Implementierung von Risikomanagementsystemen E-Book

Page 1

Page 5

Page 1

1 Keine Chance ohne Risiko

Das Erwirtschaften risikoloser Gewinne über einen längeren Zeitraum ist nahezu unmöglich. Zukunft bedeutet Unsicherheit oder anders gesprochen: jede unternehmerische Entscheidung ist zwangsläufig mit Risiken verbunden [WALL04, S. 13]. In den letzten Jahren haben sich jedoch die Rahmenbedingungen für unternehmerisches Handeln hinsichtlich Komplexität und Dynamik grundlegend verändert. Entwicklungen wie die Globalisierung des Wettbewerbs, rasante Innovationen im Bereich der Informations- und Kommunikationstechnologie, der hohe internationale Wettbewerbsdruck sowie ein zunehmender Trend zur Vernetzung von Unternehmen haben dazu geführt, dass sich Unternehmen mit einer drastisch verschärften Risikosituation konfrontiert sehen [ERBE03a, S. 43]. Doch gerade ein kontrollierter und ver-antwortungsvoller Umgang mit diesen Risikopotenzialen eröffnet dem gewinnorietierten Unternehmen wiederum Chancen, deren Nutzung einen nachhaltigen Wett-bewerbsvorteil verspricht [WALL04, S. 13].

Um aus Risiken Chancen zu machen, muss der Unternehmer sein Risiko zunächst einmal ausreichend gut kennen. Allein mit Hilfe unternehmerischer Intuition die komplexe Risikosituation des heutigen Wirtschaftsumfeldes angemessen zu erfassen erscheint illusorisch. Vor diesem Hintergrund wird die Fähigkeit eines Unternehmens, den Umgang mit Risiken durch methodische Unterstützung in Form eines Risikomanagementsystems (RMS) zu operationalisieren, zum entscheidenden Wettbe-werbsfaktor [GLEI05, S. 5-6].

„Das größte Risiko unserer Zeit liegt in der Angst vor dem Risiko“(Helmut Schoeck, österreichischer Soziologe)

1.1 Problemstellung der Arbeit

Trotz leicht rückläufiger Zahlen in jüngster Vergangenheit leidet die deutsche Wirtschaft seit Jahren unter der steigenden Anzahl an Unternehmensinsolvenzen. Allein im Jahr 2006 belief sich die Zahl auf rund 31.300 Betriebe [o.V.06, S. 3]. Nach herrschender Meinung ist diese alarmierende Entwicklung in erheblichem Maße einer mangelnden Sensibilisierung für das Risikophänomen sowie unzureichenden Kontroll- und Informationsmechanismen zuzurechnen. Die betriebswirtschaftliche Notwendigkeit in Verbindung mit neuen gesetzlichen Regelungen (z. B. dem Gesetz zur

Page 2

Kontrolle und Transparenz im Unternehmensbereich) erfordert einen systematischen Umgang mit unternehmerischen Risiken in Gestalt eines RMS. Allerdings hat sich bisher weder in der Theorie noch in der Praxis eine geschlossene und ganzheitliche Gesamtarchitektur zur konkreten Ausgestaltung eines umfassenden RMS herauskristallisiert. Oftmals werden nur bestimmte Bereiche des Risikomanagements (RM) fokussiert, sodass die unternehmerische Risikosituation nur unvollständig berücksichtigt wird [DIED04, S. 2]. Insbesondere im Bereich der praktischen Implementierung mangelt es an einer strukturierten Vorgehensweise, um ein derartiges System organisatorisch zu verankern und in bestehende Managementsysteme zu integrieren. RM wird immer noch in weiten Teilen als gesetzlich verordnete Pflichtübung ver-standen, sodass sich viele Implementierungsbemühungen lediglich auf den bloßen Nachweis eines RMS beschränken [ELFG02, S. 315; KOGL03, S. 258]. In Anbetracht dieser Defizite bleibt das Potenzial eines unternehmensweiten RMS bisher weitgehend ungenutzt. Ziel dieser Arbeit ist die Erstellung eines Leitfadens, mit dessen Hilfe ein umfassendes RM-Konzept, das nicht nur den formalen gesetzlichen Anforderungen entspricht, effektiv im Unternehmen implementiert werden kann und damit einen echten unternehmerischen Mehrwert verspricht.

1.2 Gang der Untersuchung

In Kapitel 2 werden zunächst die Grundlagen für den weiteren Verlauf dargestellt. Darunter fallen sowohl Terminologie als auch ein Überblick über die gesetzlichen Rahmenbedingungen, die in der vorliegenden Arbeit jedoch nur eine untergeordnete Rolle spielen. Im Anschluss daran wird in Kapitel 3 ein Konzept zur Ausgestaltung eines umfassenden RMS vorgestellt, das in der Lage ist, mit Hilfe eines wirkungsvollen Instrumentariums die unternehmerischen Risikopotenziale zu identifizieren und aktiv zu gestalten. Die hohe Komplexität eines in der Praxis vorwiegend dezentral geprägten RM ist ohne IT-Unterstützung kaum mehr zu bewältigen [GLEI05, S. 241]. Kapitel 4 beschäftigt sich daher mit den Möglichkeiten und Potenzialen einer Software-Unterstützung des RM inklusive einer Übersicht zum Stand der IT-Unterstützung in der betrieblichen Praxis. Basierend auf dem erarbeiteten theoretisch-konzeptionellen Fundament behandelt Kapitel 5 die praktische Umsetzung des RMS im Unternehmen. In diesem Zusammenhang werden neben der aufbauorganisa-torischen Eingliederung des Systems verschiedene Ansätze zur praktischen Implementierung vorgestellt und an unternehmensspezifische Voraussetzungen geknüpft. Die Integration in bestehende Managementsysteme ist eine Kernaufgabe im Rahmen

Page 3

der Implementierung, denn nur so können die Erkenntnisse aus dem RM in die betrieblichen Führungsprozesse einfließen. Dieser Problemstellung widmet sich gesondert Kapitel 6, in dem verschiedene Möglichkeiten der Synchronisation des RM mit der Balanced Scorecard als ganzheitliches Managementsystem diskutiert werden.

2 Grundlagen des Risikomanagements

Zu Beginn wird aufgrund der enormen Begriffsvielfalt in der einschlägigen Literatur die zentrale Terminologie geklärt, um ein einheitliches Fundament für die weiterführenden Erläuterungen zu schaffen [WOLF03, S. 29]. Die Bedeutung des RM hat mittlerweile auch der Gesetzgeber erkannt. Daher werden im Anschluss die wichtigsten gesetzlichen Treiber für das RM auf nationaler Ebene diskutiert und ihre Auswirkungen auf die inhaltliche Ausgestaltung eines RMS im Unternehmen untersucht.

2.1 Was ist Risiko?

Für den Terminus des Risikos haben sich in der betriebswirtschaftlichen Literatur verschiedene Begriffsdefinitionen herausgebildet. Ausgangspunkt sämtlicher Ansätze ist jedoch die bestehende Unsicherheit zukünftiger Ereignisse und die daraus resultierende Gefahr eines Verlustes [WALL04, S. 6; WOLF03, S. 29]. Für den weiteren Verlauf dieser Arbeit wird eine ursache- und wirkungsbezogene Begriffsauffassung zugrunde gelegt, wonach unter Risiko die „Gefahr verstanden wird, dass Ereignisse (externe Faktoren) oder Entscheidungen und Handlungen (interne Faktoren) das Unternehmen daran hindern (ursachenbezogene Komponente), definierte Ziele zu erreichen bzw. Strategien erfolgreich zu realisieren (wirkungsbezogene Komponente)“ [DIED04, S. 10].

Neueren Sichtweisen gemeinsam ist die Erweiterung des klassischen Risikobegriffs um eine inhärente Chance in Form einer positiven Zielabweichung eines vorher festgelegten Zielwertes (spekulatives Risiko) [WOLF03, S. 30; MART02, S. 71]. Dementsprechend bezieht sich das Risiko nicht nur auf die Gefahr negativer Entwicklungen und Ereignisse, sondern auch auf das Versäumnis oder die mangelhafte Nutzung positiver Entwicklungsmöglichkeiten und Chancen [WALL04, S. 6].

Page 4

2.2 Risikomanagement - Alter Wein in neuen Schläuchen?

RM ist sicherlich keine Modeerscheinung. Schon seit jeher ist der Umgang mit Risiken impliziter Bestandteil jeder Unternehmensführung, die mit der erforderlichen kaufmännischen Sorgfalt betrieben wird [GLEI04, S. 9]. Das entscheidende Charakteristikum traditionelle Ansätze ist in einer vorwiegend retrospektiven bzw. situativen Ausrichtung des RM zu sehen, d. h. reagiert wurde erst, wenn das Unternehmen bereits „in stürmischer See oder gar in akuter Seenot“ war. Der Schwerpunkt lag in erster Linie auf der Vermeidung von Schäden sowie der Einhaltung gesetzlicher Vorschriften (z. B. Brand- oder Arbeitsschutz) oder versicherungstechnischer Auflagen [MEIE01, S. 17; ROME03a, S. 66]. Angesicht der gestiegenen Komplexität und Dynamik der Unternehmensumwelt dürfte es jedoch kaum mehr möglich sein, allein mit Hilfe reaktiver Steuerungsmaßnahmen die verschärfte Risikosituation zu beherrschen [GLEI05, S. 7]. RM darf den Fokus nicht einseitig auf die Folgen bereits eingetretener Ereignisse richten, sondern muss den Blickwinkel um die Chancen und Risiken der zukünftigen Entwicklung erweitern. [MEIE01, S. 18]. Ein effektives RM muss zum integralen Bestandteil der Unternehmensführung avancieren. Im Sinne eines proaktiven RM-Ansatzes gilt es, zukünftige risikobehaftete Entwicklungen frühzeitig zu identifizieren, zu bewerten, zu steuern und fortlaufend zu überwachen, um die kontinuierliche Anpassung des Unternehmens an sich stetig verändernde Umfeldbedingungen sowie die Sicherung der unternehmerischen Existenz zu gewährleisten. Während die Unternehmensführung auf das Erreichen der determinierten Unternehmensziele ausgerichtet ist, betont das RM den Sicherheitsaspekt, indem Bedrohungen dieser Ziele systematisch aufgedeckt und abgewendet werden [DIED04, S. 12-13]. Die Zielsetzung des RM besteht jedoch keineswegs in der vollständigen Eliminierung aller Risiken; dies würde einem unternehmerischen Stillstand gleichkommen. Vielmehr werden durch umfassende Kenntnisse der Risiken und der Konsequenzen ihrer Übernahme Handlungsspielräume eröffnet, die ein kontrolliertes Eingehen dieser Risiken erlauben, um langfristig Erfolgspotenziale zu sichern und auszubauen [WALL04, S. 4; DENK05, S. 65].

2.3 Regulatorische Rahmenbedingungen

Insbesondere die spektakulären Unternehmenskrisen und Insolvenzen namhafter Unternehmen in den letzten Jahren (z. B. Holzmann AG, Enron, Barings, Kirch-Gruppe) haben Gesetzgeber und andere Regulierungsorgane in vielen Ländern dazu veranlasst, die Anforderungen an das RM in Unternehmen drastisch zu verschärfen

Page 5

[KAJÜ04, S. 12]. In Deutschland mündete diese Offensive bereits Ende der neunziger Jahre in das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das zu umfassenden Änderungen des Aktien- und Handelsrechts geführt hat [MART02, S. 37].

2.3.1 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Am 1. Mail 1998 trat das KonTraG in Kraft, das die Vorstände von Aktiengesellschaften zur Einrichtung eines Risikofrüherkennungs- und Überwachungssystems verpflichtet. Im Falle einer Verletzung dieser Organisationspflicht haben die Vorstände gemäß § 93 Abs. 2 AktG mit Schadensersatzforderungen zu rechnen, für die sie auch mit ihrem Privatvermögen haften [GLEI04, S. 10]. Im § 91 Abs. 2 AktG heißt es konkret: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ [ROME03a, S. 67]. Daraus leitet sich nach herrschender Meinung eine zweistufige Verpflichtung für die Vorstände ab [KAJÜ04, S. 14]:

zumeinen hat der Vorstand geeignete Maßnahmen zur frühzeitigen Erkennung bestandsgefährdender Entwicklungen zu treffen (Risikofrüherkennungssystem); zumanderen muss die Einhaltung der vom Vorstand ergriffenen Maßnahmen zur Risikofrüherkennung überwacht werden (Überwachungssystem). Darüber hinaus wurde die Pflicht zur Berichterstattung im Lagebericht durch den Gesetzgeber risikoorientiert modifiziert. Durch die ausführliche Darstellung der wirtschaftlichen Lage des Unternehmens unter Berücksichtigung von Risiken der künftigen Unternehmensentwicklung (§ 289 Abs. 1 HGB) soll dem Informationsinteresse der Kapitalgeber Rechnung getragen werden. Dem Abschlussprüfer obliegt schließlich die Verpflichtung, das Risikofrüherkennungs- und Überwachungssystem sowie den Risikobericht gutachterlich zu prüfen (§ 317 Abs. 2 und Abs. 4 HGB) [ROME03a, S. 67-69]. In diesem Zusammenhang wurde vom Institut der Wirtschaftsprüfer (IDW) ein Prüfungsstandard ausgearbeitet (IDW PS 340), der die An-forderungen an ein KonTraG-konformes RMS erheblich konkretisiert [MOTT01, S. 200].

Nach dem KonTraG richtet sich die Verpflichtung zur Einrichtung eines Risikofrüherkennungs- und Überwachungssystems primär an die Vorstände von Aktiengesellschaften, allerdings wurde in der Gesetzesbegründung auf eine implizite Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführung anderer Rechtsformen

Page 6

verwiesen, wie z. B. der GmbH ab bestimmter Größe und Komplexität gemäß § 93 Abs. 1 AktG i. V. m. § 43 Abs. 1 GmbHG [DIED04, S. 38; KAJÜ04, S. 15; GLEI04, S. 10]. Allgemein anerkannte Kriterien zur Eingrenzung dieser Ausstrahlungswirkung haben sich bisher nicht herauskristallisiert, sodass es auch künftig Sache der Rechtsprechung bleibt, den konkreten Einzelfall zu beurteilen [KAJÜ04, S. 15]. Aus dem Gesetzeswortlaut sowie dessen Begründung lassen sich keine Vorgaben zur konkreten inhaltlichen Ausgestaltung eines derartigen RMS entnehmen. Das KonTraG ist lediglich als Zielvorgabe zu verstehen, bei deren praktischer Umsetzung der Unternehmensleitung ein großer Spielraum in instrumenteller und institutioneller Hinsicht zugestanden wird [KAJÜ04, S. 14; DENK05, S. 60]. Im August 2002 wurden die Vorschriften des KonTraG zum RM mit dem Deutschen Corporate Governance Kodex nochmals hervorgehoben und durch zahlreiche Verhaltensempfehlungen weiter konkretisiert [KAJÜ04, S. 14].

2.3.2 Basel II - Ein indirekter Risikomanagement-Treiber

Unter dem Begriff Basel II verbirgt sich eine vom Baseler Ausschuss für Bankenaufsicht konzipierte internationale Kreditrichtlinie für Banken, die seit dem 1. Januar 2007 in Deutschland Anwendung findet [o.V.07a]. Regelungsgegenstand dieser Richtlinie ist die gesetzlich geforderte Eigenkapitalausstattung der Banken, mit der vergebene Kredite zu unterlegen sind. Eine ausreichende Eigenkapitalausstattung übernimmt die Funktion eines Puffers für mögliche Kreditausfälle und trägt somit zur Stabilität des internationalen Bankensystems bei [ROME03a, S. 74-75]. Während nach bisheriger Rechtslage (Basel I) die mit der Kreditvergabe verbundenen Eigenkapitalkosten für Banken auf einem noch weitgehend pauschalierten Ansatz basierten (rund 8 % des Kreditbetrags), rückt durch Basel II das individuelle Kreditrisiko in den Vordergrund [REIC03, S. 1]. Im Rahmen von externen oder bankinternen Prüfungsprozessen (sog. Rating-Verfahren) werden neben traditionellen Marktpreis- und Kreditrisiken vor allem operationelle Risiken miteinbezogen, um das individuelle Kreditausfallrisiko und damit die geforderte Eigenkapitalunterlegung zu ermitteln. Somit bestimmt die Bonität des Kunden maßgeblich den Kreditzinssatz.

Nach herrschender Meinung verbessert RM das Rating. Ein implementiertes RMS seitens der Kapitalnehmer schafft die für das Rating notwendige Informationstransparenz und wirkt sich positiv auf die Modalitäten einer Fremdfinanzierung aus [EHRM05, S, 21; ROME03a, S. 75-77; KEIT04, S. 199]. Gerade deutsche Unter-

Page 7

nehmen leiden chronisch an einer viel zu niedrigen Eigenkapitalausstattung, sodass der Bankkredit im Vergleich zu anderen Volkswirtschaften eine viel höhere Bedeutung zur Sicherung der Liquidität einnimmt. Vor diesem Hintergrund entwickelt sich Basel II zu einem maßgeblichen Treiber für das RM in deutschen Unternehmen, insbesondere auch für den Mittelstand [MERB04, S. 65].

In der Versicherungswirtschaft bildet das Pendant zu Basel II die europäische Ei-genmittelausstattungsverordnung Solvency II, die voraussichtlich 2010 in Kraft treten wird. Durch eine grundlegende Überarbeitung derzeitiger Versicherungsrichtlinien soll eine stärkere Orientierung der Mindestkapitalausstattung an den tatsächlich übernommenen Risiken erfolgen, um die Versicherungsnehmer angemessen zu schützen [ROME06, S. 316].

3 Konzipierung eines umfassenden RMS

Ein umfassender RM-Ansatz - wie er in dieser Arbeit vertreten wird - hebt sich durch die folgenden wesensbestimmenden Charakteristika von den bisherigen traditionellen Ansätzen des RM ab:

ImGegensatz zu traditionellen RM-Ansätzen, die häufig spezielle Risikoarten fokussierten (z. B. Finanzrisiken), strebt ein umfassender Ansatz ein RM unter Berücksichtigung aller betrieblichen Risiken an [HÖLS02, S. 8]. ImMittelpunkt eines umfassenden Ansatzes steht nicht die isolierte Betrachtung von Einzelrisiken, sondern die Gesamtrisikoposition eines Unternehmens als Konglomerat der wechselwirkenden Einzelrisiken [WOLF03, S. 31]. Einumfassendes Konzept ist proaktiv ausgerichtet und betont den strategischen Charakter des RM [MEIE01, S. 17-18].

Anhand dieser Grundsätze erfolgt nun die inhaltliche Ausarbeitung der konzeptionellen Bausteine eines solchen RMS (vgl. Abb. 1). Das Herzstück dieses Konzeptes bildet der RM-Prozess, der frühzeitig und systematisch Risiken identifiziert, bewertet, steuert und fortlaufend überwacht [ROME03e, S. 147]. Schwerpunkt der weiteren Ausführungen bildet die Entwicklung eines praktischen Instrumentariums, das die jeweiligen Prozessschritte wirkungsvoll unterstützt. Insbesondere im Bereich der Risikoidentifikation sind diesbezüglich in der betrieblichen Praxis noch erhebliche Defizite zu konstatieren [DIED04, S. 94].

Page 8

Abb. 1: Konzeptionelle Bausteine eines RMS in Anlehnung an [FIEG06, S. 96]

3.1 Risikopolitik als Organisationsrahmen

Die Festlegung der Risikopolitik bildet den Ausgangspunkt und fixiert zugleich die Rahmenbedingungen für den Aufbau des RMS. Auf oberster Ebene erfolgt die Formulierung der risikopolitischen Grundsätze als Ausdruck der individuellen Wertvorstellung respektive Risikopräferenz der Unternehmensführung. Die risikopolitischen Grundsätze dokumentieren Verhaltensregeln, die alle Mitarbeiter des Unternehmens zu einem bewussten Umgang mit Risiken anleiten sollen (Tab. 1). Dabei handelt es sich um abstrakte Grundgedanken die noch unabhängig von den operativen Gegebenheiten formuliert werden und dementsprechend einen geringen Konkretisierungsgrad aufweisen.

Tab. 1: Risikopolitische Grundsätze

in Anlehnung an [DIED04, S. 18]