften i.S.d. § 264d müssen in Lagebericht die wesentlichen Merkmale des internen kontroll- und RiMa Systems in Hinblick auf den rechnungslegunsprozess beschreiben
- § 289a HGB-E nach Abs. 1 muss im Lagebericht einer Kapitalgesellschaft i.S.d. § 264d HGB-E eine Erklärung der Unternehmensführung aufgenommen werden Deren Inhalt nach Abs. 2 unter anderen „...relevante angaben zu Unternehmensführungspraktiken...“ enthält was einen bericht zu Risikomanagement System mit einschließen kann[90]
- § 314 Abs. 1 Nr. 2 HGB-E im Konzernanhang sind auch „...Risiken... von nicht in der Konzernbilanz enthaltenen Geschäften...“ anzugeben
- § 315 Abs. 2 Nr. 5 HGB-E im Konzernlagebericht sollen die „...wesentlichen Merkmale des internen kontroll und Risikomanagementsystems...“ dargestellt werden. Dies betrifft lediglich geselschaften i.S.d. § 264d HGB-E[91]
- § 5 Abs. 2a) PuplG-E[92] unternehmen i.S.d. § 264d HGB-E müssen rechtsformunabhängig ihren jahresabschluss um einen anhang ergänzen
- § 107 Abs. 3 Satz 2 AktG-E[93] der Aufsichtsrat erhält die Befugnis einen Prüfausschuss zu bestellen der insbesondere die Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems und der internen Revision überwacht
- § 171 Abs. 1 Satz 2 AktG-E der abschlussprüfer muss über erkannte schwächen des interenn kontrollsystems und des risikomanagement systems den aufsichtsrat berichten[94]
- § 38 Abs. 1 GmbHG-E: in wortlaut nahezu identisch mit § 107 Abs. 3 Satz 2 AktG-E. Dies deutet auf eine in Zukunft stärkere Gewichtung des RiMa in der GmbH hin

[...]


[1] Vgl. Ruthner, R. (2004): Abruf: 05.09.2008

[2] Vgl. Kalwait, R., et al. (2008), S. 24 ff

[3] Vgl. Enz, R. (2008), S. 29

[4] Vgl. Kalwait, R., et al. (2008), S. 27

[5] Vgl. DIIR (2008), Abruf: 16.10.2008

[6] Vgl. Vgl. Zwirner, T. (2003), S. 20 ff

[7] Vgl. Kalwait, R., et al. (2008), S. 353 f

[8] Vgl. Ehrmann, H. (2005), S. 71 f

[9] Vgl. Kalwait, R., et al. (2008), S. 355

[10] Vgl. Marisk (2006), S. 17

[11] Vgl. Zwirner, T. (2003), S. 27

[12] Vgl. Keitsch, D. (2007), S. 202 ff

[13] Vgl. Kalwait, R., et al. (2008), S. 48

[14] Vgl. Brühwiler, B. (2006), Abruf: 20.10.2006

[15] Vgl. Metz, A. (2008), Abruf: 20.10.2008

[16] Vgl. Schmitz, T., Wehrheim, M. (2006), S. 30 ff

[17] Vgl. Götze, U., Henselmann, K., Mikus, B. (2001), S. 15

[18] Vgl. Göss, M., Hortmann, A. (2007), Abruf: 20.10.2008

[19] Vgl. Pinells, J.- R., Pinnells, E. (2007), S. 208

[20] Vgl. Kalwait, R., et al. (2008), S. 279 f

[21] Vgl. Kalwait, R., et al. (2008), S. 240 und 360 f

[22] Vgl. Eckard, J. (2004), Abruf: 22.10.2008

[23] Vgl. Ehrmann, H. (2005), S. 168

[24] Vgl. Risiko-Manager (2006), Abruf: 22.10.2008

[25] Vgl. Ehrmann, H. (2005), 170

[26] Vgl. Ehrmann, H. (2005), S. 172

[27] Vgl. Klein, R., Scholl, A. (2004), S. 138 ff

[28] Vgl. Rating-Aktuell (2005), Abruf: 23.10.2008

[29] Vgl. Kalwait, R., et al. (2008), S. 337

[30] Vgl. Kalwait, R., et al. (2008), S. 347 ff

[31] Vgl. Götze, U., Henselmann, K., Mikus, B. (2001), S. 280

[32] Vgl. Risknet (2008): Abruf: 16.10

[33] Vgl. Kalwait, R., et al. (2008), S. 285 ff

[34] Vgl. Ozog, J. (2002), Abruf: 24.10.2008

[35] Vgl. Kalwait, R., et al. (2008), S. 257

[36] Vgl. Risknet (2008), Abruf: 16.10.2008

[37] Vgl. Kalwait, R., et al. (2008), S. 351 f

[38] Vgl. Gleißner, W., et al. (2005), Abruf: 25.10.2008

[39] Vgl. Ehrmann, H. (2005), S. 161

[40] Vgl. Keitsch, D. (2007), S. 113 f

[41] Vgl. Zwirner, T. (2003), S. 26

[42] Vgl. Ehrmann, H. (2005), S. 162

[43] Vgl. Zwirner, T. (2003), S. 27

[44] Vgl. Schwarze, J. (2008), Abruf 27.10.2008

[45] Vgl. Rauchhaus, R. (2005), Abruf: 27.10.2008

[46] Vgl. DIIR (2008), Abruf 16.10.2008

[47] Vgl. DIIR (2002a), Abruf: 11.09.2008

[48] Vgl. Bundesbank (2004) Abruf: 03.11.2008

[49] Vgl. Keitsch, D. (2007), S. 206

[50] Vgl. DIIR (2008), Abruf: 16.10.2008

[51] Vgl. Rosenberg, B., Schröder, A. (2006), laut Praxisanweisung der KPMG gestaltet sich die Durchführung einer internen Revision im Unternehmen vereinfacht in den Schritten: Prüfungsplanung, Prüfungsdurchführung, Berichterstattung und Qualitätssicherung. die interne Revision ist dabei für die Bereiche Financial Reporting, Compliance und Operations zuständig

[52] Vgl. Keitsch, D. (2007), S. 205

[53] Vgl. DIIR (2002a), Abruf: 11.09.2008

[54] Vgl. Deutsche Rück (2008), Abruf: 26.10.2008

[55] Vgl. Rudolf, P. (2003), S. 13

[56] Vgl. COSO (2008), Abruf: 06.11.2008

[57] Vgl. ISACA (2007), Abruf: 06.11.2008

[58] Vgl. CICA (2008), Abruf: 06.11.2008

[59] Vgl. Bockslaff, K. (2002), Abruf: 08.11.2008

[60] Vgl. Kalwait, R., et al. (2008), S. 184

[61] Vgl. Urbainczyk, J. (2000), Abruf: 08.11.2008

[62] Vgl. Rudolf, P. (2003), S. 30 ff

[63] Vgl. Kurfels, M. (2004), Abruf: 12.11.2008

[64] Vgl. Kurfels, M. (2006), Abruf: 12.11.2008

[65] Vgl. Schmitz, T., Wehrheim, M. (2006), S. 146

[66] Vgl. Ehrmann, H. (2005), S. 128 f

[67] Vgl. Pinnells, J.-R., Pinnells, E. (2007), S. 60 ff

[68] Vgl. Stottrop (2005), Abruf: 12.11.2008

[69] Vgl. Lexakt.de (2008), Abruf: 18.09.2008

[70] Vgl. Wirtschaftslexikon24.net (2008c), Abruf: 18.09.2008

[71] Vgl. Kalwait, R., et al. (2008), S. 142

[72] Vgl. Zwirner, T. (2003), S. 3

[73] Vgl. Drucksache 13/9712 (1998), S. 11f

[74] Vgl. Drucksache 13/9712 (1998), S. 15

[75] Vgl. Backmann, J. (2006), S. 5 f

[76] Vgl. Regierungskomission (2008), S. 1ff

[77] Vgl. Drucksache 16/10067 (2008), S. 104 im Entwurf zum BilMoG: durch die Neuformulierung des § 161 AktG-E kann sich der Geltungsbereich des DCGK theoretisch auch auf, die genannten Kriterien erfüllenden, GmbH’s ausweiten

[78] Vgl. Ihrig, H.-C., Wagner , J. (2002), S. 790f

[79] Vgl. Lassak, P. (2006), S. 79

[80] Vgl. Drucksache 16/10067 (2008), S. 104 im Entwurf zum BilMoG wird die Pflicht des § 161 AktG-E auf alle Gesellschaften, welche Wertpapiere auf einen organisierten Markrt i.S.d. § 2 Abs. 5 WpHG über ein multilaterales handelssystem i.S.d. § 2 Abs. 3 WpHG anbieten, ausgedehnt

[81] Vgl. Bundesgesetzblatt (2002), S. 2681 – 2687

[82] Vgl. Manager-magazin.de (2008), Abruf: 18.09.2008

[83] Vgl. wirtschaftslexikon24.net (2008d), Abruf: 22.09.2008

[84] ausführliche Begründung: Vgl. Drucksache 326/04 (2004), S. 63

[85] Vgl. Bundesgesetzblatt (2004), S. 3408 – 3415

[86] Vgl. Bundesgesetzblatt (2005), S. 2802 – 2808

[87] Eine detaillierte übersicht welche Paragraphen welche Änderungsrichtlinie umsetzt sowie auf welche EWG Richtlinien sich diese beziehen findet sich in Vgl. Drucksache 16/10067 S. 5

[88] Vgl. Drucksache 16/10067 (2008), S. 36, 47, 63, 79, 88, 106

[89] Vgl. Drucksache 16/10067 (2008), S. 63 drei Größenklassen - kleine, mittelgroße und große Kapitalgesellschaft – eingestuft werden. Die Differenzierung in Größenklassen ist von maßgebender Bedeutung für die Inanspruchnahme verschiedener Befreiungen und Erleichterungen bei der Rechnungslegung, hierbei insbesondere für die Prüfungspflicht

[90] Vgl. Drucksache 16/10067 (2008), S. 75-78

[91] Vgl. Drucksache 16/10067 (2008), S. 85f

[92] Vgl. Drucksache 16/10067 (2008), S. 100 Die im Sinn des § 264d HGB kapitalmarktorientiert sind, verpflichtet ihren Jahresabschluss um einen Anhang, eine Kapitalflussrechnung und einen Eigenkapitalspiegel zu ergänzen. Es bleibt den Unternehmen selbst überlassen, ihren Jahresabschluss um einen Segmentbericht zu ergänzen. Der Umfang der Berichtspflichten eines kapitalmarkorientierten Unternehmens kann nicht von seiner Rechtsform abhängen

[93] Vgl. Drucksache 16/10067, S. 102 Nach Maßgabe der Abschlussprüferrichtlinie ist das interne Risikomanagementsystem somit als allgemeines Risikomanagement zu verstehen, das nicht auf die Rechnungslegung beschränkt ist. Damit fällt – wie bisher – auch die Überwachung des nach § 91 Abs. 2 AktG vorgeschriebenen Risikofrüherkennungssystems – als Teil des internen, über die Überwachung der Rechnungslegung hinausgehenden Risikomanagements – in den Aufgabenbereich des Aufsichtsrats. Entbehrlich wird § 91 Abs. 2 AktG gleichwohl nicht. Während § 107 Abs. 3 Satz 2 AktG lediglich die möglichen Aufgaben des Prüfungsausschusses konkretisiert, verpflichtet § 91 Abs. 2 AktG den Vorstand einer börsennotierten Aktiengesellschaft, für eine methodische und fortdauernde Risikofrüherkennung und ihre systematische Überwachung Sorge zu tragen. Eine derartige Verpflichtung zur Einrichtung eines umfassenden internen Risikomanagementsystems enthält § 107 Abs. 3 Satz 2 AktG nicht. Es ist dem Vorstand vorbehalten, über das „Ob“ und „Wie“ eines umfassenden internen Risikomanagementsystems zu Entscheiden

[94] Vgl. Drucksache 16/10067 (2008), S. 105

Details

Seiten
Erscheinungsform
Originalausgabe
Erscheinungsjahr
2009
ISBN (eBook)
9783836640169
DOI
10.3239/9783836640169
Dateigröße
4.5 MB
Sprache
Deutsch
Institution / Hochschule
Friedrich-Schiller-Universität Jena – Wirtschaftswissenschaftliche Fakultät, Betriebswirtschaftslehre
Erscheinungsdatum
2009 (Dezember)
Note
1,3
Schlagworte
risikomanagement industrieunternehmen maschinenbau kapitalkosten risikomessung
Zurück

Titel: Risikomanagement in Industrieunternehmen
Cookie-Einstellungen