Instrumente, Nutzen und Grenzen des Risikocontrollings im Rahmen der Unternehmensleitung

Inhaltsverzeichnis

Abbildungsverzeichnis

Abkürzungsverzeichnis

Symbolverzeichnis

1 Einleitung

2 Grundlagen des Risikocontrollings
2.1 Begriff des Risikos in der Betriebswirtschaftslehre
2.2 Risikopolitische Grundsätze
2.3 Grundverständnis des Risikocontrollings
2.3.1 Begriff und Wesen des Risikocontrollings
2.3.2 Konzeptionelles Verständnis des Risikocontrollings
2.3.3 Risikocontrolling und Risikomanagement
2.3.4 Risikomanagementsystem und Risikocontrolling
2.4 Gesetzliche und regulatorische Rahmenbedingungen
2.4.1 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
2.4.1.1 Einführung eines Risikomanagementsystems
2.4.1.2 Risikoorientierter Lagebericht
2.4.1.3 Ausweitung der Abschlussprüfung
2.4.2 Deutscher Corporate Governance Kodex
2.4.3 Sarbanes-Oxley Act

3 Analyse ausgewählter Instrumente des Risikocontrollings
3.1 Phasenspezifische Instrumente des Risikocontrollings
3.1.1 Instrumente der Risikoidentifikation
3.1.1.1 Brainstorming
3.1.1.2 Risikochecklisten
3.1.1.3 Frühaufklärungssysteme
3.1.2 Instrumente der Risikoanalyse und Risikobewertung
3.1.2.1 Value-at-Risk
3.1.2.2 Cash Flow-at-Risk
3.1.2.3 Sensitivitäts- und Szenarioanalyse
3.1.2.4 Scoring Modelle
3.1.3 Instrumente der Risikokontrolle und Risikodokumentation
3.1.3.1 Risikoberichtswesen
3.1.3.2 Risikoabweichungsanalyse
3.1.4 Nutzen und Grenzen des Risikocontrollings
3.2 Phasenübergreifende Instrumente des Risikocontrollings
3.2.1 Risikoorientierte Budgetierung
3.2.2 Risikoorientiertes Kennzahlensystem
3.2.3 Nutzen und Grenzen des Risikocontrollings

4 Fallbeispiel
4.1 Risikocontrolling in operativen Geschäften
4.2 Einsatz des Cash Flow-at-Risk

Fazit

Literaturverzeichnis

Anhang

Abbildungsverzeichnis

Abbildung 1: Abgrenzung von Risikomanagement und Risikocontrolling

Abbildung 2: Implementierung des Risikocontrollings in den Risikomanagementprozess

Abbildung 3: Risikoidentifikation: Allgemeines Risikoprofil

Abbildung 4: Instrumente der Risikoidentifikation

Abbildung 5: Typologisierung von Frühaufklärungssystemen

Abbildung 6: Instrumente der Risikobewertung und –analyse

Abbildung 7: Value-at-Risk einer normalverteilten Zufallsvariable

Abbildung 8: Reward and Risk-Kennzahlensystem

Abbildung 9: Excel Tool zur Simulation des Cash Flows

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Symbolverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1 Einleitung

In den vergangenen Jahren haben verschiedene Entwicklungen die globale Wirtschaft maßgeblich beeinflusst. Durch die Internationalisierung der Kapitalmärkte, die Ausrichtung auf den Shareholder Value, die Zunahme des dynamischen Wettbewerbs sowie die zahlreichen finanziellen Krisen – wie zuletzt in den Jahren 2008 und 2009 – mussten sich Unternehmen immer größer werdenden Herausforderungen stellen.^[1] So führten diese Entwicklungen zu einer zunehmenden Komplexität der Unternehmensstrukturen und damit auch der Risikoumwelt und Entscheidungen der Unternehmen.^[2]

Angesichts der Tatsache, dass Risiken untrennbar mit jeglichen unternehmerischen Handlungen verbunden sind, stellt sich für jedes Unternehmen das Erfordernis, den Risikoaspekt zu fokussieren und explizit in die Planungs- und Kontrollprozesse zu implementieren. Durch die o. g. diskontinuierlichen Entwicklungen und den ständig verändernden Risiken, sind besonders Nicht-Finanzunternehmen gezwungen, sich immer wieder flexibel anzupassen um die nachhaltige Sicherung ihrer Existenz zu gewährleisten. Die Notwendigkeit der Flexibilität besteht zum einen darin, dass im Vorfeld die Grundstruktur des Unternehmens auf eine grundsätzliche Risikobewältigung auszurichten ist. Zum anderen müssen die Prozessabläufe auf ad hoc eintretende Risikosituationen eingestellt sein.^[3]

Dem Risikocontrolling, als eine Querschnittsfunktion zwischen dem Controlling und dem Risikomanagement, kommt dabei zweifellos eine wichtige Rolle im Hinblick auf die unterstützende unternehmerische Handhabung von Risiken und Chancen zu. In der betriebswirtschaftlichen Literatur und in der Praxis herrscht allerdings eine Uneinheitlichkeit bezüglich der Umsetzung der oben angeführten Erfordernisse mit einer „richtigen“ Risikocontrolling-Konzeption. Häufig ist unklar, was unter dem Begriff Risikocontrolling – basierend auf allgemeine Controlling-Konzeptionen – verstanden wird. Weiterhin herrscht Uneinigkeit darüber, welche Funktionen das Risikocontrolling im Rahmen der Unternehmensleitung konkret wahrzunehmen hat.

Ausgehend von den geschilderten Problemen zielt die vorliegende Arbeit darauf, eine nutzenstiftende Risikocontrolling-Konzeption zu konkretisieren. Dabei beruht diese Arbeit auf dem führungsgestaltenden Koordinationsansatz nach den akademischen Vorreitern Horváth und Küpper. Das Risikocontrolling wird als eine koordinierende Unterstützungsfunktion im Rahmen der Unternehmensleitung verstanden, das zur Erfassung der Risikointerdependenzen sowohl unternehmsintern als auch unternehmensübergreifend eingesetzt werden kann. Für diese Koordinationsaufgabe greift das Risikocontrolling auf zahlreiche Instrumente zurück, die sich danach unterscheiden lassen, ob sie schwerpunktmäßig einer spezifischen Phase des Risikomanagementprozesses zugeordnet werden können oder eher phasenübergreifend anzuwenden sind.^[4]

In Kapitel 2 werden zunächst die Grundlagen für die zu beschreibende Risikocontrolling-Konzeption erläutert. Aufgrund der Begriffsvielfalt in der einschlägigen Literatur wird zunächst das Verständnis zentraler Begriffe geklärt um eine einheitliche Basis für die darauf aufbauenden Ausführungen herzustellen. Ferner werden kurz gesetzliche und regulatorische Rahmenbedingungen vorgestellt, die besonders für die Ausgestaltung eines Risikomanagementsystems notwendig sind.

In Kapitel 3 wird auf Basis der koordinationsorientierten Konzeption das Risikocontrolling zur Unterstützung der Unternehmensleitung in zwei verschiedenen Gestaltungsmöglichkeiten dargestellt. Zum einen werden spezifische Teilphasen des Risikomanagementprozesses ausführlich im Hinblick auf die Risikocontrolling bezogene instrumentale und funktionale Ausgestaltung analysiert. Diesbezüglich werden Nutzen und Grenzen des Risikocontrollings im Rahmen der Unternehmensleitung veranschaulicht. Zum anderen wird auf Basis des phasenübergreifenden Modells das Risikocontrolling instrumentell als ein eigenständiges funktionales Subsystem im Rahmen der Unternehmensleitung betrachtet. Darauf beruhend werden ausgearbeitete Nutzen und Grenzen des Risikocontrollings fokussiert.

In Kapitel 4 wird anhand eines Fallbeispiels, welches auf einer Teilphase des phasenspezifischen Modells basiert, der Nutzen des Risikocontrollings bei risikobehafteten Geschäften verdeutlicht.

Zum Abschluss dieser Arbeit werden die gewonnenen Erkenntnisse im Fazit zusammengefasst.

2 Grundlagen des Risikocontrollings

2.1 Begriff des Risikos in der Betriebswirtschaftslehre

Eine einheitliche Sichtweise des Risikobegriffs ist weder in der betriebswirtschaftlichen Literatur, noch in der Praxis zu finden. Vielmehr existieren verschiedene Differenzierungsmöglichkeiten innerhalb des Risikobegriffs.^[5] Um ein begriffliches Fundament für eine risikoorientierte Konzeption zu schaffen, ist es zwingend erforderlich, eine eindeutige Definition des Risikobegriffs zu Grunde zu legen.^[6]

Des Öfteren wird in der einschlägigen Literatur zwischen wirkungs- und ursachenbezogenen Risikoansätzen unterschieden. Die wirkungsbezogenen Definitionen charakterisieren das Risiko zum einen als die Gefahr von Fehlentscheidungen und zum anderen als das Misslingen von Plänen, das zu negativen Abweichungen festgelegter Zielgrößen führt.^[7] Im Mittelpunkt steht hierbei nicht die durch unternehmerisches Handeln herbeigeführte Fehlentscheidung, sondern der aus der Zielabweichung resultierende ökonomische Verlust. Neben diesen negativen Zielabweichungen treten auch positiv zu bewertende ökonomische Ergebnisse auf. In diesem Kontext wird der Risikobegriff zwischen der reinen und dem spekulativen Risiko unterschieden. Der reine Risikobegriff begrenzt sich nur auf den potenziellen Verlust bzw. Schaden. Der spekulative Risikobegriff berücksichtigt, abgesehen von der Verlustgefahr^[8], auch etwaige zusätzliche Gewinnchancen.^[9]

Hingegen basieren ursachenbezogene Risikodefinitionen auf signifikanten Informationszuständen eines Entscheidungsträgers.^[10] Ursachenbezogene Risikodefinitionen können drei Dimensionen zugeordnet werden, dem entscheidungstheoretischen, informationsorientierten und dem zielorientierten Ansatz.^[11] Im Rahmen dieser Arbeit wird der entscheidungstheoretische Ansatz betrachtet. Dieser Ansatz gibt einen hilfreichen Aufschluss über die Ursachen für die Existenz von Risiko und damit eine mögliche Sicherung von Fehlentscheidung. Im Fokus stehen hierbei die unterschiedlichen Handlungsmöglichkeiten die dem Entscheidungsträger zur Erreichung seiner Ziele zur Verfügung stehen. Aufgrund der Informationsdefizite und den beeinflussenden Umweltbedingungen ergeben sich unsichere Ergebnisse für den Entscheidungsträger. Die Sicherheitssituation, die ein ausdrückliches Eintreten eines Umweltzustands mit hinreichenden Konsequenzen unterschiedlicher Handlungen aufweist, ist in der Tat kaum vorstellbar. Für den Eintritt der Umweltzustände sind im Rahmen der Entscheidungstheorie objektive sowie subjektive Wahrscheinlichkeiten bekannt. Somit können Informationsdefizite unter dem Einfluss dieser Wahrscheinlichkeiten ausgeglichen werden. Dies stellt eine Risikosituation dar. Liegen demgegenüber objektive bzw. subjektive Wahrscheinlichkeiten nicht vor, handelt es sich im entscheidungstheoretischen Sinn um eine Unsicherheitssituation.^[12] Aufgrund dieser fehlenden Wahrscheinlichkeiten können Informationsdefizite nicht ausgeglichen werden.^[13] Demgemäß sind bei Unsicherheitssituationen Aussagen über das Eintreten jedweder Entwicklungen der Umweltzustände nicht realisierbar. Dies kann durch die Unvollständigkeit der einbezogenen Zustände von Unternehmen und Umwelt, durch deren allenfalls subjektiv schätzbare Eintrittswahrscheinlichkeiten und durch stochastische Ergebnisverteilungen als Folge von Unternehmensaktivitäten gekennzeichnet sein.^[14] In Betracht dieser drei charakteristischen Informationsstände besitzt die Risikosituation die weitaus größte praktische Relevanz in der Entscheidungstheorie. Die drei Informationsstände (Risiko, Sicherheit, Unsicherheit) sind zu unterscheiden und getrennt zu behandeln.^[15]

Resultierend aus den o. g. Ausführungen, zur Erfassung sämtlicher Komponenten soll für die weitere Ausgestaltung die folgende Definition zugrunde gelegt werden. Risiko ist demnach die Gefahr, dass Ereignisse oder Entscheidungen und Handlungen das Unternehmen daran hindern (ursachenbezogene Komponente), definierte Ziele bzw. Strategien erfolgreich zu realisieren (wirkungsbezogene Komponente).^[16]

2.2 Risikopolitische Grundsätze

Ausgehend von der zu Grunde liegenden Definition des Risikobegriffs und seiner inhaltlichen Abgrenzung wird die Art und Weise der Handhabung von Risiken durch risikopolitische Grundsätze beschrieben. Die grundlegende Formulierung von risikopolitischen Grundsätzen erfolgt durch dokumentierte Unternehmensleitlinien in Abhängigkeit von Risikopräferenzen.^[17] Die Leitlinien zu risikopolitischen Grundsätzen stellen umfassende Zielvorgaben der Unternehmensleitung zur Behandlung unternehmerischer Risiken dar und sind demnach auf das Sicherheitsziel ausgerichtete Verhaltensregeln und Handlungsanweisungen.^[18] Das Ziel der risikopolitischen Grundsätze liegt in erster Linie in der Stärkung und Etablierung des Risikobewusstseins und soll damit sowohl die Führungskräfte als auch die Mitarbeiter in einem Unternehmen zu risikoorientierten Handeln auffordern.^[19] Die Notwendigkeit der Gestaltung zum Umgang mit Risiken im Unternehmen besteht in einer einheitlichen Grundlage. Dies wird durch die Entwicklung einer Risikokultur widergespiegelt, die auf alle Organisationsmitglieder zu übertragen gilt, um schließlich ein umfassendes erhöhtes Risikobewusstsein auf allen Ebenen des Unternehmens zu schaffen.^[20] Dabei spielen risikopolitische Grundsätze als Informations- und Koordinationsinstrument eine wichtige Rolle für die Entwicklung einer adäquaten Risikokultur. Risikopolitische Grundsätze führen die Vorgaben für den Umgang mit den Risiken als Teil der Führungsgrundsätze des Unternehmens bei. Gerade für den Aufbau einer Risikokultur und zur Vermittlung der risikobezogenen Einstellungen im Rahmen der Unternehmensleitung sind risikopolitische Grundsätze zu gewährleisten.^[21]

Abhängig von der individuellen Risikopräferenz der Unternehmensleitung werden den Mitarbeitern Handlungsspielräume eingeräumt, um das Gesamtrisikopotenzial nicht zu überschreiten. Hierbei ist zu berücksichtigen, dass die risikopolitischen Grundsätze derart auszugestalten sind, dass sie nicht zu einer Risikoangst führen und/oder innovationshemmend wirken.^[22] Das bedeutet, dass allen Mitarbeitern in einer Entscheidungssituation bewusst wird, welche Risiken und in welchem Ausmaß sie Risiken eingehen, um sich somit an die wesentliche Zielsetzung zu orientieren.^[23]

Folgende risikopolitische Grundsätze kommen in Betracht:^[24]

- Unternehmerisches Handeln mit dem Ziel des wirtschaftlichen Erfolges ist mit Risiken verbunden.
- Weder Entscheidungen noch Handlungen dürfen existenzgefährdende Risiken nach sich ziehen.
- Existenzgefährdende Risiken sind unverzüglich der Unternehmensleitung zu melden.
- Die Saldierung von Risiken mit Chancen ist grundsätzlich verboten.
- Risikopotenziale werden offen gesucht mit der Eigenschaft des „Entdeckungspotenzials“ für Chancen.
- Je höher das Ertragsrisiko, umso höher hat die Renditeanforderung zu sein.
- Für die Steuerung der Risiken ist ein angebrachtes Risikomanagement-Instrumentarium durch das Risikocontrolling zu entwickeln.
- Risiken sind dauerhaft durch das Risikocontrolling-System zu beobachten.

Bei den risikopolitischen Grundsätzen handelt es sich nicht um bis ins Detail festgeschriebene Leitsätze, sondern eher um allgemein gehaltene Konzepte. Zukünftiges Handeln wird erst dann transparent und objektiv bewertbar, wenn die risikopolitischen Grundsätze in Form von Risikozielen tatsächlich dokumentiert werden.^[25] Die Festlegung dieser Grundsätze ermöglicht zudem die Ableitung risikopolitischer Einzelziele. Somit können die risikopolitischen Grundsätze neben der Risikodefinition als Grundlage und Ausganspunkt für die konkrete Ausgestaltung eines Risikomanagement-Systems betrachtet werden.^[26]

2.3 Grundverständnis des Risikocontrollings

2.3.1 Begriff und Wesen des Risikocontrollings

Das Risikocontrolling ist begrifflich sowie inhaltlich an der Schnittstelle von Controlling und Risikomanagement festzulegen.^[27] Der Zusammenhang zwischen Controlling und Risikomanagement wurde bereits früh erkannt.^[28] Eine umfassende Auseinandersetzung mit dem Risikocontrolling erfolgte dagegen in jüngerer Zeit, insbesondere vor dem Hintergrund von Gesetzes- und Corporate Governance-Initiativen. Dies ist auf eine zunehmende Beachtung der Thematik bzgl. des Risikos innerhalb der Theorie und Praxis zurückzuführen, welches in Folge von spektakulären Unternehmenskrisen und dazu bezogener Gesetze begründet liegt.^[29] Zudem ist die Abgrenzung der Thematik zu Risikocontrolling aufgrund der unterschiedlichen Auffassungen über den Gegenstand von Risikomanagement und Controlling unüberschaubar. Insbesondere ist die Abgrenzung von Risikocontrolling und Risikomanagement in der Literatur nicht einschlägig.^[30] Daher wird im weiteren Verlauf dieser Arbeit auf eine mögliche Abgrenzung eingegangen.

Der erstmalige Einsatz des Begriffes Risikocontrolling wurde im Zusammenhang mit Handelsabteilungen deutscher Kreditinstitute verwendet. Dabei wird das Risikocontrolling gemäß der Verlautbarung über Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstitute des BAKred^[31] a. d. J. 1998 als System zur Messung und Überwachung der Risikopositionen und zur Analyse des mit ihnen verbundenen Verlustpotenzials aufgefasst. Der Begriff Risikocontrolling wird aufgrund der zunehmenden Beschäftigung mit dem Risikomanagement in der betriebswirtschaftlichen Literatur und in Nicht-Finanzunternehmen verwendet.^[32] Zudem ist festzuhalten, dass der Begriff Risikocontrolling nicht mit dem Begriff Risk Control aus dem angloamerikanschen Sprachraum zu verwechseln ist. Bei dem Risk Control wird explizit die Risikosteuerung verstanden.^[33] Im Rahmen dieser Arbeit ist die Risikosteuerung allerdings Bestandteil des Risikomanagements.

Des Weiteren ist die Bedeutung des Risikocontrollings in verschiedenen Branchen unterschiedlich ausgeprägt. Dieser Unterschied ergibt sich besonders daraus, dass in Finanzunternehmen die finanziellen Risiken unmittelbar ersichtlich sind, während in Nicht-Finanzunternehmen die finanziellen Risiken indirekt aus realwirtschaftlichen Vorgängen entstehen. Den Finanzdienstleistungsunternehmen ist das Management von Risiken als Bestandteil der unternehmerischen Leistungserstellung entgegenzusetzen, d. h. die Chancen, die mit den jeweiligen Risiken korrespondieren (Risiko im weiteren Sinne), stellen eine Grundlage der unternehmerischen Tätigkeiten dar.^[34] In Industrie-, Handels-, und Dienstleistungsunternehmen andererseits stellen Risiken eher Beeinträchtigung unternehmerischer Tätigkeiten dar. Hierbei wird der Risikobegriff im Sinne eines Verlustrisikos vorrangig gesehen (Risiko im engeren Sinne). Die rechtlichen Anforderungen an das Risikomanagement und das Risikocontrolling sind hiernach eher allgemein gehalten und werden weitgehend der einzelnen Unternehmensleitung überlassen. Dagegen sind die rechtlichen Regelungen bei den Finanzdienstleistungsunternehmen, die die unternehmerische Tätigkeit stark regulieren, einer hohen Bedeutung des Risikomanagements und dem Risikocontrolling untersetzt. Diese unterschiedlichen Bedeutungen des Risikocontrollings haben verschiedene Entwicklungsstadien der Systeme des Risikocontrollings zur Folge.^[35] Damit stellt das Risikocontrolling für den Dienstleistungs- und Industriebereich, welches im Rahmen dieser Arbeit betrachtet wird, eine relativ junge Disziplin im Vergleich zum Banken- und Versicherungssektor dar.^[36]

2.3.2 Konzeptionelles Verständnis des Risikocontrollings

Die in der betriebswirtschaftlichen Literatur vertretenen Auffassungen hinsichtlich des Risikocontrollings sind von den Controlling-Konzeptionen abzuleiten. Da in Theorie und Praxis eine Reihe von Controlling-Konzeptionen existieren, ergibt sich eine Bandbreite potenzieller Gegenstände eines Risikocontrollings. Die Ursache für die Vielzahl von Auffassungen liegt dabei in der permanenten Diskussion über die richtige Konzeption, die letztlich zu einer schwer überschaubaren Anzahl von Ordnungsversuchen geführt hat.^[37] In der vorliegenden Arbeit erfolgt eine Fokussierung entsprechend der koordinationsorientierten Konzeption, in Anlehnung an die akademischen Vorreiter Horváth und Küpper.^[38]

Hiernach ist der Koordinationsbedarf innerhalb der Unternehmensleitung in einem dynamischen Umfeld zu betrachten. Aus Effizienz- und Kapazitätsgründen ist es erforderlich, die gesamten unternehmerischen Entscheidungsfelder in Teilbereiche eines differenzierten Führungssystems zu zerlegen. Dies ist auf bestehende Sach- und Verhaltensinterdependenzen zurückzuführen. Die Sicherstellung des Koordinationsbedarfes im differenzierten Führungsgesamtsystem ist die signifikante Aufgabe des Controllings. Diese werden durch systembildende und systemkoppelnde Koordinationsaktivitäten innerhalb und zwischen den Führungsteilsystemen (Planungs-, Kontroll-, Informations-, Organisations-, Personalführungssystems) ausgeführt.^[39]

In diesem Zusammenhang ist der Gegenstand des Risikocontrollings die Koordination von Risikokomponenten im Rahmen der Unternehmensleitung.^[40] Demzufolge ist der Ansatzpunkt für ein spezielles Risikocontrolling in der Existenz von Risikointerdependenzen zu betrachten.^[41] Diese stellen eine gewisse Art von Sachinterdependenzen – unter Berücksichtigung des Risikoaspekts – dar und liegen vor, wenn stochastische Abhängigkeiten zwischen den Zielerreichungen von einzelnen Unternehmensbereichen bestehen.^[42] Damit ergibt sich die spezifische Problemstellung des Risikocontrollings aus bestehenden risikoorientierten Abhängigkeiten innerhalb sowie zwischen den individuellen Führungsteilsystemen. Als Gegenstand des Risikocontrollings bezieht sich die risikoorientierte Koordination in erster Linie auf die Aufdeckung und die zielgerichtete Abstimmung der stochastischen Abhängigkeiten unter dem Einsatz von geeigneten Instrumenten.^[43] Aus systemorientierter Sicht sind die Risikokomponenten im Hinblick auf die Gesamtheit des Führungssystems und der einzelnen Unternehmensteilsysteme zu untersuchen. Diese sind in Richtung einer ausdrücklichen Berücksichtigung des Risikos um- bzw. auszugestalten und aufeinander abzustimmen.^[44] Hierzu kann zwischen systembildende und systemkoppelnde risikoorientierte Koordination unterschieden werden.^[45] Ersteres impliziert die Gestaltung von Prozess- und Aufbaustrukturen funktionaler oder institutioneller Führungsteilsysteme, die zu einer zielorientierten Abstimmung von Aufgaben beitragen. Um diesen Anforderungen gerecht zu werden, besteht die Aufgabe des Risikocontrollings, in der Entwicklung von Instrumenten und Methoden, die dem Risikomanagement bereitgestellt werden.^[46] In Anlehnung an Horváth sind bei der systembildenden Koordination selbst einfache Systeme häufig nicht vollständig und eindeutig beschreibbar. Treten unvorhergesehene interne oder externe Ereignisse ein, so lässt sich eine vollständige Abstimmung durch die systembildende Koordination nicht erreichen.^[47] Hierfür sorgt die systemkoppelnde Koordination im Rahmen einer festgelegten Systemstruktur für die permanente Abstimmung in und zwischen den einzelnen Teilsystemen.^[48] Da Risikointerdependenzen sowohl innerhalb und zwischen der einzelnen Führungsteilsysteme als auch zwischen den Führungsteilsystemen bestehen können, kann in führungsteilsysteminterne und führungsteilübergreifende risikoorientierte Koordination unterschieden werden.^[49]

Darüber hinaus können im Rahmen der systemkoppelnden Koordination konkrete Koordinationsprobleme in einer festgelegten Systemstruktur gelöst werden. In diesem Sinne wird von einem speziellen Risikocontrolling gesprochen, „[…] da dieses zur Bewältigung konkreter Risikosituationen beiträgt, indem es Koordinationsaufgaben innerhalb des Risikomanagementprozesses übernimmt.“^[50] Hierzu ist zunächst auf das Risikomanagement und Risikocontrolling einzugehen um in einem nächsten Schritt die Verbindung zwischen Risikomanagementprozess und Risikocontrolling zu erarbeiten.

2.3.3 Risikocontrolling und Risikomanagement

Die Begrifflichkeiten des Risikocontrollings und des Risikomanagements werden in der Literatur und in der Praxis nicht einheitlich definiert.^[51] Die Definitionen werden z. T. als Synonyme verwendet oder unterschiedlich voneinander abgegrenzt.^[52] Das Risikomanagement wird zum einen als Teilbereich des Controllings aufgefasst,^[53] zum anderen wird das Risikocontrolling als Bestandteil des Risikomanagements behandelt.^[54] Einige Autoren stehen mit der inhaltlichen und begrifflichen Abgrenzung zwischen Risikocontrolling und Risikomanagement im Einklang.^[55] Ebenso wird im Rahmen dieser Arbeit auf eine mögliche Abgrenzung zwischen Risikocontrolling und Risikomanagement eingegangen.

Wie bereits in Kapitel 2.3.2 dargelegt wurde, ist der Gegenstand des Risikocontrollings in der risikoorientierten Koordination im Rahmen der Unternehmensleitung zu betrachten. Das Management wird vorausschauend bei Analysen, Planungen und Kontrollen durch die frühzeitige Erkennung von Risiken unterstützt.^[56] Zudem ist das Risikocontrolling ein integraler Bestandteil des Controllings, das einen wichtigen Beitrag zur Sicherstellung der Risikomanagement-Funktionen leistet bzw. einen elementaren Funktionsbaustein für ein aktives Risikomanagement darstellt.^[57]

Das Risikomanagement beabsichtigt zukünftige Entwicklungen frühzeitig zu erkennen, zu beurteilen bzw. zu steuern und diese kontinuierlich zu überwachen. Durch diese Zielsetzung soll die langwierige Anpassung des Unternehmens an stetig verändernden Umfeldbedingungen und die Existenzsicherung des Unternehmens gewährleistet werden.^[58] Um die langfristige Sicherung sowie den Aufbau neuer Erfolgspotenziale zu ermöglichen, muss die Unternehmensleitung Handlungsspielräume eröffnen. Während die Unternehmensleitung die Optimierung der primären Unternehmensziele verfolgt, beschäftigt sich das Risikomanagement mit existenzbedrohenden Abweichungen von den angestrebten Zielen. Das Risikomanagement stellt damit eine notwendige Unterstützung der Unternehmensaufgabe unter dem bewussten Aspekt des Risikos.^[59] Das Risikocontrolling unterstützt dabei die Unternehmensleitung in vielen Bereichen des Risikomanagements, die im weiteren Verlauf konkretisiert werden. Die Unterstützung des Risikocontrollings erfolgt durch instrumentelle, informatorische sowie durch die methodische Unterstützung um damit ein entsprechendes Risikobewusstsein zu schaffen.^[60]

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Abgrenzung von Risikomanagement und Risikocontrolling (Quelle: In Anlehnung an Hornung/Reichmann/Form (2000): 158; Diederichs (2010): 27; Oetzel (2007): 74).

Abbildung 1 veranschaulicht das Verhältnis von Risikomanagement und Risikocontrolling. Demnach bestehen Interdependenzen zwischen den Prozessen und den Instrumenten.^[61] Das Risikomanagement ist als laufender Prozess zur Steuerung der Risikopositionen des Unternehmens zu verstehen, der in verschiedenen Bereichen eingesetzt wird.^[62] Hingegen unterstützt das Risikocontrolling prozessbegleitend bei der methodischen Umsetzung, indem es ein leistungsfähiges Instrumentarium als auch die notwendigen Informationen im Rahmen des Risikomanagementprozesses zur Verfügung stellt.^[63] Dabei dient die informationelle Koordination i.S. der koordinationsorientierten Konzeption zur Verminderung der Unsicherheit durch die Verbesserung der Informationslage sowie zur zielorientierten Gestaltung des Risikos. Grundlegend hierfür ist die Kenntnis über die Risikoursache, der stochastischen Abhängigkeit und der Risikowirkung. Die Informationen sind erforderlich, um eine risikoorientierte Identifikation, Analyse und Bewertung sowie Überwachung mit Hilfe von Instrumenten und Methoden durchzuführen.^[64]

Generell ist das Risikomanagement für die Entwicklung einer Unternehmensphilosophie bzw. -politik verantwortlich. Allerdings ist eine entsprechende Unterstützung durch das Risikocontrolling maßgeblich. Das Risikocontrolling schafft betriebswirtschaftliche Strukturen, technische Infrastrukturen sowie fachliche und methodische Voraussetzungen und schließlich geeignete Instrumentarien, die den Umgang mit Risiken erst ermöglichen.^[65]

Zusammengefasst ist das Risikocontrolling ein Bestandteil des Risikomanagements, wobei beide in einem wechselseitigen Verhältnis stehen. Zudem sind beide ein Subsystem der Unternehmensleitung. Eine Abgrenzung zwischen Risikocontrolling und Risikomanagement ist explizit im funktionalen Sinne möglich. Daher ist im nächsten Kapitel die Verbindung zwischen Risikocontrolling und Risikomanagementprozess zu konkretisieren.

2.3.4 Risikomanagementsystem und Risikocontrolling

Durch das Risikomanagementsystem können sämtliche Aktivitäten zum systematischen Umgang mit möglichen Risiken im Unternehmen erkenntlich gemacht werden.^[66] Für eine sachgerechte Analyse der Risiken ist das Risikocontrolling als Element eines aktiven Risikomanagementsystems eine notwendige Voraussetzung.^[67]

Grundsätzlich handelt es sich bei dem Risikomanagementprozess^[68] um den eigentlichen Kern des Risikomanagements. Dieser umfasst die fortlaufende und systematische Identifikation, Beurteilung, Steuerung und Überwachung der Risiken in einem bestimmten Ablauf bzw. in verschiedenen Phasen.^[69] Dabei ist zu beachten, dass der Risikomanagementprozess nicht als eine einmalige, stichtagsbezogene Durchführung von Maßnahmen verstanden werden darf. Vielmehr sind die Einzelschritte des Risikomanagements in einem kontinuierlichen Ablauf einzubinden sind. Durch diesen Ablauf können sich verändernde unternehmerische Rahmenbedingungen dauerhaft angepasst werden.^[70] Dabei ist das Risikocontrolling gestaltend und koordinierend in oder zwischen den einzelnen Prozessphasen funktional zu implementieren. In der folgenden Abbildung 2 wird das Risikocontrolling i. V. m. dem Risikomanagementprozess dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Implementierung des Risikocontrollings in den Risikomanagementprozess (Quelle: In Anlehnung an Burger/Buchhart (2002): 58).

In der obigen Abbildung wird im Rahmen des Risikomanagementprozesses gezeigt, an welchen Stellen das Risikocontrolling anzusetzen ist und an welcher Stelle es keiner Zuordnung erfordert. Zudem ist vom Risikocontrolling sicherzustellen, so dass jeder Funktionsbereich für sich harmonisch verläuft. Die unterschiedlichen Prozesse müssen koordinierend aufeinander angeglichen werden. Diesbezüglich erweist sich die Koordinationsfunktion in einem sachlichen und zeitlichen Ausmaß.^[71] Die sachliche Komponente beachtet den Umfang und die Art der Abhängigkeiten und führt die einzelnen Risiken zentral zusammen. Letzeres impliziert die zeitliche Koordination aller Prozessphasen, um ein kontinuierliches und konsistentes Risikomanagementsystem zu erhalten.^[72]

Während das Risikocontrolling für den Risikomanagementprozesses verantwortlich ist, sind hier nicht nur die einzelnen Phasen durch das Risikocontrolling zu koordinieren, sondern es sind auch unabhängige Handlungen innerhalb oder auch zwischen verschiedenen Prozessphasen wahrzunehmen. Insbesondere sind die Phasen der Risikoidentifikation, Risikoanalyse und -bewertung sowie Risikokontrolle und -überwachung zu realisieren. Die Phase der Risikosteuerung wird in der hier vertretenen Auffassung durch das Risikocontrolling nicht betrachtet, da die aktive Steuerung von Risiken als eine grundlegende Aufgabe der Unternehmensleitung zu betrachten ist.^[73] Beispielsweise werden im Rahmen der Risikosteuerung, Entscheidungen über das Eingehen von Risiken bzw. deren Vermeidung durch risikopolitische Maßnahmen eingeleitet. Diese sind originär durch Managemententscheidungen oder durch das Risikomanagement als festgelegter Verantwortungsträger zu entscheiden.^[74]

Unter Berücksichtigung der koordinationsorientierten Risikocontrolling-Konzeption kann der Risikomanagementprozess nach Pedell als ein Ausschnitt des Führungsteilsystems betrachtet werden. Dies bedeutet, bei dem Einsatz der Instrumente im Rahmen einer risikoorientierten Koordination ist eine Differenzierung zwischen phasenspezifischen und phasenübergreifenden Instrumenten möglich.^[75] Diese Abgrenzung leitet sich aus der spezifischen Koordinationsaufgabe und der speziellen Funktion des Risikocontrollings ab.^[76] Aufbauend aus dieser Unterscheidung wird im späteren Verlauf das Risikocontrolling eingesetzt um die Risikoposition des gesamten Unternehmens sicherzustellen.

Neben dem hier erwähnten betriebswirtschaftlichen Verständnis von Risikomanagementsystem und mit dem einhergehenden Risikocontrolling sind zunächst einige Gesetzesinitiativen vorzustellen. Bei den folgenden Gesetzesinitiativen handelt es sich um Mindestanforderungen, die für den Aufbau eines Risikomanagementsystems zu beachten sind.^[77]

2.4 Gesetzliche und regulatorische Rahmenbedingungen

2.4.1 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Um die langfristige Existenzsicherung der Unternehmen gewährleisten zu können, ist ein konsequenter Umgang mit Risiken notwendig. Dies hat sich insbesondere mit der Verabschiedung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das zum 1. Mai 1998 in Kraft getreten ist, unter Beweis gestellt.^[78] Der Gesetzgeber hat auf die spektakulären Unternehmenskrisen und -insolvenzen bedeutender deutscher Publikumsgesellschaften in den neunziger Jahren reagiert.^[79] Die Anlässe für die Unternehmenskrisen liegen nach h. M. in den Defiziten der Kontroll- und Überwachungssysteme innerhalb der Unternehmen.^[80] Ein fehlendes Risikobewusstsein von Entscheidungsträgern und nicht ausreichende Unternehmenskontrollen (Kontroll- und Informationsmechanismen) waren dafür ausschlaggebend, dass Risiken nicht frühzeitig zu deren Abwendung festgestellt wurden.^[81] Aus diesem Grund wurde der Gesetzgeber veranlasst, das Aktienrecht, das Handelsrecht und das Recht der gesetzlichen Abschlussprüfung zu modernisieren.^[82] Als Leitlinien der Gesetzesänderungen standen u. a. die Zielsetzungen Erhöhung der Transparenz und stärkere Ausrichtung an den Interessen der Anteilseigner, Gläubiger und Gesellschafter im Mittelpunkt. Eine verbesserte Unternehmenstransparenz soll eine zunehmende Ausrichtung deutscher Unternehmen auf internationalen Kapitalmärkten veranlassen.^[83] Das Hauptziel der Reform des Aktien- und Handelsrechts war die gezielte Verbesserung des Führungs- und Überwachungssystems von Publikumsgesellschaften. Dementsprechend wurden folgende Ziele mit der Einführung des KonTraG angestrebt:

- Verbesserung des bestehenden Führungs-, Überwachungs- und Kontrollsystems um Fehlentscheidungen frühzeitig zu verhindern.^[84]
- Intensivere Kommunikation mit den Marktteilnehmern über Unternehmensentwicklung und -politik sowie Publizität und Transparenz.^[85]
- Sicherung des Finanzplatzes Deutschland und Stärkung für die internationale Wettbewerbsfähigkeit.^[86]
- Zunehmende Orientierung an der dauerhaften Wertsteigerung für die Anteilseigner.^[87]
- Notwendige Angleichung an internationale Anforderungen, die im Hinblick der Globalisierung der Kapitalmärkte an die deutschen Unternehmen herangetragen werden.^[88]

Um diese Ziele zu erreichen, beinhaltet das Aktien- und Handelsgesetz drei wesentliche Neuregelungen.^[89] Diese betreffen die Einrichtung eines Risikomanagementsystems, die Berichterstattung über Risiken der künftigen Entwicklung im Lagebericht sowie die Ausweitung der Jahresabschlussprüfung.^[90] Im Folgenden werden diese Punkte näher dargestellt.

2.4.1.1 Einführung eines Risikomanagementsystems

Gemäß § 91 Abs. 2 AktG sind Vorstände von Aktiengesellschaften verpflichtet, geeignete Maßnahmen zu treffen. Insbesondere ist ein Überwachungssystem einzurichten, das bestandsgefährdende Entwicklungen^[91] frühzeitig identifiziert und dabei risikoorientiert handelt, um den Fortbestand der Gesellschaft zu sichern. Zudem ist die Regelung gemäß § 93 Abs. 2 AktG von wesentlicher Bedeutung, da diese die Beweislastumkehr impliziert. Dieser Vorschrift entsprechend hat der Vorstand die Einhaltung der Sorgfaltspflicht nachzuweisen.^[92] Zu den Sorgfaltspflichten gehört dabei auch die Einrichtung und Weiterentwicklung des Risikomanagementsystems.^[93] Der Gesetzgeber benutzt nicht wörtlich den Begriff Risikomanagement, sondern spricht von einem sog. Überwachungssystem. Es ist allgemein anerkannt, dass von dem sog. Überwachungssystem auch das hier thematisierte Risikomanagementsystem mit umfasst wird.^[94]

Die Ausgestaltung des Risikomanagementsystems wird im Einzelnen von dem Gesetzgeber nicht vorgegeben. Aus diesem Grund kann der Aufbau des Risikomanagementsystems generell den Erfordernissen entsprechend abhängig von der Größe und Struktur des jeweiligen Unternehmens bzw. der Branche, spezifisch ausgestaltet und umgesetzt werden.^[95]

2.4.1.2 Risikoorientierter Lagebericht

Mit dem risikoorientierten Lagebericht wird die tatsächliche Lage des Unternehmens widergespiegelt, so wird interessierten Shareholdern die Möglichkeit gegeben, an wertvolle zukunftsorientierte Informationen über die Unternehmenslage zu gelangen.^[96] Um eine entsprechende Darstellung der tatsächlichen Verhältnisse zu erhalten, ist es wichtig, Aussagen über den Risikogehalt der künftigen Entwicklungen zu treffen.^[97]

Des Weiteren sind die Risiken zu berücksichtigen bzw. in den Lagebericht zu integrieren, die zum Zeitpunkt der Berichterstattung identifiziert wurden.^[98] Ein eigener Risikobericht ist nicht zwingend. Falls keine bestandsgefährdenden Risiken erkennbar sind, soll im Lagebericht explizit durch einen Fehlbericht darauf hingewiesen werden.^[99] Die Auswirkungen der Risiken auf die Vermögens-, Finanz- und Ertragslage des Unternehmens sind unter Berücksichtigung der allgemeinen Grundsätze der Lageberichterstattung wie Vollständigkeit, Klarheit und Übersichtlichkeit deutlich darzustellen. Neben verbalen Erläuterungen sind auch quantitative Angaben zu machen.^[100]

2.4.1.3 Ausweitung der Abschlussprüfung

Im Rahmen des KonTraG wurden schließlich auch Gegenstand und Umfang der Jahresabschlussprüfung nach § 317 HGB neu formuliert. Ziel dieser Neuregelung war es, dass eine stärkere risikoorientierte Abschlussprüfung durchgeführt werden soll.^[101]

Zum einen ist in § 317 Abs. 2 HGB die Prüfung des Lageberichts geregelt. Die Neuregelung besteht darin, dass der Abschlussprüfer zu beurteilen hat, ob die Risiken der künftigen Entwicklung im Lagebericht zutreffend dargestellt sind.^[102] Dabei sind die Aussagen über die künftigen Entwicklungen der Risiken auch nach der Vollständigkeit, Richtigkeit und Klarheit zu prüfen.^[103] Zum anderen hat der Abschlussprüfer die Pflicht, bei der Einführung eines Risikomanagementsystems nach § 317 Abs. 4 HGB zu beurteilen, ob der Vorstand die nach § 91 Abs. 2 AktG erforderlichen Maßnahmen in einer geeigneten Form getroffen hat und, ob das danach einzurichtende Risikomanagementsystem seine Aufgaben erfüllen kann. Der Abschlussprüfer beurteilt zudem die Funktionsfähigkeit des eingesetzten Risikomanagementsystems.^[104] Dabei beschränkt sich die Prüfung auf die Maßnahmen zu der eigentlichen Früherkennung der Risiken.^[105] Nicht Prüfungsgegenstand ist hingegen, ob der Vorstand auf ein erkanntes Risiko angemessen und erfolgreich reagiert hat und die Maßnahmen zu einer Risikobewältigung geführt haben.^[106] Konkrete Vorschläge zu Verbesserungsmaßnahmen sowie die Bereitstellung eines eigenen Risikomanagementsystems liegen nicht in der Pflicht des Abschlussprüfers und werden damit auch nicht im Prüfungsbericht dokumentiert.^[107]

Entsprechend wird mit der Neuregelung nach § 317 HGB die Einhaltung der gesetzlichen Anforderungen an den Vorstand und an den Lagebericht durch den Abschlussprüfer berücksichtigt.^[108]

2.4.2 Deutscher Corporate Governance Kodex

Mit der Einführung des KonTraG wurde der Deutsche Corporate Governance Kodex (DCGK) im Februar 2002 für börsennotierte Aktiengesellschaften veröffentlicht. Der Kodex soll die in Deutschland geltenden Regeln zur Unternehmensleitung und -überwachung für Investoren transparenter gestalten, umso das Vertrauen hinsichtlich der Unternehmensleitung nationaler Aktiengesellschaften zu stärken.^[109]

Laut dem DCGK Ziffer 4.1.4, ergibt sich die Pflicht für den Vorstand für ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen zu sorgen.^[110] Die Vorschriften des KonTraG zum Risikomanagement und damit auch für das Risikocontrolling gemäß § 91 Abs. 2. AktG werden hierbei nochmals hervorgehoben.^[111] Auf diese Weise ist das Risikocontrolling ein erforderlicher Bestandteil einer guten Unternehmensleitung geworden.^[112]

2.4.3 Sarbanes-Oxley Act

International bestehen auch Bestrebungen, das Risikocontrolling effektiver in Unternehmen einzusetzen. Der Sarbanes-Oxley Act (SOA) von 2002 ist ein US-amerikanisches Gesetz zur Verbesserung der Unternehmensberichterstattungen. Das Gesetz gilt sowohl für inländische als auch für ausländische Unternehmen, deren Wertpapiere an der amerikanischen Börse gehandelt werden.^[113] Auslöser für den SOA waren Bilanzskandale von Unternehmen wie bspw. Enron oder Worldcom.^[114]

Das Gesetz ist in verschiedene Sections gegliedert, wobei Section 302 und Section 404 besonders hervorzuheben sind. Diese Neuregelungen zeigen Parallelen zu den Änderungen des KonTraG auf.^[115]

Zum einen muss nach Section 302 die Unternehmensleitung^[116] die Vollständigkeit und Richtigkeit der Jahres- und Quartalsberichte eidesstattlich beglaubigen. Bei Abgabe von Falschinformationen haftet dieser persönlich. Zum Anderen fordert Section 404 die Einrichtung und Dokumentation eines umfassenden internen Kontrollsystems (IKS). Die Funktionsfähigkeit des IKS ist von der Unternehmensleitung zu prüfen und der Nachweis über die Wirksamkeit von den Wirtschaftspürfern zu bestätigen.^[117] Das IKS kann als Teil des Risikomanagementsystems betrachtet werden,^[118] denn sie weisen Parallelen zur Neuregelung des KonTraG gemäß § 317 Abs. 4 HGB i. V. m. § 91 Abs. 2 AktG auf, aus der sich die Einrichtungs- und Prüfungspflichten für ein Überwachungssystem ergeben.^[119]

Abschließend ist festzuhalten, dass mit der Einführung eines Risikomanagementsystems grundsätzlich weitere Maßnahmen erforderlich sind. Damit stellen die hier vorgestellten gesetzlichen und regulatorischen Rahmenbedingungen ausschließlich Mindestanforderungen. Insbesondere stehen Unternehmen häufig vor einer Orientierungslosigkeit im Hinblick einer zweckmäßigen Ausgestaltung eines Risikomanagementsystems.^[120] Mit Hilfe von Risikocontrolling-Konzeptionen und damit mit der hier betrachteten koordinationsorientierten Konzeptionen, können Unternehmen bei der Ausgestaltung eines Risikomanagementsystems durch Handlungsempfehlungen maßgeblich unterstützt werden.

[...]

^[1] Vgl. Herre/Tüllner (2010): 7; Ernst & Young (2009a): 4; Sablowski/Rupp (2001): 56f.

^[2] Vgl. Zesch (2004): 37.

^[3] Vgl. Oetzel (2007): 1f.

^[4] Vgl. Pedell (2004): 4.

^[5] Zu einer ausführlicheren Übersicht von Risikodefinitionen vgl. Brühwiler (2007): 22-24; Rogler (2002): 5.

^[6] Vgl. Reichmann (2006): 623.

^[7] Vgl. Oetzel (2007): 41.

^[8] Verlustgefahren resultieren zum einen aus angestiegenen Aufwendungen bzw. Kosten und zum anderen aus verminderten Erträgen sowie Erlösen. Hierbei besteht nicht zwangsläufig die Gefahr eines negativen Ergebnisses, sondern der Eintritt einer negativen Abweichung eines zuvor determinierten Bezugspunktes. Vgl. hierzu Rogler (2002): 5f.

^[9] Vgl. Reichmann/Form (2000): 41; Rogler (2002): 21. Des Weiteren wird unter dem spekulativen Risikobegriff, das Risiko im engeren sowie im weiteren Sinne verstanden. Ersteres bezieht sich auf die Verlustgefahr aufgrund suboptimaler geplanter Entwicklungen. Risiko im weiteren Sinne ist auf die mögliche Chance zurückzuführen. Vgl. hierzu Wieske (2006): 48; Fiege (2006): 51-53; Fröhling (2000a): 63.

^[10] Vgl. Oetzel (2007): 41.

^[11] Vgl. hierzu ausführlich Wolf/Runzheimer (2009): 29f.; Jaretzke (2007): 6-8.

^[12] Vgl. Knights (2006): 233f.

^[13] Vgl. Oetzel (2007): 42.

^[14] Vgl. Burger/Buchhart (2002): 2.

^[15] Vgl. Bamberg/Coenenberg (2004): 78; Rosenkranz/Missler-Behr (2005): 53-116.

^[16] Vgl. Diederichs (2010): 10.

^[17] Vgl. Reichmann (2006): 623.

^[18] Vgl. Diederichs (2010): 16.

^[19] Vgl. Jaretzke (2007): 23.

^[20] Vgl. Reichmann (2006): 623f.

^[21] Vgl. Ackerl et al. (2008): 268f; Hoitsch/Winter/Bächle (2005): 126-128.

^[22] Vgl. Oetzel (2007): 94.

^[23] Vgl. Reichmann (2006): 624.

^[24] Vgl. Diederichs/Form/Reichmann (2004): 191.

^[25] Vgl. Oetzel (2007): 94. Die Erfassung von risikopolitischen Grundsätzen ist nicht nur auf Risikoziele begrenzt. Es können bspw. grundlegende Aussagen über risikoorientierte Aufgaben und Verfahrensweisen des Risikocontrollings als Orientierungsrahmen für die Mitarbeiter in den Unternehmen vorgegeben werden. Vgl. hierzu ausführlich Hoitsch/Winter/Bächle (2005): 128f.

^[26] Vgl. Diederichs (2010): 18.

^[27] Vgl. Winter (2007a): 172.

^[28] Vgl. Horváth (1979): 143 sowie 186f.

^[29] Die als Reaktion auf die Unternehmenskrisen bezogenen Gesetze beziehen sich auf das Gesetz der Kontrolle und Transparenz im Unternehmensbereich, Sarbanes Oxley Act, Corporate-Governance-Regelungen sowie Entwicklungen im Finanzaufsichtsbereich wie BASEL II. Vgl. hierzu und den obigen Ausführungen Winter (2007b): 25.

^[30] Vgl. Jonen/Lingnau (2004): 21f.

^[31] Im Bankenbereich ist eine generelle Trennung zwischen Risikomanagement und Risikocontrolling durch das Bakred (seit dem 1. Mai 2002 BaFin) im Grundsatz der Funktionstrennung vorgeschrieben. Vgl. hierzu Rudolph/Johanning (2000): 18.

^[32] Vgl. Winter (2007b): 25.

^[33] Vgl. Winter (2007a): 181.

^[34] Vgl. Burger/Buchhart (2002): 8.

^[35] Vgl. Burger/Buchhart (2002): 9. Die Begriffe Auffassung und Konzeption werden synonym verwendet.

^[36] Vgl. Hornung/Reichmann/Form (2000): 153.

^[37] Vgl. Götze/Glaser/Hinkel (2001): 97. Zu den bisher angemessenen Risikocontrolling Konzeptionen, die auf informationsorientierte, rationalitätssicherungsorientierte, kognitionsorientierte und koordinationsorientierte Controlling-Konzeptionen basieren, vgl. hierzu ausführlich Winter (2007a): 221-252.

^[38] Dabei wird unterschieden zwischen der begrenzt koordinationsorientierten Konzeption nach Horváth und der umfassenden koordinationsorientierten Konzeption nach Küpper. Der wesentliche Unterschied besteht darin, dass Horváth die Koordination nicht im gesamten Führungssystem betrachtet, sondern diese auf die Abstimmung zwischen Planungs-, Kontroll- und Informationsversorgungssystemen begrenzt. Hierzu ausführlich vgl. Küpper (2008): 28; Horváth (2009): 128.

^[39] Vgl. Küpper (2008): 36-39.

^[40] Vgl. Kimmig (2001): 3; Braun (1984): 224.

^[41] Vgl. Pedell (2004): 4f.

^[42] Vgl. Scherpereel (2006): 14; Laux/Liermann (2003): 191f.; Ewert/Wagenhofer (2005): 402.

^[43] Vgl. Winter (2007a): 224.

^[44] Vgl. Kimmig (2001): 38-47; Braun (1984): 63f.

^[45] Vgl. Horváth (2009): 102.

^[46] Vgl. Oetzel (2007): 71; Burger/Buchhart (2002): 13.

^[47] Vgl. Horváth (2009): 103.

^[48] Vgl. Kimmig (2001): 36f.

^[49] Vgl. Küpper (2008): 36f.; Winter (2007a): 225.

^[50] Martin/Bär (2002): 123.

^[51] Vgl. Anhang 1.

^[52] Vgl. Burger/Buchhart (2002): 9.

^[53] Diese Perspektive geht von einer Unterordnung der Management-Funktion unter das Controlling aus. Vgl. hierzu Hornung/Reichmann/Form (2000): 158.

^[54] Hierbei übernimmt das Risikocontrolling z. T. Aufgaben des Risikomanagement. Vgl. dazu Hornung/Reichmann/Form (2000): 158f.

^[55] Vgl. Hornung/Reichmann/Form (2000): 157f.

^[56] Vgl. Meyer (2008): 48.

^[57] Vgl. Reichmann (2006): 625.

^[58] Vgl. Hornung/Reichmann/Diederichs (1999): 319.

^[59] Die Bedeutung des Risikomanagement führt nicht darauf hinaus, die Risiken im Unternehmen so gering wie möglich zu halten bzw. zu eliminieren, sondern um Transparenz über die Risikosituation im Unternehmen zu schaffen. Erfolgsgefährdende Risiken sind zu limitieren. Vgl. hierzu und den obigen Ausführungen Diederichs (2010): 13.

^[60] Vgl. Burger/Buchhart (2002): 12.

^[61] Vgl. Burger/Buchhart (2002): 16.

^[62] Vgl. Wolf/Runzheimer (2009): 97.

^[63] Vgl. Diederichs (2010): 26.

^[64] Vgl. Winter (2007a): 238.

^[65] Vgl. Oetzel (2007): 73.

^[66] Vgl. Diederichs (2010): 138.

^[67] Vgl. Schmiedel (2009): 56.

^[68] Die Begriffe Risikomanagementsystem und -prozess werden synonym verwendet.

^[69] Vgl. Wolke (2008): 3f.; Diederichs/Richter (2001): 138.

^[70] Vgl. Diederichs/Richter (2001): 138.

^[71] Vgl. Oetzel (2007): 75f.

^[72] Vgl. Burger/Buchhart (2002): 57.

^[73] Vgl. Meyer (2008): 49. In der betriebswirtschaftlichen Literatur wird teilweise postuliert, dass die Phase der Risikosteuerung ebenfalls durch das Risikocontrolling als eigenständige Tätigkeit wahrzunehmen ist. Vgl. Schorcht (2004): 57; Elfgen (2002): 318-320. Dies ist damit zu begründen, dass die einzelnen Phasen des Risikomanagementprozesses sehr eng miteinander verknüpft sind und sich nicht eindeutig voneinander abgrenzen lassen. Allerdings kann für die Einteilung von Instrumenten des Risikocontrollings, nachfolgend auf die Phasen der Risikoidentifikation, Risikoanalyse und -überwachung sowie Risikokontrolle und -dokumentation beschränkt werden. Vgl. hierzu Burger/Buchhart (2002): 57-59. Unter Berücksichtigung der Funktionen und Aufgaben des speziellen Risikocontrollings kann der Risikomanagementprozess auf spezifische Phasen erweitert werden, die durch das Risikocontrolling auszuführen sind. Im weiteren Verlauf der Arbeit wird hierzu näher eingegangen.

^[74] Vgl. Lazanowski (2006): 94; Gebhardt (2002): 1714.

^[75] Vgl. Pedell (2004): 9.

^[76] Vgl. Kimmig (2001): 92.

^[77] Vgl. Ackerl et al. (2008): 62; Hölscher (2006): 351.

^[78] Vgl. Oetzel (2007): 60; Lück et al. (2000): 2. Die rechtlichen Grundlagen zum KonTraG betreffen in erster Linie Industrie-, Handels- und Dienstleistungsunternehmen. Für den Bankensektor stellt Basel II die aktuelle Rechtsgrundlage zur Ausgestaltung des Risikomanagements dar. Bei Versicherungen bildet das Solvency II die rechtlichen Rahmenbedingungen. Vgl. hierzu Wolke (2008): 2; Ackerl et al. (2008): 48f.

^[79] Bedeutende Namen für derartige Unternehmenskrisen sind u. a. Balsam, metallgesellschaft AG, Südmilch/Sachsenmilch, Klöckner-Humboldt-Deutz Konzern, Bremer Vulkan, Schneider AG, Holzmann AG.

^[80] Vgl. Diederichs (2010): 1f. Die Unternehmenskrisen führten zu einer zunehmenden Kritik an Banken, Aufsichtsräten und Wirtschaftsprüfern.

^[81] Vgl. Reichmann (2006): 617; Diederichs (2010): 1f.

^[82] Bei dem KonTraG handelt es sich nicht um ein einheitliches Gesetz, sondern um ein Rahmengesetz, das verschiedene Gesetze ändert. Im Rahmen dieser Arbeit werden nur Neuregelungen des Aktien- und Handelsgesetz erläutert, da diese einen wesentlichen Bezug zum Risikocontrolling darstellen.

^[83] Vgl. Reichmann (2006): 617.

^[84] Vgl. Hommelhoff/Mattheus (1998): 250-252.

^[85] Vgl. Saitz (1999): 71.

^[86] Vgl. Lehner/Schmidt (2000): 261; Hommelhoff/Mattheus (1998): 249.

^[87] Vgl. Saitz (1999): 71.

^[88] Vgl. Saitz (1999): 71.

^[89] Hierbei ist zu betonen, dass nur die Neuregelungen erläutert werden, die einen engen Bezug zum Risikocontrolling haben.

^[90] Vgl. Martin/Bär (2002): 38.

^[91] Diese betreffen u. a. risikobehaftete Geschäfte im Allgemeinen, Unrichtigkeiten in der Rechnungslegung sowie Verstöße gegen gesetzliche Vorschriften, die sich wesentlich auf die Vermögens-, Finanz- und Ertragslage des Unternehmens auswirken. Vgl. hierzu Oetzel (2007): 63; Weber (2002): 413.

^[92] Eine entsprechende Regelung in das GmbHG wurde von dem Gesetzgeber nicht übernommen. Gemäß § 93 Abs. 1 AktG trägt der Vorstand die Pflicht im Rahmen der Geschäftsleitung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsführers anzuwenden. Ebenso wird gemäß § 43 Abs. 1 GmbHG auf die Sorgfaltspflicht des Geschäftsführers hingewiesen. Damit ist durch die Ausstrahlungswirkung des Aktienrechts die Vorschrift entsprechend § 91 Abs. 2 AktG anwendbar. Allerdings weist das GmbHG keine konkreten Maßnahmen zur Umsetzung dieser Forderung auf. Vgl. hierzu Berens (2007): 80f.; Oetzel (2007): 60f.; Form (2005): 114f.

^[93] Vgl. Niedostadek (2006): 212.

^[94] Vgl. Martin/Bär (2002): 45. Außerdem wird von einigen Autoren vorgeschlagen, dass neben dem Risikomanagementsystem, ein Früherkennungssystem, ein internes Überwachungssystem sowie ein Risikocontrolling einzurichten sind. Vgl. Bitz (2000a): 237f.; Krystek (1999): 146; Lück (1998): 9; Wall (2001): 218. Inwiefern eine einheitliche Ausgestaltung aussehen soll, wird allerdings in der betriebswirtschaftlichen Literatur weiterhin diskutiert. Vgl. Diederichs (2010): 32; Lück (1998): 9.

^[95] Vgl. Form (2005): 115.

^[96] Vgl. Diederichs (2010): 33.

^[97] In der Vergangenheit wurde im Lagebericht ausführlich über die zukünftigen Chancen berichtet, allerdings wurden die Risiken dabei nur am Rande erwähnt. Damit beweist sich eine Verpflichtung zur expliziten Risikodarstellung im Lagebericht vorteilhaft. Vgl. hierzu Martin/Bär (2002): 55f.

^[98] Vgl. Ackerl et al. (2008): 44.

^[99] Vgl. Martin/Bär (2002): 55.

^[100] Vgl. Martin/Bär (2002): 54f.

^[101] Vgl. Diederichs (2010): 40; Form (2005): 113.

^[102] Vgl. Martin/Bär (2002): 63.

^[103] Vgl. Diederichs (2010): 39.

^[104] Vgl. Ackerl et al. (2008): 45. Als Reaktion auf die Neuregelungen des § 317 Abs. 4 HGB hat das IDW einen separaten Prüfungsstandard PS 340 – die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB in Kraft gesetzt. Hierzu ausführlich vgl. Hampel/Lueger/Roth (2004): 116.

^[105] Vgl. Preißner (2008): 404.

^[106] Vgl. Lorenz (2008): 9.

^[107] Erkannte Verbesserungsmöglichkeiten können außerhalb des Prüfungsberichts im sog. Management Letter berücksichtigt werden.

^[108] Vgl. Jaretzke (2007): 13.

^[109] Vgl. Fiege (2006): 31.

^[110] Vgl. Regierungskommission Deutscher Corporate Governance (2010): www.corporate-governance-code.de.

^[111] Vgl. Ackerl et al. (2008): 49; Penert (2008): 16f. Zu den weiteren relevanten Regeln des DCGK für das Risikomanagement und damit auch für das Risikocontrolling vgl. Gleißner (2008a): 28; Lorenz (2008): 13; Fiege (2006): 32-34.

^[112] Vgl. Fiege (2006): 34.

^[113] Vgl. Gleißner (2008a): 28.

^[114] Vgl. Ackerl et al. (2008): 52.

^[115] Vgl. Keitsch (2007): 21.

^[116] Hiernach setzt sich die Unternehmensleitung zusammen aus Chief-Executive-Officer (CEO) und Chief-Financial-Officer (CFO).

^[117] Vgl. Penert (2008): 17.

^[118] Vgl. Gleißner (2008a): 28.

^[119] Vgl. Fiege (2006): 34f.

^[120] Vgl. Hoitsch/Winter (2004): 235.