Teil I Grundlagen des Risikomanagements · PDF filewirtschaftlichen, technischen, politischen,...

Teil IGrundlagen des Risikomanagements

13

Grundlagen desRisikomanagements

Risikomanagement in Unternehmen und Institutionen wird in einer kom-plexen und dynamischen Welt immer wichtiger. Die zunehmende Zahlvon Gesetzen und branchenspezifischen Normen bezüglich des Umgangsmit Risiken spiegelt zum einen die zunehmende Risikosensibilität derWirtschaftsakteure und zum anderen den Anstieg der Schadenshöhe imRisikofall wider.

Definiert man Risiko als das Produkt der Eintrittswahrscheinlichkeit ei-nes Schaden verursachenden Ereignisses und der resultierenden Scha-denshöhe, so lässt sich feststellen, dass sich im Zeitverlauf die Wahr-scheinlichkeit solcher Ereignisse weniger stark verändert hat als die Höhedes eingetretenen Schadens. Während ein Tsunami in Indonesien alsomit hoher Wahrscheinlichkeit alle Jahre dessen Küsten heimsucht, warder Schaden vor 100 Jahren ohne Hotels und Touristen am Strand deut-lich geringer als heutzutage.

Die Identifikation von Risiken ist daher unumgänglich, um die immerhöher werdenden Schäden rechtzeitig zu verhindern. Diese Schäden ent-stehen nicht zuletzt auch durch die verschärften Haftungsvorschriften fürRisiken, die Versicherungen als klassische Schadensabdecker wegen ihrerschwierigen Kalkulierbarkeit nicht mehr tragen wollen. Unternehmenbleibt häufig daher gar nichts anderes übrig, als sich selbst mit dem The-ma Risikomanagement zu beschäftigen.

Das folgende Kapitel zeigt zunächst, wie Risiko definiert werden kannund warum Risikomanagement überhaupt notwendig ist. Im zweiten Ka-pitel werden gesetzliche Grundlagen vorgestellt, die das Thema Risiko-begrenzung in Unternehmen und in stark risikobehafteten Institutionen,wie zum Beispiel Banken und Versicherungen, betreffen. Anschließendwird eine Typologie von Risiken vorgestellt und zum Schluss organisatori-sche Einheiten definiert, die sich mit dem Thema Risikomanagement be-schäftigen.

Danach sollten Sie in der Lage sein, die Grundbegriffe des Risikomana-gements und die Gründe für dessen Notwendigkeit zu benennen. Bei dengesetzlichen Grundlagen ist darauf hinzuweisen, dass es in vielen Bran-chen weitere Detailvorschriften gibt und eine Abgrenzung des Themas Ri-siko zu anderen Themen wie z. B. Arbeitssicherheit oder Vorsorge meis-tens schwierig ist. Die hier vorgestellten Vorschriften betreffen daher exis-tenzielle Unternehmensrisiken und sind im Allgemeinen von allen Unter-nehmen zu beachten.

14


1Einführung in das Risikomanagement

1.1 Veränderungen im betrieblichen Umfeld

Die Subprime-KriseNach den Anschlägen vom 11. September 2001 wurden die Zinsen

auf Kredite in den USA stark gesenkt, um den Konsum anzukurbeln.Die kontinuierlichen Wertsteigerungen im US-amerikanischen Immo-bilienmarkt veranlassten viele Privatinvestoren, die günstige Zinslagezu nutzen und die von den Banken auch ohne Eigenkapitalhinterle-gung zur Verfügung gestellten Hypothekenkredite für Immobilien auf-zunehmen, oft in der Hoffnung, durch einen späteren Verkauf der Im-mobilien hohe Gewinne zu machen.

Als im Frühjahr 2007 die Immobilienpreise in den USA zu sinkenbegannen, und die Banken die Zinssätze für die Kredite erhöhten,konnten viele Kreditnehmer ihre Rückzahlungsraten nicht mehr bedie-nen; in vielen Fällen drohten Zwangsversteigerungen der nicht abbe-zahlten Häuser. Die Zahlungsausfälle fanden insbesondere im Subpri-mesegment statt, d. h. dem Darlehenssegment, in dem Kredite an Kre-ditnehmer mit geringer Bonität vergeben worden waren.

Die Vergabe dieser Subprime-Kredite wurde über strukturierte Anla-geformen im Kapitalmarkt refinanziert, d. h. die Rückzahlungs- undZinszahlungsansprüche aus den Immobilienkrediten der Banken wur-den verbrieft und zumeist an Hedgefonds, Investmentbanken und Ver-sicherungen auf der ganzen Welt verkauft. Der plötzliche, durch dieZahlungsausfälle verursachte Wertverlust der auf Immobilienkreditenbasierenden Wertpapiere wirkte sich somit nicht nur auf die USA aus,sondern auf Investoren weltweit.

Das beschriebene Beispiel der Subprime-Krise verdeutlicht die Komple-xität und Dynamik der Wirtschaftswelt des 21. Jahrhunderts: Wirtschafts-subjekte sind weltweit miteinander vernetzt und sich ständig wandelnden 15

Einführung in dasRisikomanagement

Risikomanagement. Ottmar SchneckCopyright © 2010 WILEY-VCH Verlag Gmbh & Co. KGaAISBN 978-3-527-50543-2

wirtschaftlichen, technischen, politischen, rechtlichen und gesellschaftli-chen Rahmenbedingungen ausgesetzt. Dieser Wandel eröffnet Unterneh-men einerseits neue Möglichkeiten und Chancen, andererseits führt eraber auch zu einer dramatischen Verschärfung ihrer Risikolage und damitdem Bedürfnis, sich vor Risiken besser zu schützen. Um die Dynamik die-ser Veränderungen im Unternehmensumfeld besser zu verstehen, werdenim Folgenden einige wirtschaftliche Entwicklungen und Trends erläutert.

Unternehmen

Systemlösungen

Käufermärkte

TechnischerFortschritt

Globalisierung

IT/ Internet

ErhöhterWettbewerb

RechtlicheBedingungen

Natur-katastrophen

KomplexeUnternehmens-

prozesse

Terrorismus

Abb. 1: Überblick über die Umfeldfaktoren eines Unternehmens

Durch das Phänomen der Globalisierung sind die Wirtschaftssubjekteauf der ganzen Welt über Ländergrenzen hinweg eng miteinander verbun-den. Durch diese Vernetzung kann eine ökonomische Krise in einemLand weltweite Kettenreaktionen hervorrufen. Unternehmen sind somitdirekt oder indirekt auch Risiken ausgesetzt, die im Ausland bestehen.Internationale Kooperationen führen zu einem hohen Maß an gegenseiti-ger Abhängigkeit zwischen den einzelnen Vertragspartnern. Durch dieseAbhängigkeit können Situationen entstehen, in denen der eine Partnerdie Risiken des anderen, bewusst oder unbewusst, mittragen muss.

Die Deregulierung und Liberalisierung der Märkte erleichtert Wett-bewerbern den Markteintritt und führt so zu einer Verschärfung der Wett-bewerbssituation. Gleichzeitig führen Fusionen und Übernahmen zu einerSteigerung der Marktmacht von einzelnen Marktteilnehmern. Durch diesezwei Faktoren sind Unternehmen einem steigenden Preis-, Qualitäts- und16


Wettbewerbsdruck ausgesetzt. Dieser zwingt sie dazu, schlechter konditio-nierte Aufträge anzunehmen und damit ihre Unternehmensmargen zuverringern, was für sie gleichzeitig auch ein höheres Risiko bedeutet.

Der rasche technische Fortschritt führt zur Entwicklung von immer leis-tungsfähiger und komplexer werdenden Produktionsanlagen und anderenBetriebsmitteln. Diese haben jedoch auch ihren Preis und erfordern hoheInvestitionen, um im Wettbewerb Schritt zu halten. Diese erhöhen aberdie Fixkosten der Unternehmen, was zur Verringerung ihrer Anpassungs-fähigkeit an sich ändernde Umweltbedingungen führen kann. Zudem fal-len auch eventuelle Schäden an den Betriebsmitteln (z. B. durch Brand,Erdbeben) entsprechend höher aus.

Durch neue Produktionstechniken und die internationale Aufstellungvon Unternehmen steigt unter anderem auch die Komplexität der ver-schiedenen Unternehmensprozesse. Dabei steigt mit zunehmender Komple-xität tendenziell auch die Störanfälligkeit dieser Prozesse.

Durch die rasante Entwicklung des Internets und den verstärkten Ein-satz von Informations- und Kommunikationstechnologien können Daten undInformationen mit hoher Geschwindigkeit weltweit ausgetauscht werdenLeistungen und Preise werden dadurch international vergleichbar. DieTransparenz von Unternehmen und Märkten nimmt weiter zu. Eine effek-tive und effiziente IT-Infrastruktur ist für den Erfolg heutiger Unterneh-men enorm wichtig. Mit zunehmender Verwendung und Abhängigkeitvon IT-Systemen erhöhen sich aber gleichzeitig auch die Risiken der Un-ternehmen im Bezug auf Daten- und Systemsicherheit.

Die Marktsituation von Unternehmen in Bezug auf ihre Kunden hatsich im Laufe der Zeit von der eines Verkäufermarkts hin zu der einesKäufermarkts entwickelt. Auf Grund verbesserter Produktionsverfahrenund damit eines höheren Produktoutputs ist heute das Angebot an Pro-dukten größer als deren Nachfrage. Der technische Fortschritt führt zu-dem zu verkürzten Produktlebenszyklen und zwingt Unternehmen dazu,schneller Produktinnovationen auf den Markt zu bringen. Diese Faktorenverstärken die Machtposition des Kunden und erhöhen dessen Preis-,Qualitäts- und Serviceansprüche. Unternehmen müssen deshalb aktiv aufKundenwünsche eingehen und sich ihnen kontinuierlich anpassen, umam Markt bestehen zu können.

Außerdem besteht heutzutage bei Unternehmen die Tendenz, ihrenKunden komplexe Systemlösungen anzubieten. So bieten beispielsweise In-dustrie- und Handelsunternehmen häufig Leistungen an, die nicht zu ih-ren ursprünglichen Kernkompetenzen gehören, wie z. B. Finanzierungenoder industrielle Dienstleistungen. Solche »Komplettpakete« erhöhen den 17


Auftragswert, führen aber gleichzeitig auch zu einer sinkenden Anzahlvon Aufträgen.

Naturkatastrophen und Terroranschläge ereignen sich immer häufigerund führen zu größeren Schäden in der Wirtschaft. Wie eine Studie desSchweizer Rückversicherers Swiss Re belegt, haben sich in der Zeit von1970 bis 2002 sowohl die Anzahl von Naturkatastrophen und Anschlägen,als auch die durch sie verursachten Schadenssummen mehr als vervier-facht.

Das sich schnell verändernde Wirtschaftsumfeld erfordert auch bei Ge-setzgebern und Wirtschaftsverbänden eine ebenso schnelle Anpassungvon Gesetzen, Verordnungen und Richtlinien. Dabei wird es immerschwieriger, aber auch wichtiger für Unternehmen, diesen kontinuierli-chen Wandel der rechtlichen Rahmenbedingungen zu überblicken und adä-quat darauf zu reagieren.

Natürlich geben die hier genannten Aspekte kein vollständiges Bild derTrends und Entwicklungen des heutigen Wirtschaftsumfelds wieder. An-hand dieser Auswahl lässt sich zusammenfassend jedoch feststellen, dasssich die Risikolage von Unternehmen drastisch verschärft hat.

1.2 Die Notwendigkeit eines Risikomanagements

Jedes unternehmerische Handeln birgt Risiken, d. h. die Gefahr, dassdurch externe oder interne Faktoren die definierten Unternehmenszielenicht, oder nicht vollständig, erreicht werden. Die sich in den letzten Jah-ren stark verschärfte Risikolage von Unternehmen stellt nun jedoch nochhöhere Anforderungen an ihren Umgang mit Risiken. Anhand zahlreicherUnternehmenskrisen und -Insolvenzen lässt sich feststellen, dass vieleUnternehmen nicht in der Lage sind, den bestehenden Risiken angemes-sen zu begegnen. So werden häufig Risiken nicht rechtzeitig erkannt oderFrühwarnindikatoren ignoriert.

Wie die folgende Abbildung zeigt, ist die Zahl der Unternehmensinsol-venzen in Deutschland seit den Neunzigerjahren deutlich angestiegen. Inden Jahren 2003 und 2004 erreichte diese Entwicklung mit jeweils knappmehr als 39000 Insolvenzen einen Höhepunkt. Gerade kleine und mitt-lere Unternehmen (KMU) sind besonders von einer Zahlungsunfähigkeitgefährdet. Im Jahr 2006 betrug der Anteil der Unternehmen mit wenigerals 100 Beschäftigen 99,6 Prozent aller bekannten Insolvenzfälle.

18


Insolvenzen in Deutschlandvon 1992-2008

0

10000

20000

30000

40000

50000

1992 1994 1996 1998 2000 2002 2004 2006 2008 2010

Abb. 2: Beantragte Insolvenzverfahren in Deutschland von 1992–2010Quelle: Statistisches Bundesamt, 2010

Eine Ursache dieser hohen Anzahl an beantragten Insolvenzen sind dieauffallend geringen Eigenkapitalquoten deutscher Unternehmen im inter-nationalen Vergleich und die zudem noch wesentlich geringeren Eigen-kapitalquoten der deutschen KMU im Vergleich zu den Großunterneh-men. Die Eigenkapitalquote, die das Verhältnis des haftenden Eigenkapi-tals zur Bilanzsumme angibt, ist eine wesentliche Kennzahl zur Bewer-tung der Risikotragfähigkeit von Unternehmen. Eine ausreichende Eigen-kapitalausstattung hilft dem Unternehmen, Risiken abzufedern. Imgegenteiligen Fall kann bei einem Kriseneintritt die Existenz des Unter-nehmens gefährdet sein.

Die vergleichsweise geringe Krisenfestigkeit deutscher Unternehmenund die erhöhte Risikoexposition macht eine aktive, intensive und syste-matische Auseinandersetzung mit dem Thema Risiko unumgänglich. Da-mit der Fortbestand des Unternehmens gesichert werden kann, müssenEntscheidungsträger in ihre strategischen Entscheidungen die Risikolagedes Unternehmens einbeziehen. Das Ziel des Risikomanagements ist esdabei nicht, Risiken um jeden Preis zu vermeiden; vielmehr sollen Risi-ken frühzeitig erkannt und bewertet werden, damit ein bewusster Um-gang mit ihnen möglich ist.

Die zahlreichen Krisen und Insolvenzen nationaler und internationalerUnternehmen zu Beginn der 1990er-Jahre ließen sich vor allem auf Feh-ler in der Unternehmensführung, mangelhafte Überwachung der Ent-scheidungsträger sowie ein unzureichendes Risikomanagement und -be-wusstsein zurückführen und veranlassten die Gesetzgeber in Deutschland,der EU und den USA, sowohl gesetzlich zwingende Vorschriften als auchrechtlich unverbindliche Verhaltenskodizes, sogenannte »Codes of Best 19


Practice«, zu erlassen. Letztere stammen aus dem angelsächsischen Wirt-schaftsraum und stellen internationale Standards dar, die die »CorporateGovernance« in den Unternehmen verbessern und das Vertrauen von Ka-pitalgebern in die Unternehmensführung wieder stärken sollen. Der Be-griff »Corporate Governance« bezeichnet die Qualität der Unternehmens-führung eines Unternehmens im Hinblick auf ein verantwortungsvollesund ethisch einwandfreies Handeln, die sich in dessen Regelungen, Sach-verhalten und Verhaltensrichtlinien manifestiert. Die in den »Codes ofPractice« beschriebenen Regeln enthalten die ersten Richtlinien für einKonzept zur Risikosteuerung und -kontrolle.

Die das Management von Risiken betreffenden gesetzlichen Anforde-rungen richten sich zwar vor allem an Kapitalgesellschaften, die sich überden anonymen Kapitalmarkt finanzieren, um deren Anteilseignern einenausreichenden Schutz zu gewähren. Sie betreffen aber auch zunehmendnicht börsennotierte Unternehmen. Das 1998 durch den deutschen Ge-setzgeber eingeführte Gesetz zur Kontrolle und Transparenz im Unter-nehmensbereich (KonTraG) verpflichtet Aktiengesellschaften zur Einrich-tung eines Überwachungssystems zur Früherkennung von den Fort-bestand der Gesellschaft gefährdenden Risiken (§ 91 II AktG). Darüber hi-naus definiert des KonTraG Risikomanagement als Bestandteil der Sorg-faltspflichten eines jeden GmbH-Geschäftsführers (§ 43 Abs. 1 GmbHG).Diese müssen zudem genau wie die Vorstände einer Aktiengesellschaftim Fall einer Unternehmenskrise beweisen, dass sie sich objektiv undsubjektiv pflichtgemäß verhalten und Maßnahmen zur Früherkennungund Abwehr der Risiken getroffen haben.

Risikomanagement ist jedoch nicht nur zur Erfüllung gesetzlicherPflichten notwendig: Auch Banken und Ratingagenturen verlangen nacheinem Risikomanagement im Unternehmen. Die 2005 vereinbarte Neu-regelung der Baseler Eigenkapitalverordnung von 1988 (Basel II) soll dasinternationale Bankensystem stabilisieren. Dabei werden Banken verpflich-tet, bei Vergabe von Krediten einen definierten Anteil der Kreditsummedurch Eigenkapital zu hinterlegen. Je höher dabei das Kreditrisiko ist, des-to mehr Eigenkapital muss zur Sicherung des Kredites hinterlegt werden.Da die Banken dieses Kapital nicht für weitere Geschäfte nutzen können,entstehen ihnen Opportunitätskosten, die sie durch die Kreditkonditionen(z. B. Zinssatz und Laufzeit des Kredites) an ihre Kunden weitergeben. Jehöher also das Kreditrisiko, desto ungünstiger die Kreditkonditionen. DasKreditrisiko wird dabei durch ein Rating des kreditnehmenden Unterneh-mens bestimmt, das entweder extern durch eine Ratingagentur oder bank-intern anhand quantitativer und qualitativer Kriterien durchgeführt wird.20


Rating ist die Bewertung der künftigen Zahlungsfähigkeit eines Schuld-ners nach bestimmten Verfahren. Quantitative Kriterien sind hierbeiKennzahlen der Vermögens-, Ertrags- und Finanzlage des Unternehmens,qualitative Kriterien wie bspw. seine Branchen- und Marktstellung oderdie Qualität des Managements. Hierbei wird auch der Umgang mit Risi-ken untersucht. Das Vorhandensein eines effektiven und dokumentiertenRisikomanagements kann das Ratingergebnis positiv beeinflussen und zugünstigeren Kreditkonditionen führen. Die Senkung der Finanzierungs-kosten stellt somit einen ökonomischen Anreiz dar, sich mit dem ThemaRisikomanagement zu beschäftigen und ein Risikomanagementsystemeinzuführen.

Die Beschäftigung mit Risiken sollte allerdings nicht nur aufgrund desDrucks von Gesetzgebern und Banken erfolgen, sondern aus Eigeninteres-se der Unternehmen. Wie bereits erläutert macht die hohe Zahl an Unter-nehmensinsolvenzen deutlich, dass ein vorausschauendes Risikomanage-ment notwendig ist, da die Reaktion auf eingetretene Schäden meistensnur noch wenig oder gar nichts gegen diese ausrichten kann. Ein Haupt-grund für die Notwendigkeit eines Risikomanagements ist also die Absi-cherung des Unternehmens in Krisenzeiten. Ebenfalls erläutert wurdenbereits die positiven Auswirkungen eines Risikomanagements auf das Un-ternehmensrating und somit die Verbesserung der Kreditkonditionen unddie Senkung der Fremdfinanzierungskosten.

Ein effizientes Risikomanagement führt aber zudem noch vor allem zueiner Erhöhung der Planungssicherheit und einer nachhaltigen Steigerungdes Unternehmenswerts. Somit sollte Risikomanagement auch bei kleinenund mittelständischen Unternehmen (KMU) zu einem wesentlichen Be-standteil der Unternehmensplanung werden. Die Fähigkeit, bei unternehme-rischen Entscheidungen Chancen und Risiken gegeneinander abzuwägen,ist ein zentraler Erfolgsfaktor für jedes Unternehmen. Diese Fähigkeit zuentwickeln und auszubauen ist das Ziel des Risikomanagements. Somitkann durch den systematischen Umgang mit Risiken die Qualität der unter-nehmerischen Entscheidungen erhöht und folglich die Unternehmensleis-tung gesteigert werden. Es ist daher wichtig, dass Unternehmen den öko-nomischen Mehrwert eines Risikomanagements erkennen und Risikomana-gement als Basis einer wertorientierten Unternehmenssteuerung verstehen.

Zusammenfassend machen also sowohl interne als auch externe Fak-toren eine intensive Auseinandersetzung mit dem Thema Risikomanage-ment notwendig. Bevor jedoch die Konzeption von Risikomanagementsys-temen vorgestellt wird, soll im nächsten Kapitelabschnitt geklärt werden,worum es sich bei dem Begriff »Risiko« überhaupt handelt. 21


1.3 Unsicherheit, Risiko und Ungewissheit

Gemäß der betriebswirtschaftlichen Entscheidungstheorie können zu-künftige Ereignisse in sichere und unsichere Ereignisse unterteilt werden.Der Eintritt eines Ereignisses ist entweder mit Sicherheit vorhersagbaroder aber es besteht lediglich die Möglichkeit seines Eintritts, d. h. seinEintreten ist unsicher.

Die Vorherbestimmbarkeit eines bestimmten Ereignisses hängt jedochindividuell vom Wissen des Voraussagenden ab. Ein solches Wissen um-fasst die Kenntnisse der Ursachen des Ereignisses und Informationenüber die Wirkungsweise dieser Faktoren im Zusammenhang mit dessenEintritt.

Beispiel:Der Abgang einer Schneelawine an einem Berghang eines Skigebiets

erscheint für einen durchschnittlichen Urlauber zufällig bzw. unsicher.Für im Urlaubsort ansässige Mitarbeiter der Bergwacht ist der Abgangeiner Lawine vorhersehbar, da sie über die notwendigen Kenntnisseüber den Schneezustand oder den Neigungswinkel am Berg verfügen.

Durch den Zugang zu relevanten Informationen kann ein zuvor unvor-hersehbares Ereignis vorhersehbar werden. Der Durchschnittsurlauber imoben angeführten Beispiel könnte so durch eine Ausbildung bei der Berg-wacht lernen, das Ereignis eines Lawinenabgangs zukünftig vorherbestim-men zu können. Da das Gesamtwissen der Menschheit im Zeitverlauf zu-nimmt, können heute als unvorhersehbar erscheinende Ereignisse durchdas Bekanntwerden neuer Informationen oder Ursache-Wirkungs-Bezie-hungen in der Zukunft voraussagbar sein.

Ein unsicher eintretendes Ereignis kann, muss aber nicht, gleichzeitigauch riskant sein. Als riskant kann das Ereignis nur dann bezeichnet wer-den, wenn der Voraussagende den Nichteintritt einem Eintritt dieses Er-eignisses vorziehen würde. In diesem Fall ist der Eintritt des Ereignissesfür den Beurteilenden negativ. Dies wird als einseitige Risikodefinition be-zeichnet. Der Eintritt eines unsicheren, positiven Ereignisses wird dannanalog als Chance bezeichnet. Im Falle eines Unternehmens sind es diedefinierten Unternehmensziele, die Präferenzen für zukünftige Ereignissesetzen. Alle unsicheren Ereignisse, die negative Auswirkungen auf das Er-reichen der Unternehmensziele haben, sind für das Unternehmen riskant.In der Literatur wird der Begriff Risiko häufig aber auch sowohl für Chan-22


ce als auch für Risiko verwendet – man spricht dann von positiven undnegativen Risiken; dies ist die sogenannte zweiseitige Risikodefinition.

Die zwei bisher erläuterten Charakteristika des Risikobegriffs, die Unsi-cherheit des Ereigniseintritts sowie die Betroffenheit des Beurteilendendurch den Ereigniseintritt, machen seine Subjektivität deutlich. Die Wahr-nehmung eines Risikos ist also von der beurteilenden Person oder Institu-tion abhängig. Wie bereits gezeigt, hängt die Voraussagbarkeit eines Ereig-nisses vom Kenntnisstand des Beurteilenden ab und auch die Betroffen-heit ist subjektiv: Was für den einen wichtig ist, kann einem anderengleichgültig sein. Risiken werden aber nicht nur individuell wahrgenom-men, sondern durch unterschiedliche Beurteilende auch unterschiedlichbewertet. Dabei bestimmt der Grad der Unsicherheit und der Betroffen-heit die Höhe des vom Beurteilenden eingeschätzten Risikos.

Beispiel:Zwei Jungen schwimmen immer weiter auf das offene Meer hinaus.

Nachdem sie nach einiger Zeit die letzte Boje passiert haben, die denSchwimmbereich um das Ufer markiert, wird das Wasser immer dunk-ler und kälter, die Wellen immer höher. Schließlich schlägt einer derbeiden vor, umzukehren – aus Angst, es nicht mehr zu schaffen, zu-rück zum Ufer zu schwimmen oder von der Küstenwache bemerktund gemaßregelt zu werden. Der andere besteht darauf, weiter insMeer zu schwimmen. Er schätzt die beschriebenen Risiken geringerund somit anders als sein Gefährte ein.

Die Definition des Risikobegriffes ist aber noch nicht vollständig. Diedritte wesentliche Eigenschaft von Risiken ist deren Kalkulierbarkeit. Die-se Eigenschaft unterscheidet die Begriffe Risiko und Ungewissheit, in diesich die Unsicherheit bezüglich eines relevanten Zukunftszustandes un-terteilen lässt. Bei einer Risikosituation ist der Eintritt des Ereignisseszwar unsicher, ihm kann jedoch objektiv eine Eintrittswahrscheinlichkeitzugeordnet werden. Bei einem unsicheren, ungewissen Zustand liegt des-sen Eintrittswahrscheinlichkeit nicht vor, sein Eintritt lässt sich somitnicht mithilfe der Stochastik mathematisch erfassen. Die folgende Abbil-dung stellt den Zusammenhang zwischen Unsicherheit, Risiko und Unge-wissheit graphisch dar.

23


Zukunftszustände

Unsicherheit

UngewissheitRisiko

Sicherheit

Abb. 3: Entscheidungssituationen: Unsicherheit, Risiko und Ungewissheit.Quelle: Schneck, 1994, S. 93

Die Kalkulierbarkeit von Risiken ermöglicht Unternehmen, diese ein-zuschätzen und entsprechend dieser Einschätzung Entscheidungen bezüg-lich des Risikomanagements zu treffen. Zusammenfassend kann Risikoim Zusammenhang mit Risikomanagement also als eine kalkulierbareGröße eines möglichen, die Erreichung der Unternehmensziele hindern-den Zukunftszustands definiert werden.

1.4 Risikokomponenten

Risiken können nur dann angemessen gesteuert werden, wenn ihr Aus-maß bewertet werden kann. Dieses Risikoausmaß wird durch die Berech-nung des sogenannten Risikoerwartungswerts ermittelt. Die Grundformelfür den Risikoerwartungswert beinhaltet zwei Komponenten: die Eintritts-wahrscheinlichkeit des Risikos und seine Schadenshöhe. Er ergibt sichaus deren Produkt. Zudem kann die Schadenshäufigkeit als Risikokom-ponente entweder anstelle oder als eine zusätzliche Bewertungsdimensionergänzend zur Eintrittswahrscheinlichkeit herangezogen werden.

Risikoerwartungswert = Eintrittswahrscheinlichkeit ! Schadenshöhe

24


Der Risikoerwartungswert entspricht dem statistischen Erwartungswerteines Risikos im Rahmen der Wahrscheinlichkeitsrechnung, d. h. dem ge-wichteten Mittelwert der Werte, die der Verlust annehmen kann.

Die Eintrittswahrscheinlichkeit gibt an, mit welcher Wahrscheinlichkeitder Eintritt eines Risikos in einem bestimmten Zeitraum zu erwarten ist.Gemäß der Wahrscheinlichkeitsrechnung kann die Eintrittswahrschein-lichkeit Werte zwischen 0 und 1 annehmen. Ein Ereignis, das nie eintre-ten wird, d. h. unmöglich ist, hat eine Eintrittswahrscheinlichkeit von 0.Wird ein Ereignis mit Sicherheit eintreten, so weist es eine Wahrschein-lichkeit von 1, bzw. 100 Prozent auf.

Die Schadenshöhe eines Risikos wird in der Literatur häufig auch alsRisikotragweite, Risikopotenzial oder Risikodimension bezeichnet. Sie er-gibt sich aus dem monetären Wert der Folgen eines Risikoeintritts. Manspricht hier auch von den finanziellen Konsequenzen, die ein Risikoein-tritt auf ein Unternehmen hat. Als Maßgrößen können hier z. B. Umsatz-verluste, Kostensteigerungen, Liquiditäts- bzw. Cashflow-Belastungen, Er-trags- und/oder Vermögensminderungen dienen.

Bei der Ermittlung der Schadenshäufigkeit werden Risiken unter Zeit-bezug bewertet. Es wird also gemessen, wie oft sich ein Risiko innerhalbeines bestimmten Zeitraums realisiert. So besteht beispielsweise für eineVersicherung die Schadenshäufigkeit aus der Anzahl der Versicherungs-fälle, die innerhalb eines Kalenderjahres auf je 1000 versicherte Risikenentfallen. Je höher der Schaden und je größer die Eintrittswahrscheinlich-keit eines Risikos, desto vorteilhafter ist es, die Schadenshäufigkeit als zu-sätzliche Komponente für seine Bewertung heranzuziehen.

Der große Vorteil der Formel für die Berechnung des Risikoerwartungs-wertes ist die Veranschaulichung der grundlegenden Risikokomponenten.Natürlich birgt ein so einfaches Risikomaß Schwächen. Auf komplexere,aber auch genauere Risikomaße durch statistische Methoden und Kenn-zahlen wird später genauer eingegangen.

1.5 Rendite und Risiko

Ohne ökonomischen Bezug macht die Beschäftigung mit dem ThemaRisikomanagement keinen Sinn. Wie bereits erwähnt ist jegliches unter-nehmerische Handeln mit Risiken verbunden. Gemäß der zweiseitigenRisikodefinition können Risiken einerseits eine Verlustgefahr für das Un-ternehmen bedeuten, andererseits aber auch unternehmerische Chancen.Betrachtet man nun ein Unternehmen als eine reine Investition, so stellen 25


unternehmerische Chancen Renditepotenziale dar, die in Abhängigkeit zudem Risiko stehen, das durch das Unternehmen eingegangen wird. Ren-diten sind monetäre Rückflüsse von zuvor investiertem Kapital. Die In-kaufnahme höherer Risiken kann zwar höhere Schäden verursachen, da-für kann sie aber auch zu höheren Renditen führen.

Entsprechend der Markowitz’schen Portfoliotheorie stehen Rendite undRisiko in einem direkten Zusammenhang. So hängt die Gestaltung einesPortfolios, in das ein Investor investieren möchte, von seiner persönlichenRisikobereitschaft ab. Um eine höhere Rendite erzielen zu können, musser ein höheres Risiko eines möglichen Verlustes in Kauf nehmen. Verhälter sich dagegen risikoavers, d. h. tätigt er weniger riskante Investitionen,so kann er nur mit einer geringeren Rendite rechnen. Die Abbildung 4stellt das allgemeine Verhältnis von Risiko zu Rendite dar.

Abb. 4: Das allgemeine Verhältnis von Risiko zu Rendite

Ein klassisches Beispiel für die Risiko-Rendite-Relation sind die Kurs-entwicklungen von Blue Chips einerseits und von sogenannten New Eco-nomy-Wertpapieren andererseits. Als Blue Chips werden die Aktien vonetablierten, substanz- und ertragsstarken Unternehmen bezeichnet, diesich durch erstklassige Bonität sowie gute Wachstumsperspektiven aus-zeichnen. Dagegen versteht man unter »New Economy« neue, innovativeund wachstumsorientierte Unternehmen aus Zukunftsbranchen, insbeson-dere aus dem Technologiebereich. Dass sehr hohe Renditeerwartungen26


mit einem ebenso hohen Risiko einhergehen, verdeutlicht beispielsweisedie im März 2000 geplatzte Spekulationsblase. Wie die folgende Abbil-dung zeigt, verdreifachte sich zwischen 1999 und 2000 die Marktkapitali-sierung der amerikanischen Computer-Börse NASDAQ, dem weltweitgrößten Markt für Technologieunternehmen. Während Anleger am Tech-nologiemarkt in den Monaten vor dem Börsenkrach extrem hohe Rendi-ten erzielen konnten, erlitten sie nach dem Platzen der Dotcom-Blase ei-nen hohen Wertverlust ihrer Aktien. Im gleichen Zeitraum wies der DowJones, der Aktienindex der größten amerikanischen Unternehmen, ver-gleichsweise geringe, aber auf mehr oder weniger demselben Niveau blei-bende Renditen auf. Man kann also feststellen, dass die Kursschwankun-gen der New Economy-Aktien sehr hoch waren, diejenigen der Blue Chip-Unternehmen hingegen eher gering. Hierbei spricht man von Volatilität.Die Volatilität ist im Allgemeinen ein Maß für die Schwankungsbreite ei-ner finanziellen Größe, z. B. eines Aktienindex. Je höher also die Volatili-tät, desto schwankungsfreudiger und damit auch risiko- bzw. chancenrei-cher ist ein Wertpapier.

Abb. 5: Vergleich der Kursverläufe von Dow Jones und Nasdaq 1998–2002.Quelle: Yahoo Finance, 2008

Das Verhältnis zwischen Risiko und Rendite stellt also die ökonomischeGrundlage für das Thema Risikomanagement dar. Um die Rendite deseingesetzten Kapitals und somit den Unternehmenswert steigern zu kön-nen, müssen Unternehmen Risiken eingehen. Durch ein systematisches 27


Risikomanagement können Unternehmen ihr Risiko-Rendite-Profil opti-mieren und dabei Kosten- und Wettbewerbsvorteile erlangen. Die vomUnternehmen getätigten Investitionen sollten stets eine höhere Renditeaufweisen als die risikoabhängigen Kapitalkosten.

Inwieweit einzelne Investoren oder Unternehmen bereit sind, für dieRealisation von Renditen Risiken einzugehen, hängt von ihrer Risikonei-gung ab. Es lassen sich Typen von Risikoneigung unterscheiden: Risikoaf-finität, Risikoaversion und Risikoneutralität. Diese können wie folgt defi-niert werden:

Risikoaversion: Bei zwei sich ausschließenden Entscheidungsalternati-ven wählt der Entscheider die weniger riskante Variante.

Risikoaffinität: Bei zwei sich ausschließenden Entscheidungsalternati-ven wählt der Entscheider die riskantere Variante.

Risikoneutralität: Dem Entscheider ist die Auswahl einer Entschei-dungsalternative gleichgültig.

Die Nobelpreisträger Daniel Kahneman und Amos Tversky haben durchVerhaltensexperimente die Risikoneigung verschiedener Menschen unter-sucht. In einer ersten Versuchsreihe wurden die Probanden gefragt, obsie es vorziehen würden, a) mit 80 Prozent Wahrscheinlichkeit 4000 US-Dollar zu gewinnen und mit 20 Prozent Wahrscheinlichkeit nichts zu er-halten oder b) mit Sicherheit 3000 US-Dollar zu gewinnen. Obwohl Alter-native A mit 80%! 4000 $ = 3200 $ einen höheren Erwartungswert auf-weist als Alternative B mit dem sicheren Gewinn von 3000 $, entschiedensich 80 Prozent der Probanden für B. Menschen neigen also im Allgemei-nen dazu, bei Gewinnentscheidungen sichere Alternativen risikoreicherenvorzuziehen, d. h. sich risikoavers zu verhalten.

In einer zweiten Versuchsreihe wurden die Probanden gebeten, zwi-schen a) einen mit 80-prozentiger Wahrscheinlichkeit eintretenden Ver-lust von 4000 US-Dollar und b) einem mit Sicherheit eintretenden Ver-lust von 3000 US-Dollar zu wählen. In diesem Experiment entschiedensich 92 Prozent aller Probanden für Alternative A, obwohl hier der Erwar-tungswert des Verlustes mit 3200 US-Dollar höher ist als der von Alterna-tive B. Damit verhielten sich die Probanden in Bezug auf das Verlustrisikorisikoaffin.

Insgesamt zeigen die Ergebnisse dieser Untersuchungen, dass Menschendazu tendieren, irrational zu handeln und auf dieselben Wahrscheinlichkei-28


ten eines Risikos und einer Chance unterschiedlich reagieren können – sozogen die Probanden im dargelegten Experiment einerseits einen sicheren,aber geringeren Gewinn vor, andererseits bevorzugten sie ein unsicheres, hö-heres Verlustrisiko. Menschen treffen also häufig irrationale Entscheidungenoder entscheiden aufgrund von fehlerhaften rationalen Analysen. Im Gegen-satz dazu ist es das Ziel des Risikomanagements, Alternativen rational abzu-wägen und plausible Entscheidungen zu treffen, um Risiken entsprechenddenmit ihnen verbundenen Chancen zu steuern.

1.6 Maßnahmen der Risikosteuerung

Risikomanagement ist ein wichtiger Bestandteil einer wertorientiertenUnternehmensführung. Nur wenn Chancen und Risiken innerhalb unter-nehmerischer Entscheidungen integrativ berücksichtigt werden, kann derWert eines Unternehmens langfristig gesteigert werden. Somit kann manim Zusammenhang mit Risikomanagement auch gleichzeitig von Chan-cenmanagement sprechen. Ziel des Risikomanagements ist es also nicht,das Unternehmensrisiko zu minimieren, sondern das Risiko-Rendite-Pro-fil zu optimieren. Die Abbildung 6 zeigt die möglichen Maßnahmen imProzess der Risikosteuerung.

Abb. 6: Mögliche Maßnahmen der Risikosteuerung: identifizieren, vermeiden, vermindern, ver-lagern und selbst tragenQuelle: Gleißner/Romeike, 2005, S. 36

Bevor angemessene Maßnahmen der Risikosteuerung ausgewählt undergriffen werden können, müssen zunächst die bestehenden Risiken undChancen identifiziert werden. Nach der Risikoidentifikation ist es notwen- 29


dig, eine Analyse und Bewertung der erkannten Risiken im Hinblick aufihre Auswirkung auf den Unternehmenserfolg durchzuführen. Erst da-nach kann die Unternehmensleitung entscheiden, welche Risikostrategiefür welche Risiken am besten geeignet ist. Es bestehen mehrere Möglich-keiten im Umgang mit Risiken.

Bei der Risikovermeidung wird ein Risiko gänzlich vermieden, bei-spielsweise durch den Ausstieg aus einem riskanten Geschäftsfeld oderProjekt. Die Vermeidung von Risiken schließt aber gleichzeitig auch Er-tragsmöglichkeiten aus. Deswegen ist es häufig sinnvoller, die bestehen-den Risiken zu akzeptieren und zu versuchen, sie soweit wie möglich zuvermindern. Die Risikoverminderung kann durch eine ursachenorientierteMinderung der Eintrittswahrscheinlichkeit, z. B. die verstärkte Wartungder Produktionsanlagen, oder durch eine wirkungsorientierte Minderungder Schadenshöhe, z. B. die Reduzierung des Anteils fixer Kosten durchOutsourcing, erreicht werden. Zudem kann das Unternehmen durch Risi-kodiversifikation versuchen, Risiken einzelner Vermögenspositionen mit-einander auszugleichen. Folglich führt dies zu einer Vermögensposition,dessen Risiko kleiner ist als die Summe der Einzelrisiken. Die Gewinn-Risiko-Relation wird positiv beeinflusst, indem das Schadensausmaß ver-ringert wird, da ein gleichzeitiges Eintreten aller Risiken als relativ un-wahrscheinlich gilt. Die Diversifikation lässt sich u. a. für Absatzregionenoder bei Produkten, Dienstleistungen und Geschäftsbereichen anwenden.In Bezug auf Letzteres nutzen Mischkonzerne wie General Electric auchdas Prinzip der Diversifikation. Indem sie in mehreren Geschäftsberei-chen tätig sind, wird ein möglicher Gewinneinbruch einer Sparte durchandere Unternehmensbereiche abgemildert. Eine weitere Möglichkeit derRisikobewältigung ist der Risikotransfer auf Dritte durch den Abschlussvon Versicherungen oder Vertragsklauseln bei Verträgen mit Kunden undLieferanten.

Risiken, die weder vermieden, noch vermindert oder verlagert wurden,müssen vom Unternehmen selbst getragen werden. Dabei entscheidet dieQualität der Risikoidentifikation, ob Risiken bewusst oder unbewusst ge-tragen werden. In der Regel ist es nicht möglich, alle Risiken vollständigzu erfassen. Die nicht identifizierten Risiken werden vom Unternehmengetragen, ohne gesteuert werden zu können. Das Gesamtrisiko eines Un-ternehmens setzt sich somit aus den identifizierten und den nicht identi-fizierten Risiken zusammen. Dieses darf die Risikotragfähigkeit des Un-ternehmens, d. h. dessen Möglichkeit, einen eingetretenen Schaden ausUnternehmensmitteln wieder gut zu machen, nicht übersteigen, da sonstder Fortbestand des Unternehmens gefährdet ist. Entscheidend für Risiko-30


tragfähigkeit eines Unternehmens ist unter anderem dessen Eigenkapital-quote. Je höher diese ist, desto höher ist auch dessen Tragfähigkeit.

1.7 Zusammenfassung

In diesem Kapitel wurde am Beispiel der Subprime-Krise deutlich, dassdie rechtzeitige Erkennung von Risiken für jedes Unternehmen und jedeInstitution wichtig und notwendig ist. Risikomanagement sollte nicht nurauf Grund gesetzlicher Anforderungen wie des KonTraG eingesetzt wer-den, sondern auch und vor allem aus Eigeninteresse des Unternehmens.Gründe dafür sind unter anderem die Erhöhung der Qualität unternehme-rischer Entscheidungen, die langfristige Sicherung des Unternehmensfort-bestands und die nachhaltige Steigerung des Unternehmenswerts. Als Ri-sikokomponenten wurden die Eintrittswahrscheinlichkeit und die Scha-denshöhe definiert. Der Hauptunterschied zwischen Risiko und Unge-wissheit besteht in der Kalkulierbarkeit des Risikos. Nur dadurch ist esUnternehmen möglich, Risiken systematisch zu steuern. Im nächsten Ka-pitel werden die verschiedenen rechtlichen Vorschriften für Unterneh-men, Banken und Versicherungen in Bezug auf den Umgang mit Risikennäher betrachtet.

31


2Rechtliche Grundlagen des Risikomanagements

2.1 Vorschriften für Unternehmen

2.1.1 Gesetz zur Kontrolle und Transparenz von Unternehmen(KonTraG)

Wie bereits erläutert veranlasste die Vielzahl von UnternehmenskrisenAnfang der 1990er-Jahre den Gesetzgeber, zusätzliche Anforderungen andie Vorstände, Geschäftsführer und die Aufsichtsgremien eines Unterneh-mens sowie an die Wirtschaftsprüfer zu stellen. Das KonTraG ist im ei-gentlichen Sinne kein eigenständiges Gesetz, sondern ergibt sich aus vie-len Änderungen an und Ergänzungen zu anderen Gesetzen. Insgesamtwurden durch das mit Wirkung vom 1. Mai 1998 in Kraft getretene Gesetzzehn Gesetze beziehungsweise Verordnungen geändert, hauptsächlich imAktiengesetz (AktG) sowie im Handelsgesetzbuch (HGB), aber auch imPublizitätsgesetz (PublG) und im Genossenschaftsgesetz (GenG).

Mit der Einführung dieses Gesetzes wurden verschiedene Ziele verfolgt.Das KonTraG beabsichtigt, Unternehmen dazu zu bringen, ihre Risikosi-tuation systematisch zu beobachten und somit Fehlentwicklungen in denGeschäftsprozessen frühzeitig zu erkennen und ihnen zu begegnen. Indiesem Rahmen soll auch die Zusammenarbeit zwischen Aufsichtsrat,Vorstand und Wirtschaftsprüfern verbessert werden. Weiterhin sollen dieQualität der Abschlussprüfung und die Transparenz im Unternehmen er-höht sowie die Kontrolle durch die Hauptversammlung verstärkt werden.Die Gesamtheit dieser Vorschriften soll dazu beitragen, Anteilseigner bes-ser zu schützen und ihr Vertrauen in das Unternehmen zu stärken.

Zu den wichtigsten Änderungen durch das KonTraG gehört dabei dieEinführung des § 91 Abs. 2 AktG, der die Einrichtung eines Risikomana-gementsystems (RMS) bei allen börsennotierten Unternehmen vor-schreibt.

33

Rechtliche Grundlagendes Risiko-

managementsRisikomanagement. Ottmar SchneckCopyright © 2010 WILEY-VCH Verlag Gmbh & Co. KGaAISBN 978-3-527-50543-2

§ 91 Abs. 2 AktG»Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere

ein Überwachungssystem einzurichten, damit den Fortbestand der Ge-sellschaft gefährdende Entwicklungen früh erkannt werden.«

Dieser grundlegende Paragraph zur Organisation und Buchführung ei-ner AG verpflichtet den Vorstand, für ein angemessenes Risikomanage-ment und für eine angemessene Interne Revision im Unternehmen zusorgen. Damit werden auch interne Ablaufprozesse und Organisations-strukturen angesprochen, die auf vorhandene Risiken hin zu überprüfensind. Die diesbezüglich ergriffenen Maßnahmen der internen Über-wachung sollen es erlauben, bestehende Risiken frühzeitig, also zu einemZeitpunkt zu erkennen, an dem noch geeignete Gegenmaßnahmen ergrif-fen werden können und somit der Fortbestand des Unternehmens gesi-chert werden kann. Den Fortbestand gefährdende Entwicklungen sind bei-spielsweise risikobehaftete Geschäfte, die sich negativ auf die Finanz-,Vermögens- und Ertragslage des Unternehmens auswirken können.

Obwohl die Einrichtung eines Risikomanagementsystems (RMS) unmit-telbar nur für Aktiengesellschaften gesetzlich vorgeschrieben ist, wird inder Begründung des KonTraG jedoch deutlich, dass das Gesetz Ausstrah-lungswirkungen auf andere Gesellschaftsformen hat. Es sind je nach Grö-ße, Branche und Struktur eines Unternehmens insbesondere auch die Ge-schäftsführer von GmbHs von diesen Regelungen betroffen. So definiertdas KonTraG Risikomanagement als Bestandteil der Sorgfaltspflichtennicht nur des Vorstands einer AG (§ 93 AktG), sondern genauso eines je-den GmbH-Geschäftsführers (§ 43 Abs. 1 GmbHG). Diese müssen zudemgenau wie die Vorstände einer Aktiengesellschaft im Fall einer Unterneh-menskrise beweisen, dass sie sich objektiv und subjektiv pflichtgemäßverhalten und Maßnahmen zur Früherkennung und Abwehr der Risikengetroffen haben. Eine Verletzung der Sorgfaltspflicht führt zur Schadens-ersatzpflicht der Geschäftsleitung. Außerdem kommt hinzu, dass im Rah-men des KonTraG Vorstände von Unternehmensgruppen ihrer Verpflich-tung zum Risikomanagement konzernweit nachkommen müssen. Da vonTochterunternehmen unabhängig ihrer Rechtsform bestandsgefährdendeRisiken ausgehen können, müssen diese in das Risikomanagementsystemdes Konzerns integriert werden.

Die Aufnahme der Beurteilung und Erläuterung wesentlicher künftigerRisiken in den Lagebericht ist in § 289 Abs. 1 Satz 4 HGB geregelt. Durchdiesen Risikolagebericht sollen sowohl Vorstand als auch Aufsichtsrat34


frühzeitig Kenntnis über bestehende Risiken und unternehmensgefähr-dende Entwicklungen erlangen.

§ 289 Abs. 1 HGB»Im Lagebericht … der Kapitalgesellschaft … ist auch auf die Risiken

der künftigen Entwicklung einzugehen.«

Im Allgemeinen wurden durch das KonTraG die Aufgaben des Wirt-schaftsprüfers erweitert und betreffen nun auch das Risikomanagementdes Unternehmens. Die Umsetzung der Vorschriften bezüglich des Risi-komanagements wird somit in der externen Jahresabschlussprüfung über-prüft. Gemäß § 317 Abs. 4 HGB muss demnach im Rahmen der Prüfungdes Jahresabschlusses untersucht werden, ob durch § 91 Abs. 2 AktG dasvorgeschriebene Risikomanagementsystem vom Vorstand ordnungsgemäßeingerichtet wurde und seine Aufgaben erfüllt sind.

§ 317 Abs. 4 HGB»Bei einer börsennotierten Aktiengesellschaft ist außerdem im Rah-

men der Prüfung zu beurteilen, ob der Vorstand die ihm nach § 91Abs. 2 des Aktiengesetzes obliegenden Maßnahmen in einer geeig-neten Form getroffen hat und ob das danach einzurichtende Über-wachungssystem seine Aufgaben erfüllen kann.«

Zudem schreibt § 317 Abs. 2 HGB eine Überprüfung der Darstellung derRisiken der zukünftigen Unternehmensentwicklung im Lagebericht aufihre Plausibilität hin vor. In § 321 Abs. 1 HGB wird nochmals die Wichtig-keit der Beurteilung der zukünftigen Unternehmensentwicklung betont.

§ 317 Abs. 2 HGB»Der Lagebericht und der Konzernlagebericht sind … zu prüfen …

Dabei ist auch zu prüfen, ob die Risiken der künftigen Entwicklungzutreffend dargestellt sind.«

§ 321 Abs. 1 HGB»In dem Bericht ist vorweg zu der Beurteilung der Lage des Unter-

nehmens oder Konzerns durch die gesetzlichen Vertreter Stellung zunehmen, wobei insbesondere auf die Beurteilung des Fortbestandesund der künftigen Entwicklung des Unternehmens ... einzugehen ist.«

35


managements

Die Ergebnisse der Abschlussprüfung sind gemäß § 321 Abs. 4 HGBim Prüfungsbericht darzustellen, wobei der Abschlussprüfer gegebenen-falls auch auf Schwachstellen des Risikomanagements und erforderlicheMaßnahmen zur deren Behebung einzugehen hat.

§ 321 Abs. 4 HGB»Ist im Rahmen der Prüfung eine Beurteilung nach § 317 Abs. 4 abge-

geben worden, so ist deren Ergebnis in einem besonderen Teil des Prü-fungsberichts darzustellen. Es ist darauf einzugehen, ob Maßnahmen er-forderlich sind, um das interne Überwachungssystem zu verbessern.«

Nicht nur die Prüfungsaufgaben der Wirtschaftsprüfer, sondern vor al-lem auch die Aufgabenbereiche der Gesellschaftsorgane haben durch dasKonTraG eine Erweiterung erfahren. Neben der Einrichtung des Risiko-frühwarnsystems hat der Vorstand noch weitere Verpflichtungen zu erfül-len. Nach § 90 Abs. 1 Nr. 1 AktG muss er den Aufsichtsrat nun so überdie Geschäftspolitik und Unternehmensführung informieren, dass dieserdie Möglichkeit hat, eine ex-ante-orientierte Überwachung durchzuführen.Darüber hinaus muss der Vorstand auf Grund der Änderungen des imJuli 2002 in Kraft getretenen Transparenz- und Publizitätsgesetzes (Trans-PuG) nun auch »Abweichungen der tatsächlichen Entwicklung von früherberichteten Zielen unter der Angabe von Gründen« (§ 90 Abs. 1 Nr. 1AktG) darlegen.

Zudem wird der Aufsichtsrat von börsennotierten Gesellschaften durchdas KonTraG dazu verpflichtet, seine Sitzungsfrequenz auf zwei Sitzun-gen pro Kalenderhalbjahr zu erhöhen. Ferner soll die Zusammenarbeitzwischen Abschlussprüfer und Aufsichtsrat intensiviert werden, damit derAufsichtsrat seinem Überwachungsauftrag in vollem Umfang gerecht wer-den kann. Dazu erteilt nun gemäß der Änderung des § 111 Abs. 2 S. 3AktG der Aufsichtsrat den Prüfungsauftrag und nicht mehr der Vorstand.Auch gegenüber der Hauptversammlung wurden die Pflichten des Auf-sichtsrats erweitert. Nach § 171 Abs. 2 AktG müssen demnach mehr Infor-mationen bezüglich der Art und des Umfangs der Prüfung der Geschäfts-führung als bisher an die Aktionäre weitergegeben werden. Dadurch sollmehr Druck auf den Aufsichtsrat ausgeübt und die Transparenz durchOffenlegung von möglichen Risiken gegenüber den Anteilseignern erhöhtwerden.

Das KonTraG hat auch Auswirkungen auf das Kreditwesengesetz(KWG). Hier ist besonders § 18 Satz 1 zu beachten, der Banken dazu ver-36


pflichtet, vor der Vergabe eines Kredits, der 750000 Euro überschreitet,die Offenlegung der wirtschaftlichen Verhältnisse und insbesondere dieVorlage der Jahresabschlüsse des kreditsuchenden Unternehmens zu ver-langen.

§ 18 Satz 1 KWG»Ein Kreditinstitut darf einen Kredit, der insgesamt 750 000 Euro

oder 10 vom Hundert des haftenden Eigenkapitals des Instituts über-schreitet, nur gewähren, wenn es sich von dem Kreditnehmer die wirt-schaftlichen Verhältnisse, insbesondere durch Vorlage der Jahres-abschlüsse, offen legen lässt.«

Somit spielt die Beurteilung des Risikomanagementsystems eines Un-ternehmens durch den Wirtschaftsprüfer eine wichtige Rolle bei der Kre-ditvergabe. Auch seitens der Kreditinstitute müssen nicht nur die momen-tane, sondern auch die zukünftige Entwicklung des Unternehmens bewer-tet werden, da das KWG die kontinuierliche Überprüfung und Analyseder wirtschaftlichen Entwicklung des Unternehmens fordert. § 18 KWGstellt also Anforderungen an die Kreditinstitute bezüglich der Beurteilungzukünftiger Risiken des Kreditnehmers. Auf weitere Anforderungen desKWG zum Risikomanagement bei Banken wird im Kapitel über die Vor-schriften für Banken eingegangen.

Seit dem Inkrafttreten des KonTraG ist ein RisikomanagementsystemPflicht für alle börsennotierten Unternehmen. Die konkrete Ausgestaltungdes Systems bleibt aufgrund der Individualität der Risikosituation demeinzelnen Unternehmen überlassen, es werden im Allgemeinen jedochdrei Elemente erwartet: ein Frühwarnsystem für aktuelle und zukünftigeRisiken, ein internes Überwachungssystem sowie ein Controlling. Die Im-plementierung eines solchen Risikomanagementsystems ist die Pflicht desVorstands, der Aufsichtsrat muss diese Implementierung kontrollierenund bekommt dabei Unterstützung vom Abschlussprüfer. Die Haftung al-ler drei Parteien ist durch die Neuregelungen erweitert. Durch den erwei-terten und vom Abschlussprüfer zu beurteilenden Lagebericht werden An-leger und andere Stakeholder besser informiert und mögliche Risikenwerden frühzeitig erkannt und gesteuert.

37


managements

2.1.2 Deutsche Rechnungslegungsstandards (DRS)

Unmittelbar nach der Verabschiedung des KonTraG wurde, ebenfallsim Jahr 1998, der eingetragene Verein »Deutsches RechnungslegungsStandards Committee« (DRSC) als nationale Standardisierungsorganisati-on geschaffen. Der DRSC ist Träger des Deutschen Standardisierungsrats(DSR) und des Rechnungslegungs Interpretations Commitees (RIC). DerDSR wurde als unabhängiges Standardisierungsgremium gegründet. Erführt die zur Erreichung der Ziele des DRSC e.V. erforderlichen Aufgabenaus. Das Rechnungslegungs Interpretations Committee (RIC) hat die Auf-gabe, die internationale Konvergenz von Interpretationen wesentlicherRechnungslegungsfragen zu fördern und spezifische nationale Sachverhal-te im Rahmen der gültigen IFRS und in Abstimmung mit den DRS zubeurteilen. Dies geschieht in enger Zusammenarbeit mit dem Internatio-nal Financial Reporting Interpretations Committee (IFRIC) des IASB so-wie den entsprechenden Gremien der anderen nationalen Standardsetzer.In den Arbeitsgruppen des DRSC sind Repräsentanten verschiedener Inte-ressengruppen im Zusammenhang mit der Rechnungslegung vertreten.Dazu gehören Abschlussprüfer, Jahresabschlussersteller und -adressatensowie Vertreter aus der Wissenschaft.

Gemäß der Satzung des DRSC verfolgt die Arbeit des Vereins mehrereZiele. Dazu gehört die Entwicklung von Empfehlungen, d. h. bestimmterStandards zur Anwendung der Grundsätze über die Konzernrechnungs-legung. Das DRSC diskutiert deutsche und internationale Rechnungs-legungsstandards bezüglich ihrer Auslegung und Anwendbarkeit inDeutschland. Die Diskussion der Umsetzung und der Konvergenz inter-nationaler Rechnungslegungsvorschriften mit nationalen Standards ge-schieht durch die Zusammenarbeit des DRSC mit dem International Ac-counting Standards Board (IASB) und anderen Standardisierungsgremien,wie z. B. der Vertretung der gebündelten Rechnungslegungsinteressen ge-genüber der International Accounting Standards Committee Foundation(IASCF). Weitere Ziele des Komitees sind die Vertretung der Bundesrepu-blik Deutschland in internationalen Standardisierungsgremien sowie dieBeratung der Gesetzgebung auf nationaler und EU-Ebene in Fragen derRechnungslegung und die Förderung der Forschung und Ausbildung aufdiesen Gebieten. Zudem beabsichtigt der DRSC, die Qualität in Rech-nungslegung und Finanzberichterstattung im öffentlichen Interesse zu er-höhen.

Durch diese Aufgaben hat der DRSC Einfluss auf das Risikomanage-ment von Unternehmen. So hat der deutsche Gesetzgeber beispielsweise38


weder im Gesetz noch in der Gesetzesbegründung konkrete Grundsätzefür die Aufstellung einer Risikoberichterstattung festgelegt. Diese Lückemöchte der Deutsche Rechnungslegungsstandard 5 (DRS 5) füllen undpräzisiert die Änderungen, die zuvor durch das KonTraG eingeführt wor-den waren. Dieser Standard regelt die Grundsätze der Risikoberichterstat-tung für alle Mutterunternehmen, die gemäß § 315 HGB über die Risikender künftigen Entwicklung im Konzernlagebericht zu berichten habenund für Unternehmen, die ihren Konzernabschluss nach international an-erkannten Rechnungslegungsgrundsätzen aufstellen. Zudem wird eineentsprechende Anwendung im Lagebericht gemäß § 289 HGB empfohlen.Der DRS 5 verlangt, den Lageberichtadressaten entscheidungsrelevanteund zuverlässige Informationen zur Verfügung zu stellen, mit deren Hilfesie sich ein zutreffendes Bild über die zukünftigen Risiken des Unterneh-mens machen können. Dabei liegt der Schwerpunkt vor allem auf unter-nehmensindividuellen Risiken, d. h. Risiken, die mit den spezifischen Un-ternehmensgegebenheiten sowie der Geschäftstätigkeit des Unternehmenszu tun haben und somit die Entscheidungen der Lageberichtsadressatenbeeinflussen können. Zudem fordert der DRS 5 eine Quantifizierung dervorhandenen Risiken, sofern verlässliche und anerkannte Methoden dafürverfügbar sind. Da das Ergebnis der Quantifizierung vom verwendetenModell und den zugrundegelegten Modellannahmen abhängt, müssen die-se verständlich dargestellt und erläutert werden. Die Quantifizierung wirdzurzeit aber im Prinzip nur für Finanzrisiken verlangt. Weiterhin schreibtder DRS 5 die Beschreibung des im Unternehmen etablierten Risikoma-nagementsystems vor, bei der vor allem die Strategie, der Prozess und dieOrganisation des Risikomanagements dargelegt werden müssen.

Neben dem DRS 5 betrifft auch der DRS 15 aus dem Jahr 2004 dasRisikomanagement in Unternehmen. In diesem Standard wird die Lagebe-richterstattung geregelt. Genau wie im die Risikoberichterstattung betref-fenden DRS 5 hat der Lagebericht gemäß DRS 15 den Lageberichtadressa-ten entscheidungsrelevante und verlässliche Informationen über den Ge-schäftsverlauf und die Lage des Unternehmens zu vermitteln und auf diewesentlichen, die Zukunft der Geschäftstätigkeit des Unternehmens be-stimmenden Chancen und die Risiken einzugehen.

Neben dem Gesetzgeber, der Initiativen wie das KonTraG auf den Wegbringt, gibt es in Deutschland also einen unabhängigen Standardsetter,der sich auf die Entwicklung von Grundsätzen der Rechnungslegung kon-zentriert und deren Umsetzung als Selbstverwaltungsaufgabe der Unter-nehmen sieht und durchsetzen möchte.

39


managements

2.1.3 Corporate-Governance-Regeln

Der aus dem Englischen stammende Begriff »Corporate Governance«lässt sich nur schwer ins Deutsche übersetzen. Auch wenn die deutscheBezeichnung »Unternehmensverfassung« im Sinne aller für ein Unter-nehmen und dessen Mitarbeiter geltenden Verhaltensregeln der Bedeu-tung des Begriff »Corporate Governance« nahe kommt, gibt sie nicht alleAspekte des Begriffs wieder. Deshalb wird auch im deutschen Sprach-gebrauch von Corporate Governance gesprochen. Je nach Definition kanndieser Begriff weiter oder enger gefasst werden.

Im engeren Sinn meint Corporate Governance die Kontrollmechanis-men zur Kontrolle der Unternehmensführung eines Unternehmens. Dieseenge Definition basiert auf der Principal-Agent-Theorie, die davon aus-geht, dass Wirtschaftssubjekte durch eine asymmetrische Informations-verteilung in ihrer Entscheidungsfindung eingeschränkt sind und unter-schiedliche Interessen verfolgen. Laut diesem Modell gibt es einenAuftraggeber (Prinzipal) und einen Auftragnehmer (Agent), der vom Auf-traggeber mit einer Aufgabe betraut wird. Im Bezug auf ein Unternehmenübernehmen die Anteilseigner die Rolle des Prinzipals und die Geschäfts-führung die des Agenten. Da die Geschäftsführung und die Anteilseignerunterschiedliche Ziele verfolgen, kann dies zu Konflikten führen. DerPrinzipal erwartet vom Agenten, dass sich dieser ausschließlich für dieAuftragserfüllung und somit für die Erreichung der Ziele des Prinzipalseinsetzt, kann jedoch die tatsächlichen Handlungen seines Agenten nurmit Einschränkungen erkennen. Der Agent hat somit einen Informations-vorsprung gegenüber dem Prinzipal und kann diese Informationsasym-metrie, zu Ungunsten des Prinzipals, zur Verfolgung seiner eigenen Zielenutzen. Die Corporate Governance soll die mögliche Ausnutzung der In-formationsasymmetrie verhindern und gegenüber den Shareholdern einegute Geschäftsführung sicherstellen. Nach der engeren Definition werdenunter Corporate Governance also alle für ein Unternehmen geltenden Ge-setze und Regelwerke verstanden, die die Verantwortlichkeit gegenüberdessen Anteilseignern gewährleisten. Die weitere Definition der CorporateGovernance betrifft nicht nur die Interessen der Anteilseigner, sonderndie aller Stakeholder des Unternehmens. Es handelt sich in diesem Fallum sämtliche Informations- und Kontrollstrukturen eines Unternehmens,die die Verantwortlichkeit der Geschäftsleitung gegenüber allen Stakehol-dern gewährleisten. Die umfassendste Definition bezieht auch die soziale,gesellschaftliche und kulturelle Verantwortung der Unternehmen mit ein.

40


Im Allgemeinen kann unter Corporate Governance das Setzen und Ein-halten aller Verhaltensgrundsätze zusammengefasst werden, die für die Lei-tung und Überwachung eines Unternehmens von Bedeutung sind und dasZiel haben, die Transparenz zu erhöhen und ein ausgewogenes Verhältnisvon Führung und Kontrolle herzustellen. Wer diese Richtlinien setzt, istdabei unterschiedlich. Sie können beispielsweise durch Gesetze vorgeschrie-ben sein oder auch nur in einer Absichtserklärung eines Unternehmensdargelegt werden. Deshalb können manche Corporate Governance-Vor-schriften verpflichtend und andere unverbindlich sein. Von »Compliance«bzw. Komplianz wird im Zusammenhang mit Corporate Governance ge-sprochen, um die Einhaltung der unterschiedlichen Gesetze, Richtlinienund freiwilligen Kodizes durch ein Unternehmen zu bezeichnen.

Bislang ist die konkrete Ausgestaltung der die Corporate Governancebetreffenden Bestimmungen zumeist länderspezifisch, es existieren aberauch länderübergreifende Standards. Zusammenfassend kann unter Cor-porate Governance also die Gesamtheit aller internationalen und nationa-len Grundsätze für eine gute und verantwortungsvolle Unternehmensfüh-rung verstanden werden. Corporate Governance hat für börsennotierteUnternehmen und deren Investoren die größte Bedeutung.

Beispiel: FTSE4Good Index SeriesDer britische Indexanbieter FTSE Group (FTSE) hat eine Indexserie

auf den Markt gebracht, die »FTSE4Good Index Series«, die die Perfor-mance von Unternehmen misst, die international anerkannte Corpora-te-Governance-Standards erfüllen. Um in diese Indexserie aufgenom-men zu werden, müssen Unternehmen einer Reihe von definiertenStandards gerecht werden. Ziel dieser Indexserie ist es, die Investitionin verantwortungsvoll geführte und somit risikoärmere Unternehmenzu erleichtern. Zudem soll das Bewusstsein für die Notwendigkeit ei-ner verantwortungsvollen Unternehmensführung geschaffen werdenund Unternehmen ein Anreiz gegeben werden, sich um die Erfüllungder Standards zu bemühen.

In Deutschland forderten Experten nach der Einführung des KonTraGund der Gründung des DRSC noch eine weitere Verschärfung der Geset-zesänderungen und Initiativen zur Verbesserung des Risikomanagementsin Unternehmen. Der deutsche Gesetzgeber reagierte daraufhin und setz-te zunächst die Baums-Kommission, und dann auf deren Ergebnissen auf-bauend die Cromme-Kommission ein. Die Letztere hatte die Aufgabe, ei- 41


managements

nen Kodex zu erarbeiten, der auf die vor allem von internationalen Inves-toren geäußerte Kritik an der mangelhaften Corporate Governance deut-scher Unternehmen eingeht. Deswegen wurde der Kommission auch derName »Regierungskommission Deutscher Corporate Governance Kodex«gegeben. Der von dieser Regierungskommission erarbeitete Deutsche Cor-porate Governance Kodex (DCGK) aus dem Jahr 2002 ist nicht gesetzlichverankert, sondern basiert auf dem Prinzip der Selbstregulierung. Er wirdvon der Kommission jährlich überprüft und an aktuelle Entwicklungen imBereich der Corporate Governance angepasst.

Der DCGK enthält Vorschläge für eine gute und verantwortungsvolleUnternehmensführung und beabsichtigt eine Vereinheitlichung und Stan-dardisierung der Corporate-Governance-Regeln in Deutschland. Auf dieseWeise soll die Transparenz der Unternehmensführung deutscher Unter-nehmen erhöht und somit das Vertrauen nationaler und internationalerInvestoren gestärkt werden. Der Kodex richtet sich dabei insbesondere analle börsennotierten Unternehmen, seine Beachtung wird aber auch ande-ren Unternehmen empfohlen.

Der Kodex geht also über die gesetzlichen Vorgaben in Deutschlandnoch hinaus und unterscheidet im Detail drei verschiedene Arten von Be-stimmungen: die »Muss«-Vorschriften, die »Soll«-Formulierungen sowiedie »Sollte« oder »Kann«-Formulierungen. Die erste Kategorie umfasst Be-stimmungen, die geltendes Recht wiedergeben, also von den Unternehmeneingehalten werden müssen. Die zweite Kategorie enthält Empfehlungen,die auf einer freiwilligen Basis anzuwenden sind. Allerdings folgen dieseEmpfehlungen einer »Comply or Explain«-Regel (»befolge oder erkläre«),sodass Abweichungen von diesen Empfehlungen nach § 161 AktG jährlichvon Vorstand oder Aufsichtsrat in einer »Entsprechungserklärung« begrün-det werden müssen. Die dritte Kategorie umfasst alle sonstigen Hand-lungsanregungen für Unternehmen, deren Nichtbeachtung aber nicht ge-rechtfertigt werden muss. Zu dieser Kategorie gehören beispielsweise Ver-haltensstandards für Vorstand und Aufsichtsrat, aber auch Informations-pflichten gegenüber Anteilseignern sowie eine Präzisierung der Rolle desAbschlussprüfers und Regeln, die das Risikomanagement betreffen. DerDeutsche Corporate Governance Kodex konkretisiert jedoch nicht das nachdem KonTraG zu implementierende Risikomanagementsystem.

Da der Deutsche Corporate Governance Kodex nicht gesetzlich verankertist, kann er schneller und flexibler an neue Entwicklungen angepasst wer-den. Zudem versucht er, durch seine dritte Kategorie der Handlungsanre-gungen die Unternehmen in die Entwicklung der Corporate Governanceproaktiv mit einzubeziehen. Andererseits sind die Folgen bei Nichteinhal-42


tung der Regeln des DCGK auf Imageschäden des Unternehmens be-schränkt. Sanktionen haben Unternehmen hingegen nicht zu fürchten.

2.1.4 Sarbanes-Oxley Act

Auch in den USA wurden als Folge der Insolvenzen großer Unterneh-men wie beispielsweise Enron und Worldcom die Vorschriften zur Corpo-rate Governance von Unternehmen verschärft. Im Jahr 2002 hat die US-amerikanische Wertpapieraufsichtsbehörde, die Securities and ExchangeCommission (SEC), den sogenannten Sarbanes-Oxley Act (SOX) erlassen,mit dem vor allem eine Verbesserung der Unternehmensberichtserstat-tung erreicht werden sollte.

Das Gesetz beschäftigt sich mit verschiedenen Aspekten der CorporateGovernance, vor allem ihrer Durchsetzung und ist in »Sections«, d. h. ver-schiedene Paragraphen unterteilt. Der SOX greift viele CG-Aspekte aufund verändert bzw. erweitert die Aufgaben von Geschäftsführung, Auf-sichtsorganen und Wirtschaftsprüfern. Adressaten des SOX sind dabei alleUS-amerikanischen und ausländischen Unternehmen, die an der NAS-DAQ oder anderen US-Börsen notiert sind und darüber hinaus alle aus-ländischen Tochtergesellschaften amerikanischer Unternehmen. Das Zieldes SOX ist die Wiederherstellung des Vertrauens der Anleger in die Ka-pitalmärkte bzw. in die Richtigkeit und Verlässlichkeit der veröffentlichtenFinanzdaten von Unternehmen.

Die Vorschriften des SOX können dabei mit denen des KonTraG inDeutschland verglichen werden, allerdings gehen einige Vorgaben ausdem SOX über das deutsche Gesetz hinaus. Zum Bespiel zieht der SOXdie Geschäftsführung bei unvollständigen oder falschen Angaben bei derBerichterstattung noch stärker zur Verantwortung. Gemäß Section 302 desSOX müssen der CEO und der CFO des Unternehmens unter Androhungstrafrechtlicher Konsequenzen die Geschäftsabschlüsse an Eides statt be-glaubigen. Im Gegensatz dazu wird auch nach der Einführung des Kon-TraG in Deutschland lediglich die Aufstellung und Unterzeichnung desJahresberichts gefordert, nicht aber eine zusätzliche Erklärung. Auch dieStrafen für falsche oder unvollständige Angaben gehen weit über die nachdeutschem Recht gültigen Strafmaße hinaus.

Des Weiteren stellt der SOX erhöhte Ansprüche an die Geschäftslei-tung, die kontinuierlich darüber Rechenschaft abzulegen hat, ob das inter-ne Kontrollsystem (IKS) wirksam ist. Nach Section 404 des SOX muss einjährlicher Bericht darüber verfasst werden, um der Dokumentationspflicht 43


managements

über das Einsetzen und die Funktionsfähigkeit dieses IKS nachzukom-men. Der Abschlussprüfer muss sowohl die Wirksamkeit des IKS alsauch die Richtigkeit des vom Management verfassten Berichts überprüfen.Dieses IKS nach Section 404 SOX geht über das in § 91 Abs. 2 AktG ge-forderte Kontrollsystem hinaus, da nach dem SOX fast alle Transaktionenim Unternehmen in der EDV erfasst und verarbeitet werden müssen. Inder deutschen Variante wird lediglich ein Kontrollsystem gefordert, dassich auf Risiken für den Fortbestand der Unternehmung bezieht. Section301 SOX verlangt zudem, dass ein unternehmensinterner Kontroll- undPrüfungsausschuss, ein sogenanntes Audit Committee, die Ordnungs-mäßigkeit der Finanzberichterstattung kontrolliert. Aufgabe des AuditCommittee ist zudem die Beauftragung, Abfindung und Beibehaltung desAbschlussprüfers sowie die Überwachung von dessen Arbeit.

Auch die Wirtschaftsprüfer sind vom SOX betroffen. Ihre Unabhängig-keit wurde dadurch verstärkt, dass nicht prüfungsbezogene Beratungsleis-tungen mit Ausnahme der Steuerberatung verboten und gleichzeitigRegelungen eingeführt wurden, die die Rotation der Wirtschaftsprüfer for-dern. Darüber hinaus wurde mit dem Public Company Accounting Over-sight Board (PCAOB) ein Aufsichtsgremium für die Abschlussprüfer insLeben gerufen, das unter anderem die Wirtschaftsprüfungsgesellschafteneinmal im Jahr inspiziert und neue Rechnungslegungsstandards nach de-ren Ausarbeitung durch das Financial Accounting Standards Board (FASB)anerkennt. Dieses Gremium ist direkt der SEC unterstellt.

Der SOX will also genau wie das KonTraG eine verbesserte Bericht-erstattung in Unternehmen erreichen und Unternehmen durch den Ein-satz von Kontrollsystemen in die Lage versetzen, Risiken frühzeitig zu er-kennen und zu steuern.

Die in den vorhergehenden Abschnitten vorgestellten, nationalen undinternationalen Gesetze und Standards machen deutlich, dass die Anfor-derungen an Unternehmen weltweit bezüglich des Einsatzes von internenKontroll- und Risikomanagementsystemen immer weiter ansteigen. DieGesetzgeber fordern mit Gesetzen wie dem KonTraG oder dem SOX dieImplementierung von Kontrollsystemen, um Risiken frühzeitig zu erken-nen und Gegenmaßnahmen einleiten zu können. Über diese gesetzlichenAnforderungen gehen Initiativen wie der Deutsche Corporate GovernanceKodex oder der DRS noch hinaus. Diese zielen darauf ab, ein ausgewoge-nes Verhältnis zwischen Geschäftsführung und Aufsichtsorganen zuschaffen sowie mehr Transparenz und damit auch mehr Vertrauen seitensder Investoren zu erreichen. Letztendlich soll dadurch die Stabilität derFinanzmärkte nachhaltig unterstützt werden.44


2.2 Vorschriften für Banken

Neben den Unternehmen sind auch die Banken gezwungen, ihr Risiko-management den veränderten Marktbedingungen anzupassen. Die bereitsmehrfach angesprochenen Insolvenzen bei Unternehmen sorgen gleichzei-tig für steigende Ausfallraten von Kreditengagements bei den Banken. So-mit steigen also auch die Anforderungen an Risikomanagementsysteme beiden Banken. Der folgende Abschnitt geht auf die verschiedenen rechtlichenRahmenbedingungen für das Risikomanagement von Kreditinstituten ein.

2.2.1 Eigenkapitalstandard Basel II

Mit dem Inkrafttreten des neuen Baseler Akkords am 31.12.2006, kurzBasel II genannt, gelten für alle international tätigen Banken der G-10-Län-der neue Eigenkapitalvorschriften in Bezug auf die Vergabe von Krediten.In Zeiten zunehmender Liberalisierung und Globalisierung der Märkte so-wie des technischen Fortschritts hat sich an den Finanzmärkten in denletzten Jahren ein Prozess tief greifender Veränderungen vollzogen, derauch Auswirkungen auf die traditionellen Bankgeschäfte hatte. Angesichtsder steigenden Zahl von Insolvenzen und der damit erhöhten Ausfallrisi-ken von Kreditengagements für Banken mussten Maßnahmen ergriffenwerden, um die Stabilität der Finanzmärkte besser abzusichern. Auch dieAnforderungen an das Kredit- und Risikomanagement von Banken undUnternehmen sind deutlich gestiegen.

Nach Basel II muss jede Bank für jedes Kreditgeschäft bzw. jeden Schuld-ner ein sogenanntes Rating erstellen. Rating ist die Bewertung der künftigenZahlungsfähigkeit eines Schuldners nach bestimmten Verfahren. Nach denneuen Finanzrichtlinien von Basel II gibt es ohne Rating des Kreditnehmerskeine Kreditvergabe mehr, da Banken verpflichtet sind, ihre Eigenkapital-höhe an den Risiken ihrer Kunden auszurichten. Diese Risiken werdendurch Ratings gemessen. Je schlechter das Rating der Kunden, umso mehrhaftendes Eigenkapital muss die Bank vorhalten und umso schlechter sinddie Kreditkonditionen für den Kunden und umgekehrt. Auch auf den Kapi-talmärkten spielen von Banken oder Agenturen vergebene Ratingnoten be-reits eine wichtige Rolle und dienen als Maßstab für Investitionen.

Bis zur Implementierung von Basel II war die erste Basler Eigenkapital-vereinbarung, Basel I, in Kraft. Durch sie war es Banken vorgeschrieben,für Risikopositionen pauschal 8 Prozent Eigenkapital zu hinterlegen. DieRegelungen von Basel I hatte sich in den Folgejahren durchaus bewährt, 45


managements

problematisch war jedoch der zu wenig nach den Einzelrisiken differen-zierte Ansatz, der zudem von den Banken z. B. durch den Einsatz vonsogenannten Kreditderivaten relativ leicht umgangen werden konnte.

Zu den Zielen von Basel II gehören die Förderung der Stabilität undSicherheit der Finanzsysteme, die Verbesserung der Wettbewerbsfähigkeitfür alle Marktteilnehmer sowie die Festlegung einer verbesserten Annähe-rung zur Quantifizierung von Risiken. Die Vorschriften richten sich vorallem an international tätige Banken, die zugrunde liegenden Grundregelnsollen jedoch auch für Banken mit unterschiedlicher Komplexität undVollkommenheit geeignet sein. Konkret soll gemäß Basel II zwischen denverschiedenen Risikopositionen stärker differenziert werden, um eine an-gemessene Eigenkapitalausstattung der Banken zu gewährleisten. Das be-deutet, dass eine höhere Eigenkapitalhinterlegung bei höherem Risiko ver-langt wird, wobei die gesamte Eigenkapitalhinterlegung der Banken durch-schnittlich auf ihrem vorherigen Niveau bleiben soll. Basel II verlangt au-ßerdem, dass die Banken intern adäquate Risikomanagementsysteme ein-führen. Gleichzeitig soll die Überprüfung durch die Bankenaufsichtsichergestellt werden. Darüber hinaus wird eine erhöhte Marktdisziplingefordert, die durch erweiterte Offenlegungspflichten erreicht werden soll.Diese drei Ziele haben dazu geführt, dass die Neue Basler Eigenkapitalver-einbarung als 3-Säulen-Modell dargestellt wird, wie die Abbildung 7 zeigt.

Säule I:

Eigenkapital-vorschriften

Säule II:

ÜberwachungOperationeller

Risiken

Säule III:

Stärkung derBankenaufsicht/

ErweiterteOffenlegung

Bankensystem

Bank für internationalen Zahlungsausgleich (BIZ)

Abb. 7: 3-Säulen-Modell nach der Basel IIQuelle: Schneck, 2006, S. 17246


Die erste Säule umfasst die aufsichtsrechtlichen Mindestkapitalanforde-rungen für Kreditrisiken,Marktrisiken desHandelsgeschäfts, Risiken aus Be-teiligungen und operativen Risiken. Die zweite Säule besteht aus einer aufQualität ausgerichteten bankaufsichtsrechtlichenÜberwachung der Institute.Säule III schließlich soll für erhöhte Markttransparenz sorgen und dieMarkt-disziplin verstärken.Hierfürmuss der regulatorische Kapitalbedarf nach Säu-le I sowie das vorhandene regulatorische Kapital offen gelegt werden.

Im Gegensatz zu Basel I schreiben die Eigenkapitalvorschriften gemäßder ersten Säule von Basel II also eine Eigenkaptalhinterlegung nichtmehr in Relation zum Kreditvolumen, sondern in Abhängigkeit vom Ra-ting, d. h. der Bonitätsbeurteilung des jeweiligen Kreditengagements vor.Damit müssen nicht mehr pauschal 8 Prozent Eigenkapital hinterlegt wer-den, sondern ein Prozentsatz der ursprünglichen 8 Prozent, je nachdem,wie risikoreich ein Kreditengagement durch das Rating eingestuft wurde.

Die die Überwachung der operationellen Risiken betreffende, zweiteSäule beinhaltet vier Grundsätze. Der erste Grundsatz fordert einen bank-internen Einschätzungsprozess, durch den die Banken sowohl ihr eigenesRisiko beurteilen als auch eine Strategie bezüglich des zur Absicherungdieses Risikos benötigten Eigenkapitalniveaus entwickeln können sollen.Der zweite Grundsatz beschreibt den bankaufsichtsrechtlichen Evaluie-rungsprozess, durch den sowohl die bankinternen Strategien hinsichtlicheiner angemessenen Eigenkapitalausstattung als auch deren Umsetzungund Kontrolle durch die Aufsicht überprüft und bewertet werden. Im Falleiner Nichteinhaltung der aufsichtsrechtlichen Anforderungen in Bezugauf die bankinternen Risikostrategien, Bewertungen und Kontrollfunktio-nen, hat die Bankaufsicht aufsichtsrechtliche Maßnahmen gegenüber denBanken zu ergreifen. Der dritte Grundsatz erlaubt der Aufsichtsinstanz,die Banken zur Vorhaltung eines Eigenmittelpuffers zu zwingen. Dies be-deutet, dass die Banken eine Eigenmittelausstattung vorweisen müssen,die über die regulatorischen Mindestquoten hinausgeht. Der vierte Grund-satz legt schließlich fest, dass die Bankenaufsicht frühzeitig intervenierenund für schnelle Abhilfe sorgen muss, sollte die risikogerechte Eigenmit-telausstattung der Bank gefährdet sein und das vorhandene Eigenkapital-niveau unter die geforderte Mindestausstattung fallen.

Der Basler Ausschuss hat keinerlei gesetzgeberische Kompetenzen undkann somit nur Empfehlungen herausgeben. Allerdings greift die EU beider Gestaltung ihrer Richtlinien im Allgemeinen auf die Empfehlungenaus Basel zurück. Im Falle von Basel II folgte von Seiten der EU die soge-nannte Kapitaladäquanzrichtlinie (Capital Requirements Directive, CRD).Die EU-Richtlinien haben verbindlichen Charakter für die Mitgliedsstaaten 47


managements

und müssen in nationales Recht umgesetzt werden. In Deutschland führtedie CRD zu Änderungen des Kreditwesengesetzes (KWG), zur Ausarbei-tung einer Solvabilitätsverordnung (SolvV) sowie zur Veröffentlichung derMindestanforderungen an das Risikomanagement (MaRisk). Auf alle dreirechtlichen Rahmenbedingungen soll im Folgenden eingegangen werden.

2.2.2 Kreditwesengesetz (KWG)

Das Gesetz über das Kreditwesen (KWG) regelt die Bankenaufsicht unddie Organisation der Kreditinstitute und der Finanzdienstleistungsinstitutein Deutschland. Das Gesetz beabsichtigt zum einen, die Funktionsfähig-keit der Kreditwirtschaft zu sichern und zu erhalten und zum anderen,die Gläubiger von Kreditinstituten vor dem Verlust ihrer Einlagen zuschützen. Diese beiden Ziele sollen durch Vorschriften über das Kredit-geschäft, über die Bildung eines angemessenen Eigenkapitalbestandesund die Erhaltung einer ausreichenden Liquidität sowie über die Prüfungdes Jahresabschlusses der Kreditinstitute und einzelner Geschäftsspartenerreicht werden.

In den vergangenen Jahren wurde das KWG mehrfach geändert, vorallem um EG-Richtlinien in deutsches Recht umzusetzen. Zu diesen ge-hörten unter anderem die Harmonisierung des Bankenaufsichtsrechtsund die Einführung der neuen Eigenkapitalstandards von Basel II. Durchdie Regelungen des § 25a KWG stellt das KWG aber auch die Ausgangs-basis für die Mindestanforderungen an das Risikomanagement (MaRisk)dar, auf die im folgenden Unterkapitel genauer eingegangen wird. DieMaRisk konkretisieren die besonderen Pflichten organisatorischer Art fürKreditinstitute, die durch § 25a KWG vorgegeben werden. Allerdings gehtdieser Paragraph über den Umfang der MaRisk noch hinaus. Er wird alsZentralnorm für Kreditinstitute angesehen, die die Geschäftsleitung in diePflicht nimmt und für besondere organisatorische Anforderungen an dieInstitute verantwortlich macht.

§ 25a Abs. 1 KWG»Ein Institut muss … über geeignete Regelungen zur Steuerung,

Überwachung und Kontrolle der Risiken und der Einhaltung der ge-setzlichen Bestimmungen sowie über angemessene Regelungen ver-fügen, anhand derer sich die finanzielle Lage des Instituts oder derGruppe jederzeit mit hinreichender Genauigkeit bestimmen lässt …«

48


Nach § 25a Abs. 1 KWG muss die ordnungsgemäße Geschäftsorganisa-tion, für die die Geschäftsleitung verantwortlich ist, die Einhaltung gesetz-licher Bestimmungen sicherstellen. Dazu gehört im Besonderen ein ange-messenes Risikomanagement. Neben der Ermittlung und Sicherstellungder Risikotragfähigkeit gehören dazu auch die Festlegung von Strategiensowie die Implementierung interner Kontrollverfahren. Letzteres setzt sichzusammen aus einem internen Kontrollsystem sowie der internen Revisi-on. Dazu gehören aufbau- und ablauforganisatorische Regelungen mit ei-ner klaren Trennung von Verantwortungsbereichen, sowie Prozesse, diees ermöglichen, Risiken identifizieren, beurteilen, steuern, überwachenund kommunizieren zu können. Darüber hinaus umfasst die ordnungs-gemäße Geschäftsorganisation angemessene Regelungen zur Bestimmungder Finanzlage des Kreditinstituts, angemessene Sicherheitsvorkehrungenden EDV-Einsatz betreffend, ausführliche Dokumentationspflichten sowieSicherungssysteme gegen Geldwäsche. Das Geldinstitut muss außerdemnach § 25a Abs. 2 KWG sicherstellen, dass die Ordnungsmäßigkeit unddie Steuerungs- und Kontrollmöglichkeiten der Geschäftsleitung sowie diePrüfung durch die Aufsicht auch bei auf andere Unternehmen ausgelager-ten Bereichen gegeben sind.

2.2.3 Mindestanforderungen an das Risikomanagement (MaRisk)

Die Mindestanforderungen an das Risikomanagement (MaRisk) sind daszentrale Regelwerk der qualitativen Bankenaufsicht. Die MaRisk stellen ei-nen Pflichtenkatalog zu den Regeln des KWG dar und konkretisieren so-mit die Vorschriften des § 25a KWG. Die vor der Einführung der MaRiskgeltenden qualitativen Aufsichtsnormen, die Mindestanforderungen andas Kreditgeschäft (MaK), die Mindestanforderungen an das Betreibenvon Handelsgeschäften (MaH) sowie die Mindestanforderungen an dieAusgestaltung der Internen Revision (MaIR) wurden in den MaRisk kon-solidiert und ergänzt. Bei der Ausarbeitung der MaRisk handelt es sichum die Umsetzung der zweiten Säule der neuen Baseler Eigenkapitalver-einbarung, dem bankaufsichtlichen Überprüfungsprozess (»SupervisoryReview Process«). Dieser Überprüfungsprozess besteht aus drei Elementen:dem bankinternen Verfahren zur Beurteilung der Angemessenheit der Ei-genkapitalausstattung, der Beurteilung durch die Aufsicht sowie dem vonder Aufsicht zu implementierenden Risikoklassifizierungssystem. Die Ma-Risk machen Vorschriften bezüglich des ersten Elements, d. h. des bank-internen Bewertungsverfahrens. Nach den Vorstellungen der BaFin sollen 49


managements

die MaRisk den Kreditinstituten einen flexiblen und praxisnahen Rahmengeben, innerhalb dessen sie ihr Risikomanagement gestalten können.Gleichzeitig sollen die Banken gesetzlich zu einer ganzheitlichen Risiko-betrachtung all ihrer Kreditgeschäfte verpflichtet werden.

Im Zuge des bankinternen Verfahrens müssen die Banken in regel-mäßigen Abständen überprüfen, ob das von ihnen vorgehaltene Eigen-kapital dem aktuellen Risikoprofil gerecht wird. Die MaRisk geben dabeieinen Rahmen vor, wie dieses Beurteilungsverfahren auszugestalten ist.Die im KWG angesprochene Risikotragfähigkeit wird ebenfalls in den Ma-Risk aufgegriffen. Risikotragfähigkeit ist dann in ausreichendem Maße ge-geben, wenn das Kreditinstitut jederzeit genügend haftendes Eigenkapitalvorweisen kann, um die Verpflichtungen gegenüber seinen Gläubigern er-füllen zu können. Dabei muss das Gesamtrisikoprofil des Kreditinstitutsals Grundlage gesehen und alle wesentlichen Risiken abgedeckt werden.Sollten dabei bestimmte Risiken keine Berücksichtigung finden, so mussdies begründet werden. Zu den Anforderungen an das Risikomanagementgemäß MaRisk gehört ferner die Konsistenz zwischen der Geschäfts- undder Risikostrategie. Das bedeutet, dass die Ziele der Geschäftsstrategie beider Erarbeitung der Risikostrategie zu berücksichtigen sind.

Darüber hinaus ist in den MaRisk das im KWG angesprochene interneKontrollsystem (IKS) konkretisiert. Innerhalb dieses IKS müssen demnachbestimmte Regelungen zur Aufbau- und Ablauforganisation eingehaltenwerden. Dazu gehört im Besonderen die Trennung unvereinbarer Tätig-keiten sowie die klare Definition und Abstimmung von Prozessen inner-halb der Bank sowie an den Schnittstellen zu ausgelagerten Prozessen.Das »Vier-Augen-Prinzip« wird als Standard vorgegeben, um Interessens-konflikte zu vermeiden und sachgerechte Entscheidungen zu gewährleis-ten. Zudem werden auch Anforderungen an die Risikosteuerungs- undControllingprozesse gestellt. Diese müssen die Identifikation und Klassifi-zierung von Risiken gewährleisten sowie Adressenausfall-, Marktpreis-, Li-quiditätsrisiken und operationelle Risiken im Einzelnen analysieren. An-schließend müssen angemessene Maßnahmen der Risikosteuerung ergrif-fen werden, zum Beispiel eine Risikoreduzierung.

Weiterhin gehört zu den Anforderungen an das Risikomanagement ge-mäß der MaRisk eine ordnungsgemäße interne Revision (IR). Die IR istdann ordnungsgemäß, wenn sie als Instrument der Geschäftsleitung die-ser unmittelbar unterstellt ist und an sie berichtet. Als Schwerpunkt dieserBerichte sind die Prüfung und Beurteilung des Risikomanagements imAllgemeinen sowie des IKS im Besonderen definiert. Die Funktionsfähig-keit und Angemessenheit der beurteilten Prozesse steht bei dieser risiko-50


orientierten Prüfung im Vordergrund. Die IR muss dafür zu jeder Zeitein vollständiges und uneingeschränktes Informationsrecht innehaben.Auch ist die IR über alle relevanten Beschlüsse der Geschäftsführung zuunterrichten.

Zusammenfassend machen die MaRisk also konkrete Vorgaben zumRisikomanagement von Kreditinstituten, vor allem zur Risikotragfähigkeit,zur Strategie und zum internen Kontrollsystem. Zudem definieren sie Re-geln bezüglich der internen Revision, der Aufbau- und Ablauforganisationund den Dokumentationspflichten von Banken.

2.2.4 Solvabilitätsverordnung (SolvV)

Die »Verordnung über die angemessene Eigenmittelausstattung von In-stituten, Institutsgruppen und Finanzholding-Gruppen« (Solvabilitätsver-ordnung) wurde im Dezember 2006 veröffentlicht. Zusammen mit eini-gen Änderungen im KWG sowie den bereits 2005 veröffentlichten Anfor-derungen der MaRisk wurden damit die Regelungen von Basel II sowieder korrespondierenden EU-Direktiven in nationales Recht umgesetzt.Während die im vorhergehenden Abschnitt erläuterten MaRisk die Vor-gaben der zweiten Säule von Basel II umsetzen, soll die Solvabilitätsver-ordnung (SolvVO) die Säulen I und III der Neuen Basler Eigenkapitalver-einbarung abdecken.

Die SolvV schreibt vor allem das Vorhandensein eines angemessenenMindesteigenkapitals bei Kreditinstituten vor. Die Eigenmittelausstattungist nach der § 2 Abs. 1 SolvV dann angemessen, wenn ein Kreditinstituttäglich zum Geschäftsschluss in der Lage ist, sowohl seine Adressrisikenund sein operationelles Risiko, als auch seine Marktrisiken durch Eigen-kapital abzudecken.

§ 2 Abs. 1 SolvV»Ein Institut verfügt über angemessene Eigenmittel, wenn es täglich

zum Geschäftsschluss sowohl die Eigenkapitalanforderungen fürAdressrisiken und das operationelle Risiko … als auch die Eigenmittel-anforderungen für Marktrisiken … erfüllt.«

Unter Adressrisiken werden alle Risiken verstanden, die durch Bonitäts-veränderungen oder durch die Nichterfüllung der Leistungsverpflichtun-gen eines Geschäftspartners induziert werden. Im Zusammenhang mit 51


managements

dem Bankengeschäft handelt es sich zum größten Teil um Kreditausfall-risiken. Für die Adressrisiken sind gemäß SolvV die Adressausfallrisiko-positionen nach einem definierten, entweder auf externen oder auf inter-nen Ratings basierenden Ansatz zu berücksichtigen. Gemäß der Definiti-on von Basel II wird unter dem operationellen Risiko die Gefahr von Ver-lusten verstanden, die sowohl aufgrund unangemessener oder nichtfunktionierender interner Verfahren oder Systeme, aufgrund von Men-schen oder durch externe Ereignisse eintreten kann. Um den Anrech-nungsbetrag für das operationelle Risiko zu bestimmen, können die Insti-tute auf einen Basisindikatoransatz, einen Standardansatz oder einen fort-geschrittenen Messansatz zurückgreifen. Als Marktrisiken werden diemöglichen Verluste bezeichnet, die bei Finanztransaktionen durch Ver-änderungen von Zinsen, Volatilitäten, Fremdwährungs- und Aktienkursenentstehen können. Die Marktrisikopositionen werden gebildet durch dieWährungsgesamtposition, die Rohwarenposition, die Optionspositionen,die Handelsbuch-Risikopositionen und die anderen Marktrisikopositionen.

Des Weiteren beinhaltet die SolvV sogenannte Offenlegungsvorschrif-ten, die die Markttransparenz erhöhen sollen. Gemäß § 322 SolvV müssendie Institute ihr Risikomanagement in Bezug auf die einzelnen Risikoar-ten unter verschiedenen Aspekten beschreiben.

§ 322 SolvV»Institute haben zu jedem einzelnen Risikobereich, einschließlich

Adressenausfallrisiko, Marktrisiko, operationelles Risiko und Zinsände-rungsrisiko des Anlagebuchs, im Hinblick auf Ziele und Grundsätzedes Risikomanagements zu beschreiben ...«

Dazu gehört die Beschreibung der Strategien und Prozesse, der Struk-tur und Organisation der Risikosteuerung, der Art und des Umfangs derRisikoberichte sowie der Grundzüge der Absicherung oder Minderungvon Risiken. Zu den Offenlegungspflichten gehört auch die Erläuterungder Angemessenheit der Eigenmittelausstattung. Die Offenlegung der In-formationen über das Risikomanagement hat laut SolvV generell einmaljährlich, in Einzelfällen auf Anordnung der BaFin auch öfter, auf der eige-nen Internetseite des Instituts oder durch ein anderes geeignetes Mediumzu erfolgen. Im elektronischen Bundesanzeiger muss auf die Veröffent-lichung im entsprechenden Medium hingewiesen werden.

Wie bereits erwähnt setzt die SolvV also die erste Säule von Basel II,die Mindestanforderungen bezüglich der Eigenkapitalhinterlegung, und52


dessen dritte Säule, die erweiterten Offenlegungspflichten, ins deutscheRecht um. Trotz der Tatsache, dass diese Verordnung erst seit dem 1. Ja-nuar 2007 in Kraft ist, wird international schon über eine Weiterentwick-lung der Vorschriften für Banken bezüglich des Risikomanagements dis-kutiert. Von einer dritten Basler Eigenkapitalvereinbarung ist die Rede.Diese Entwicklungen zeigen, dass es gerade im Bankensektor notwendigist, die rechtlichen Rahmenbedingungen für das Risikomanagement kon-tinuierlich weiterzuentwickeln und den Marktgegebenheiten anzupassen.

2.3 Vorschriften für Versicherungen

Die Versicherungsunternehmen in Deutschland unterliegen einer for-mellen und materiellen Staatsaufsicht. Die formelle Aufsicht reguliert vorallem den Markteintritt und -austritt der Versicherungsunternehmen, diematerielle hingegen hat die Möglichkeit, in die laufenden Geschäftspro-zesse des Unternehmens einzugreifen. Diese Art der Aufsicht erklärt sichdurch die herausragende Stellung der Versicherungen in einer Volkswirt-schaft. Die Versicherungsunternehmen sind Risikoträger und Kapitalsam-melstelle, bei denen erhebliche Kapitalbeträge eingehen und häufig erstnach einer längeren Periode wieder ausgezahlt werden. Außerdem kön-nen die Versicherungsnehmer selbst die finanzielle Leistungsfähigkeit derUnternehmen im Allgemeinen nicht überprüfen, was wiederum einestaatliche Aufsicht erforderlich macht.

2.3.1 Versicherungsaufsichtsgesetz (VAG)

Die Grundlage für die Versicherungsaufsicht in Deutschland ist das Ge-setz über die Beaufsichtigung der Versicherungsunternehmen (VAG). Die zu-ständige Behörde ist die Bundesanstalt für Finanzdienstleistungsaufsicht(BaFin). Laut § 1 des VAG sind Versicherungsunternehmen als Unterneh-men definiert, die den Betrieb von Versicherungsgeschäften zum Gegen-stand haben und nicht Träger der Sozialversicherung sind. Das VAGschreibt vor, dass die Versicherungsunternehmen rechtlich selbstständigsein müssen, um bestimmte Versicherungszweige anbieten zu können.Dies geschieht zum Schutz der Versicherten vor Verlusten. Diese Sparten-trennung betrifft die Lebens-, Kranken- und Rechtsschutzversicherungensowie die Schaden- und Unfallversicherungen im weiteren Sinne.

53


managements

Die bei den Versicherungsunternehmen eingehenden Kapitalbeträgewerden als Kapitalanlage der Versicherungen bezeichnet, deren Ausfalleine Gefährdung bei der Erfüllung der Verpflichtungen gegenüber Ver-sicherungsnehmern darstellen würde. Daher muss die Kapitalanlage we-sentlich im Risikomanagement einer Versicherung berücksichtigt werdenund unterliegt strengen gesetzlichen Vorschriften. Nach § 54 Abs. 1 VAGmuss das gebundene Vermögen, d. h. die versicherungstechnischen Rück-stellungen, eines Versicherungsunternehmens so angelegt werden, dassmöglichst große Sicherheit und Rentabilität bei jederzeitiger Liquidität desVersicherungsunternehmens erreicht wird. Neben diesem Kapitalanlageri-siko, dem u. a. mit den oben genannten Maßnahmen entgegen gewirktwerden soll, spielen für Versicherungsunternehmen wie für alle Unter-nehmen aber auch das allgemeine Unternehmensrisiko, das Betriebskos-tenrisiko sowie das versicherungstechnische Risiko eine Rolle.

2.3.2 Solvency II

Solvency II ist ein von der Europäischen Kommission initiiertes Projektzur Entwicklung neuer Aufsichtsregelungen für die Versicherungswirt-schaft in der EU. Seit dem 1. April 2004 ist die Solvabilitätsrichtlinie Sol-vency I in Kraft, die aber lediglich die bereits bestehenden Solvabilitäts-anforderungen auf EU-Ebene ergänzt und aktualisiert hat. Vor dem Hin-tergrund eines erhöhten Wettbewerbs in der Versicherungsbranche undder Entwicklungen auf den Kapitalmärkten hat die Europäische Kommis-sion bereits Anfang 2000 das Projekt Solvency II initiiert, um das Solvabi-litätssystem in Europa weiter zu verbessern und mit den Regelungen desBankwesens (Basel II) zu harmonisieren. Das Ziel von Solvency II ist einegrundlegende Reform der Versicherungsaufsicht. Die EU-Kommission hatdem Europäischen Parlament und Rat im Juli 2007 einen Vorschlag füreine Solvency II-Rahmenrichtlinie vorgelegt. Die Verabschiedung derRichtlinie steht aber bisher noch aus.

Das Ziel der Solvabilitätsvorschriften von Solvency II ist eine kon-sequent risikoorientierte Ausgestaltung der Eigenkapitalvorschriften unddie Integration qualitativer Faktoren in den Aufsichtsprozess. Außerdemmöchte Solvency II den Versicherungen Unterstützung bei der Durchfüh-rung und Verbesserung ihres internen Risikomanagements bieten. DesWeiteren wird mit Solvency II eine angemessene Harmonisierung derAufsicht in Europa angestrebt. Zur Berechnung ihrer aufsichtsrechtlichenKapitalanforderungen sollen die Versicherungen nach Solvency II ihre ri-54


sikoorientierte Gesamtsolvabilität als Basis heranziehen. Die Berechnungkann durch Verwendung einer vorgegebenen Standardformel oder einesvom Unternehmen entwickelten internen Modells erfolgen.

Inhaltlich lehnt sich Solvency II an die 3-Säulen-Struktur von Basel IIan. Somit handelt es sich auch hier um ein Drei-Säulen-Modell, das dieEigenmittelanforderungen, die aufsichtsrechtlichen Überprüfungsverfah-ren und die Anforderungen an die Marktdisziplin für Versicherungsunter-nehmen beinhaltet.

In der ersten Säule werden die quantitativen Eigenkapitalanforderungendefiniert. Sie enthält Regelungen zur Bewertung der Aktiva und Passiva,insbesondere erfolgt die Unterscheidung zwischen dem absoluten Min-destkapital und dem ökonomischen Kapital. Letzteres ist die für die Ver-sicherung erstrebenswerte Eigenmittelausstattung, während das Mindest-kapital die regulatorische Untergrenze des zu haltenden Solvenzkapitalsdarstellt. Für das Versicherungsunternehmen gilt es, diese Grenze nichtzu unterschreiten, um Sanktionen, die bis hin zu einem aktiven Eingriffder BaFin in die Unternehmensführung reichen können, zu vermeiden.

Mindest-anforderungen

an dieKapitalausstattung

AufsichtlichesÜberprüfungs-

verfahren+

Interne Kontrolleund

Risikomanagement

Maßnahmenzur

Einhaltungder

Marktdisziplin

Aufsicht

Umsetzung OffenlegungKontrolle

Abb. 8: 3-Säulen-Modell von Solvency IIQuelle: http://www.risknet.de/Struktur-Solvency-II.242.0.html

Die Aufsichtsbehörden sollen gemäß der zweiten Säule das Risikoma-nagement des Versicherungsunternehmens unter qualitativen Aspektenbewerten. Beurteilt werden dabei das Vorhandensein einer Risikostrategie,einer angemessenen Aufbau- und Ablauforganisation, sowie eines Inter-nen Steuerungs- und Kontrollsystems und einer Internen Revision. Zu-dem können auch andere qualitative Aspekte, wie zum Bespiel die Quali- 55


managements

fizierung und Kompetenz der Geschäftsführung, in die Bewertung miteinfließen. Da es sich bei Solvency II um eine EU-Initiative handelt, sinddie Kriterien des aufsichtlichen Überprüfungsverfahrens für die internenRisikomodelle in allen Ländern der EU harmonisiert.

Das Ziel der dritten Säule ist die Erhöhung der Markttransparenz und-disziplin. Sie beinhaltet Berichtspflichten sowohl gegenüber der Öffent-lichkeit als auch gegenüber der Aufsichtsbehörde. Verschärfte Vorschrif-ten und Empfehlungen sollen dafür sorgen, dass die Marktteilnehmermehr Informationen bezüglich der Erfüllung von quantitativen und quali-tativen Kriterien des Risikomanagements in Versicherungsunternehmenbekommen. Dazu gehören unter anderem Informationen über die Kapital-ausstattung und die Risikoübernahme sowie eine Beschreibung der Ri-sikobewertungs- und Steuerungsprozesse.

2.4 Zusammenfassung

Dieses Kapitel hat gezeigt, dass es für Unternehmen, Banken und Ver-sicherungen zahlreiche Vorschriften gibt, die sich auf Risikovermeidungbeziehen und die diese Institutionen einzuhalten haben. Diese Vorschrif-ten sind als Reaktion auf eine Reihe wirtschaftlicher Krisen entstanden,deren Ursachen größtenteils in der mangelhaften Wahrnehmung von Ri-siken lagen. Ziel der Vorschriften war stets, die durch den Eintritt vonRisiken ausgelösten Schäden zu vermeiden. Dieses Ziel ist aber in derRealität niemals vollständig erreichbar, kein Gesetz der Welt kann ein be-stehendes Risiko gänzlich eliminieren. Und wie im vorhergehenden Kapi-tel erläutert, wäre eine solche Eliminierung wirtschaftlich auch nicht sinn-voll.

56


3Typologien und Arten von Risiken

3.1 Übersicht über Risikotypen

Die Systematisierung von Risiken erfolgt in der Literatur und der Wirt-schaftspraxis nach unterschiedlichen Ansätzen und Kriterien. So könnenzum Beispiel operative von strategischen Risiken unterschieden werden.Diese lassen sich anhand von drei Kriterien unterscheiden: dem ihnenzugrunde liegenden Problemtyp, ihrem Zeitbezug sowie der Bedeutsam-keit ihrer Ziele. Operative Risiken entspringen der unternehmerischen Tä-tigkeit selbst, während es sich bei strategischen Risiken um Risiken han-delt, die durch die strategischen Unternehmensentscheidungen entstehen.Diese sind langfristig angelegt und für die Entwicklung des gesamten Un-ternehmens bedeutsam. Strategische Risiken betreffen die Positionierungdes Unternehmens sowohl intern als auch extern und legen die langfristi-gen Ziele des Unternehmens fest. Sie hängen mit den Veränderungendes wirtschaftlichen, politischen und technologischen Unternehmens-umfelds sowie sozio-kulturellen Entwicklungen zusammen. Operative Ri-siken resultieren hingegen aus kurzfristig angelegten Entscheidungen undHandlungen und haben somit nur für einen Teilbereich des Unterneh-mens von Bedeutung. Es ist schwierig, alle im Zusammenhang mit derunternehmerischen Tätigkeit stehenden Risiken in verallgemeinerterForm für alle Unternehmen darzustellen. Die Relevanz der verschiedenenRisikoarten für ein Unternehmen hängt von unternehmensindividuellenFaktoren ab, beispielsweise von Branchenspezifika, der Unternehmensgrö-ße und dem geographischen Wirkungsbereich.

Im Folgenden werden die Unternehmensrisiken in Bezug auf die po-tenzielle Verlustquelle systematisiert. Es kann somit eine Unterscheidungzwischen finanzwirtschaftlichen und leistungswirtschaftlichen Risiken ge-troffen werden. Finanzwirtschaftliche Risiken bestehen in möglichen Ver-mögensverlusten durch den Ausfall zukünftiger Zahlungsströme oderdurch die negative Wertentwicklung einer Finanzgröße. Sie können wei-terhin in Markt-, Kredit-, und Liquiditätsrisiken unterteilt werden. Lei- 57

Typologien und Artenvon Risiken


tungswirtschaftliche Risiken resultieren aus möglichen Verlusten durchden unternehmerischen Leistungserstellungsprozess und können weiter-hin in Betriebsrisiken und Absatz- und Beschaffungsrisiken unterteilt wer-den. Betriebsrisiken ergeben sich aus Verlusten, die infolge des Versagensvon betriebsinternen Personen, Prozessen und Systemen oder infolge ex-terner Ereignisse eintreten können. Hierbei wird auch von unternehmens-internen und unternehmensexternen Risikofaktoren gesprochen. Erstereliegen im direkten Einflussbereich des Unternehmens, während dies beiLetzteren nicht der Fall ist und diese somit nicht beeinflussbar sind. Ab-satz- und Beschaffungsrisiken umfassen alle Verlustgefahren, die mit demAbsatz der Güter und Leistungen eines Unternehmens bzw. mit der Be-schaffung der Produktionsfaktoren zusammenhängen.

Die Abbildung 9 bietet einen Überblick über die verschiedenen Artenvon Unternehmensrisiken.

LeistungswirtschaftlicheRisiken

FinanzwirtschaftlicheRisiken

! Kreditrisiken:– Ausfallrisiko– Länderrisiko– …

! Marktpreisrisiken:

! Liquiditätsrisiken:

– Zinsrisiko– Währungsrisiko– …

! Betriebsrisiken– externe Risiken:

z.B. Rechtslage,Naturrisiken

– interne Risikenz.B. Personal,EDV

UnternehmensrisikenZiele / Strategie

! Absatz-/Beschaffung– Güterpreisrisiko– …

Abb. 9: Überblick über UnternehmensrisikoartenQuelle: Eigene Darstellung in Anlehnung an Wolke, T., 2007, S. 7

Es ist sehr wichtig zu vermerken, dass zwischen den hier dargestelltenRisikokategorien sowie den einzelnen Risikoarten Interdependenzen be-stehen. So kann ein Kreditrisiko zu einem Liquiditätsrisiko führen undumgekehrt. Ein anderes Beispiel ist das leistungswirtschaftliche Risiko sin-kender Absätze: Werden die Absatzziele nicht erreicht, führt dies gleich-zeitig auch zu einer Verminderung der zukünftigen Zahlungsströme undstellt somit ein finanzwirtschaftliches Risiko dar.58


3.2 Risiken im Finanzbereich

Diese Art von Risiken resultiert aus der Finanzierungstätigkeit einesUnternehmens und hat einen direkten Einfluss auf die Unternehmens-kennzahlen. Die finanzwirtschaftlichen Risiken lassen sich, wie bereits er-wähnt, in die drei Kategorien (Kreditrisiken, Marktpreisrisiken und Liqui-ditätsrisiken) unterteilen, die im Folgenden näher erläutert werden.

3.2.1 Kreditrisiken

3.2.1.1 AusfallrisikoDie Definition des Begriffs Ausfallrisiko erfolgt in Literatur und Praxis

auf unterschiedliche Art und Weise. Oft werden dabei die Begriffe Ausfall-risiko und Kreditrisiko gleichgesetzt. Hier soll jedoch das Ausfallrisikoumfassend sowohl als der vollständige oder der teilweise Ausfall von Zins-und Tilgungsleistungen im Kreditgeschäft, als auch als insolvenzbedingterAusfall anderer Aktiva, wie z. B. strategischer Aktienbeteiligungen oderUnternehmensanleihen, verstanden werden. Diese Definition bietet sichan, da sie auch die Ausfallrisiken von Nichtbanken berücksichtigt. Hierzuzählen vor allem die Forderungen aus Lieferungen und Leistungen an Ge-schäftskunden, d. h. insbesondere Warenkredite.

Definition: AusfallrisikoGefahr des teilweisen oder vollständigen Ausfalls von Zins- und Til-

gungsleistungen sowie anderer Aktiva.

Wie die Abbildung 10 am Beispiel eines Kreditportfolios zeigt, ist dieVerlustverteilung des Ausfallsrisikos nicht symmetrisch, sondern schiefverteilt. Dies bedeutet, dass bei der Kreditvergabe die Wahrscheinlichkeithoch ist, dass der Kredit gar nicht ausfällt oder nur ein sehr geringer Be-trag verloren geht. Der Verlust großer Kreditvolumen tritt hingegen nurmit geringer Wahrscheinlichkeit auf.

Der statistische Mittelwert der Verlustverteilung stellt dabei den erwarte-ten Verlust eines Kredites dar. Während Banken jedoch über große Kre-ditportfolios verfügen, besitzen Unternehmen in der Regel nur eine relativgeringe Anzahl von Schuldnern. Eine Betrachtung des gesamtgeschäfts-bezogenen Risikos des Kreditportfolios macht also für ein Unternehmenwenig Sinn. Hingegen ist die Betrachtung des einzelgeschäftlichen Aus- 59


fallrisikos sinnvoll. Dieses Ausfallrisiko ergibt sich im Allgemeinen durchdie Multiplikation der Ausfallwahrscheinlichkeit mit dem gefährdeten Vo-lumen. Dabei steht die Kreditwürdigkeit des einzelnen Kreditnehmers imMittelpunkt, da von ihr unmittelbar die Höhe der Ausfallwahrscheinlich-keit abhängt.

Abb. 10: Typische Verlustverteilung eines KreditportfoliosQuelle: Wiedemann, A., 2008, S. 150

Wie bereits in Teil I, Abschnitt 2.2 erwähnt, müssen Banken im Rah-men der Vorschriften von Basel II die Kreditwürdigkeit potenzieller Kre-ditnehmer durch ein Rating bewerten und somit eine Risikodifferenzie-rung vornehmen, von der sie dann auch die Kreditkonditionen abhängigmachen. Rating wird aber nicht nur von Banken als Bewertungsmethodeeingesetzt. Denn nur mithilfe von Ratingverfahren ist die Berücksichti-gung wichtiger unternehmensspezifischer, quantitativer und qualitativerEigenschaften möglich. Abgesehen von der eigenen Ratingnote eines Un-ternehmens, an der sich die Kreditkosten für die Fremdkapitalaufnahmebei einer Bank richten, ziehen Nichtbanken bei der Vergabe von Lieferan-tenkrediten die am Markt üblichen Kreditkonditionen heran. Diese hän-gen wiederum maßgeblich vom Rating des Warenabnehmers ab.

60


Eine detailliertere Beschreibung der Messung und Bewertung des Kre-ditrisikos sowie der dazu notwendigen statistischen Grundlagen erfolgt inTeil II anhand des Themenkomplexes Risikocontrolling und -steuerung.

3.2.1.2 LänderrisikoDas Länderrisiko kann zu den Kreditrisiken gezählt werden, da es die

Bonität eines ausländischen Kreditnehmers bzw. Geschäftspartners über-lagert. Ist die Bonität des ausländischen Debitors besser als die seinesLandes, so wird das höhere Risiko mit einem Bonitätsabschlag bzw. einerhöheren Risikoprämie diesem gegenüber berücksichtigt. Ähnlich wiebeim einzelgeschäftlichen Ausfallrisiko wird das Länderrisiko durch dieEinstufung des jeweiligen Landes in einem sogenannten Landesrating vor-genommen, das auf der Bewertung des vorherrschenden Länderrisikos be-ruht. In diesen Ratings werden sowohl makro- als auch mikroökonomi-sche Indikatoren erfasst.

Im Allgemeinen kann das Länderrisiko als das Unternehmensrisiko de-finiert werden, das sich aus unsicheren politischen, wirtschaftlichen undsozialen Verhältnissen eines anderen Staates ergibt. Es handelt sich alsoum spezielle Verlustrisiken im Außenwirtschaftsverkehr, die die Durchset-zung von Forderungen gegenüber ausländischen Vertragspartnern bedro-hen. Die Ursachen des Risikos liegen hierbei nicht beim Handelspartnerselbst, sondern in seinen landesspezifischen Rahmenbedingungen, die ernicht beeinflussen kann.

Das politische Länderrisiko besteht darin, dass ein ausländischer Kredit-nehmer seinen Zahlungsverpflichtungen aufgrund der politischen Ent-wicklungen in seinem Land nicht nachkommen kann. Zu den politischenLänderrisiken gehören Kriege, Revolutionen, Verbote oder Beschlagnah-mungen. Zumeist handelt es sich jedoch um Entscheidungen der auslän-dischen Regierung, die Auswirkungen auf die wirtschaftliche Tätigkeit desUnternehmens haben. Diese Maßnahmen können verschiedener Natursein, von Gesetzesänderungen über Werbeverbote bis zum Schutz der in-tellektuellen Eigentumsrechte oder durch einen Eingriff in den Wett-bewerb. So können beispielsweise diskriminierende Steuern für auslän-dische Unternehmen, Einschränkungen bei Gewinntransfers oder Import-beschränkungen auferlegt werden.

Das wirtschaftliche Länderrisiko ist auf der makroökonomischen Ebeneanzusiedeln, da es mit der gesamten Volkswirtschaft des Landes zusam-menhängt. Es geht hier besonders um die Devisenpolitik und um dieZahlungsbereitschaft des Partnerlandes. Ein ausländischer Kreditnehmerkann beispielsweise bereit sein, seinen Zins- und Tilgungsverpflichtungen 61


nachzukommen, diese aber deswegen nicht erfüllen können, weil seinLand sämtliche Devisenzahlungen ins Ausland einschränkt oder einstellt.In diesem Fall wird auch vom Devisentransferrisiko gesprochen. Dieskann vorkommen, wenn ein Land ein dauerhaftes Handelsdefizit hat unddeswegen nicht genug Devisen besitzt, um die eigene Währung zurück-zukaufen.

Zusätzlich zu den wirtschaftlichen und politischen Länderrisiken ist dassogenannte soziale Länderrisiko zu berücksichtigen. Dieses ergibt sich ausden gesellschaftlichen Verhältnissen innerhalb eines Staates. Hierzu kön-nen unter anderem die kulturellen Besonderheiten des Landes sowie diegegebenenfalls problematischen, administrativen Gegebenheiten und derKorruptionsgrad eines Partnerlandes gezählt werden. Um diese Risikenzu umgehen, bedarf es einer guten Vorbereitung. Die Antikorruptions-organisation Transparency International ermittelt regelmäßig einen inter-nationalen Korruptionsindex, um es Unternehmen zu ermöglichen, die Si-tuation in den verschiedenen Ländern besser einschätzen zu können.

3.2.2 Marktpreisrisiken

Wie bereits erwähnt handelt es sich bei den Marktpreisrisiken um Risi-ken finanzieller Verluste, die sich aus den Marktpreisschwankungen vonFinanzgrößen ergeben können. Im Folgenden werden die zwei wichtigs-ten Arten der Marktpreisrisiken genauer dargestellt: das Zinsänderungs-risiko und das Währungsrisiko.

3.2.2.1 ZinsänderungsrisikoDurch die Volatilität der Finanzmärkte besteht das Risiko, dass Zinssät-

ze wachsen oder fallen. Die Zinsentwicklung wird maßgeblich von derGeldpolitik der Zentralbank beeinflusst. Deren Handeln an den Geldmärk-ten bestimmt die Zinsen am Geldmarkt unter den Banken und damitauch das Zinsniveau in der Wirtschaft insgesamt. Das Zinsänderungsrisi-ko ist im Allgemeinen das bedeutendste Marktpreisrisiko für Unterneh-men und wirkt sich auf verschiedene Bilanz- und GuV-Positionen aus. All-gemein kann das Zinsänderungsrisiko als Unterschied zwischen dem er-warteten und dem realen Zinssatz definiert werden.

Man kann verschiedene Arten von Zinsrisiken unterscheiden. Das varia-ble Zinsänderungsrisiko betrifft Anlagen und Kredite, bei denen kein Fest-zins vereinbart wurde. Besitzt ein Unternehmen beispielsweise eine Anlei-he, deren Verzinsung an einen Referenzzinssatz, z. B. den Euribor, gekop-62


pelt ist, so hängt das Zinsänderungsrisiko von der Entwicklung dieses Re-ferenzzinssatzes ab. Wenn der Euribor-Zins sich ändert, kommt es auchzu einer Veränderung der Zinszahlungen, die das Unternehmen aufbrin-gen muss. Dabei kann es sowohl zu einer Zinsänderungschance bei fal-lenden Zinsen, als auch zu einem Zinsänderungsrisiko kommen, wennder Zins steigt. Da die Kredite mit variablen Zinsen vielen Schwankungenunterworfen sind, handelt es sich zumeist um kurzfristige Kredite. Varia-ble Zinszahlungen können somit zu einem Zahlungsstromrisiko führen.Gestiegene Fremdkapitalzinse führen zu einem höheren Zinsaufwandund haben somit unmittelbare Auswirkungen auf die Gewinn- und Ver-lustrechnung eines Unternehmens. Da diesem höheren Aufwand kein zu-sätzlicher Ertrag gegenübersteht, wird der Betriebsgewinn geschmälert.Im Rahmen des sogenannten Marktwertänderungsrisikos können festver-zinsliche Wertpapiere im Anlagevermögen durch Marktzinsänderungenan Wert verlieren, da ihr Preis vom Marktzinssatz abhängt. Grundsätzlichgilt, dass bei steigenden Zinsen die Kurse der Anleihen fallen, währendsie bei sinkenden Zinsen steigen. Auch die Forderungen aus Lieferungenund Leistungen eines Unternehmens im Umlaufvermögen können Zins-änderungsrisiken bergen.

In der Regel sind Unternehmen bestrebt, sich gegen Zinsänderungsrisi-ken abzusichern und sich einen bestimmten Zinssatz, z. B. den aktuellenTageszinssatz, in der Zukunft sichern. Nehmen wir den Fall eines Unter-nehmers, der überschüssiges Geld in drei Monaten zu einem bestimmtenZinssatz für ein Jahr anlegen möchte. Befürchtet er sinkende Zinsen, sowird er versuchen, sich den gewünschten Zinssatz heute schon zu si-chern. Dasselbe gilt aus Sicht eines Kreditnehmers bei der Erwartung stei-gender Zinsen.

Da Marktzinsen für viele Bewertungszwecke herangezogen werden,kann das Zinsänderungsrisiko auch in indirekter Form bestehen. Im Rah-men der Unternehmensbewertung können gestiegene Marktzinsen nebenanderen Einflussgrößen zu einem gesunkenen Unternehmenswert undsomit auch einem Vermögensverlust führen.

Eine Zinsänderung hat nicht nur Auswirkungen auf das Unternehmenselbst, sondern auch auf sein Umfeld. Zinsänderungen beeinflussen diegesamtwirtschaftliche Konjunktur, die Preise, den Wechselkurs und dasSparverhalten der Konsumenten bzw. die allgemeine Investitionsbereit-schaft der Wirtschaftsakteure. Wenn es zu einer Zinssenkung kommt,werden die Zinskosten, und somit die Kredite, für die Unternehmen undfür die Konsumenten günstiger und somit leichter verfügbar. Der Kon-sum wird angeregt und Investitionen und Käufe, die für die Zukunft ge- 63


plant waren, werden vorgezogen. Es kommt also zu einem allgemeinenNachfragezuwachs und auch die Produktion steigt an. Auch der Wechsel-kurs wird beeinflusst, da bei einer Zinssenkung die Einlagen in hei-mischer Währung uninteressanter werden als die in ausländischer Wäh-rung. Infolgedessen verliert die heimische Währung an Wert, d. h. derWert der Landeswährung gegenüber anderen Währungen sinkt. Durchdiese Abwertung werden die inländischen Produkte günstiger als impor-tierte Güter, was wiederum zum Ansteigen der Nachfrage führt. Anderer-seits kann eine Währungsabwertung bei einem Unternehmen die Erhö-hung des Verschuldungsgrades bewirken, wenn das Unternehmen Schul-den in einer Auslandswährung hat.

Eine Zinsänderung kann also zwei verschiedene Arten von Konsequen-zen auf ein Unternehmen haben. Kurzfristig gesehen hat eine Zinsände-rung direkte Auswirkungen auf den Cashflow und das Betriebsergebnis.Langfristig gesehen bestimmt die Zinsentwicklung die Investitions- undsomit die Risikobereitschaft des Unternehmens sowie die Nachfrage vonSeiten seiner Kunden.

3.2.2.2 WährungsrisikoNachdem das Zinsänderungsrisiko erläutert wurde, soll auf das Wäh-

rungsrisiko eingegangen werden. Das Währungsrisiko spielt insbesonderefür Unternehmen mit einem hohen Exportanteil eine wichtige Rolle. Defi-niert werden kann das Wechselkursrisiko als die negative Abweichung ei-ner finanziellen Unternehmenszielgröße aufgrund unsicherer zukünftigerEntwicklungen der Wechselkurse. Auch wenn die Bedeutung von Wäh-rungsrisiken in Europa seit der Einführung des Euro deutlich abgenom-men hat und auch bei Transaktionen zwischen Ländern, die ihre Währun-gen an andere Leitwährungen oder Währungskörbe gekoppelt haben,überschaubar ist, existieren insbesondere zwischen der Triade Euro-, Dol-lar- und Yen-Markt noch erhebliche Währungsrisiken. Währungsschwan-kungen treten immer wieder auf und können volkswirtschaftlich durchungleichgewichtige Wirtschaftsentwicklungen erklärt werden. Es werdendrei Arten von Wechselkursrisiko unterschieden, die jeweils unterschiedli-che Finanzkennzahlen betreffen. Das Translationsrisiko beeinflusst die Bi-lanz, das Transaktionsrisiko spezielle Ein- und Auszahlungspositionenund das ökonomische Wechselkursrisiko beeinflusst den Kapitalwert desUnternehmens.

Das ökonomische Wechselkursrisiko entsteht durch Wechselkursänderun-gen, die die zukünftige Wettbewerbsfähigkeit exportorientierter Unterneh-men auf Dauer gefährden und Einfluss auf Marktanteile und Unterneh-64


mensergebnisse haben können. Dieses Risiko ist langfristig angelegt undumfasst zusätzlich zu den bekannten zukünftigen Fremdwährungstrans-aktionen auch die noch ungewissen Transaktionen. Da die genauen Zah-lungsströme dabei nicht bekannt sind, ist das Risiko nur schwer kalkulier-bar.

Das sogenannte Translationsrisiko ergibt sich aus der Währungsumrech-nung internationaler Konzerne im Jahresabschluss. Es handelt sich alsoum buchwertbezogene Umrechnungsrisiken, die vor allem für Unterneh-men eine Rolle spielen, die Beteiligungen an anderen Unternehmen imWährungsausland haben. In der obligatorischen Konzernkonsolidierungmüssen die Bilanzdaten der Beteiligungen in die Konsolidierungswährungumgerechnet werden. Selbst wenn es sich hierbei um keine direktenTransaktionen handelt, können durch Währungsschwankungen relativgroße bilanzielle Unterschiede entstehen. Diese haben Einfluss auf dasEigenkapital der Beteiligung. Wenn es durch eine Wechselkursänderungzu einer Steigerung der Verbindlichkeiten der Beteiligung kommt, wirdentsprechend das Eigenkapital dieser Beteiligung kleiner. Das Translati-onsrisiko hat somit einen direkten Einfluss auf die Eigenkapitalquote desKonzerns. Der Konzern als Ganzes erleidet keinen Schaden durch Wech-selkursänderungen. Innerhalb des Konzerns entstehen jedoch Verände-rungen an bestimmten Positionen durch die Bewertung der verändertenWechselkurse. Dies kann Auswirkungen auf bestimmte Finanzkennzahlenund somit auch auf die Bonitätsbewertung des Konzerns haben.

Beim Transaktionsrisiko handelt es sich um das Risiko, das sich aus ef-fektiven Zahlungstransaktionen ergibt. Im Fall von Währungstransaktio-nen zwischen zwei Währungsgebieten ist nur die Differenz zwischen denzum selben Zeitpunkt getätigten Ein- und Auszahlungen dem Transakti-onsrisiko unterworfen, da man das, was man auf einer Seite verliert, aufder anderen Seite wieder gewinnt. Das Transaktionsrisiko bezieht sich aufzukünftige Fremdwährungstransaktionen, bei denen sowohl der Transakti-onswert als auch der Transaktionszeitpunkt im Voraus bekannt sind; nichtbekannt ist jedoch der zukünftige Wechselkurs. Zum Transaktionsrisikogehören auch die Terminrisiken, die durch das zeitliche Auseinanderfal-len verschiedener Devisenpositionen entstehen können. Transaktionsrisi-ken sind also kurzfristig angelegt und hängen von der Volatilität derWechselkurse ab. Neben einem möglichen Wertverlust des Vermögenskann eine Änderung des Wechselkurses auch zu Zusatzkosten führen.Diese wirken sich auf den Cashflow des Unternehmens aus, wie das fol-gende Beispiel veranschaulicht.

65


Beispiel:Ein europäisches Unternehmen kauft Rohstoffe für 10000US$ inAmerika ein. Der Wechselkurs zum Zeitpunkt des Einkaufs beläuftsich auf 0,65 $/€. Das Unternehmen produziert und verkauft das End-produkt in Deutschland. Der Verkaufspreis von 25500 € besteht ausden Rohstoffkosten (10000! 0,65 = 6500 €), den Produktionskostenvon € 15000 und einer Verkaufsmarge von 4000 €. Wenn es nun zu ei-ner Wechselkursänderung kommt und der $/€-Wechselkurs auf 0,75 $/€steigt, steigen die Einkaufskosten des Unternehmens um 1000 €. DasUnternehmen hat nun zwei grundlegende Möglichkeiten, um auf dieseveränderte Situation zu reagieren. Es kann entweder den Verkaufspreisum 3,9 % erhöhen, um die interne Marge auf gleichem Niveau zu hal-ten oder, falls der Markt eine solche Preiserhöhung nicht zulässt, denVerkaufspreis stabil halten und die Verringerung der Gewinnmargeum 25% akzeptieren.

Dieses einfache Beispiel zeigt, dass bereits eine relativ geringe Wechsel-kursschwankung bedeutende Auswirkungen auf das Betriebsergebnis ei-nes Unternehmens haben kann. Da beim Transaktionsrisiko die Trans-aktionen im Vorhinein bekannt sind, ist es relativ einfach, sich gegen die-se Art von Risiko abzusichern.

Es lässt sich zusammenfassend also feststellen, dass Wechselkursände-rungen einen direkten Einfluss auf zwei bilanzielle Größen haben kön-nen, einerseits auf die Eigenkapitalquote des Konzerns durch das Trans-lationsrisiko und andererseits auf den Cashflow des Unternehmens durchdas Transaktionsrisiko.

3.2.3 Liquiditätsrisiken

Das Liquiditätsrisiko kann definiert werden als Gefahr, aufgrund einesLiquiditätsengpasses Zahlungsverpflichtungen nicht termingerecht nach-kommen zu können. Es kann unterschiedliche betriebswirtschaftliche Ur-sachen haben, sowie bei Risikoeintritt verschiedene Ausmaße annehmen.Die Folgen verspäteter Zahlungen an die Gläubiger des Unternehmenskönnen von Mahngebühren, Gerichtskosten und anderen Zusatzkostenbis hin zur Insolvenz reichen. Während der Schaden durch Mahngebüh-ren und Gerichtskosten relativ einfach erfasst werden kann, da diese denGewinn verringern, ist die Messung der möglichen Insolvenzfolgen we-66


sentlich schwieriger. Das liegt vor allem daran, dass eine Insolvenz durchmehrere Faktoren ausgelöst werden kann. Zudem entstehen Liquiditäts-risiken zumeist nicht getrennt von anderen Risiken bzw. hängen mit an-deren Risiken zusammen.

Um das Liquiditätsrisiko zu messen, ist es daher notwendig, das eineInsolvenz auslösende Gesamt-Liquiditätsrisiko in seine einzelnen Bestand-teile zu zerlegen. Diese können dann je nach Möglichkeit gemessen undgesteuert werden. In Literatur und Praxis werden verschiedene Arten vonLiquiditätsrisiken unterschieden, aus denen sich das Gesamtliquiditätsrisikoergibt. Zwar ist eine Unterteilung der verschiedenen Liquiditätsrisiken beiNichtbanken eher selten, sie kann aber gerade diesen zu einer genauerenRisikoanalyse verhelfen. An dieser Stelle ist es sinnvoll, auf die Definitionvon Unternehmensliquidität zurückzukommen. Unter Unternehmensliqui-dität wird die Fähigkeit eines Unternehmens verstanden, jederzeit seinenfinanziellen Verpflichtungen nachkommen zu können. Diese Fähigkeitkann maßgeblich durch das Unternehmen selbst gesteuert werden. Die dieUnternehmensliquidität gefährdenden Risiken können in aktivische und inpassivische Liquiditätsrisiken unterteilt werden, je nachdem, ob sie die Ak-tiv- oder die Passivseite der Unternehmensbilanz betreffen.

Die aktivischen Liquiditätsrisiken umfassen Investitions- und Geschäfts-risiken, Terminrisiken und das Liquidationsrisiko von Vermögenswerten.Terminrisiken entstehen bei der Kreditvergabe eines Unternehmens undbestehen in der verspäteten Leistung von Zins- und Tilgungsleistungen.Investitions- und Geschäftsrisiken sind Risiken, die sich aus der Unsicher-heit geplanter, zukünftiger Cashflows durch getätigte Investitionen unddie operative Geschäftstätigkeit ergeben. Hier spielt die Unsicherheit be-züglich der Umsatzerlöse die wichtigste Rolle, denn diese hängt direktmit dem leistungswirtschaftlichen Absatzrisiko zusammen, auf das amEnde dieses Kapitels genauer eingegangen wird. Das Liquidationsrisikovon Vermögenswerten besteht in der Gefahr, dass Vermögenswerte auf-grund mangelnder Liquidität des entsprechenden Marktes nur mit Preis-abschlägen verkauft werden können und folglich zu einer geringeren Ein-zahlung als geplant führen.

Definition: LiquiditätsrisikoGefahr, aufgrund eines Liquiditätsengpasses Zahlungsverpflichtun-

gen nicht termingerecht nachkommen zu können. Jenachdem ob dieUrsache des Liquiditätsengpasses die Aktiv- oder die Passivseite derUnternehmensbilanz betrifft, wird von aktivischen bzw. passivischen Li-quiditätsrisiken gesprochen. 67


Die sich auf die Passivpositionen beziehenden Liquiditätsrisiken kön-nen in Substitutionsrisiken, Prolongationsrisiken sowie in Finanzierungs-kostenrisiken unterteilt werden. Sowohl die Substitutions- als auch diePrologationsrisiken beziehen sich auf die Unsicherheit der zukünftigenVerfügbarkeit von Krediten: Beim Substitutionsrisiko geht es um die Ge-fahr, dass ein Unternehmen seine abgelaufenen Kredite nicht durch neueKredite ersetzen kann. Beim Prolongationsrisiko geht es um die Gefahreiner Nichtverlängerung der benötigten Kredite. Es bezieht sich in der Re-gel auf durch Banken eingeräumte Kreditlinien auf Girogeschäftskonten,die für die Unternehmensliquidität eine entscheidende Rolle spielen. EineVerringerung des Kreditlinienspielraums kann somit zu ernsthaften Liqui-ditätsschwierigkeiten führen. Unter dem Finanzierungskostenrisiko wirddie Gefahr höherer Fremdfinanzierungskosten verstanden. Diese kannzum Beispiel aufgrund einer Bonitätsverschlechterung des Unternehmensauftreten. Die erhöhten Zinszahlungen eines Unternehmens an seine Kre-ditgeber beeinträchtigen dessen Liquidität.

Wie bereits erwähnt hängen die finanzwirtschaftlichen Risiken mit denRisiken im leistungswirtschaftlichen Bereich zusammen. Auf letztere wirdim Folgenden genauer eingegangen.

3.3 Risiken im leistungswirtschaftlichen Bereich

Leistungswirtschaftliche Risiken entstehen durch den betrieblichenLeistungserstellungs- und Leistungsveräußerungsprozess. Diese Risikenbetreffen somit fast alle Funktionsbereiche eines Unternehmens. Dabeistehen die realwirtschaftlichen Prozesse im Vordergrund. Leistungswirt-schaftliche Risiken hängen oftmals eng mit finanzwirtschaftlichen undinsbesondere mit Liquiditätsrisiken zusammen. Sie können einerseits ininterne und externe Betriebsrisiken und andererseits in Absatz- und Be-schaffungsrisiken unterteilt werden. Betriebsrisiken werden häufig auchals operationelle Risiken bezeichnet, da sie mit der konkreten Geschäfts-abwicklung eines Unternehmen zu tun haben. Die verschiedenen Artenleistungswirtschaftlicher Risiken werden im Folgenden genauer erläu-tert.

Interne Risiken haben ihren Ursprung hauptsächlich im Unternehmenselbst, d. h. in den Personen, Prozessen und Systemen, auf denen derGeschäftsbetrieb basiert. Im Gegensatz zu den externen Betriebsrisiken

68


können die internen Betriebsrisiken durch aufbau- und ablauforganisa-torische Maßnahmen innerhalb des Unternehmens gesteuert werden.

3.3.1 Interne Betriebsrisiken

3.3.1.1 PersonalrisikenPersonalrisiken umfassen alle Risiken, die durch das Personal oder das

Personalmanagement eines Unternehmens verursacht werden können.Hierzu zählen mögliche Verluste durch menschliches Versagen, aberauch Verluste aufgrund mangelnder Qualifikation und Motivation des Per-sonals. Auch ein unzureichendes Personalmanagement birgt Risiken.Zum Beispiel kann ein schlechtes Betriebsklima oder die fehlende Kom-munikation zwischen Mitarbeitern und Führungskräften zu Verlustenbeim Unternehmen führen. Auch der Ausfall von Personen durch Krank-heit oder Unfall zählt zu den Personalrisiken. Es gibt also verschiedenemit den personenbezogenen Strukturen und Systemen eines Unterneh-mens zusammenhängende Risikofaktoren, die den Unternehmenserfolggefährden können.

Die personellen Risiken können aber nicht nur vom bestehenden Per-sonal des Unternehmens, sondern auch von dessen Umfeld ausgehen. Indiesem Fall handelt es sich jedoch um externe Betriebsrisiken. Es beste-hen beispielsweise auf das Personal bezogene Rechtsrisiken. Vor allemkönnen sich neue Arbeitsgesetze zu einem Nachteil für das Unternehmenentwickeln. Im Fall der Einführung eines Mindestlohns oder zusätzlichersozialer Abgaben können sich die Personalkosten wesentlich erhöhen.Des Weiteren sind aber auch die wirtschaftliche Situation eines Landesund das Angebot an qualifizierten Arbeitskräften von Bedeutung.

Ein weiterer Risikofaktor ist die Struktur eines Unternehmens. Wurdenbeispielsweise Tochterunternehmen gekauft und eingegliedert, kann dieUnternehmensstruktur undurchsichtig werden. Es können überflüssigeGeschäftsprozesse entstehen, wenn neue Prozesse eingeführt und gleich-zeitig alte beibehalten werden und sich somit viele Mitarbeiter unnötiger-weise mit administrativen Aufgaben beschäftigen. Zudem wird eine infor-melle Struktur begünstigt, die zu subjektiven und somit möglicherweisesuboptimalen Personalentscheidungen führen kann.

Personalrisiken können erheblichen finanziellen Schaden verursachen.So sind gemäß einer Studie des österreichischen Kreditschutzverbandesrund ein Drittel der intern bedingten Insolvenzen durch das Fehlen desnotwendigen kaufmännischen Weitblicks und der mangelnden Beobach- 69


tung der wirtschaftlichen Vorkommnisse entstanden. Der Mangel an sach-lichen, persönlichen oder sozialen Kompetenzen des Personals ist also einwichtiger Risikofaktor und kann sogar zu einer Insolvenz führen. Kom-petente Führungskräfte und Mitarbeiter in Schlüsselpositionen sind essen-ziell für ein langfristiges Wachstum des Unternehmens, denn sie ver-fügen über wertvolles unternehmensspezifisches Wissen und die notwen-dige Erfahrung. Zudem sind sie verantwortlich für die grundlegendenUnternehmensentscheidungen und auch die Motivation und die Zufrie-denheit der anderen Mitarbeiter hängen in der Regel von diesen Schlüs-selkräften ab.

Es besteht also ein Risiko hinsichtlich der Rekrutierung von kompeten-tem Personal, aber auch hinsichtlich dessen ausreichend langer Bindungan das Unternehmen. Die Einstellung von nicht den Unternehmens-bedürfnissen entsprechend qualifizierten Mitarbeitern erhöht die Risikenaller Geschäftsprozesse. So können beispielsweise zu Unzufriedenheit beiKunden und Partnern des Unternehmens führen. Des Weiteren könnenschlecht ausgebildete Mitarbeiter, die Kunden einen unzureichenden Ser-vice bieten, einen Imageverlust des Unternehmens verursachen. Einelangfristige Bindung von qualifiziertem Personal ist also wichtig. Diesekann durch eine stark ausgeprägte Unternehmenskultur gefördert werden.Die Identifikation der Mitarbeiter mit dem Unternehmen und seinenWerten und Zielen ist von großer Bedeutung für deren Zufriedenheit undgleichzeitig auch für den Unternehmenserfolg. Ein Risiko besteht also ineiner starken Fluktuation der Mitarbeiter und Führungskräfte, da es durchsie zu einem Know-how-Verlust kommen kann und auch die Umsetzunglangfristiger Unternehmensstrategien erschwert wird. Langfristige Strate-gien brauchen eine gewisse Kontinuität in der Geschäftsleitung um erfolg-reich zu sein.

Wie bereits erwähnt, entstehen Personalrisiken also sowohl durch dasPersonal als auch durch Personalmanagement eines Unternehmens. Eingutes Personalmanagement kann die Risiken verringern, die das Personalbetreffen. Eine gute Rekrutierungsstrategie und eine ausgewogene Per-sonalstruktur im Unternehmen sind wichtig. Für einen langfristigen Un-ternehmenserfolg sollte ein Unternehmen sowohl über junge als auch er-fahrene Mitarbeiter verfügen. Wichtig sind darüber hinaus der ausreichen-de Einsatz von Arbeitsgruppen und eine funktionierende Kommunikationzwischen den Mitarbeitern aller Ebenen und Abteilungen. Auch das Be-triebsklima ist wichtig. All diese Faktoren können im Risikofall sowohl dieMotivation der Mitarbeiter und somit ihre Leitung als auch wichtige Ge-schäftsprozesse stark beeinträchtigen.70


Zudem ist es auch Aufgabe des Personalmanagements, bei allen Per-sonalentscheidungen die Personalkosten zu berücksichtigen und daraufzu achten, dass die Arbeitsverträge und die betrieblichen Vereinbarungenden Bedürfnissen des Unternehmens entsprechen. Maßnahmen zur Ver-ringerung von Personalrisiken sind zum Beispiel personelle Schulungs-maßnahmen, die Rekrutierung von qualifiziertem Personal und organisa-torische Maßnahmen wie das Abstimmen interner Abläufe oder ein Ver-haltenskodex für die Mitarbeiter.

3.3.1.2 IT-RisikenDie Begriffe IT-Risiken und Systemrisiken werden synonym verwendet.

Diese Art von Risiken umfasst alle möglichen Verluste, die mit der Ver-fügbarkeit von Daten, IT-Systemen (d. h. Netzwerken und Hardware) undAnwendungen (Software) zusammenhängen. Zum Beispiel können Schä-den durch Datenverlust oder Manipulation entstehen. Zudem kann auchdie Nichteinhaltung gesetzlicher Anforderungen bezüglich der eingesetz-ten IT-Systeme zu den IT-Risiken gezählt werden. Hier handelt es sichaber gleichzeitig auch um ein Rechtsrisiko. Diese Beispiele decken jedochbei Weitem nicht alle Systemrisiken ab. Der immer weiter und immerschneller voranschreitende technische Fortschritt bringt neue Chancen,aber auch neue Risiken mit sich. Gegenwärtig spielen vor allem Risikendurch mangelnde Datensicherheit, Eingabefehler von Mitarbeitern undfehlende Kontroll- und Plausibilitätschecks bei größeren Datenbeständeneine besonders große Rolle für Unternehmen. IT-Systeme haben wesent-lich dazu beigetragen, Unternehmensprozesse zu vereinfachen, zu präzi-sieren und zu beschleunigen. Andererseits hat die zunehmende Verwen-dung und Integration von IT zu einer starken Abhängigkeit von derselbengeführt. Ohne elektronische Hilfe kann in fast keinem Unternehmenmehr gearbeitet werden, da die meisten Arbeitsprozesse von Computernübernommen wurden, ob in der Produktion, im Vertrieb oder in der Fi-nanzabteilung. Diese Abhängigkeit birgt große Risiken, denn ohne ITkann das unternehmerische Tagesgeschäft nicht mehr verrichtet werden.

Da IT-Systeme im gesamten Unternehmen genutzt werden, ist die An-zahl möglicher Fehlerquellen hoch und das IT-System leicht angreifbar.Darüber hinaus ist es zumeist sehr schwierig, im Schadensfall den Ver-antwortlichen zu identifizieren. Zum Beispiel kann IT-Piraterie von jedemOrt aus inkognito betrieben werden. Gemäß der polizeilichen Kriminalsta-tistik wurden im Jahr 2006 fast 60000 Fälle von Computerkriminalitäterfasst, aber nur knapp die Hälfte aufgeklärt. Zudem kann davon aus-

71


gegangen werden, dass nur ein Teil der Verbrechen zur Anzeige gebrachtwird und die Dunkelziffer noch höher ist.

Der aus IT-Risiken resultierende Schaden für ein Unternehmen kannimmens sein. Wenn beispielsweise Daten verloren gehen oder Betriebs-geheimnisse gestohlen werden ist das Ausmaß der Schäden nur schwermessbar, da diese sowohl materiell als auch immateriell in Form vonImageschäden und Vertrauensverlust auftreten können. Besonders starksind zudem Unternehmen IT-Risiken ausgesetzt, deren Geschäft auf geis-tigem Eigentum basiert, sogenannter Intellectual Property. Dies ist zumBeispiel der Fall bei Unternehmen, die Software entwickeln oder zurFilm- und Musikindustrie gehören. Raubkopien verursachen sehr hoheUmsatzeinbußen. Hinzu kommen noch die hohen Rechtsstreitkosten. Einweiteres Problem bildet der Verlust von sensiblen Daten wie Kundenlis-ten, Betriebsgeheimnissen oder Dokumenten über die internen Strategien.Diese können durch Computerspionage oder -sabotage an Konkurrentengelangen. Dabei geht oftmals eine große Gefahr von den eigenen Mit-arbeitern aus. Bei einer Kündigung ist es nicht selten, dass frustrierte Mit-arbeiter Daten kopieren oder manipulieren, bevor sie das Unternehmenverlassen.

Das IT-Risiko umfasst also viele unterschiedliche Gefahren für das Un-ternehmen, die von unbeabsichtigten Fehlern der Mitarbeiter bis hin zurorganisierten Computerkriminalität reichen. Da es kaum mehr möglichist, das normale Tagesgeschäft ohne IT-Systeme zu tätigen, ist es von gro-ßer Bedeutung, sich mit diesen Risiken zu befassen. Eine Studie des Fe-deral Bureau of Investigation (FBI) ergab, dass die Computerkriminalitätin den USA Schäden im Umfang von 67 Milliarden US-Dollar jährlichverursachen. Diese Zahl zeigt das Ausmaß des durch das Auftreten vonEDV-Risiken verursachten Schadens. Zukünftig wird die Schadenshöhedieser Risikoart sicher noch wachsen.

3.3.1.3 Prozess-RisikenProzess-Risiken beziehen sich auf die Verlustgefahr durch Störungen

des Geschäftsablaufs durch die mangelhafte Organisation und/oder Funk-tionsfähigkeit von Geschäftsprozessen. Diese umfassen beispielsweisemangelnde Kontrollen, unvollständige Ablaufbeschreibungen und Mängelin der Ablauf- und/oder Aufbauorganisation.

72


3.3.2 Externe Betriebsrisiken

Die externen Betriebsrisiken haben ihren Ursprung außerhalb des Un-ternehmens und sind deswegen nicht direkt bzw. nur in geringem Maßesteuerbar. Die externen Risiken können im Wesentlichen in Rechts- undNaturrisiken unterschieden werden. Diese werden im Folgenden genauererläutert. Auch wenn die externen Betriebsrisiken außerhalb des Unter-nehmenseinflusses liegen, ist es sehr wichtig, diese zu identifizieren undin den Risikosteuerungsplan zu integrieren, denn sie können große Aus-wirkungen auf die zukünftige Entwicklung des Unternehmens haben. AlsInstrument der Risikosteuerung spielt bei den externen Betriebsrisikenvor allem die Risikoüberwälzung durch Abschluss von Versicherungeneine wesentliche Rolle.

3.3.2.1 RechtsrisikenRechtsrisiken wurden bereits im Zusammenhang mit den Personal-

und den IT-Risiken kurz angesprochen. Im Allgemeinen gehören zu denRechtsrisiken vor allem die Risiken aus der Änderung von unternehmens-relevanten Gesetzen, aber auch potenzielle Verpflichtungen zur Zahlungvon Bußgeldern oder Geldstrafen sowie Schadensersatzansprüche auf-grund privatrechtlicher Verträge z. B. im Rahmen der Produkthaftung. DieÄnderung der Steuergesetzgebung stellt beispielsweise ein bedeutendesRisiko für Unternehmen dar. Zudem können auch Verstöße gegen recht-liche Auflagen sowie Betrug und Delikte durch Drittparteien zu denRechtsrisiken gezählt werden. Rechtsrisiken können also aus restriktivenGesetzen, Rechtsstreitigkeiten oder aus ungünstigen vertraglichen Verein-barungen resultieren. Die Rechtsrisiken betreffen alle Unternehmen, egalwelche Größe sie haben und in welcher Branche sie tätig sind. Die Risi-ken aus den gesetzlichen Regelungen können je nach Art der Geschäfts-tätigkeit eines Unternehmens sehr unterschiedliche Formen annehmen.Rechtliche Risiken sind auch Gegenstand des nach dem KonTraG gefor-derten Früherkennungs- und Überwachungssystems (§ 91 Abs. 2 AktG)und des Lageberichts (§ 289 Abs. 1 HGB), die in Kapitel 2 aus Teil I be-reits erläutert wurden.

Eine Studie des Marktforschungs-Instituts Psychonomics AG belegte,dass viele Unternehmen, vor allem KMU, diese Risikoart größtenteilsnoch unterschätzen. Dabei verursachen gerade die Rechtsrisiken bei Ein-tritt sehr hohe Kosten. Die Studie hat gezeigt, dass innerhalb der letztenfünf Jahre mehr als 62 Prozent der befragten Unternehmen in mindes-tens einen Rechtsstreit verwickelt waren. Die daraus resultierenden Kosten 73


beliefen sich bei knapp 10 Prozent der Fälle auf über 50000 Euro. Einesolche Summe kann reichen, um ein mittelständisches Unternehmen infinanzielle Not zu bringen.

Die vertraglichen Rechtsrisiken resultieren aus den durch ein Unterneh-men abgeschlossenen Verträgen. Es können beispielsweise Probleme beider Durchsetzbarkeit bzw. Einklagbarkeit eines Vertrages entstehen. Esgibt viele Gründe, weshalb ein Vertrag nicht die vorgesehenen Wirkungenerzielt. Bei einer Missachtung formaler Vorgaben kann ein Vertrag, selbstwenn beide Vertragspartner zugestimmt haben, ungültig sein. Auch beider Stellvertretung können rechtliche Schwierigkeiten auftreten. In einemUnternehmen ist grundsätzlich nur der Geschäftsführer berechtigt, Verträ-ge im Namen des Unternehmens zu unterschreiben. Durch die Erteilungeiner Vollmacht ist es möglich, diesen Kreis zu erweitern. Unterschreibtein Mitarbeiter einen Vertrag im Namen des Unternehmens, obwohl die-ser nicht die nötige Vertragsmacht besitzt, führt dies zu einer rückwirken-den Vertragsannulierung. Außerdem können rechtliche Probleme durchschlecht gewählte Formulierungen oder das Übersehen kritischer Ver-tragsparagraphen entstehen. In solchen Fällen handelt es sich um einenIrrtum bei der Willenserklärung einer Vertragspartei. Bei einem Rechts-streit wird dann versucht zu ermitteln, auf was zum Zeitpunkt der Unter-zeichnung des Vertrages die Willenserklärung des betroffenen Vertrags-partners gerichtet war. Solche Irrtümer bei der Willenserklärung endenmeistens in Rechtsstreitigkeiten, die nur schwer beizulegen sind.

Arbeitsunfälle sind ein weiteres, von Unternehmen sehr ernst zu neh-mendes Rechtsrisiko. In Deutschland gibt es jährlich über 800000 Ar-beitsunfälle, von denen mehr als 600 tödlich enden. Das Thema Arbeits-sicherheit spielt somit für viele Unternehmen eine wichtige Rolle. BeiRechtsstreitigkeiten wegen Arbeitsunfällen untersuchen die Berufsgenos-senschaften, die Staatsanwaltschaft und die breite Öffentlichkeit den Be-triebsunfall gründlich auf mangelhafte Sicherheitsvorkehrungen auf Seitendes Unternehmens. Um das Risiko eines Schadenersatzes zu verringern,ist es deshalb umso wichtiger, alle Aktivitäten zum Schutz der Arbeitneh-mer genauestens und lückenlos zu dokumentieren. Weiterhin besteht einRechtsrisiko im Zusammenhang mit der Produkthaftung eines Unterneh-mens. Durch Entwicklungs-, Konstruktions-, Fabrikations-, Instruktions-oder Produktbeobachtungsfehler kann eine Schadensersatzklage gegen dasUnternehmen erhoben werden.

Wie bereits erwähnt sind Steuerrisiken ein wichtiger Bestandteil derRechtsrisiken. Im Folgenden wird deshalb genauer auf die für ein Unter-nehmen bestehenden Steuerrisiken eingegangen. Kein Unternehmen74


kommt am Thema Steuern vorbei. Obwohl die Höhe der Körperschafts-steuer in Europa tendenziell sinkt, bleibt sie in Deutschland auf einemrelativ hohen Niveau. Laut einer Studie des Statistischen Amtes der Euro-päischen Gemeinschaften (EUROSTAT) mussten deutsche Unternehmen38,7 Prozent ihrer Einnahmen an den Staat abgeben, womit sie EU-weitdie führende Position belegen. Da Steuern für Unternehmen also einenhohen Kostenfaktor darstellen, ist es wichtig, jeden Spielraum, den dasGesetz bietet, zu nutzen. Die Komplexität des Steuerrechts und der steu-erlichen Wahlmöglichkeiten birgt jedoch Risiken. Es ist notwendig, stetsauf dem Laufenden bezüglich der aktuellen Steuervorschriften zu sein,um das herrschende Steuerrecht korrekt anzuwenden. Jede Gesetzesände-rung sollte somit genau beachtet und analysiert werden.

Steuerrisiken können sich somit aus der Anwendung der Rechtslage er-geben, da es aufgrund der Komplexität des Steuerrechts oftmals schwierigist, die Rechtslage eines Unternehmens hinsichtlich der verschiedenensteuerlichen Aspekte vollständig richtig zu beurteilen. Steuerberater sinddeswegen unumgänglich für ein Unternehmen. Selbst die fertig gestelltenSteuerbescheide der Finanzbehörden sollten nochmals kontrolliert wer-den, da sich auch diese in der Rechtslage irren können. Dazu kommt diefortlaufende Entwicklung der Steuergesetzgebung, an die sich die Unter-nehmen anpassen müssen. Diese Umstellungen können jedoch problema-tisch für Unternehmen werden, da der Gesetzgeber das Recht hat, dasGesetz in Bezug auf periodische Steuern rückwirkend zu verändern. Beider jährlichen Umsatzsteuer ist es beispielsweise möglich, dass Mitte desJahres eine Gesetzesänderung rückwirkend auf das gesamte Fiskaljahr be-schlossen wird. Eine zu Jahresbeginn getroffene Steuerentscheidung kanndem Unternehmen so durch die Entwicklung der Rechtslage nicht denerhofften Vorteil bringen. Des Weiteren ergeben sich Risiken aus derDurchsetzung von Steuern. Nachdem alle Steuerbescheide abgegeben wor-den sind, kann es sein, dass die Steuerbehörden den Bescheid nachträg-lich ändern oder sogar aufheben. In diesem Fall hat das Unternehmen dieMöglichkeit, Einspruch zu erheben. Das Finanzamt hat zudem das Recht,jederzeit stichprobenartige Außenprüfungen zu tätigen, um vor Ort fest-zustellen, ob der Steuerbescheid der Realität entspricht. Sollten Unge-reimtheiten auftreten, können gemäß § 169 der Abgabenordnung nochNachzahlungen verlangt werden. Das Steuergesetz erschwert also durchseine Komplexität und seine fortlaufende Weiterentwicklung eine langfris-tige Steuerpolitik der Unternehmen. Die Unternehmen werden gezwun-gen, ihre Steuerpolitik nur kurzfristig auszurichten, meistens nur überein Wirtschafts- bzw. ein Fiskaljahr. 75


Um alle rechtlichen Risiken im Unternehmen zu erfassen, kann eine»Legal Due Diligence« ausgearbeitet werden. Dabei wird festgestellt, oballe Genehmigungen und Lizenzen gesetzesmäßig erteilt worden sind. Da-rüber hinaus werden die einzelnen Verträge analysiert, vor allem die Ar-beits-, Versicherungs- und Kreditverträge. Bei den Kunden- und Lieferan-tenverträgen werden die allgemeinen Geschäftsbedingungen genau be-trachtet. Zudem werden die Rechtsrisiken, die durch Gewährleistungen,Pachtverhältnisse, Bürgschaften und Patronatserklärungen entstehenkönnten, untersucht. Das Ziel hierbei ist es, die gesamten rechtlichen Ri-siken identifizieren zu können, um ihren Einfluss auf das Unternehmenzu erkennen. Diese Fülle an Rechtsrisiken macht eine eigene Rechtsabtei-lung oder professionelle Unterstützung unabdingbar.

3.3.2.2 NaturrisikenZu den Naturrisiken werden potenzielle Schäden gezählt, die durch Na-

turgewalten entstehen können, so z. B. durch Feuer, Unwetter, Erdbebenoder Überschwemmungen. Des Weiteren kann das sogenannte Wetterrisi-ko den Naturrisiken zugeordnet werden. Bei wettersensitiven Unterneh-men ist der Umsatz von der Wetterlage abhängig. Kommt es beispielweisezu einem heißen Sommer, werden die Eisdielen davon profitieren undihren Umsatz erhöhen können. Andererseits können Touristen infolge ei-ner Naturkatastrophe einem sonst beliebten Urlaubsort fernbleiben. Esgibt auch Naturrisiken, die die Verfügbarkeit bestimmter Produkte gefähr-den. Zerstört beispielsweise ein Sturm eine Getreideernte, müssen alleUnternehmen, die diesen Rohstoff als Produktionsgrundlage benötigen,ihre Produktion einschränken. Das wichtigste Instrument zur Steuerungvon Naturrisiken sind Versicherungen.

3.3.3 Absatz- und Beschaffungsrisiken

3.3.3.1 BeschaffungsrisikenBeschaffungsrisiken umfassen alle Verlustgefahren, die sich aus der Be-

schaffung der zur Leistungserstellung eines Unternehmens notwendigenmateriellen und immateriellen Produktionsfaktoren ergeben. Diese Artvon Risiken ist stark unternehmens- und branchenspezifisch, da sie vonden Gütern abhängt, die ein Unternehmen für seine Produktion beschaf-fen muss. Es kann zwischen mehreren Arten von Beschaffungsrisiken un-terschieden werden. Das Bedarfsdeckungsrisiko bezieht sich auf Verluste,die sich aus der mangelnden Verfügbarkeit der benötigten Produktionsfak-76


toren ergeben. Als Folge können dem Unternehmen Gewinne entgehenoder vom Kunden Schadensersatzansprüche geltend gemacht werden.Beim Transportrisiko handelt es sich um die möglichen Verluste durchden Transport der Produktionsfaktoren vom Lieferanten zum Unterneh-men, vor allem durch den Untergang und die Beschädigung der Produkti-onsfaktoren. Das Lagerrisiko besteht im Untergang oder der Beschädigungder beschafften Produktionsfaktoren, während sie sich im Lager befinden.Unter Lieferrisiko wird das Risiko verstanden, das durch einen Ausfall ei-ner Lieferung oder eine mangelhafte Lieferung erzeugt wird. In diesemZusammenhang gewinnt die Bewertung der Zahlungsfähigkeit von Liefe-ranten immer mehr an Bedeutung. So haben Insolvenzen von Unterneh-men aus der Zuliefererindustrie in den letzten Jahren immer wieder zuSchieflagen von großen Konzernen, sogenannten Original Equipment Ma-nufacturers (OEM), geführt. Die Lieferfähigkeit eines Lieferanten ist alsovon dessen Solvabilität bzw. zukünftiger Zahlungsfähigkeit abhängig. Da-her bewerten immer mehr Unternehmen die Lieferfähigkeit ihrer Zuliefe-rer durch sogenannte Lieferanten-Ratings.

Das wichtigste Beschaffungsrisiko ist jedoch das Güterpreisrisiko. Unterdem Güterpreisrisiko wird die negative Abweichung von einer geplantenZielgröße, z. B. dem Gewinn, durch das operative Geschäft aufgrund unsi-cherer zukünftiger Entwicklungen der Beschaffungspreise für Rohstoffeund Waren verstanden. Diese Unsicherheit ist ein wesentlicher Risikofak-tor vor allem für Industrieunternehmen, da es ihren Cashflow innerhalblängerer Prognosezeiträume betrifft. Gestiegene Beschaffungspreise wir-ken sich negativ auf die Gewinnmarge des Unternehmens aus, sofern sienicht in vollem Umfang durch die Erhöhung der Verkaufspreise weiterge-geben werden können. Zudem stehen die zukünftigen Güterpreisänderun-gen und die damit verbundenen Kosten eng mit zukünftigen Wechselkur-sen und den Verkaufserlösen in Zusammenhang. So führt z. B. bei einerEuroaufwertung der steigende US-$/€-Wechselkurs zu günstigeren Im-portpreisen von z. B. Rohöl.

Der Rohstoffmarkt ist geprägt von Spekulationen und einer starken Vo-latilität. Fast alle Rohstoffmärkte sind starken Preisschwankungen unter-worfen, so ist der Energiesektor genauso von diesen betroffen wie Nah-rungsmittel oder Metalle. Als Grund für die tendenziell steigenden Preisekann unter anderem die steigende Nachfrage Chinas, Indiens und derVereinigten Staaten gesehen werden. Zusätzlich trägt noch die Angst voreiner immer begrenzter werdenden Verfügbarkeit von Rohstoffen zumPreisanstieg bei.

77


Die großen Preisschwankungen bei den Rohstoffen haben beträchtlicheAuswirkungen auf die Produktionskosten der Unternehmen, vor allem aufdiejenigen, bei denen Energie und Rohstoffe einen großen Anteil der Ge-samtkosten ausmachen. Somit ist die Energiebranche, die industrielle Fer-tigung und die Chemie- und Pharmaindustrie besonders vom Rohstoff-preisrisiko betroffen.

Grundsätzlich gilt das Prinzip, dass eine Rohstoffpreiserhöhung zu hö-heren Kosten für Unternehmen führt. Wenn diese Kosten nicht durch ei-nen zusätzlichen Ertrag gedeckt werden können, wird der Betriebsgewinndurch die Kostenerhöhung verringert. Um also die Kosten auszugleichenist eine Erhöhung des Verkaufspreises notwendig. Vor allem am Beispielder Ölkonzerne wird die Politik der Weitergabe der Kosten deutlich, dieseUnternehmen haben dieses Konzept schon übernommen. Wenn der Roh-ölpreis steigt, steigen auch die Benzinpreise für den Verbraucher. Damitwird das Risiko einer Rohstoffpreisänderung auf den Endverbraucher ab-gewälzt. Dies kann aber auf lange Frist nicht funktionieren, da die Kun-den die Weitergabe der Kosten nicht mehr akzeptieren werden, wenn dieTransparenz des Markts steigt. Und selbst wenn das Unternehmen dieKosten auf den Endverbraucher überträgt, wird das Betriebsergebnis indi-rekt, durch einen sinkenden Umsatz, beeinträchtigt. Laut einer Studie desWirtschaftsprüfungsunternehmens KPMG üben fast bei 90 Prozent derUnternehmen die Rohstoffpreise einen mittleren bis hohen Einfluss aufihre Kosten aus. Für den Umsatz schätzen mehr als drei Viertel der Un-ternehmen die Auswirkungen steigender Rohstoffpreise als erheblich ein.Dazu kommt, dass das Risiko einer Rohstoffpreiserhöhung nicht nur gro-ßen Einfluss auf die Kosten der Unternehmen hat, sondern auch nur sehrschwer genau prognostiziert werden kann.

Die Rohstoffpreisschwankungen haben Auswirkungen auf mehrere Un-ternehmenspositionen. Die Erhöhung der Treibstoffpreise hat beispiels-weise eine Fuhrparkkostenerhöhung zur Folge. Des Weiteren hat aucheine Heizkostenerhöhung Auswirkungen auf die Gemeinkosten des Un-ternehmens. Je wichtiger ein Rohstoff für ein Unternehmen ist, desto grö-ßer ist im Allgemeinen die Gewinnschwankung bei einer Preisänderung.Die Einkaufsfrequenz spielt ebenfalls eine Rolle um das Ausmaß des Risi-kos zu erfassen. Kauft ein Unternehmen täglich eine kleine Menge ein,wird es am Jahresende den Durchschnittspreis dafür bezahlt haben. Kannoder will ein Unternehmen nur ein Mal pro Quartal diesen Rohstoff kau-fen, ist das Risiko einer Abweichung zum Durchschnittspreis größer. Da-bei besteht natürlich sowohl die Möglichkeit, am Ende einen geringerenals auch einen höheren Preis zu bezahlen.78


Die Entwicklung des Weltmarktes lässt auf weitere Preissteigerungenspekulieren und geht man von den derzeitigen Einflüssen der Rohstoff-preise auf die gesamte Volkswirtschaft aus, wird dieses Risiko in Zukunftweiter an Bedeutung gewinnen. Gemäß der Österreichischen Energie-agentur ist z. B. ein Ölpreisanstieg von zehn Dollar pro Fass gleichzuset-zen mit einer Minderung des Wirtschaftswachstums von 0,1 bis 0,2 Pro-zent.

3.3.3.2 AbsatzrisikenAbsatzrisiken beziehen sich auf alle Verlustgefahren, die sich aus der

Veräußerung der vom Unternehmen erstellten Produkte oder Dienstleis-tungen ergeben. Wie die Beschaffungsrisiken sind auch die Absatzrisikenstark unternehmens- und branchenabhängig. Es gibt mehrere Arten vonAbsatzrisiken. Das Lagerrisiko bezieht sich auf die möglichen Verluste ausdem Untergang oder der Beschädigung der erstellten Produkte im Ver-kaufslager. Das Transportrisiko umfasst mögliche Verluste durch den Un-tergang oder die Beschädigung der erstellten Produkte beim Transportzum Kunden. Als Erfüllungsrisiko werden mögliche Verluste verstanden,die entstehen können, wenn vertraglich zugesicherte Produkte nicht pro-duziert bzw. geliefert werden können. Das Abnahmerisiko bezeichnet dieGefahr einer Nichterfüllung der vertraglichen Pflichten durch den Kun-den. Dieser kann entweder gar nicht oder zu spät den vereinbarten Kauf-preis bezahlen oder die gekauften Produkte gar nicht erst abnehmen. DasErfüllungsrisiko, das Lagerrisiko, das Transportrisiko und das Abnahme-risiko gehören zu den Betriebsrisiken. Das Zahlungsrisiko als eine Unter-form des Abnahmenrisikos kann auch dem Liquiditätsrisiko (siehe I.3.2.3)zugeordnet werden. Das Zahlungsrisiko kann auch die Form eines Aus-fallrisikos (siehe I.3.2.1.1) annehmen, wenn der Kunde die auf Ziel gekauf-ten Produkte gar nicht bezahlt.

Das Absatzrisiko im engeren Sinne besteht darin, dass die geplantenUmsätze des Unternehmens nicht erzielt werden. Dieses Risiko wirdauch als Verkaufsrisiko bezeichnet. Da sich die Umsatzerlöse als Preis proStück mal Verkaufsmenge definieren lassen, kann das Verkaufsrisiko ge-mäß der Risiken dieser beiden Komponenten weiter unterteilt werden indas Verkaufsausfall- bzw. Verkaufsmengenrisiko, d. h. das Risiko, keineAbnehmer für die Produkte zu finden bzw. nicht die geplanten Mengenabsetzen zu können, und in das Verkaufspreisrisiko. Das Letztere bestehtdarin, die Produkte nicht zum geplanten Preis absetzen zu können.

79


3.4 Zusammenfassung

Dieses Kapitel soll die Vielfalt der Risikoarten aufzeigen, wobei hier le-diglich eine nach der Unterscheidung in finanzwirtschaftliche und leis-tungswirtschaftliche Risiken eingeteilte Typologie verwendet wurde. Ande-re Typologien z. B. nach Branchen oder dem Umfang der Risiken bzw.deren Bedeutung für einzelne Unternehmenstypen sind ebenfalls mög-lich. Sie haben erfahren, dass es im finanzwirtschaftlichen Bereich Kredit-,Marktpreis- und Liquiditätsrisiken gibt. Im leistungswirtschaftlichen Bereichhaben Sie die internen und externen Betriebsrisiken sowie die Absatz- undBeschaffungsrisiken kennengelernt. Wichtig ist auch zu erkennen, dass dieverschiedenen Risikoarten voneinander anhängig sind und sich gegenseitigbeeinflussen.

4Organisation eines Risikomanagements

4.1 Eingliederung des Risikomanagementsin die Aufbauorganisation

Für die Einrichtung einer Risikomanagementorganisation im Unterneh-men stellt sich zunächst die Frage, mit welcher Integrationstiefe dieseFunktion eingegliedert werden soll. Hierbei werden grundsätzlich dieKonzepte der Integration und der Separation voneinander unterschieden.

Das Integrationskonzept ist dadurch gekennzeichnet, dass Tätigkeitsfel-der bereits bestehender Organisationseinheiten um die Aufgaben des Risi-komanagements erweitert werden und somit das Risikomanagement indie bestehende Organisation eingegliedert ist. Damit sind die Entschei-dungsträger der einzelnen Operationseinheiten auch für die Identifikation,Bewertung und Steuerung der Risiken verantwortlich, die sich auf ihrenKompetenzbereich erstrecken. Diese Organisationsart ermöglicht ein Risi-komanagement mit vergleichsweise geringem Aufwand, da hierfür keineparallele Organisationsstruktur, z. B. in Form eines Risikocontrollings, be-trieben werden muss. Allerdings besteht in dem Fehlen einer unabhängi-gen Instanz zur Unterstützung des Risikomanagements die Gefahr desÜbersehens, Überschätzens oder der Ignoranz von Risiken durch die ein-zelnen Manager. Ein integriertes Risikomanagementsystem eignet sichvornehmlich für kleinere Unternehmen, die nur geringe personelle undfinanzielle Mittel für das Risikomanagement aufbringen können.

Bei einer Organisationsstruktur gemäß dem Separationskonzept werdenRisikoträger, also diejenigen Einheiten, die direkt vom Risiko betroffensind und die Entscheidungsträger der Risikosteuerung voneinander ge-trennt. Damit werden auch Sach- und Risikoentscheidungen voneinandersepariert. Eine solche Risikoabteilung, ein sogenanntes »Risk ManagementDepartment«, entspricht somit einer Art Stabstelle und dient der Unter-stützung der Entscheidungsträger in den Primärfunktionen des Unterneh-mens. Hierdurch können methodische Kenntnisse und Spezialwissen imRisikomanagement aufgebaut, sowie dessen Dokumentation erleichtert 81

Organisation einesRisikomanagements


werden. Darüber hinaus kann eine solche unabhängige Stabstelle das Risi-komanagement im Unternehmen objektiv beurteilen und kontrollieren.Von Nachteil ist jedoch der fehlende detaillierte Einblick in die einzelnenProzesse der verschiedenen Unternehmensbereiche. Dadurch können Ri-siken übersehen und falsch eingeschätzt werden. Gerade für große Unter-nehmen ist dieses Konzept interessant, da sie über die nötigen Ressour-cen verfügen und so ein objektives Risikomanagement durch eine vomoperativen Geschäft unabhängige Instanz gewährleisten können.

Ein weiterer zu definierender Aspekt ist der Zentralisationsgrad der Ri-sikomanagementorganisation und damit die Verteilung der Aufgaben imRisikomanagement. Wie in der folgenden Abbildung dargestellt ist, kön-nen gleichartige Teilaufgaben entweder zu einem Zentrum zusammenge-fasst (zentrale Organisation) oder aber auf mehrere Stellen, die nicht zudiesem Zentrum gehören, verteilt werden (dezentrale Organisation).

Abb. 11: Vergleich eines zentral und eines dezentral organisierten RisikomanagementsQuelle: Vgl. Ehrmann, H., 2005, S. 121

Existiert im Unternehmen eine einzige Organisationseinheit, der alleAufgaben des Risikomanagements übertragen werden, spricht man voneiner vollständigen Zentralisation des Systems. Mittels einer solchen Zen-traleinheit kann die ineffiziente mehrfache Ausführung von Risikomana-gementaufgaben vermieden werden. Außerdem konzentrieren sich derEinfluss und die Führungskompetenz ausschließlich auf das Zentralorgan,sodass Kompetenzstreitigkeiten und eine Untererfüllung von Aufgaben82


vermieden werden können. Auf der anderen Seite verlängern sich derKommunikations- und Entscheidungsweg im Unternehmen, womit auchdie Reaktion auf identifizierte Risiken verzögert wird. Zudem besteht inder Ausgrenzung der operativen Mitarbeiter vom Risikomanagementpro-zess die Gefahr, dass ihr Wissen über spezifische Risiken nicht hinrei-chend genutzt, und ein proaktives Management von Risiken behindertwird. Da diese Zentraleinheit nur in seltenen Fällen Einblick in alle Berei-che des Unternehmens hat, ergibt sich hieraus die Gefahr der Nichtidenti-fikation relevanter Risiken.

Bei einer vollständigen Dezentralisation des Risikomanagements werdenalle Aufgaben in den einzelnen Unternehmensbereichen ausgeführt. Da-durch können das Wissen der Mitarbeiter in den einzelnen Bereichen bes-ser genutzt und zentrale Organisationseinheiten entlastet werden. Dieeigenständigen Risikoentscheidungen erhöhen die Motivation der Mit-arbeiter und fördern das Entstehen einer Risikokultur im Unternehmen.Nachteilig ist allerdings die Gefahr ineffizienter Mehrfacharbeit in deneinzelnen Bereichen. Zudem ist es schwer möglich, die einzelnen Aktivi-täten zu koordinieren. Dabei ist insbesondere auch auf die Gefahr einesunzureichenden Kommunikationsflusses zwischen den dezentralen Ein-heiten und den zentralen Einheiten im Unternehmen hinzuweisen, derzu einer unvollständigen Information der Entscheidungsträger führenkann.

In der Praxis wird daher zumeist eine Mischform aus dezentralen undzentralen Risikomanagement angewandt. Wie beispielhaft in der folgen-den Abbildung zu sehen ist, verantworten operative Einheiten bis zu ei-nem bestimmten Ausmaß ihre Risiken selbst, d. h. dezentral, und werdendabei durch eine zentrale Risikomanagementinstitution koordiniert. Daszentrale Risikomanagement übernimmt hier insbesondere die Aufgabendes strategischen Risikomanagements und der Risikokontrolle. In der Pra-xis wird diese Zentraleinheit dann beispielsweise durch das Controlling,bzw. der Treasury oder der Geschäftsführung eines Unternehmens wahr-genommen. Das nächste Unterkapitel erläutert die Ausgestaltung einersolchen Zentraleinheit anhand einer Treasury zum Management von Fi-nanzrisiken. Die dezentrale Funktion begleiten dann risikoverantwortlicheManager in den einzelnen Abteilungen des Unternehmens.

83


Abb. 12: Aufbau einer Mischform aus zentralem und dezentralem RisikomanagementQuelle: Vgl. Kremers 2002, S. 97

Die Festlegung von Risikoverantwortlichen, sogenannten Risk-Ownern,ist eine wichtige Aufgabe der Zentraleinheit. Um ein effizientes und wirk-sames Risikomanagement zu gewährleisten, müssen die richtigen Mit-arbeiter mit den richtigen Aufgaben beauftragt werden. Somit müssen beider Festlegung einer Risikostrategie die Kompetenzen der Manager füreinzelne Risiken bzw. Risikofelder, sowie deren Aufgaben im Rahmen desRisikomanagementprozesses klar definiert werden. Je nach Relevanz derRisiken kann die Verantwortung für die Risiken auf verschiedenen Unter-nehmensebenen liegen. Die Bestimmung der Relevanz ist von mehrerenFaktoren abhängig, wie z. B. der Risikoart, Risikohöhe, Eintrittswahr-scheinlichkeit oder des Unternehmensbereiches. So kann für die Identifi-kation, Bewertung und Steuerung strategischer Risiken die Unterneh-mensführung selbst und für operative Risiken die Leiter der Unterneh-menseinheiten verantwortlich sein. Um die Effizienz der Risikomanage-mentorganisation zu gewährleisten, sollte bei der Festlegung der Risiko-verantwortlichkeiten stets beachtet werden, welche Einheit die für dasentsprechende Risiko maßgeblichen Faktoren ohnehin steuert und daherdie Risikolage am besten beurteilen und managen kann.

84


4.2 Treasury zur Erkennung von Finanzrisiken

Die »Treasury« ist eine Institution von Unternehmen zur konzernwei-ten Steuerung ihrer Finanzströme, sogenannter Cashflows. Häufig findetsich die Treasury als eigenständiger Bereich oder Abteilung in großen Un-ternehmen, wie z. B. auch bei Siemens oder Lufthansa.

Neben der Steuerung der Cashflows ist das Ziel der Implementierungeiner Treasury die Kontrolle und Eingrenzung der damit verbundenen Fi-nanzrisiken. Finanzrisiken sind dabei z. B. Fremdwährungs-, Zins-, Liqui-ditäts- und Rohstoffpreisrisiken, aber auch Kreditausfall- oder Kreditkon-zentrationsrisiken. Somit ist die Treasury für das Management einesGroßteils der Risiken des Unternehmens verantwortlich.

Häufig wird die Treasury auch als »Inhouse Bank«, d. h. unterneh-mensinterne Bank bezeichnet, da sie bankenähnliche Aufgaben im Unter-nehmen übernimmt. Im Management der angesprochenen Finanzrisikengehören zu den Aufgaben der Treasury die Risikoidentifikation, -quantifi-zierung und -steuerung.

Da Risiken sich ständig ändern und stets neue Risiken auftreten kön-nen, muss ein kontinuierliches Monitoring aller potenziellen Risikendurchgeführt werden. Im nächsten Schritt sind die identifizierten Risikenmithilfe von Kennzahlen, Systemen und verschiedenen finanzwissen-schaftlichen Modellen zu quantifizieren. Zu diesen Modellen zählen z. B.der Value at Risk (VaR) und die daraus abgeleiteten Methoden Cash Flowat Risk (CFaR) und Earnings at Risk (EaR), aber auch Simulationsmodellewie die Monte-Carlo-Simulation und analytische Modelle, wie Black-Scho-les oder das binomiale Optionsbewertungsmodell.

Solche Modelle sind jedoch keine einfachen Rechnungen, mit denenman ohne größeren Aufwand verwertbare Ergebnisse erhält. Vielmehr be-dürfen sie einer Vielzahl entsprechender Informationen, aus denen dieInputfaktoren und Annahmen für die Risikobewertungsmodelle abgeleitetwerden können. Dies erfordert ein hohes Sachverständnis für die Metho-den bei der Berechnung und Interpretation der Ergebnisse. Darüber hi-naus entwickeln sich gerade im schnelllebigen Finanzsektor Methodenund Modelle kontinuierlich weiter, sodass ein »State-of-the-Art«-Risikoma-nagement nur gewährleistet werden kann, wenn diese Entwicklungen er-kannt und im Unternehmen umgesetzt werden.

Die Kernaufgabe der Treasury liegt in der Absicherung des Unterneh-mens vor den identifizierten Finanzrisiken. Das Liquiditätsrisiko kannz. B. unternehmensweit überwacht und gesteuert werden. Durch Durch-führung von Cash Pooling oder interner Konzernfinanzierung kann die 85


Treasury Über- und Unterdeckungen an liquiden Mitteln der einzelnenBereiche ausgleichen. Der in der Summe verbleibende Überschuss bzw.Bedarf kann dann extern auf den Geld- oder Kapitalmarkt transferiert,bzw. von ihm bezogen werden. Aufgrund des höheren Kapitalvolumenskönnen dadurch bessere Konditionen am Markt erreicht werden.

Da die internen Gesellschaften durch die Treasury mit der notwendigenLiquidität versorgt werden, ergeben sich interne Ausgleichsmöglichkeitenvon Zins- und Währungsrisiken durch eventuelle positive und negativeKorrelationen zwischen den einzelnen Risiken. So gleichen sich beispiels-weise Fremdwährungsrisiken aus, wenn sowohl Absatz als auch Beschaf-fung in der gleichen Währung fakturiert werden. Damit entfällt die Not-wendigkeit der Steuerung sämtlicher Einzelrisiken und die erforderlicheSteuerung beschränkt sich auf die Differenz, die nach Abzug der Risikenentsteht, die bereits intern ausgeglichen werden können.

Zusammenfassend ergeben sich daraus Anforderungen an die Aus-gestaltung einer Treasury, d. h. insbesondere das Vorhandensein von qua-lifiziertem Personal, das die komplexen Bewertungsverfahren durchführenund die Plausibilität der Ergebnisse überprüfen kann, sowie einer adäqua-ten technischen Infrastruktur und dem Zugang zu den notwendigen In-formationen.

Die Organisation der Treasury muss die beschriebenen Anforderungenerfüllen und ein effektives und effizientes Management der konzernweitenCashflows und der damit verbunden Finanzrisiken ermöglichen. Die Aus-gestaltung der Treasury hängt stark von den Zielen ab, die die Unterneh-mensleitung mit der Etablierung einer solchen Instanz verfolgt. Dabeisind ein passender Zentralisierungsgrad und eine entsprechende Integrati-on der Treasury im Unternehmen festzulegen, die die durchzuführendenAufgaben effektiv unterstützen und zum Erreichen der gesetzten Zieleführen.

Betrachtet man den Zentralisierungsgrad der Treasury-Organisation, soverfolgen fast alle deutschen Unternehmen mit einer implementiertenTreasury den zentralen Organisationsansatz. Damit werden von der Trea-sury alle Aktivitäten zur Steuerung der von ihr verantworteten Finanzrisi-ken wie das Management von Liquidität, externen Anlagen und Finanzie-rungen, sowie Zins-, Währungs-, Debitoren- und Kontrahentenrisiken fürdas gesamte Unternehmen geregelt und koordiniert.

Ein Vorteil der Zentralisierung der Treasury ist die Realisierung vonVerbundsvorteilen, wie z. B. in der Bündelung der Kreditnachfrage. Sokönnen durch eine konzernweite Nachfrage nach Krediten und der darausresultierenden stärkeren Verhandlungsposition bessere Konditionen bei86


den Banken erhalten werden. Auch der Einsatz von anderen Finanzie-rungsinstrumenten des Geld- und Kapitalmarktes, wie bspw. Derivate,ABS (Asset Backed Securities) oder die Durchführung eines Credit-Ra-tings, lohnt sich erst ab einer entsprechenden Größenordnung. Das kon-tinuierliche Monitoring der Finanzrisiken und die komplizierte Bewertungerfordern Ressourcen (insbesondere eine notwendige technische Infra-struktur und personelles Know-how), die durch eine zentrale Treasury bes-ser zur Verfügung gestellt werden können.

Die Integration der Treasury in das Unternehmen und damit verbun-den die Art des Risikomanagements hängen stark von den Zielen ab, diedie Unternehmensleitung mit der Etablierung einer solchen Instanz ver-folgt. Soll die Treasury nur passiv agieren und hauptsächlich Aufgaben imUnternehmen koordinieren, so wird sie als Cost Center eingeführt. Hierbestehen nur geringe Möglichkeiten für eine Risikosteuerung in der Trea-sury. Soll die Treasury hingegen bewusst Risiken unabhängig vom Kern-geschäft des Unternehmens eingehen und ein eigenes Bereichsergebnisliefern, so spricht man von einem Profit Center.

Häufig wird die Treasury als ein Service Center in das Unternehmenintegriert, das die operativen Einheiten durch das aktive Management vonFinanzrisiken unterstützen soll. Dabei steuert die Treasury alle Risiken,die sich in ihrem Verantwortungsbereich befinden, innerhalb von fest-gelegten Zielen und Richtlinien. Diese Ziele und Richtlinien müssen imVorab von der Unternehmensleitung definiert, sowie die Treasury mit dernotwendigen konzernweiten Regelungskompetenz ausgestattet werden.Mit diesen Richtlinien muss der Treasury vorgegeben werden, wie die ein-zelnen Risiken zu behandeln sind. So ist insbesondere festzulegen, welcheRisiken auf Unternehmensebene und welche in den einzelnen Bereichenbeobachtet und gesteuert werden.

Die Festlegung dieser Ziele sollte in einem Treasury-Regelwerk fest-gehalten werden, das die Risikopolitik des Unternehmens dokumentiertund darüber hinaus festlegt, welche Risikoarten von der Treasury gema-nagt werden und welche Prozesse bzw. Aktivitäten dafür durchzuführensind. Wie auch andere Zentraleinheiten des Risikomanagements muss dieTreasury dafür Sorge tragen, dass alle relevanten Informationen und Er-gebnisse aus dem Risikomanagement im Unternehmen kommuniziertwerden. Hierzu ist der Aufbau eines Treasury-Berichtwesens erforderlich,das einen kontinuierlichen Informationsfluss an die relevanten Empfängerim Unternehmen, wie z. B. CFO, Gesamtvorstand und Aufsichtsrat, ge-währleistet.

87


Insgesamt ist die Treasury also für das Management der Finanzrisikenund somit für einen Großteil der Risiken eines Unternehmens verant-wortlich. Die Integration als ein zentrales Service Center in der Unterneh-mensorganisation ermöglicht dabei ein effektives und effizientes unter-nehmensweites Risikomanagement im Rahmen von festgelegten Zielenund Richtlinien. Allerdings muss für die Treasury, wie auch für alle ande-ren Instanzen des Risikomanagements, sichergestellt werden, dass diedurchgeführten Prozesse auch zu verlässlichen Resultaten führen. Dazuist die Implementierung eines Überwachungsorgans zwingend notwendig.Hierauf soll im folgenden Abschnitt eingegangen werden.

4.3 Interne Revision

Ohne den Erhalt objektiver und verlässlicher Ergebnisse aus dem Risi-komanagement können Entscheidungen unter Risikogesichtspunktennicht getroffen werden. Das etablierte Risikomanagementsystem und diedafür geleisteten Investitionen wären damit zwecklos. Die Funktionstüch-tigkeit des Risikomanagements muss daher durch ein Überwachungs-organ gewährleistet werden. Da den direkt im Risikomanagement invol-vierten Personen und Einheiten im Unternehmen kaum eine objektivierteSicht auf die von ihnen durchgeführten Aufgaben zuzutrauen ist, mussdas Risikomanagement durch eine unabhängige, nicht in den Geschäfts-prozess integrierte Organisationseinheit überwacht werden.

Neben dem Eigeninteresse der Unternehmen fordert auch der Gesetz-geber im Rahmen des KonTraG die Implementierung einer Prozessüber-wachung im Risikomanagement. Allerdings besteht diese Anforderungnur in der Ausführung dieser Überwachungsfunktion, die beauftragte Ins-tanz ist vom Unternehmen selbst festzulegen. Eine solche neutrale Ins-tanz ist zum Beispiel der Aufsichtsrat, der Wirtschaftsprüfer oder die in-terne Revision. Gerade in großen Unternehmen eignen sich Aufsichtsratund Wirtschaftsprüfer nur unzureichend, da ihnen zumeist die notwendi-ge Nähe zu den einzelnen Bereichen und Prozessen im Unternehmenfehlt und sie daher die Qualität des Risikomanagements nur ungenügendbeurteilen können.

Die Interne Revision als separates Kontrollorgan im Unternehmen hatdie notwendige Nähe zu den Prozessen und kann als neutrale Instanz dieÜberwachungsfunktion ausführen. Allerdings hängt die Auswahl einersolchen Einheit nicht zuletzt von den Gegebenheiten im Unternehmenab. Viele mittelständische Unternehmen können sich eine separate neutra-88


le Institution nicht leisten und verlagern die Funktion der Überwachung»pro forma« auf die Geschäftsführung. Damit werden allerdings nur dietheoretischen Anforderungen an ein Überwachungssystem erfüllt. Prak-tisch ist dieses jedoch nicht existent, da der Geschäftsleitung aufgrund ih-rer Einbindung ins Risikomanagement die nötige Objektivität fehlt.

Entscheidend für die Funktionstüchtigkeit des Risikomanagements istalso nicht die Existenz einer internen Revision an sich, sondern die Erfül-lung ihrer Überwachungsfunktion. Dabei müssen sämtliche Aktivitäten,Strukturen, Funktionen und Prozesse im Unternehmen unter folgenderFragestellung geprüft werden: Werden betriebliche und gesetzliche Vor-schriften, Anweisungen und Prozessvorgaben eingehalten? Sind die inner-betrieblichen Prozesse und Systeme effizient, bzw. existieren im Unter-nehmen Kostenoptimierungspotenziale? Sind die Organisationsstrukturenund Abläufe im Unternehmen sinnvoll und zweckmäßig? In welchemUnternehmensbereich können Risiken identifiziert werden? In welchenProzessen und Strukturen gibt es Sicherheitslücken, die eine Gefahr fürdas Unternehmen darstellen?

Diese Prüfung muss von der internen Revision risiko- und prozessori-entiert für sämtliche Bereiche im Unternehmen durchgeführt werden. Da-runter fallen sämtliche operativen Bereiche, aber auch Querschnittsfunk-tionen wie das Controlling, Rechnungswesen oder Treasury, und darüberhinaus auch die Qualität des Managements des Unternehmens. Darüberhinaus sollten begleitende, prozessunabhängige Prüfungen des Risikoma-nagements vorgenommen werden, damit dieses System kontinuierlichweiterentwickelt und verbessert werden kann.

Die Überprüfung der Managementqualität durch die interne Revisionführt in der Praxis häufig zu Konflikten, da die Überwachung der Ma-nagementleistungen als nichtberechtigte Kritik der Geschäftsleitung emp-funden werden kann. Daher existiert in der Praxis die Neigung, dieseFunktion durch externe Berater zu ersetzen.

Damit eine interne Revision als Überwachungsorgan des Risikomanage-ments dienen kann, muss ihre Neutralität und Objektivität gewährleistetsein. Dazu muss diese Instanz in ihrer Kompetenz und ihrem Aufgaben-feld stets unabhängig gegenüber allen anderen Unternehmensbereichenagieren können und darüber hinaus grundsätzlich die Freiheit besitzen,Urteile eigenständig zu fällen und Kritik ausüben zu können.

Die Ausrichtung der internen Revision befindet sich gegenwärtig imWandel. Früher untersuchte die interne Revision Fehler und Mängel invergangenen Ergebnissen und konfrontierte damit das Management nach-träglich. Die heutigen Aufgaben der Internen Revision hingegen bestehen 89


mehr aus einer Beratungstätigkeit zur Optimierung der zukünftigen Leis-tungsfähigkeit des Unternehmens. Ihr Ziel ist es, Schwachstellen und Ri-sikofaktoren aufzuzeigen und Ordnungsmäßigkeit, Wirtschaftlichkeit, Si-cherheit und Zweckmäßigkeit sowohl der Risiko- als auch der gesamtenUnternehmensorganisation zu gewährleisten. Die Empfehlungen der In-ternen Revision gewinnen in den Unternehmen immer mehr an Bedeu-tung.

4.4 Rechtzeitige Kommunikation in der Aufbauorganisation

Kommunikation besitzt eine zentrale Bedeutung für die Funktion desRisikomanagements. Schließlich kann eine Reaktion auf Risiken, z. B. inForm von Steuerungsmaßnahmen, nur erfolgen, wenn derjenige, der einRisiko erkannt hat, seine Information rechtzeitig weitergibt. Somit ist dieEtablierung eines Risikoreportings wichtig, in dem zielgerichtet und zeit-nah verdichtete Informationen, z. B. in Form von Risikoberichten an rele-vante Interessensgruppen, weitergegeben werden. Dabei sind interne undexterne Interessensgruppen voneinander zu unterscheiden. Intern sinddiese Informationen insbesondere für die Entscheidungsträger im Unter-nehmen notwendig, also für die Geschäftsleitung, den Vorstand, aberauch für die Abteilungsleiter oder den Aufsichtsrat. Externe Empfängerder Risikoberichte sind insbesondere die Aktionäre des Unternehmens,aber auch andere Stakeholder wie Banken, Versicherungen, Kunden oderLieferanten. Es versteht sich von selbst, dass der Informationsgehalt derBerichterstattung für externe Empfänger wesentlich geringer ist als im in-ternen Risikoreporting.

Eine regelmäßige und aktuelle interne Risikoberichterstattung soll ge-währleisten, dass Verantwortungsträger kontinuierlich unternehmerischeEntscheidungen unter dem Einfluss von Risikogesichtspunkten treffenkönnen. Diese Erhöhung der Entscheidungsqualität trägt zur Sicherungdes Unternehmensfortbestands bei. Ein Risikoreporting dokumentiert dieErgebnisse aus der Identifikation, Analyse und Bewertung der Risiken. Esbeinhaltet somit einen Überblick über alle relevanten Risiken, denen dasUnternehmen ausgesetzt ist und für die dessen Manager verantwortlichsind.

Grundlage des internen Risikoreportings ist das Risikoinventar, dassämtliche identifizierten Risiken beinhaltet und detailliert hinsichtlich ih-rer Ursachen und Wirkung beschreibt und somit quasi eine stetig aktuali-sierte Inventur der Risikolage eines Unternehmens darstellt. Da in relativ90


kurzer Zeit eine große Menge an Risiken in das Risikoinventar aufgenom-men werden können, müssen die vielen Einzelrisiken thematisch in einRisikoraster kategorisiert werden, damit die Übersichtlichkeit des Berichtsgewahrt bleibt. Um die Kommunikation weiter zu erleichtern und zu prä-zisieren, sollte das Risikoinventar darüber hinaus auch die für das jeweili-ge Risiko verantwortlichen Personen enthalten.

Aufbauend auf dem Risikoinventar können alle identifizierten und be-werteten Risiken in Form einer Risk Map dargestellt werden, wie die fol-gende Abbildung zeigt. Dabei werden in einer zweidimensionalen Matrixdie Eintrittswahrscheinlichkeit und die Schadenshöhe der Risiken abgebil-det. Somit kann die Gesamtrisikoexposition des Unternehmens anschau-lich dargestellt werden. Da im Rahmen der Risikostrategie Grenzwerte fürakzeptierte Werte der Eintrittswahrscheinlichkeit und Schadenshöhe defi-niert wurden, kann in die Risk Map eine Akzeptanzlinie eingezeichnetwerden. Dadurch kann der Betrachter schnell und eindeutig diejenigenRisiken erkennen (alle Risiken rechts der Akzeptanzlinie), für die Steue-rungsmaßnahmen dringend einzuführen sind.

Abb. 13: Beispiel einer Risk MapQuelle: Romeike 2003, S. 193

91


Von großer Bedeutung ist die Aktualität des Risikoreportings. VeralteteInformationen können zu falschen Entscheidungen seitens des Manage-ments führen und damit die Ziele des Risikomanagements auf den Kopfstellen. Daher müssen Risikoberichte in vorher definierten Zeitabständenaktualisiert werden. Diese variieren entsprechend der Höhe des Risikos.So müssen hohe Risiken häufiger beobachtet werden als niedrigere unddiese Information auch entsprechend weitergegeben werden.

Für die Weitergabe der Informationen ist es unbedingt notwendig, klareKommunikationswege bei der Identifikation neuer Risiken oder bei einerÜberschreitung von Schwellenwerten bereits bestehender Risiken zu defi-nieren. Schließlich müssen diese Informationen den Verantwortungsträ-gern im Unternehmen zugänglich gemacht werden. Daher sollten Risiko-berichte ein wesentlicher Bestandteil eines entscheidungsunterstützendenInformationssystems im Unternehmen sein. Der Umfang der Zugriffs-rechte auf diese Informationen durch die einzelnen Manager muss durchdie zentrale Organisationseinheit des Unternehmens, z. B. die Geschäfts-führung oder das Controlling, koordiniert werden. Dabei kann sie ihre Er-fahrungen bei der generellen unternehmensweiten Informationsversor-gung anwenden. Bei der Auswahl des angesprochenen Informationssys-tems zur Unterstützung von Managemententscheidungen ist auf eine ef-fektive und effiziente Unterstützung durch die IT-Abteilung zu achten.

Eine passende Risikomanagementsoftware kann dabei selbst erstelltwerden (beispielsweise auf Basis eines MS Excel-Moduls) oder aber vonprofessionellen Anbietern erworben werden. Entscheidend ist der benötig-te Grad an Unterstützung für das Risikomanagement und die Zuverlässig-keit der Ergebnisse.

Ein entscheidendes Erfolgskriterium des Risikomanagements ist dieVerwurzelung des Systems im gesamten Unternehmen. Risikomanage-ment sollte von jedem Mitarbeiter aktiv mitgestaltet werden und Risiko-bewusstsein Teil der Unternehmenskultur sein. Die Kommunikation derrisikopolitischen Grundsatzentscheidungen ist also wichtig, um Mitarbei-tern einen Rahmen zu geben, damit sie Entscheidungen in ihrer Arbeitunter Risikogesichtspunkten treffen können. Daher sollte das Risiko-berichtswesen alle Mitarbeiter des Unternehmens einschließen und sieüber die für sie relevanten Risiken informieren.

Um die Funktionsfähigkeit des Risikomanagements dauerhaft zu erhal-ten, ist eine gute Dokumentation der Risikopolitik und der organisatori-schen Maßnahmen ebenfalls von zentraler Bedeutung. Diese kann zumBeispiel in einem Risikohandbuch zusammengefasst werden. Eine solcheDokumentation besteht meist zunächst aus Visionen und Zielen in Bezug92


auf das Risikomanagement. Dazu kommen risikopolitische Grundsätzewie die Einstellung des Unternehmens zum Risiko und die Definition ei-ner angemessenen Risikotragfähigkeit. Weiterhin spielen Grundsätze hin-sichtlich der Risikoerkennung und der Risikoanalyse sowie der Risiko-kommunikation eine Rolle. Begriffsdefinitionen und die Festlegung einerRisikostruktur sowie der wesentlichen unternehmensspezifischen Risiko-faktoren und -kategorien beeinflussen die Qualität des Risikomanagement-systems und sind dabei genauso wichtig wie die Definition der Aufbau-organisation und die Ernennung von Risikoverantwortlichen. Zudem sinddie Definition der Methoden und Instrumente sowie die Zusammenstel-lung der wesentlichen integrierten Kontrollen und der Aufgaben der Inter-nen Revision von großer Bedeutung. Diese Dokumentation muss fortlau-fend an die sich ändernden Risikomanagementprozesse und Vorausset-zungen des Unternehmens angepasst werden.

Gesetzliche Verpflichtungen, aber auch das Eigeninteresse der Unter-nehmen machen eine Risikoberichterstattung an unternehmensexterneStakeholder erforderlich. So müssen alle Kapitalgesellschaften, die im Sin-ne des § 267 HGB als mittel oder groß gelten, einen (Konzern-)Lagebe-richt erstellen und in diesem über Risiken und Chancen berichten (§§ 290II HGB, 315 HGB). Aber auch im Rahmen von Ratings, die beispielsweisezur Bewertung der Bonität und bei der Vergabe von Fremdkapital durch-geführt werden, sind die Risikolage und die Durchführung von Risikoma-nagement im Unternehmen von Bedeutung. Hieraus ergibt sich somitdas Eigeninteresse der Unternehmen, durch ein positives Rating bspw.bessere Konditionen auf dem Fremdkapitalmarkt zu erhalten.

Zu den Empfängern gehören insbesondere Anteilseigner, die nicht di-rekt ins Unternehmen involviert sind und keinen Zugang zu internen In-formationen besitzen, Banken, die bei der Kreditvergabe im Rahmen einesRatings auch die Risikolage und das Risikomanagement des Unterneh-mens bewerten, Versicherungen, die bei der Übernahme von Risiken risi-koerhöhende oder -mindernde Effekte bestimmen und entsprechend dieKalkulation der Versicherungsprämie adjustieren müssen, der Staat, derden Erfolg von Subventionen an Unternehmen absichern möchte, Liefe-ranten, die die Fähigkeit des Unternehmens zur Erfüllung seiner Verbind-lichkeiten überprüfen, oder Kunden, die (gerade bei langfristigen Aufträ-gen) die Erfüllung ihrer Aufträge gewährleistet haben wollen. Aber auchMitarbeiter, Konkurrenten oder die Öffentlichkeit können ein allgemeinesInteresse an der Risikoberichterstattung eines Unternehmens besitzen.

Wie bereits im Kapitel zu den rechtlichen Grundlagen des Risikomana-gements erläutert, ist der zentrale Bestandteil der externen Risikobericht- 93


erstattung der Chancen- und Risikobericht innerhalb des Lageberichts.Unternehmen, die einen Konzernlagebericht erstellen müssen, sind ver-pflichtet, die Regelungen des DRS 5 für die Ausgestaltung dieses Berichtszu beachten. Zu diesen Anforderungen gehört zum Beispiel, dass bei derBeschreibung der Risikolage vorrangig auf interne Risiken eingegangenwerden soll. Schließlich sind externe Risiken nicht vom Unternehmen ab-hängig und können allgemein erfasst werden. Risiken sollen zudem kate-gorisiert, z. B. mittels eines Risikorasters, dargestellt werden. Die Eintritts-wahrscheinlichkeit und die Schadenshöhe der Risiken sollen angegebenwerden. Darüber hinaus ist das Risikomanagement an sich zu beschrei-ben. Hierbei sollen Risikostrategie sowie der Prozess und die Organisati-on des Risikomanagements angemessen dargestellt werden. Diese Infor-mation kann z. B. auch aus dem oben beschriebenen Risikohandbuch indas externe Reporting übertragen werden. Die Berichterstattung überChancen steht dem Unternehmen frei. Es muss somit selbst wählen, obund inwieweit Chancen im Risikoreporting Beachtung finden. Jedoch istdabei eine Saldierung von Chancen und Risiken nicht zulässig.

Insgesamt muss der Risiko- und Chancenbericht gemäß den Anforde-rungen durch die Zentraleinheit erstellt werden, da diese über alle dafürnotwendigen Informationen verfügt. Unternehmen, die nicht gesetzlichverpflichtet sind, einen Konzernlagebericht zu erstellen und für die somitdie Regelungen nach DRS 5 nicht gelten, sollten sich in ihrer externenBerichterstattung an diesen Vorgaben orientieren.

Insgesamt unterscheiden sich das interne und das externe Risikorepor-ting in ihrer Informationsdichte und der Häufigkeit ihrer Durchführung.Während das externe Reporting im Rahmen der Gesamtberichterstattungeines Unternehmens einmal im Geschäftsjahr oder innerhalb der unter-jährigen Berichterstattungen (z. B. Quartalsberichte) publiziert wird, müs-sen intern stets aktuelle Informationen zur Verfügung stehen. Darüberhinaus wird im internen Risikoreporting ein wesentlich höherer Informa-tionsgehalt kommuniziert als innerhalb des externen Berichtswesens.

Ein zwingendes Erfordernis für eine rechtzeitige unternehmensweiteRisikokommunikation ist die frühzeitige Identifikation von Risiken, bzw.einer Änderung der Risikolage. Dieser Anforderung kann durch die Etab-lierung eines Risikofrühwarnsystems nachgekommen werden, auf die imnächsten Abschnitt eingegangen werden soll.

94


4.5 Aufbau eines Frühwarnsystems

Mit dem Aufbau eines Frühwarnsystems sollen Entwicklungen und derEinfluss daraus resultierender Risiken auf das Unternehmen rechtzeitigidentifiziert werden. Mit der Integration eines solchen Systems in das Ri-sikomanagement wird auch einer Forderung des KonTraG nachgekom-men, wonach durch die Implementierung eines integrativen Systems be-standsgefährdende Risiken frühzeitig erkannt werden sollen.

Gerade im Hinblick auf die rasanten Änderungen ökonomischer, politi-scher, sozialer und technologischer Rahmenbedingungen im Umfeld derUnternehmen reichen vergangenheitsbezogene Informationen, wie z. B.Bilanzkennzahlen oder Performance-Daten, nicht mehr aus, da sie keineoder nur wenige Rückschlüsse auf die zukünftige Entwicklung eines Un-ternehmens zulassen. Daher sind sogenannte Frühwarnindikatoren not-wendig, die Aufschluss über mögliche zukünftige Entwicklungen undTendenzen geben und aus denen sich Konsequenzen für das Unterneh-men ableiten lassen. Dabei sind Frühwarnindikatoren sowohl für externeals auch für interne Risiken zu entwickeln, die in einem komplexen Zu-sammenhang mit der Performance des Unternehmens stehen. Aus diesenIndikatoren müssen sich somit genaue Aussagen über die Entwicklungund den Fortbestand des Unternehmens treffen lassen.

Für die Erstellung eines Frühwarnsystems muss das Unternehmen zu-nächst Beobachtungsbereiche zur Erkennung von Gefahren und Chancenfestlegen. Dabei entstehen sowohl interne Beobachtungsfelder, die sichbspw. entlang der Wertschöpfungskette des Unternehmens ermitteln las-sen, als auch externe Bereiche, die beispielsweise aus den externen Risiko-bereichen abgeleitet werden können. Die folgende Abbildung listet externeund interne Beobachtungsbereiche auf.

Interne Beobachtungsfelder Externe Beobachtungsfelder

- Einkauf- Produktion/Leistungserstellung- Vertrieb- Kundenservice/Marketing- Finanzen- Personal- Technologie- Unternehmensinfrastruktur

- Binnen- und außenwirtschaftliches Umfeld- Politisch-rechtliches Umfeld- Soziokulturelles Umfeld- Technologisches Umfeld- Ökologisches Umfeld

Abb. 14: Interne und externe BeobachtungsfelderQuelle: Reichling, P. et al. 2007, S. 255 95


Für jedes Beobachtungsfeld müssen in einem nächsten Schritt relevanteIndikatoren definiert und ausgewählt werden. Dabei können vier verschie-dene Arten von Indikatoren unterschieden werden.

Die absoluten Indikatoren lassen sich direkt aus den Unternehmens-oder Marktdaten entnehmen, z. B. Preise, Stückzahlen, Auftragseingänge.Die Verhältnisindikatoren setzen die verschiedenen Daten miteinander insVerhältnis. Als Bespiele für diese Art von Indikatoren können die Aus-schussquote (Ausschussmenge/produzierte Menge) oder die Reklamati-onsquote (Anzahl Reklamationen/Absatzzahlen) genannt werden. Die In-dexindikatoren zeigen anhand von statistischen Messwerten wirtschaftlicheVeränderungen auf. Beispiele sind der Euribor oder der EZB-Leitzins, ausdenen sich Auswirkungen auf die gesamte Volkswirtschaft und auf dasUnternehmen ableiten lassen. Schließlich stellen die sogenannten Bench-markindikatoren die gesetzten Unternehmensziele im Vergleich mit dentatsächlich erreichten Ergebnissen dar.

Damit sich diese Indikatoren als Frühwarnindikatoren für das Risiko-management eignen, müssen sie eindeutig die Ursache für eine Ände-rung der Schadenshöhe oder Eintrittswahrscheinlichkeit einzelner Risikenbeschreiben. Zudem müssen sie kontinuierlich messbar und rechtzeitigverfügbar sein. Sie sollten des Weiteren frühzeitig den möglichen Risiko-eintritt anzeigen, d. h. ein Signal liefern, bevor eine tatsächliche Änderungder Risikolage erfolgt. Ein weiterer, wichtiger Aspekt der Indikatoren istderen ökonomische Vertretbarkeit. Die Verwendung der Indikatoren mussin einem angemessenem Kosten-Nutzen-Verhältnis stehen.

Es ist offensichtlich, dass im Allgemeinen eine große Menge an Datenund Informationen verfügbar ist. Bei der Auswahl relevanter Indikatorenist deswegen stets auf eine überschaubare Menge an verständlichen Infor-mationen zu achten, sodass das Frühwarnsystem effektiv und effizient ge-nutzt werden kann. Beispiele für Frühwarnindikatoren, deren Einsatz imRisikomanagement denkbar ist, können der folgenden Abbildung entnom-men werden.

96


Externe Beobachtungsfelder Frühindikatoren

Binnen- undaußenwirtschaft-liches Umfeld

Absatzmarkt- Auftragseingang nach Produkten und Regionen- Preispolitik der Konkurrenz- Nachfragevolumen wichtiger Kunden

Beschaffungs-markt

- Entwicklung der Rohstoffpreise- Politische Lage in Ländern der Lieferanten- Entwicklung der Mieten für Büros und Werkstätten

Arbeitsmarkt- Ergebnisse aktueller Tarifabschlüsse- Angebot an und Nachfrage nach Fachkräften- Entwicklung der Einwanderung von Gastarbeitern

Kapitalmarkt - Leitzinsentwicklung- Wechselkursentwicklung

TechnologischesUmfeld

Verfahrens- u.Produktions-techniken

- Patentanmeldungen- Technologische Änderungen bei Konkurrenten

und Forschungsinstituten

SoziokulturellesUmfeld

Wertewandel- Geschmacks- und Modeänderungen- Entwicklung des Kaufverhaltens- Veränderung des Lebensstils

Bevölkerungs-struktur

- Wachstum/ Rückgang der Bevölkerung- Verfügbare Einkommen- Berufs- und Bildungsstände

Politisch- rechtl.Umfeld

PolitischeFaktoren

- Wahlprognosen- Parteiprogramme

Abb. 15: Beispiele für Frühwarnindikatoren in externen BeobachtungsbereichenQuelle: Reichling et al. 2007, S. 256f.

Im nächsten Schritt werden für alle ausgewählten Indikatoren Sollwerteund Toleranzbereiche festgelegt. Innerhalb dieser Bereiche ist davon aus-zugehen, dass sich die Höhe der jeweiligen Risiken nicht ändert. Werdenaber die Toleranzbereiche über- bzw. unterschritten, haben sich die demIndikator zugehörigen Risiken erhöht. Um dies festzustellen, sind im Vor-feld Beobachter zu nominieren, die die jeweiligen Indikatoren in festgeleg-ten Zeitabständen messen. Dabei kann diese Aufgabe sowohl von zentralenals auch von dezentralen Organisationseinheiten des Risikomanagementsübernommen werden. Wird nun der Toleranzbereich eines Indikators über-oder unterschritten, hat sich das entsprechende Risiko in seiner Wirkungverändert. In seiner Konsequenz erfordert dies zunächst die Kommunikati-on im Unternehmen – der Beobachter muss unverzüglich eine Frühwarn-meldung an die entsprechenden Verantwortungsträger weiterleiten. Da-durch wird gewährleistet, dass die Verantwortungsträger rechtzeitig adäqua-te Risikosteuerungsmaßnahmen einleiten und Entscheidungen unter Risi- 97


kogesichtspunkten frühzeitig treffen können. Darüber hinaus ist die Aus-wertung der Frühwarnindikatoren zu dokumentieren und in geeigneterForm in die interne Risikoberichterstattung zu integrieren.

Anzumerken ist, dass ein Frühwarnsystem ungeeignet ist, das gesamteRisikoumfeld eines Unternehmens zu überwachen, da zum einen für vieleRisiken keine geeigneten Frühwarnindikatoren existieren (z. B. Indikatorenfür Naturkatastrophen) und zum anderen bei der Verwendung vieler Indi-katoren ein angemessenes Kosten-Nutzen-Verhältnis nicht gewährleistetwerden kann. Daher ist es wichtig, Prioritäten zu setzen und vorrangig ver-gleichsweise höhere Risiken durch Frühwarnindikatoren zu beobachten.

Damit besteht in einem funktionierenden Frühwarnsystem ein weitereswichtiges Instrument innerhalb des Risikomanagements für die rechtzeiti-ge Erkennung von gefährlichen Entwicklungen. Wie das Risikomanage-ment insgesamt, müssen auch die Methoden und die Aussagekraft derErgebnisse des Frühwarnsystems kontinuierlich überprüft werden.

Insgesamt bleibt festzuhalten, dass weder die Organisationsstruktur,noch der Prozess des Risikomanagements für alle Unternehmen gleichkonzipiert werden kann. Sie sind vielmehr effektiv und effizient an diejeweilige Unternehmensgröße, -Situation, -Rechtsform und -Struktur an-zupassen. Dies gilt auch für die Integration eines Frühwarnsystems in dieOrganisation des Risikomanagements. Festzuhalten bleibt, dass eine recht-zeitige Kommunikation der Ergebnisse des Risikomanagements sowieeine Instanz zur Überwachung der Prozesse zwei zwingend notwendigeKomponenten sind, die im Unternehmen etabliert werden müssen, damitRisikomanagement erfolgreich durchgeführt werden kann.

4.6 Zusammenfassung

Bevor im zweiten Teil dieses Buches das Management von Risiken be-handelt wird, muss klar sein, dass jeder Prozess zur Identifikation, Mes-sung und Abwendung von Risiken auch eine Organisation benötigt, diediese Aufgabe wahrnimmt. Traditionell haben sich hier verschiedene Ein-heiten etabliert. Dies ist zum einen der Bereich Treasury, wenn es umfinanzielle Risiken geht, aber auch die Interne Revision, die in vielen Un-ternehmen und Institutionen grundlegende Risikofelder beobachten soll.Wichtig für die organisatorische Einordnung eines Risikomanagements istzudem auch die Gewährleistung einer rechtzeitigen Kommunikation vonerkannten Risiken. Denn auch ein exzellent in ein Unternehmen einge-bundenes Frühwarnsystem wird kaum funktionieren, wenn die Informa-tionen nicht oder zu spät an die relevanten Stellen weitergegeben werden.98


Teil I Grundlagen des Risikomanagements · PDF filewirtschaftlichen, technischen, politischen,...

Documents

Transcript of Teil I Grundlagen des Risikomanagements · PDF filewirtschaftlichen, technischen, politischen,...