Institut für Betriebslehre der Agrar- und Ernährungswirtschaft Der Justus-Liebig-Universität Giessen Risikomanagement in Genossenschaften Inaugural-Dissertation Zur Erlangung des Doktorgrades (Dr.agr.) Im Fachbereich 09 Agrarwissenschaft, Ökotrophologie und Umweltmanagement Justus-Liebig-Universität Giessen Eingereicht von Reinhard Schneider Erstgutachter: Prof. Dr. Rainer Kühl Zweitgutachter: Prof. Dr. Michael Kirk Giessen, Februar 2014 2 Vorwort Die vorliegende Arbeit wurde im Wintersemester 2013/2014 vom Fachbereich 09, Agrar- wissenschaften, Ökotrophologie und Umweltmanagement der Justus-Liebig-Universität Gießen als Dissertation angenommen. Davor lagen mehrere Jahre intensiver Forschung und wissenschaftlicher Arbeit, die ohne die vielfältige Unterstützung von verschiedensten Zeiten nicht in so angenehmer Erinnerung geblieben wären. Den Zugang zur Promotion hat mir mein Doktorvater, Herr Prof. Dr. Rainer Kühl, ermög- licht. Für das entgegengebrachte Vertrauen, die effektive und effiziente Zusammenarbeit, die durch eine offene Diskussionsbereitschaft geprägt war sowie die konstruktiven Anre- gungen, die zum Gelingen der Arbeit maßgeblich beitrugen, danke ich ihm sehr. Ebenso danke ich Herrn Prof. Dr. Michael Kirk für die Übernahme der Zweitbegutachtung sowie Frau Carmen Böckler für die jederzeit gute Zusammenarbeit. Mein besonderer Dank richtet sich an meine Ehefrau Klaudie, die mich in allen Phasen der Promotion mit viel Verständ- nis, Geduld und Zuversicht begleitet und unterstützt hat. Abschließend möchte ich mich bei all jenen Personen bedanken, welche mich in den letzten Jahren bestärkt, ich jedoch hier nicht namentlich erwähnt habe. Bad Vilbel, im Februar 2014 Reinhard Schneider 3 Kurzfassung Unternehmensinsolvenzen, Schieflagen, Skandale sowie veränderte rechtliche Rahmen- bedingungen führten zu einer Ausweitung und stärkeren Betonung des betriebswirtschaft- lichen Risikomanagements. Unter anderem sind diese Entwicklungen mit dem Vorwurf eines unzureichenden Risikomanagements der Unternehmensleitungen wie auch mit einer mangelhaften Aufsicht der unternehmerischen Überwachungs- und Kontrollorgane ver- bunden. Auf diese Situation hat der Gesetzgeber mit dem Gesetz zur Kontrolle und Transparenz (KonTraG) reagiert. Vor diesem Hintergrund ist es das Ziel dieser Arbeit, ein Risikomanagementmodell zu konzipieren, das die Vollständigkeit sämtlicher externen und internen Risikoquellen durch Identifikation, Bewertung, Steuerung, Dokumentation und Kommunikation gewährleistet und unter aufbau- und ablauforganisatorischen Aspek- ten in den Unternehmensprozess integriert ist. Im Kern beziehen sich die Ausführungen auf die Notwendigkeit der Etablierung eines Risikomanagements in allen Bereichen bzw. Geschäftsfeldern eines genossenschaftlichen Wohnungsunternehmens. Eine Besonderheit der genossenschaftlichen Rechtsform mit Auswirkungen auf das Risikomanagement ist die Zielsetzung der Förderzweckerfüllung, die nur erreicht werden kann, sofern die Exis- tenz der Genossenschaft gesichert ist. In diesem Zusammenhang wurden praktikable, betriebswirtschaftliche Analysemethoden (Kennzahlen, Portfolioanalyse) unter der Maß- gabe ausgewählt, einen umfassenden Überblick über die individuelle Risikosituation auf- zuzeigen und einen Lösungsansatz zu entwickeln, der die immobilienwirtschaftlichen Charakteristika adäquat berücksichtigt. Als Gesamtergebnis kann festgehalten werden, dass auch Genossenschaften in Erfüllung ihrer allgemeinen Sorgfaltspflichten zur Ein- richtung eines Risikomanagementsystems angehalten sind. Damit sollen bestandsgefähr- dende Entwicklungen früh erkannt und der Fortbestand des Unternehmens sichergestellt werden. Insbesondere wird mit einer auf die Wohnungsgenossenschaft zugeschnittenen und in das Risikomanagementsystem eingebetteten Portfolioanalyse eine aktive Steue- rung des Immobilienbestandes bewirkt, die Erfüllung des Förderzweckes erleichtert, so- wie die Mitgliederförderung optimiert. Nicht zuletzt zeigen sich die Erkenntnisse im Jah- resabschluss des Unternehmens und erlauben eine zukunftsorientierte Lageberichterstat- tung. 4 Inhaltsverzeichnis Vorwort 2 Kurzfassung 3 Abbildungsverzeichnis 11 Abkürzungsverzeichnis 13 Teil A 17 Einleitung 17 1 Problemstellung und Relevanz 17 2 KonTraG-Gesetz zur Kontrolle und Transparenz im Unternehmensbereich 19 2.1 Intention des KonTraG 19 2.2 Anforderungen des Gesetzgebers an Risikomanagement und Risikoberichterstattung 22 2.3 Zielsetzung der Untersuchung 23 2.4 Vorgehensweise 25 Teil B 27 Grundlagen des Risikomanagementsystems 27 1 Begriffliche Einordnung des Risikomanagementsystems 27 1.1 Definition des Risikobegriffes und Abgrenzung unterschiedlicher Risikoausprägungen 27 1.2 Risikomanagement in der betrieblichen Praxis 30 1.3 Anforderungen an ein effizientes Risikomanagementsystem 31 1.4 Gegenstand und Ziel des Risikomanagementsystems 32 1.5 Frühwarnung, Früherkennung, Frühaufklärung 33 1.5.1 Frühaufklärungssysteme nach ihrer Entwicklungsstufe 36 1.5.1.1 Kennzahlen- und Planungsorientierte Frühaufklärungs- systeme (1. Generation) 36 1.5.1.2 Indikatorenorientierte Frühaufklärungssysteme (2. Generation) 36 1.5.1.3 Strategisches Radar (3. Generation) 38 5 1.5.2 Klassifizierung der Frühaufklärungssysteme nach ihrer Signalherkunft 39 1.5.3 Beschreibung der Frühaufklärungssysteme nach dem Bezugsbereich 39 1.5.4 Unterteilung der Frühaufklärungssysteme nach der Beobachtungsperspektive 40 1.5.5 Differenzierung der Frühaufklärungssysteme nach ihrer Zielsetzung 40 2 Darstellung des strategischen und operativen Risikomanagementsystems 41 2.1 Strategisches Risikomanagementsystem 41 2.2 Das Operative Risikomanagementsystem 43 3 Organisatorische Rahmenbedingungen des Risikomanagementsystems 44 3.1 Einrichtung einer Kommunikationsstruktur 44 3.2 Kompetenz- und Aufgabenverteilung 45 3.3 Risikosensibilisierung der Mitarbeiter 47 4 Der Risikomanagementprozess 50 4.1 Risikoidentifikation 51 4.2 Quantifizierung der Risiken 53 4.3 Steuerung der Risiken 55 4.3.1 Risikovermeidung 55 4.3.2 Risikoverminderung 56 4.3.3 Risikoüberwälzung 56 4.3.4 Risikokompensation 57 4.4 Überwachung und Dokumentation der Risiken 57 5 Risikokultur im Unternehmen als Erfolgsbasis für das Risikomanagement 58 6 Elemente des Risikomanagementsystems 59 6.1 Internes Überwachungssystem 62 6.1.1 Aufgabe, Funktion und Bedeutung des Internen Überwachungssystems (IÜS) 63 6.1.2 Komponenten des Internen Überwachungssystems (IÜS) 64 6 6.1.2.1 Überwachung durch organisatorische Sicherungsmaßnahmen 64 6.1.2.2 Kontrollen als prozessabhängige Überwachung 66 6.1.2.3 Interne Revision als Bestandteil der prozess- unabhängigen Überwachung 68 6.2 Controlling 73 6.2.1 Funktionen des Controllings 74 6.2.2 Strategisches und operatives Controlling 76 6.3 Frühwarnsystem 78 6.3.1 Idee eines Frühwarnsystems 79 6.3.2 Frühwarnsystemelemente 79 6.3.3 Der Aufbau des operativen Frühwarnsystems 81 6.3.3.1 Festlegung von Beobachtungsbereichen 81 6.3.3.2 Bestimmung von Frühwarnindikatoren 81 6.3.3.3 Ermittlung von Sollwerten und Toleranzgrenzen je Frühwarnindikator 82 6.3.3.4 Festlegung der Informationsverarbeitung 83 6.3.3.5 Entwicklung unternehmenspolitischer Antwortstrategien 83 6.3.4 Strategisches Frühwarnsystem 83 7 Zwischenergebnis 84 Teil C 88 Der Risikomanagementprozess im genossenschaftlichen Wohnungsunternehmen 88 1 Das Unternehmensziel als Grundlage unternehmerischer Entscheidungen 88 1.1 Das Substrat wohnungsgenossenschaftlicher Unternehmensziele 89 1.1.1 Der wohnungsgenossenschaftliche Förderzweck 89 1.1.1.1 Genossenschaftliche Gewinnerzielung 91 1.1.1.2 Gewinnerzielung und Förderzweckbeziehung als Doppelnatur- charakter der Genossenschaft 92 1.1.1.3 Genossenschaftsprinzipien und Förderzweckbeziehung 93 7 1.2 Ökonomisierung und Operationalisierung des Förderzweckes in Wohnungsgenossenschaften 97 1.2.1 Ökonomisierung als Basis 98 1.2.2 Die Operationalisierung des Förderzweckes 99 1.3 Genossenschaftsadäquater Shareholder Value versus Stakeholder Value 100 1.3.1 Shareholder-Value-Ansatz 101 1.3.2 Stakeholder-Value-Ansatz 104 1.3.2.1 Anreiz-Beitrags-Modell 106 1.3.2.2 Koalitionsmodell 108 2 Zwischenergebnis 111 3 Das Zielsystem der Wohnungsgenossenschaft 114 3.1 Der Förderzweck als Ansatzpunkt eines genossen- schaftlichen Zielsystems 115 3.1.1 Operationalität der Ziele 115 3.1.2 Der wohnungsgenossenschaftliche Unternehmensgegenstand als Erfüllung des Förderzweckes 119 4 Die Unternehmensverantwortung des Vorstandes der eingetragenen Genossenschaft 120 4.1 Leitungsbefugnis des Vorstandes 121 4.2 Die Sorgfaltspflicht des Vorstandes 122 5 Zwischenergebnis 123 6 Der genossenschaftliche Corporate-Governance-Kodex 126 Teil D 128 Einrichtung eines Risikomanagementsystems bei Wohnungsgenossenschaften 128 1 Der Jahresabschluss und der Lagebericht nach HGB als Datenbasis der Bilanzanalyse 128 2 Der Wirtschaftsbericht – Darlegung von Geschäftsverlauf und Lage 131 2.1 Analyse der Vermögenslage 135 2.2 Analyse der Finanzlage 136 8 2.2.1 Cashflow-Analyse 137 2.2.2 Kapitalflussrechnung 139 2.3 Analyse der Ertragslage 142 2.3.1 Erfolgsspaltung 143 2.3.2 Segmentanalyse 144 2.4 Swot-Analyse und Benchmarking 146 2.5 Entwicklung einer Balanced Scorecard 149 3 Vorstellung der Unternehmensdaten der Wohnungsgenossenschaft 151 3.1 Unternehmensorientierte Perspektive 151 3.1.1 Bewertung mit den Kennzahlen Eigenkapitalquote, Schuldentilgungsdauer, Gesamtkapitalrentabilität und Cashflow-Leistungsrate 154 3.1.2 Stresstestergebnis 157 3.2 Immobilienorientierte Perspektive 159 3.2.1 Induzierte Immobilien-Cashflow-Ermittlung 161 3.2.2 Positionierung und portfolioanalytische Segmentierung des genossenschaftlichen Immobilienbestandes 166 3.2.2.1 Charakteristikum des Wirtschaftsgutes Immobilie 166 3.2.2.2 Bewertung des Objektstandards 170 3.2.2.3 Positionierung des Immobilienbestandes und Entwicklung von Normstrategien 174 3.3 Die Option der energetischen Modernisierungsinvestitionen aus Mieter- und Vermieterperspektive 178 4 Risiko- und Prognoseberichterstattung mit Darstellung von Chancen und Risiken der voraussichtlichen Entwicklung 184 4.1 Risikoadjustierte Berichterstattung der Wohnungsgenossenschaft 185 4.2 Risikoidentifikation 186 4.2.1 Risikopolitische Grundsätze 187 4.2.2 Risikoidentifikationsmethoden 189 9 4.3 Risikoklassifizierung und Risikobewertung 194 4.3.1 Externe Geschäftsrisiken 195 4.3.1.1 Natürliche Umweltrisiken 196 4.3.1.2 Politik, Gesetzgebungs- und Rechtsrisiken 196 4.3.1.3 Markt- und Branchenrisiken 200 4.3.1.4 Soziodemographische Risiken 201 4.3.2 Interne (betriebliche) Risiken 205 4.3.2.1 Mitgliederstrukturrisiken 205 4.3.2.2 Personalrisiken 219 4.3.2.3 Management- und Organisationsrisiken 222 4.3.2.4 Kapitalstrukturrisiken 227 4.3.2.5 Liquiditätsrisiken 231 4.3.2.6 Ertragsrisiken 232 4.3.2.7 Bewirtschaftungsrisiken 240 4.3.2.8 Bestandsrisiken 245 4.3.2.9 Investitionsrisiken 251 5. Zwischenergebnis 265 6 Risiko-Reporting als essenzieller Baustein der Risikomanagementkommunikation 266 6.1 Die Dokumentation des Risikomanagementsystems im Risikomanagementhandbuch des Wohnungsunternehmens 267 6.2 Implementierung der Balanced Scorecard in der Wohnungsgenossenschaft 271 6.2.1 Vision und Mission der Wohnungsgenossenschaft 272 6.2.2 Strategische Ausrichtung der Wohnungsgenossenschaft 273 6.2.3 Perspektiven, strategische Ziele, Indikatoren und Kennzahlen sowie Steuerungsmaßnahmen 275 6.2.4 Risikomanagement unter Einsatz der Balanced Scorecard 287 Teil E 291 Zusammenfassung, Thesen der Arbeit und Ausblick 291 10 Literaturverzeichnis 298 Anhang 306 A Analyseunternehmen: 306 Auszüge des veröffentlichten Jahresabschlusses zum 31.12.2008 B Balanced Scorecard – Perspektiven, strategische Ziele, Indikatoren und Kennzahlen sowie Steuerungsmaßnahmen 313 11 Abbildungsverzeichnis Abb. 1: Zielsetzung und Aufgabe des KonTraG 23 Abb. 2: Risikobegriff 28 Abb. 3: Zusammenhänge zwischen Frühwarnung, Früherkennung und Frühaufklärung 34 Abb. 4: Bildung von Risikokategorien 42 Abb. 5: Risikomanagementsystem 60 Abb. 6: Interne Revision und Controlling 74 Abb. 7: Internes Überwachungssystem (IÜS) und Controlling 75 Abb. 8: Vergleichende Betrachtung von strategischem und operativem Controlling 77 Abb. 9: Tätigkeitsmerkmale der Genossenschaft 90 Abb. 10: Genossenschaftlicher Gleichbehandlungsgrundsatz 95 Abb. 11: Gegenüberstellung von Shareholder-Value-Ansatz und Stakeholder-Value-Ansatz 105 Abb. 12: Ansprüche der Stakeholder gegenüber dem Unternehmen 109 Abb. 13: Wertbeitrag und Stakeholder 111 Abb. 14: Das Zielsystem der Genossenschaft 118 Abb. 15: Elemente des Lageberichts 130 Abb. 16: Kapitalflussrechnung analog DRS 2 (indirekte Methode) 141 Abb. 17: Strukturempfehlung wohnungswirtschaftlicher Benchmark-Kriterien 148 Abb. 18: Analyseunternehmen: Auszüge des veröffentlichten Jahresabschlusses zum 31.12.2008 153 Abb. 19: Indikatoren und Stresstest-Bewertungsskala 157 Abb. 20: Stresstestergebnis Wohnungsgenossenschaft 158 Abb. 21: Ablauf der Immobilien-Cashflow-Ermittlung (WE 14) 163 Abb. 22: Cashflow-Bewertungstabelle 164 Abb. 23: Cashflow-Gesamtauswertung (WE 1-34) 165 Abb. 24: Ablauf der Objektstandardanalyse (WE 14) 171 Abb. 25: Objektstandard-Bewertungstabelle 172 Abb. 26: Gesamtauswertung der Cashflow- und Objektstandardanalyse 173 Abb. 28: Analyse des technischen Zustandes von Objekt WE 19 nach energetischer Modernisierung 181 Abb. 29: Energiekostenreduzierung und -veränderung nach Modernisierungsmaßnahmen 182 Abb. 30: Methoden der Risikoidentifikation 190 Abb. 31: Risikoidentifikationsmatrix 194 Abb. 32: Risikofelder und Einzelrisiken 195 Abb. 33: Wohnungsbestand der Wohnungsgenossenschaft nach Baualtersklassen 203 Abb. 34: Wohnungsbestand der Wohnungsgenossenschaft nach Wohnräumen 203 Abb. 35: Geschäftsguthaben der Mitglieder des genossenschaftlichen Analyseunternehmens 207 Abb. 36: Geschäftsguthaben des genossenschaftlichen Analyse- unternehmens nach Anteilen und Mitgliedern 208 Abb. 37: Altersstruktur des genossenschaftlichen Analyse- unternehmens 2006 210 Abb. 38: Förderung des Erwerbs von Genossenschaftsanteilen durch das Analyseunternehmen 214 Abb. 39: Image des Analyseunternehmens 2007 224 Abb. 40: Zufriedenheitsindex des Analyseunternehmens 2007 225 Abb. 41: Verschuldungsgrad und langfristiger Fremdkapitalanteil des Analyseunternehmens 228 Abb. 42: Fremdkapitalkostensatz des Analyseunternehmens 229 12 Abb. 43: Entwicklung der Fremdkapitalzinsen des Analyseunternehmens 229 Abb. 44: Kapitalflussrechnung des Analyseunternehmens 231 Abb. 45: Mieterwechselkosten des Analyseunternehmens 236 Abb. 46: Modernisierungs- und Instandhaltungsstrategien des Analyseunternehmens 248 Abb. 47: Paarvergleiche zur Gewichtung von Modernisierungs- und Instandhaltungszielen am Modell einer Heizungserneuerungs- maßnahme 250 Abb. 48: Discounted Cashflow-Verfahren Objekt WE 19 254 Abb. 49: Entscheidungsbaum Modernisierungsmaßnahme WE 19 260 Abb. 50: Erwartungswerte Modernisierungsmaßnahme WE 19 261 Abb. 51: Aggregierte Erwartungswerte Modernisierungs- maßnahme WE 19 262 Abb. 52: Alternativenvergleich Modernisierungsinvestition/ Kapitalanlage 262 Abb. 53: Bausteine und Regelungselemente des Risikomanagement- handbuches 269 Abb. 54: Entwicklung einer Balanced Scorecard 272 Abb. 55: Auswahl der Perspektiven für das Analyseunternehmen 278 Abb. 56: Wertkettenmodell der Wohnungsgenossenschaft 285 13 Abkürzungsverzeichnis Abb. Abbildung Abs. Absatz AG Aktiengesellschaft, Die Aktiengesellschaft, Amtsgericht AktG Aktiengesetz Aufl. Auflage Bau GB Baugesetzbuch BB Betriebs-Berater BC Bilanzbuchhalter und Controller Bd. Band BFH Bundesfinanzhof BFuP Betriebswirtschaftliche Forschung und Praxis BGBl Bundesgesetzblatt BGH Bundesgerichtshof BMJ Bundesministerium der Justiz BörsZulV Verordnung über die Zulassung von Wertpapieren zur amtlichen Notierung an einer Wertpapierbörse (Börsenzulassungs-Verordnung) BR-Drs. Bundesrats-Drucksache bspw. beispielsweise BT-Drs. Bundestags-Drucksache BuW Betrieb und Wirtschaft BV Berechnungsverordnung bzgl. bezüglich bzw. beziehungsweise ca. circa CF Cashflow CFaR Cashflow at Risk CFROI Cashflow Return on Investment CM Controller Magazin CVA Cash Value Added DB Der Betrieb DBW Die Betriebswirtschaft DCF Discounted Cashflow d.h. das heißt DIN Deutsches Institut für Normung e. V. Diss. Dissertation DSR Deutscher Standardisierungsrat Drs. Drucksache DRS Deutscher Rechnungslegungsstandard DRSC Deutsches Rechnungslegungs Standards Comittee e. V. DStR Deutsches Steuerrecht DVFA Deutsche Vereinigung für Finanzanalyse und Anlageberatung e. V. DW Die Wohnungswirtschaft EDV Elektronische Datenverarbeitung E-AktG Einführungsgesetz zum Aktiengesetz E-DRS Entwurf eines Rechnungslegungsstandards eG eingetragene Genossenschaft EKQ Eigenkapitalquote EnEG Energieeinsparungsgesetz 14 EnEV Energiesparverordnung E-Mail Electronic Mail etc. et cetera EU Europäische Union EuroEG Gesetz zur Einführung des Euro (Euro-Einführungsgesetz) e. V. eingetragener Verein EVA Economic Value Added EW Eintrittswahrscheinlichkeit EWG Europäische Wirtschaftsgemeinschaft F-C Finanz-Controlling Fn. Fußnote f. folgend(e) ff. fortfolgend(e) FASB Financial Accounting Standards Board FKQ Fremdkapitalquote FKS Fremdkapitalstruktur GE Das Grundeigentum GenG Gesetz betreffend die Erwerbs- und Wirtschaftsgenossenschaften (Genossenschaftsgesetz) ggf. gegebenenfalls GmbH Gesellschaft mit beschränkter Haftung GmbHG Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbH-Gesetz) GmbHR GmbH-Rundschau GoB Grundsätze ordnungsgemäßer Buchführung HB Handbuch HdWW Handwörterbuch der Wirtschaftswissenschaften HFA Hauptfachausschuss des Instituts der Wirtschaftsprüfer in Deutschland e. V. HGB Handelsgesetzbuch HGrG Gesetz über die Grundsätze des Haushaltsrechts des Bundes und der Länder (Haushaltsgrundsätzegesetz) h.M. nach herrschender Meinung hrsg. herausgegeben Hrsg. Herausgeber Hs. Halbsatz HWB Handwörterbuch der Betriebswirtschaft HWR Handwörterbuch des Rechnungswesens IAS International Accounting Standard(s) i.d.F. in der Fassung i.d.R. in der Regel IDW Institut der Wirtschaftsprüfer in Deutschland e. V. IDW EPS Entwurf IDW Prüfungsstandard IDW PS IDW Prüfungsstandard IDW RS IDW Stellungnahme zur Rechnungslegung i.e.S. in engeren Sinne IFO Institut für Wirtschaftsforschung IIR Deutsches Institut für Interne Revision e. V. inkl. inklusive insb. insbesondere InsO Insolvenzordnung i.S. im Sinne i.S.v. im Sinne von IT Information Technology, Informationstechnologie IÜS Internes Überwachungssystem 15 IVD Immobilienverband Deutschland i.V.m. in Verbindung mit i.w.S. im weiteren Sinne Jg. Jahrgang KAGG Gesetz über Kapitalanlagegesellschaften Kap. Kapitel KapAEG Gesetz zur Verbesserung der Wettbewerbsfähigkeit deutscher Konzerne an Kapitalmärkten und zur Erleichterung der Aufnahme von Gesellschafterdarlehen (Kapitalaufnahmeerleichte- rungsgesetz) KapCoRiLiG Gesetz zur Durchführung der Richtlinien des Rates der Europäischen Union zur Änderung der Bilanz- und der Konzernbilanzrichtlinie hinsichtlich ihres Anwendungsbereiches (90/605/EWG), zur Verbesserung der Offenlegung von Jahresabschlüssen und zur Änderung anderer handelsrechtlicher Bestimmungen (Kapitalgesellschaften- und Co-Richtlinie Gesetz) KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich KWG Gesetz über das Kreditwesen (Kreditwesengesetz) lt. laut Mio. Millionen Mrd. Milliarden NMV Neubaumietenverordnung Nr. Nummer nwb Verlag Neue Wirtschafts-Briefe o.ä. oder ähnliche, oder ähnliches o.g. oben genannt o.J. ohne Jahr o.V. ohne Verfasser PS Prüfungsstandard PublG Gesetz über die Rechnungslegung von bestimmten Unternehmen und Konzernen (Publizitätsgesetz) resp. respektive RM Risikomanagement Rn. Randnummer ROI Return on Investment S. Seite SG Schmalenbach-Gesellschaft zur Förderung der betriebswirtschaftlichen Forschung und Praxis e. V. (Schmalenbach-Gesellschaft) SGE Strategische Geschäftseinheit(en) SGF Strategisches Geschäftsfeld sog. sogenannt(e) Sp. Spalte StB Steuerberater Stgb Steuerberatung StückAG Gesetz über die Zulassung von Stückaktien (Stückaktiengesetz) TransPubG Transparenz- und Publizitätsgesetz Tsd. Tausend Tz. Textziffer u.a. unter andere, unter anderem u.ä. und ähnliches US-GAAP United States Generally Accepted Accounting Principles usw. und so weiter u.U. unter Umständen v.a. vor allem VAR Value at Risk 16 Vgl. Vergleiche vs. versus WE Wirtschaftseinheit WEG Wohnungseigentumsgesetz WertV Wertermittlungsverordnung WiSt Wirtschaftswissenschaftliches Studium WISU Das Wirtschaftsstudium WoBau Wohnungsbaugesetz WoBinG Wohnungsbindungsgesetz WP Wirtschaftsprüfer WPg Die Wirtschaftsprüfung WPHB Wirtschaftsprüferhandbuch WpHG Wertpapierhandelsgesetz WPK-Mitt. Wirtschaftsprüferkammer-Mitteilung WuM Wohnungswirtschaft und Mietrecht WWW World Wide Web z.B. zum Beispiel ZfB Zeitschrift für Betriebswirtschaft ZfbF Zeitschrift für betriebswirtschaftliche Forschung ZfgK Zeitschrift für das gesamte Kreditwesen ZGR Zeitschrift für Unternehmens- und Gesellschaftsrecht ZIR Zeitschrift Interne Revision z.T. zum Teil zugl. zugleich 17 Teil A Einleitung 1 Problemstellung und Relevanz Die sich beschleunigende Globalisierung des Wettbewerbs und der unternehmerischen Tätigkeit, innovative Technologien sowie die sich ausweitende Komplexität und fort- schreitende Dynamisierung der Märkte mit vielschichtigen Kundenbeziehungen und wachsender Vernetzung von Unternehmen und Konsumenten prägen das Umfeld der Unternehmen zu Beginn des gegenwärtigen Jahrhunderts. Hinzu kommt, dass die Un- ternehmen massiv mit permanenten Veränderungen bezüglich der politischen, rechtli- chen, ökologischen und sozialen Sachlage konfrontiert werden. Diese Herausforderun- gen führen dazu, dass die Unternehmen ständig höheren, komplizierteren und vielfälti- geren Umfeldbedingungen ausgesetzt sind, mit dem Ergebnis, dass die Bewältigung der vermehrten Aufgabenpotenziale sowie eine kontrollierte Unternehmensleitung zuneh- mend erschwert wird. Dadurch eröffnen sich den Unternehmen zum einen unvorherge- sehene Chancen, zum anderen beinhalten diese Entwicklungen immense Risiken. Um die sich bietende Potenziale zielführend und optimal zu nutzen, können sich die Unter- nehmen letztlich nicht enthalten Risiken einzugehen, d.h. dass Risiken einerseits Ge- fahr, andererseits notwendige Voraussetzungen für den unternehmerischen Erfolg be- deuten. 1 Als Bestandteil jeglicher unternehmerischer Geschäftstätigkeit beinhalten Risiken die Gefahr, dass durch externe bzw. interne Ereignisse oder entscheidungsgestützte Hand- lungen konzipierte Unternehmensziele nicht erreicht werden und womöglich den Fort- bestand eines Unternehmens gefährden. Viele Unternehmen sind sich jedoch der Risi- ken weder bewusst, noch halten sie es für erforderlich, diese Risiken für die Entschei- dungsträger und Adressaten des Unternehmens transparent abzubilden. Hierbei ist es entscheidend, dass diese vielfach unbewusst eingegangenen Risiken innerhalb des Un- 1 Vgl. Bitz, H. 2000, S. 19. 18 ternehmens kontrollierbar und in ihrer Auswirkung kalkulierbar bleiben. 2 Zur effektiven Beherrschung der Risiken benötigt ein Unternehmen ein holistisches Risikomanage- ment, das im Verantwortungsbereich der Unternehmensleitung nach Qualität und zeitli- cher Verfügbarkeit sorgfältig und ordnungsgemäß sicherzustellen ist. Dieses darf sich nicht ausschließlich auf das Erfassen von Einzelrisiken beschränken, sondern muss ins- besondere die Identifikation und Bewertung von Interdependenzen und darauf ausge- richtete Maßnahmen zur Verbesserung der Risikosituation, und zwar unabhängig von der Rechtsform anstreben. Von zentraler Bedeutung sind hierbei zeitnahe und zukunfts- orientierte Informationen über die Existenz von und den Umgang mit existenzgefähr- denden oder zumindest wesentlich unternehmensbeeinflussenden Risiken. Auch bislang eher vernachlässigte Risiken, wie beispielsweise die Reputation eines Unternehmens sind von grundlegender Bedeutung und haben weitreichende Auswirkungen auf die Ge- schäftstätigkeit und das Ergebnis von Unternehmen. Außerdem haben spektakuläre Un- ternehmenskrisen der jüngeren Vergangenheit (wie z.B. Metallgesellschaft AG, Balsam, Bremer Vulkan, Holzmann AG, Cargofilter, KirchMedia etc.) zu umfangreichen Aktivi- täten geführt, adäquate Kontroll- und Informationsmechanismen zur Überwachung und Steuerung von Risiken im Unternehmen zu implementieren. Nicht zuletzt ist das enorm gewachsene Interesse der Öffentlichkeit an risikoadjustierten Informationen im Rahmen der Rechnungslegung und transparenter Berichterstattung auf die aufsehenerregenden Unternehmenskrisen und -insolvenzen zurückzuführen. Im Ergebnis erfordert dieser komplexe und dynamische Wandel den Auf- und Ausbau effizienter Geschäfts- und Informationsprozesse im Unternehmen, unter der Bedingung, dass sich das Unternehmen auch zukünftig im Markt durchsetzen, seine Marktstellung stärken und ausbauen möchte. In diesem Zusammenhang bilden eine risikoorientierte Unternehmensphilosophie in Verbindung mit einem in der Unternehmenskultur fixier- ten Risikobewusstsein die unvermeidliche Basis für ein effektives Risikomanagement. Unter diesen Aspekten gewinnt das frühzeitige Erkennen von Chancen und insbesonde- re von Risiken und Risikostrukturen existentielle und maßgebliche Bedeutung für jedes Unternehmen. Dieser Bedeutung hat der Gesetzgeber mit der Verabschiedung des Ge- setzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) am 1. Mai 1998 Nachdruck verliehen. 2 Vgl. Scharpf, P., 1999, S. 179. 19 2 KonTraG-Gesetz zur Kontrolle und Transparenz im Unternehmensbereich 2.1 Intention des KonTraG Vor dem KonTraG war die Einrichtung eines Risikomanagementsystems freiwillig und gründete sich ausschließlich auf die Einsicht in dessen Notwendigkeit. Gesetzliche Vor- schriften, welche die Implementierung eines Risikomanagementsystems postulierten, existierten in Form allgemeiner Sorgfaltspflichten, die nicht ausführlich konkretisiert waren. Ohne dabei das bestehende Unternehmensführungs- und Unternehmensüberwa- chungssystem („Coporate Governance“) grundsätzlich in Frage zu stellen, ergab sich die Erfordernis zu Reformen aus den Schwächen des bisher gesetzlich verankerten Kontrollsystems und Verhaltensfehlsteuerungen innerhalb des bisher bestehenden Überwachungssystems, die mit zunehmender Anzahl und Intensität von Unternehmens- krisen und -zusammenbrüchen in den letzten Jahren offensichtlich wurden. Diese Un- ternehmensschieflagen waren unter anderem mit dem Vorwurf eines unzureichenden Risikomanagements der Unternehmensleitungen und der mangelhaften Kontrolle durch die Aufsichtsorgane verbunden. Zudem standen eine unzureichende Prüfungsintensität sowie Defizite in der Berichterstattung im Zentrum der Kritik an der Arbeitsweise der Abschlussprüfer. Aufgrund dieser und ähnlicher Ereignisse sah sich der Gesetzgeber schließlich zu einer Gesetzesinitiative veranlasst, in der die Notwendigkeit ein ange- messenes Risikomanagement im Unternehmen zu implementieren, besonders betont wurde. Damit unterliegt im Kernsatz die Einführung von Risikomanagement- bzw. Frühwarnsystemen zukünftig der gesetzlichen Verpflichtung und nicht mehr dem Inte- resse der Entscheidungsträger und Adressaten des Unternehmens. 3 Beim KonTraG handelt es sich um ein sogenanntes Artikelgesetz, durch das eine Viel- zahl bestehender Gesetze geändert wurde. 4 Die Änderungen betreffen in erster Linie das  Aktiengesetz (AktG)  Handelsgesetzbuch (HGB) 3 Vgl. Scharpf, P., 1999, S.179. 4 Vgl. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) vom 27.04.1998 (BGBl. 1998 I S.789). 20  Gesetz betreffend die Gesellschaften mit beschränkter Haftung (GmbHG)  Genossenschaftsgesetz (GenG)  Publizitätsgesetz (PublG)  Wertpapierhandelsgesetz (WpHG)  Gesetz über die Kapitalanlagegesellschaften (KAGG)  Gesetz über die Angelegenheiten der freiwilligen Gerichtsbarkeit (FGG)  Einführungsgesetz zum Aktiengesetz (EGAktG)  Einführungsgesetz zum Handelsgesetzbuch (EGHGB) daneben aber auch die  Wirtschaftsprüferordnung (WPO)  Börsenzulassungs-Verordnung (BörsVO) Das KonTraG wiederum fand Ergänzung und Änderung durch weiterführende gesetzli- che Reformen wie dem Transparenz- und Publizitätsgesetz (TransPuG), 5 dem Bilanz- rechtsreformgesetz (BilReG) 6 und dem Bilanzrechtsmodernisierungsgesetz (BilMoG). 7 Auf die Darstellung und Kommentierung dieser gesetzlichen Änderungen, die inzwi- schen in das Aktiengesetz (AktG) bzw. Handelsgesetzbuch (HGB) integriert wurden, soll im Rahmen dieser Dissertation im Einzelnen nicht näher eingegangen werden. So- weit jedoch die oben genannten Vorschriften die Thematik betreffen, werden diese Be- stimmungen herangezogen und untersucht. Obwohl das KonTraG die Änderungen dieser Rechtsvorschriften enthält, wird in Litera- tur und Praxis vorwiegend auf § 91 Abs.2 AktG Bezug genommen. Danach hat der Vor- stand oder die Geschäftsführung „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“. Die Rechtsvorschrift, die sich eigentlich auf Ak- tiengesellschaften beschränkt, wirkt sich auch auf Unternehmen anderer Rechtsformen aus. Diese Ausstrahlung hat der Gesetzgeber nicht normiert, in der Begründung des Ge- 5 Vgl. Gesetz zur weiteren Reform des Aktien- und Bilanzrechts, zu Transparenz und Publizität (TransPuG) vom 26.07.2002, BGBl. 2002 I, S. 2681-2687. 6 Vgl. Bilanzrechtsreformgesetz (BilReG) vom 04.12.2004, BGBl. 2004 I, S. 3166-3182. 7 Vgl. Bilanzrechtsmodernisierungsgesetz (BilMoG) vom 28.05.2009, BGBl. 2009 I, S. 1102-1137. 21 setzentwurfs allerdings ausdrücklich erwähnt. 8 Mit der Einführung des KonTraG be- gann die Reanimierung der Begriffe „Risikofrüherkennung und Risikomanagement“ in Literatur und Praxis. Tatsächlich hat das Gesetz jedoch nur eine ohnehin vorhandene Notwendigkeit fixiert und ins Bewusstsein gerufen. Folgende Gründe lassen sich aus den vorstehenden Ausführungen für die Notwendigkeit eines funktionierenden und dokumentierten Risikomanagementsystems herleiten: 9  Das Erkennen der unternehmensrelevanten Risiken ist Voraussetzung für ein funktionierendes internes Rechnungswesen, welches wiederum die Basis für wichtige unternehmerische Entscheidungen darstellt.  Aufgrund der zunehmenden Komplexität der Rahmenbedingungen ist das unter- nehmerische Handeln mit erhöhten Risiken verbunden. Risiken sind möglichst frühzeitig zu erkennen und zu steuern. Diese Risikosensibilisierung kann nur durch ein systematisches Risikomanagement erreicht werden. Risikomanagement ist als Chance zu verstehen, sich diesbezüglich einen Wettbewerbsvorteil gegen- über Konkurrenten zu verschaffen. Implizit stellt somit ein funktionierendes Risi- komanagement, welches aus den weiterhin zu charakterisierenden Einzelelemen- ten Internes Überwachungssystem (IÜS), Controlling und Frühwarnsystem be- steht, ein Instrument zur Steigerung des Unternehmenswertes dar.  Der Nachweis eines wirksamen Risikomanagementsystems als integrierter Be- standteil der Unternehmensstrategie ist von entscheidender Bedeutung (z.B. für die Gewährung von Bankkrediten).  Für die Erfüllung der gesetzlichen Sorgfaltspflichten der Geschäftsleitung und der Überwachungsfunktion der Aufsichtsorgane von Unternehmen sämtlicher Rechts- formen ist das Risikomanagementsystem als eine wichtige Exkulpationsmöglich- keit hinsichtlich möglicher Schadensersatzansprüche zu betrachten, zumal es auch u.a. der Dokumentationspflicht dient.  Risiken der zukünftigen Entwicklung, die im Lagebericht gemäß § 289 Abs. 1 HGB gesondert dargestellt werden müssen, können objektiv nur auf der Basis ei- 8 Vgl. Begründung zu Art. 1 Nr.9 des Regierungsentwurfs vom 06.11.1997, BR-Drs. 872/97. Auch in der Literatur wird überwiegend diese Auffassung vertreten, vgl. exemplarisch Ernst, C./Seibert, U./Stuckert, F. 1998, S. 53; Adler, H./DüringW./Schmaltz, K., Erg.bd. 2001, Tz. 4, S. 294. 9 Vgl. Hahn, K./Weber, St./Friedrich, J., BB 2000, S. 2621. 22 nes existierenden Risikomanagementsystems identifiziert, definiert und bewertet werden.  Die Prüfung der zutreffenden Darstellung der Risiken im Lagebericht durch den Abschlussprüfer, 10 die Stellungnahme des Abschlussprüfers dazu, ob bestandsge- fährdende Risiken vorliegen, 11 sowie die Beurteilung der Wirksamkeit des einge- richteten Risikofrüherkennungssystems und dessen Überwachung 12 können objek- tiv nur auf der Basis der Dokumentation des Risikomanagementsystems und des- sen Ergebnissen erfolgen. 13 2.2 Anforderungen des Gesetzgebers an Risikomanagement und Risikoberichterstattung Bevor auf die Einzelheiten eines Risikomanagementsystems eingegangen werden kann, ist zunächst zu erläutern, welche Anforderungen der Gesetzgeber an das Risikomana- gement stellt. Durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), mit dem der Gesetzgeber die Risikoberichterstattung und deren Prüfung normiert hat, korrigierte er die Diskrepanz zwischen den Informationsanforderungen an Abschlüsse und Abschlussprüfungen einerseits und den Prüfungsleistungen andererseits (die Erwar- tungslücke), in dem er die Anforderungen vorgegeben hat. Mit der Erwartungslücke, die nach der folgenden Abbildung umschrieben werden kann, wird ausgedrückt, dass der Empfänger eines testierten Jahresabschlusses – unabhängig vom Inhalt des Jahresab- schlusses – erwartet, dass ein geprüftes Unternehmen solvent und gut für die Zukunft gerüstet sei. Nach der bisherigen Rechtslage war die Rechnungs- und Rechenschaftsle- gung nicht zukunftsorientiert, sondern eindeutig vergangenheitsorientiert und erfüllte damit nicht die Erwartungen der Entscheidungsträger und Adressaten des Unterneh- mens. 10 Vgl. § 317 Abs. 2 S.2 i.V.m. § 322 Abs. 3 S. 2 HGB. 11 Vgl. § 321 Abs. 1 S.3 i.V.m. § 322 Abs. 2 S. 2 HGB. 12 Vgl. § 317 Abs. 4 i.V.m. § 321 Abs. 4 HGB. Die §§ 317, 321, 322 HGB wurden eingefügt durch Gesetz vom 19.12.1985 (BGBl. I. S.2355), neugefaßt durch Gesetz vom 27.04.1998 (BGBl. I. S. 786). 13 Vgl. Eggemann, G./Konradt, T., BB 2000, S. 503. 23 Abb. 1: Zielsetzung und Aufgabe des KonTraG Quelle: Peemöller, V., 1998, S.46 Des Weiteren hat der Gesetzgeber dieses Vorhaben in einer Phase initiiert, in der bisher keinerlei Klarheit über Risiken (Risikoursachen bzw. -diagnose), Risikowechselwirkun- gen, Risikomanagementsysteme, Risikoberichterstattung und Risikoprüfung bestand. Außerdem lässt das KonTraG als auch dessen Begründung offen, wie ein Risikomana- gement- und Überwachungssystem konkret auszugestalten ist. Es wurde deshalb er- kannt, dass ein weiteres Element in Gestalt eines Frühwarnsystems konzipiert werden muss, um ein Unternehmen rechtzeitig auf drohende Gefahren (Risiken) vorzubereiten. Nachdem hierzu keine näheren Einzelheiten und Vorgaben angeführt werden, sind die Anforderungen an ein einzuführendes Risikomanagementsystem vorrangig nach be- triebswirtschaftlichen Gesichtspunkten auszurichten. Mit dieser Ausgangsbasis soll nachfolgend die Notwendigkeit zur Implementierung eines risikoorientierten Frühwarn- und Überwachungssystems in Genossenschaften erörtert werden. 2.3 Zielsetzung der Untersuchung Bereits vor dem Inkrafttreten des KonTraG gehört es in Anlehnung an § 76 AktG zu den allgemeinen Leitungsaufgaben des Vorstands, entsprechende organisatorische Maßnahmen zu treffen, welche den Fortbestand der Gesellschaft gefährden könnten. Mit dem Gebot ein Risikofrüherkennungs- und Überwachungssystem zu implementie- ren, hat der Gesetzgeber mit der Verabschiedung des KonTraG in § 91 Abs. 2 AktG die rwartungslücke Regelungslücke Es fehlen Prüfungsvorschriften. Leistungslücke Fehler werden nicht erkannt bzw. nicht berichtet. Anforderungslücke Die Anforderungen gehen über das hinaus, was ein Prüfer leisten kann. Erfüllungslücke Der Prüfer kann nicht über alle Sachverhalte ein hinreichendes Urteil fällen. 24 allgemeine Leitungsaufgabe besonders hervorgehoben sowie deren Sorgfaltspflichten präzisiert. Damit ist eine klarstellende Rechtsgrundlage konzipiert worden, die einen Teil der Organisationsverantwortung des Vorstands einer Aktiengesellschaft charakteri- siert. Im Gegensatz zur expliziten Regelung für Aktiengesellschaften erschließt sich weder im GmbHG noch im GenG eine evident neue Verpflichtung zur Einrichtung eines Risiko- früherkennungs- und Überwachungssystems. Jedoch ist zu unterstellen, dass von den KonTraG-konformen Regelungen eine Ausstrahlungswirkung auf Unternehmen glei- cher Größe und Komplexität aber anderer Rechtsformen, insbesondere auf Gesellschaf- ten mit beschränkter Haftung, einschließlich Genossenschaften, ausgeht. Wenngleich für die bezeichneten Rechtsformen keine gesetzlichen Grundlagen ableitbar sind, lässt sich für die GmbH bzw. Genossenschaft aus den Vorschriften des § 93 Abs. 1 AktG i.V.m. § 43 Abs. 1 GmbHG respektive § 93 Abs. 1 AktG i.V.m. § 34 Abs. 1 GenG eine implizite Anwendung des § 91 Abs. 2 AktG schlussfolgern. Hiernach wird davon aus- gegangen, dass diese Rechtsformen in Erfüllung ihrer allgemeinen Sorgfaltspflichten, wie bisher, zu einer ordnungsgemäßen Geschäftsführung verpflichtet sind, welche den Fortbestand des Unternehmens sichert. Für Genossenschaften eröffnet sich die Verpflichtung zu einer Ordnungsmäßigkeit der Geschäftsführung nach Maßgabe des § 34 Abs. 1 GenG. Hiernach umfasst die Ord- nungsmäßigkeit der Geschäftsführung die satzungsmäßigen Unternehmensorgane, das Rechnungswesen einschließlich Rechenschaftslegung sowie die Unternehmensorganisa- tion und die unternehmerischen Geschäftsführungsmaßnahmen. Gleichwohl haben sich die unternehmerischen Geschäftsführungsmaßnahmen hinsichtlich der Zielsetzung und Strategie am Förderzweck respektive Unternehmensgegenstand der Genossenschaft zu orientieren und sind außerdem an die Beschlüsse der hierfür zuständigen Organe ge- bunden, mit der Folge, dass sich die Ergebnisse in einer entsprechenden Vermögens-, Finanz- und Ertragslage widerspiegeln. Abgesehen davon ergeben die Feststellungen der genossenschaftlichen Pflichtprüfung gemäß § 53 GenG Aufschluss über die Ord- nungsmäßigkeit der unternehmerischen Geschäftsführung. Des Weiteren ist die Pflicht zur Berichterstattung im Lagebericht erweitert worden, in- dem nach Maßgabe des § 289 Abs. 1 HGB die zukünftige Entwicklung des Unterneh- mens darzulegen ist. Für die Rechtsform der eingetragenen Genossenschaften offenbart 25 sich die Pflicht zur Aufstellung des Lageberichts nach den Vorschriften des § 336 Abs. 1 i.V.m. § 264 Abs. 1 HGB, wobei für kleine Genossenschaften gemäß der Größenklassi- fizierung § 267 Abs. 1 HGB nach § 264 Abs. 1 HGB ein Wahlrecht zur Lageberichter- stellung eingeräumt wird. Jedoch ist die Art und Weise, mit der die Risiken der zukünf- tigen Entwicklung zu ermitteln sind, vom Gesetzgeber nicht näher definiert worden. Trotz dieser fehlenden gesetzlichen Verpflichtung ist es geboten, Genossenschaften im Rahmen ihrer ordnungsgemäßen Geschäftsführung der Ausstrahlungswirkung unterzu- ordnen, mit dem Ergebnis, ein Risikofrüherkennungs- und Überwachungssystem zu implementieren, welches als unabdingbare Voraussetzung und notwendigen Bedingung die Funktion einer ordnungsgemäßen Berichterstattung über Chancen und Risiken der zukünftigen Entwicklungen im Lagebericht nach § 289 Abs. 1 HGB gewährleistet. Vor diesem Hintergrund besteht das Ziel der vorliegenden Dissertation darin, die Struk- tur eines Risikomanagementsystems aufzuzeigen, das einerseits die betriebswirtschaft- lichen Erfordernisse berücksichtigt und sich andererseits mit den Ansprüchen des Ge- setzgebers vereinbaren lässt. Gleichwohl kommt es darauf an, die bereits vorhandenen Elemente integrativ zu einem wirkungsvollen und zielführenden Risikomanagementsys- tems zu verbinden und diese in die unternehmerischen Prozessabläufe zu integrieren. Als Anschauungsobjekt für die Rechtsform der Genossenschaft dient – sofern es sich nicht um allgemein gültige Ausführungen handelt – zur Verdeutlichung ein Wohnungs- unternehmen, das nach § 267 Abs. 1 i.V.m. § 336 HGB die Größenklasse einer kleinen Kapitalgesellschaft erfüllt und aus Gründen der Transparenz freiwillig einen Lage- bericht erstellt. Dazu werden im Vornhinein die theoretischen Grundlagen abgehandelt. In der Folge gilt es unter Berücksichtigung genossenschaftlicher Prinzipien einen Bezugsrahmen für ein ganzheitliches Risikomanagement zu entwickeln, um daran an- schließend auf die Implementierung eines Risikomanagementsystems einzugehen. 2.4 Vorgehensweise Die vorliegende Untersuchung gliedert sich in fünf Kapitel. Um die im einleitenden Teil A aus der spezifischen Problemstellung abgeleitete Zielsetzung zu erreichen, wird 26 zunächst der theoretische Rahmen für die zu entwickelnde Risikomanagement- Konzeption abgesteckt. Hierzu werden im Teil B vorab die begrifflichen Grundlagen erörtert, bevor nachfol- gend auf das strategische und operative Risikomanagementsystem eingegangen wird. Im Mittelpunkt der Bearbeitung steht dabei der Risikomanagementprozess mit seinen Komponenten nebst Risikokultur sowie die Darstellung des Risikomanagementsystems mit dessen Elementen Internes Überwachungssystem (IÜS), Controlling und Frühwarn- system. Unter diesen Voraussetzungen wird in Kapitel C der Risikomanagementprozess im genossenschaftlichen Wohnungsunternehmen beschrieben. Im Zentrum der Analysen stehen hierbei die Genossenschaftsprinzipien, die Förderzweckbeziehung und Förder- zweckerfüllung sowie die Besprechung der genossenschaftlichen Unternehmensverant- wortung, die sich vornehmlich in der Leitungsbefugnis und Sorgfaltspflicht der Unter- nehmensleitung widerspiegelt. Mit dem Corporate-Governance-Codex und seiner Eig- nung für Genossenschaften wird das Kapitel abgeschlossen. Vor dem Hintergrund der zuvor gewonnenen Erkenntnisse wird im Teil D die Einrich- tung eines Risikomanagements bei Wohnungsgenossenschaften charakterisiert. Dabei werden, abgesehen von der theoretischen Darstellung, praxisorientierte Gestaltungs- empfehlungen für die Integration in bestehende Unternehmensstrukturen am Beispiel eines Analyseunternehmens abgeleitet. Zu diesem Zweck wird durch Rückgriff auf un- ternehmensbezogene Daten die Eignung einsetzbarer Methoden und Instrumente aus unternehmens- und immobilienorientierter Perspektive hinsichtlich der besonderen An- forderungen eines Risikomanagements aufgezeigt. Schließlich widmet sich der nachfol- gende Abschnitt der Risiko- und Prognoseberichterstattung mit der Darstellung von Chancen und Risiken der voraussichtlichen Entwicklung des Analyseunternehmens. Das abschließende Kapitel E fasst die wesentlichen Aussagen der vorliegenden Unter- suchung zusammen und wird mit einem Ausblick abgeschlossen. 27 Teil B Grundlagen des Risikomanagementsystems 1 Begriffliche Einordnung des Risikomanagementsystems In den vorangehenden Ausführungen wurde fortgesetzt auf die Begriffe Risiko und Ri- sikomanagement rekurriert, ohne diese näher zu definieren. Bevor konzeptionelle Über- legungen zum Risikomanagement dargelegt werden können, ist es erforderlich, die not- wendigen Begriffsdefinitionen vorzunehmen. 1.1 Definition des Risikobegriffes und Abgrenzung unterschiedlicher Risikoausprägungen Jedes unternehmerische Handeln, jede betriebliche Aktivität ist infolge unvollkomme- ner oder fehlerhaft aufbereiteter Informationen über die zukünftige Entwicklung mit einem Risiko verbunden. Risiken durch Fehlentscheidungen, infolge falscher Informati- onsverwertung zumal Wissen mangelhaft oder nicht vorhanden ist, sind selbst verur- sacht, d.h. auch: Fehlende Sicherheit ist ein Risiko. Das Thema lautet daher Risiken erkennen, bzw. „Was heißt Risiko?“ Das Wort „Risiko“ ist abgeleitet von dem italienischen Wort „risicare“, das „wagen“ bedeutet. Vor diesem Hintergrund könnte man Risiko allgemein als das „Wagnis des Handelns“, „Gefahr, Verlustmöglichkeit bei einer unsicheren Unternehmung“ bzw. „Verlustgefahr, für deren intritt es eine Wahrscheinlichkeitsverteilung gibt“, definie- ren, welches sich daraus ergibt, dass Entscheidungen auf der Grundlage unvollständiger Informationen getroffen werden müssen. 14 Es handelt sich um einen unbestimmten Rechtsbegriff, der vom Gesetzgeber weder im Gesetzestext noch in der Gesetzesbe- gründung konkretisiert wird. 15 Im betriebswirtschaftlichen Sinn wird Risiko als die 14 Vgl. Drosdowski, G./Scholze – Stubenrecht, W./Werneke, M., 1997, S. 712; Bitz, H., 2000, S. 13; Heyd, R., 1993, S. 361 ; Kupsch, P. U., 1973, S.28; Baetge, J./Jerschensky, A., Controlling 1999, S. 171. 15 Vgl. Adler, H./Düring, W./Schmaltz, K., Erg.bd. 2001, Tz.6, S.147, Heyd, R., 1993, S. 361. 28 Möglichkeit der Gefahr von Verlusten im Rahmen der Geschäftstätigkeit angesehen; d.h. als die Eventualität, dass das tatsächliche Ergebnis einer unternehmerischen Aktivi- tät negativ vom erwarteten Ergebnis abweicht. 16 Zum Teil wird hierunter auch die Abweichung von einem erwarteten Wert in beide Richtungen verstanden, unabhängig davon, ob es sich dabei um eine positive (Chance) oder um eine negative Abweichung (Gefahr) handelt. 17 Risiko wird in diesem Rahmen in das sogenannte „reine Risiko“ und in das sogenannte „spekulative Risiko“ unterschieden. 18 Während sich das reine Risiko auf die Betrach- tung der möglichen negativen Folgen einer Entscheidung beschränkt, beinhaltet der spekulative Begriff auch die Betrachtung positiver Abweichungen bzw. Folgen von Entscheidungen 19 (Abbildung 2 verdeutlicht die Systematik des Risikobegriffes). Abb. 2: Risikobegriff Quelle: Lück, W., 1999, S.144; Kless, Th., DStR 1998, S. 93 16 Vgl. Schneck, O., 2005, S. 884; Bitz, H., 2000, S. 13; Schneider, T., Controller Magazin 1999, S. 113; Lück, W., 1999, S. 144; Budde, H./Clemm, M./Ellrott, H./Förschle, G./Hoyos, M., 1999, S. 1256; Baetge, J./Schulze, D., DB 1998, S.940. 17 Vgl. Perridon, L./Steiner, M. 2004, S. 99-101; Adler, H./Düring, W./Schmaltz, K., Erg.bd. 2001, Tz. 6, S. 147. 18 Vgl. Karten, W., 1993, Sp. 3829. 19 Vgl. Schneider, T., Controller Magazin 1999, S. 113 ; Lück, W., 1999, S. 144 ; gelegentlich finden sich in der Literatur an Stelle der Begriffe reines und spekulatives Risiko die Begriffe symmetrisches und asymmetrisches Risiko, vgl. Weber, J./Weißenberger, B./Liekweg, A., 1999, S. 1711. Risiko Reines Risiko (Schadengefahr) = versicherbar Spekulatives Risiko (Risiko aus unternehmerischem Handeln) = nicht versicherbar Risiko im engeren Sinne (Verlustgefahr) Risiko im weiteren Sinne (Chance) 29 Einfacher formuliert enthält das reine Risiko Schadengefahren, bei denen ein das Ver- mögen unmittelbar minderndes Ereignis eintritt. Das reine Risiko beinhaltet damit nur die Gefahr des Vermögensverlustes, Chancen werden jedoch nicht erfasst. Dieser Risi- kobegriff geht davon aus, dass die Entwicklung des Unternehmens lediglich von selte- nen, unregelmäßigen Gefahren bedroht wird (z.B. die Gefahr von Feuer- und Sturm- schäden bei Gebäuden). Unternehmen sind jedoch vielfältigen Risiken ausgesetzt, die nicht nur reine Schadens- gefahren sind, womit ein Risikobegriff zu verwenden ist, der über die Schadensgefahren hinausgeht. Unsichere Ereignisse, welche sich durch das unternehmerische Handeln vermögensmindernd oder vermögensmehrend auswirken können, (z.B. Markt-, Kredit-, Liquiditäts- und Betriebsrisiken), werden als spekulatives Risiko bezeichnet. Das speku- lative Risiko, das folglich auch Gewinnchancen enthält, kann in der Form weiter unter- teilt werden, dass man die vermögensmindernden unsicheren Ereignisse, d.h. Nettover- mögensminderungen (die geplante Entwicklung verläuft schlechter) als Risiko im enge- ren Sinne, oder als Verlustgefahr und die vermögensmehrend unsicheren Ereignisse, d.h. Nettovermögensmehrungen (die geplante Entwicklung verläuft günstiger) als Risi- ko im weiteren Sinne, oder als Chance bezeichnet. In Anlehnung des Baseler Ausschusses für Bankenaufsicht und an die vom Bundesauf- sichtsamt für das Kreditwesen erlassene „Verlautbarung über Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstitute“ vom 23. Oktober 1995 kann das Risiko aus unternehmerischem Handeln beispielhaft in fünf Risikobereiche neben sonstigen Risiken, wie z.B. Standortrisiken, Risiken aus der Produkthaftung, Naturkata- strophen, eingeteilt werden. 20 1. Das rechtliche Risiko, das dadurch bestimmt wird, dass Geschäfte rechtlich nicht durchsetzbar oder vertraglich nicht korrekt dokumentiert sind. Rechtliches Risiko besteht aber auch in der Gefahr der Änderung gesetzlicher Vorschriften und be- hördlicher Auflagen. 2. Zum Betriebsrisiko gehören technische und organisatorische Gefahren innerhalb des Unternehmens. Es wird durch das Versagen oder durch das falsche Einrichten technischer oder organisatorischer Überwachungsmaßnahmen bestimmt. 20 Vgl. Kless, Th., DStR 1998, S. 93-94. 30 3. Das Marktrisiko, d.h. die Änderung der Preise (Absatz- oder Beschaffungsmarkt- preise) oder der Kurse (Wechsel- oder Wertpapierkurse) sowie die Möglichkeit von Konjunkturschwankungen beeinflusst den Gewinn oder Verlust des Unter- nehmens, der sich aus seiner Wettbewerbsstellung ergibt. 4. Mit Liquiditätsrisiko wird das Risiko umschrieben, dass das Unternehmen auf- grund fehlender liquider Mittel seinen Zahlungsverpflichtungen nicht bzw. nicht fristgerecht nachkommen kann. Bei Kapitalgesellschaften ist fehlende Liquidität (Illiquidität) ein Insolvenzantragsgrund. 5. Das Kreditrisiko umfasst das Risiko, dass ein Geschäftspartner seine Verpflich- tungen nicht vertragsgemäß erfüllt. Das bedeutendste Kreditrisiko ist der Forde- rungsausfall. Das KonTraG unterscheidet jedoch nicht zwischen spekulativen und reinen Risiken, sondern umfasst alle Entwicklungen (Risiken) die den Fortbestand des Unternehmens gefährden können. In den nachfolgenden Ausführungen wird von diesem Risikoverständnis – im Sinne einer negativen Abweichung vom erwarteten Ergebnis – ausgegangen. 21 1.2 Risikomanagement in der betrieblichen Praxis In der Vergangenheit hat sich das Risikomanagement überwiegend mit den reinen Risi- ken befasst. Beispielsweise waren und sind bis heute die reinen Risiken Gegenstand des Versicherungsschutzes, gegliedert in versicherbare und nicht versicherbare Risiken. Das moderne, integrative Risikomanagement beschäftigt sich dagegen mit allen Formen der unternehmerischen Risiken. Eine Einengung auf bestandsgefährdende Risiken ist bei Einführung und Umsetzung eines betrieblichen Risikomanagements in der Praxis nicht möglich und sinnvoll, zumal einerseits neben dem Eintritt von Großrisiken auch durch die Kumulation von kleineren Risiken Bestandsgefährdungen auftreten können. Ande- rerseits bestehen bei mittleren und kleineren Risiken teilweise erhebliche Optimie- 21 Vgl. Begründung zu Art.1 Nr. 9 des Regierungsentwurfs zum KonTraG, Stand: 06.11.1997, BR – Drs. 872/97; Hahn, D., Zeitschrift für Organisation 1987, S. 139. 31 rungspotentiale, die für die Steigerung des Unternehmenserfolges genutzt werden kön- nen. Das Risikomanagement muss mithin geeignet sein, Risiken so frühzeitig bzw. rechtzei- tig aufzudecken und an die entsprechenden Entscheidungsträger weiterzuleiten, dass diese noch geeignete Maßnahmen ergreifen können, um die Adressaten über die Risi- ken, welche in Zusammenwirken mit anderen Risiken oder allein für das Unternehmen bestandsgefährdend werden können, in Kenntnis zu setzen. 22 1.3 Anforderungen an ein effizientes Risikomanagementsystem Bislang war es den Unternehmen selbst überlassen, Risikomanagement zu praktizieren, da man davon ausging, dass dies unzweifelhaft im Interesse der Unternehmen liegen müsste und damit keiner rechtlichen Regelung bedarf. 23 Ebenso hat sich gezeigt, dass für die Mehrzahl der börsennotierten deutschen Unternehmen bisher offenbar kein oder wenig Interesse daran bestand, die unternehmensbezogene Erfolge und Risiken durch eine entsprechende Berichterstattung an die Adressaten transparenter zu machen. Durch die Einführung des KonTraG wurde die Entwicklung und Umsetzung des Risikomana- gements als wichtiger Katalysator wesentlich beeinflusst. Es ist die gesetzgeberische Antwort auf die aufgeworfene Forderung nach einer effizienten, verlässlichen Leitungs- und Überwachungsstruktur und ist übergeordneter Ausfluss einer Diskussion im Be- reich der Politik sowie der Fachinstitutionen. Die Effizienz des Risikomanagementsystems liegt darin, die bereits bestehenden und die künftig entstehenden Risiken eines Unternehmens so zu steuern und zu regeln, dass der Wert eines Unternehmens durch Verringerung von Risiken bei weiter bestehenden Ertragschancen gesteigert wird. Es gilt: Je größer das Risiko, desto stärker müssen alle Maßnahmen zur Risikoerkennung und Risikobeeinflussung von den Verantwortlichen ausgeschöpft werden, zumal höhere Risiken den Wert des Unternehmens senken. 22 Vgl. Schneck, O., 2005, S. 884. 23 Vgl. Bitz, H., 2000, S. 1. 32 1.4 Gegenstand und Ziel des Risikomanagementsystems Für den Begriff des Risikomanagementsystems existiert kein allgemein anerkannter Begriffsinhalt. Auch lässt sich ein konkreter Hinweis zur Auslegung des Begriffes aus dem Gesetz nicht entnehmen, so dass von folgendem Begriffsverständnis ausgegangen wird: Die Gesamtheit aller organisatorischen Regelungen (Schaffung der organisatorischen Rahmenbedingungen) und Maßnahmen zur Risikofrüherkennung (Arbeitsschritte von der Generierung risikorelevanter Informationen bis zur Risikoklassifizierung) sowie zum Umgang mit den Risiken unternehmerischer Betätigung (Risikosteuerung) kann als Risikomanagement bezeichnet werden. Dementsprechend sind Gegenstand des Risiko- managementsystems sowohl die Risiken aus der laufenden Geschäftstätigkeit, als auch Risiken, die im Zusammenhang mit Projekten und Prozessen auftreten können. 24 Des Weiteren versteht man darunter den Prozess jeglicher Entscheidungsfindung und -durchführung, dessen Resultat die Minimierung negativer Konsequenzen unerwarteter Schadensereignisse ist, die ein Unternehmen befallen können. Dazu gehört auch implizit ein internes Überwachungssystem, das die Einhaltung der getroffenen Maßnahmen sicherstellt. 25 Zielsetzung des Risikomanagementsystems ist es, zukünftige risikobehaftete Entwick- lungen frühestmöglich zu identifizieren, zu analysieren, zu bewerten und fortlaufend zu überwachen, um die langfristige Anpassung des Unternehmens an sich stetig verän- dernden Umfeldbedingungen und die nachhaltige Existenzsicherung des Unternehmens zu gewährleisten. Dies bedeutet wiederum, dass jedes Unternehmen diejenigen Risiko- felder bestimmen muss, die im Rahmen seiner Geschäftstätigkeit zu einer möglichen Unternehmensgefährdung führen können. 26 Zusammenfassend können die Einzelziele des Risikomanagements somit wie folgt um- schrieben werden:  Existenzsicherung  Sicherung des zukünftigen Erfolgs des Unternehmens 24 Vgl. Bitz, H., 2000, S.1; Baetge, J./Jerschensky, A., 1999, S. 171. 25 Vgl. IDW PS 340, Wpg 1999, S. 658, Tz. 4; Hornung, K./Reichmann, Th./Diederichs M., Control- ling 1999, S. 319 26 Vgl. Budde, H./Clemm, M./Ellrott, H./Förschle, G./Hoyos, M. (1999), S.1748. 33  Senkung bzw. Optimierung der Risikokosten  Marktwertsteigerung des Unternehmens Die Installation und Durchführung des Risikomanagements im Unternehmen wird als Risikomanagementprozess bezeichnet, welcher aus dem strategischen und dem operati- ven Risikomanagement besteht. Im strategischen Risikomanagement werden von der Unternehmensleitung die risikopolitischen Grundsatzentscheidungen getroffen und die Grundzüge der Risikoorganisation festgelegt. Das operative Risikomanagement befasst sich mit der Durchführung des Risikomanagements und besteht aus den Elementen Risikoidentifizierung, -bewertung, -bewältigung und -kontrolle und muss im Sinne ei- nes kontinuierlichen Verbesserungsprozesses als Regelkreislauf implementiert werden. Demnach betrifft das strategische Risikomanagement eher die generellen Rahmenbe- dingungen der unternehmerischen Aktivitäten, während das operative Risikomanage- ment vornehmlich auf die Tätigkeiten innerhalb des Unternehmens ausgerichtet ist. Doch bevor eine prinzipielle Beschreibung zum strategischen und operativen Risikoma- nagementsystems erfolgen kann, sind zu den drei Begrifflichkeiten Frühwarnung, Früh- erkennung und Frühaufklärung, welche in der betriebswirtschaftlichen Diskussion oft- mals synonym verwendet werden, definitorische Abgrenzungen mit einer typologischen Einordnung vorzunehmen (vgl. Abbildung 3). 1.5 Frühwarnung, Früherkennung, Frühaufklärung Überwachungsmaßnahmen sind dahingehend einzurichten, dass (gefährdende) Entwick- lungen frühzeitig, und damit zu einem Zeitpunkt erkannt werden, in dem noch geeignete Maßnahmen von Frühwarn- zu Frühaufklärungssystemen zur Sicherung des Unterneh- mensfortbestandes ergriffen werden können. Da die Begriffe Frühwarnung, Früherken- nung und Frühaufklärung in der Praxis oftmals synonym verwendet werden, ist es er- forderlich ein eindeutige Begriffsverständnis zu bestimmen, das anschließend näher konkretisiert wird. Eine Typologie verschiedener Ansätze zeigt die nachfolgende Abbil- dung 3. 34 Abb. 3: Zusammenhänge zwischen Frühwarnung, Früherkennung und Frühaufklärung Quelle: Krystek, U./Müller-Stewens, G., 1993, S.21 Aufgrund ihrer Entwicklungsphasen – von der Frühwarnung zur Frühaufklärung – kön- nen die Systeme in unterschiedliche Generationen eingeteilt und nach mehreren Gesichtspunkten klassifiziert und beschrieben werden. Die Einteilung impliziert jedoch nicht, dass diese zurückliegenden Systemansätze überholt wären. Sie liefern vielmehr die informationelle Basis externe Entwicklungen aufzugreifen, um präventive Maßnah- men rechtzeitig einleiten zu können. Frühwarnsysteme Frühwarnsysteme sind als eine spezielle Art von Informationssystemen zu bezeichnen, die ihren Benutzern mögliche Gefährdungen bzw. Risiken mit zeitlichem Vorlauf signa- lisieren und diese damit in die Lage versetzen sollen noch rechtzeitig geeignete Gegen- maßnahmen zur Abwehr oder Minderung der signalisierten Gefährdung ergreifen zu können. 27 Risikofrühwarnsystem i.e.S.lt. § 91 Abs.2 AktG – nach KonTraG – soll die 27 Vgl. Krystek, U., 1996, S. 266 f.; Krystek, U./Müller, M., 1997, S. 665 ff. Frühaufklärung = frühzeitige Ortung sowie Sicherstellung von Gegen- maßnahmen Früherkennung = frühzeitige Ortung von Bedrohungen und Chancen Frühwarnung = frühzeitige Ortung von Bedrohungen 1. Stufe 2. Stufe 3. Stufe zeitliche Entwicklung 35 bestandsgefährdenden bzw. wesentlichen Risiken für ein Unternehmen so rechtzeitig erkennbar machen, dass Reaktionen des Unternehmens zur Abwehr verborgener Risiken (drohende Überschuldung und Illiquidität) noch möglich sind. 28 Früherkennungssysteme Neben der rechtzeitigen Ortung von Bedrohungen ist für eine erfolgreiche Unterneh- mensführung auch ein Erkennen von Chancen von herausragender Bedeutung. Da der Ansatz und die Instrumente der Frühwarnung ebenso geeignet sind auch Chancen früh- zeitig zu signalisieren, wurden die ursprünglichen Frühwarnsysteme zu Früherken- nungssystemen weiterentwickelt. Mit der gesetzlichen Verpflichtung zur Früherkennung von Entwicklungen, die den Fortbestand der Gesellschaft gefährden können, sind insbesondere risikobehaftete Geschäfte, Unrichtigkeiten der Rechnungslegung und Verstöße gegen gesetzliche Vor- schriften zu erachten, die sich auf die Vermögens -, Finanz- und Ertragslage der Gesell- schaft oder des Konzerns wesentlich auswirken. 29 Zur Risikofrüherkennung ist die Ein- richtung eines Systems notwendig, das kontinuierlich und umfassend die Risikolage überprüft, frühzeitig Risiken als solche erkennt, sowie regelmäßig, oder im Falle der Überschreitung von vorgegebenen Schwellenwerten sofort die Berichterstattung über die Lage an die Geschäftsleitung auslöst. Ebenso ist sicherzustellen, dass für sich be- trachtet unwesentliche Risiken in einzelnen Geschäftsbereichen erfasst werden, die sich im Zusammenwirken mit anderen Risiken zu wesentlichen und auch bestandsgefähr- denden Risiken kumulieren können. Frühaufklärungssysteme Eine besondere Bedeutung kommt der Sicherstellung von Abwehr- sowie Reaktions- strategien zu. Systeme, die über die Früherkennung hinaus auch die informationelle Sicherung der Planung und die Realisation von Reaktionsstrategien oder Gegenmaß- nahmen ermöglichen, werden als Frühaufklärungssysteme bezeichnet. 28 Vgl. Bitz, H., BFuP 3/2000, S. 237 29 Vgl. Begründung zu Art. 1 Nr. 9 des Regierungsentwurfes vom 6.11. 1997 BR – Drs. 872/97; Ernst, C./Seibert, U./Stuckert, F., 1998, S. 53. 36 1.5.1 Frühaufklärungssysteme nach ihrer Entwicklungsstufe 1.5.1.1 Kennzahlen- und Planungsorientierte Frühaufklärungs- systeme (1. Generation) Die ersten Ansätze eines operativen Risikomanagements basieren auf Kennzah- len/Kennzahlensysteme sowie Planungshochrechnungen. Dabei handelt es sich in erster Linie um Berichts- bzw. Kontrollsysteme, die bei Unter- oder Überschreiten definierter Schwellenwerte von betrieblichen Kennzahlen Warnmeldungen auslösen und weiterlei- ten. In der Betriebswirtschaftslehre sind Kennzahlensysteme seit langer Zeit bekannt und werden auch noch heute in der Praxis oft angewandt. Ausgangspunkt einer eher kurzfristigen Betrachtungsweise bildet das Datenmaterial des betrieblichen Rechnungs- wesens. Ein probates Mittel für kurz- bis mittelfristige Frühaufklärung bieten Planungshoch- rechnungen, die ebenfalls einen hohen Verbreitungsgrad aufweisen. Grundsätzlich wird hier der Soll-Ist-Vergleich durch einen Soll-Wird-Vergleich ergänzt. Dabei bieten Trendextrapolationen (z.B. durch exponentielle Glättung) der Ist-Zahlen frühzeitig Er- kenntnisse über sich abzeichnende Abweichungen („Wird“-Zahlen) die erst zu einem späteren Zeitpunkt in Soll-Ist-Vergleichen deutlich würden. 30 Bei diesen Frühaufklä- rungsansätzen besteht jedoch die Problematik, dass keine genauen Aussagen über den Zeitraum, für den Planungshochrechnungen Frühaufklärungseigenschaften besitzen, getroffen werden können. 1.5.1.2 Indikatorenorientierte Frühaufklärungssysteme (2. Generation) Das Bedürfnis nach Frühaufklärungsinformationen, die über diesen begrenzten Zeit- raum hinaus latente Chancen und Bedrohungen signalisieren, führte zur zweiten Gene- ration von Frühaufklärungssystemen, der sogenannten „Indikatorenorientierten Früh- aufklärung“. 30 Vgl. Krystek, U./Müller, M., Controlling 1999, S. 178; Oehler, O., 1980, S. 157. 37 Im Unterschied zur ersten Generation werden bei dieser Art von Frühaufklärungssyste- men nicht nur unternehmensinterne Abweichungen (wie bei den oben beschriebenen Kennzahlen und Planungsrechnungen der ersten Generation), die sich im Zahlenwerk manifestieren, angezeigt, sondern Frühaufklärungsindikatoren, welche als kombiniert quantitativ/qualitativ orientierte Kennzeichen für bereits latent vorhandene Chancen bzw. Bedrohungen auch außerhalb des Unternehmens beschrieben werden können, kommen zum Einsatz. Indikatoren sind somit Signale für verborgene, nicht direkt fass- bare Erscheinungen und Entwicklungen. Dabei gelten folgende Auswahlkriterien: 31 – Eindeutigkeit d.h. weitgehender Ausschluss einer Fehlinterpretation. – Vollständigkeit d.h. die Indikatoren müssen den Beobachtungsbereich vollständig abdecken. – Frühzeitigkeit d.h. der Indikator muss die Chance/Bedrohung so früh wie möglich erkennen, dass für Planung und Realisierung von (Gegen-)Maßnahmen noch ausreichend Zeit verbleibt. – Rechtzeitige Verfügbarkeit d.h. Datenzugriffsmöglichkeit. – Wirtschaftliche Effizienz d.h. Beschaffungsaufwand eines Indikators und der daraus zu ziehende Informati- onsnutzen müssen in einem angemessenen Verhältnis stehen. Dabei besteht die Problematik in der Festlegung der Indikatoren innerhalb bestimmter Beobachtungsbereiche, denn sie müssen in regelmäßigen Abständen auf ihre Aktualität überprüft werden. Darüber hinaus kann auch nicht verhindert werden, dass sich in ande- ren – bislang nicht relevant beobachteten Bereichen – Chancen/Bedrohungen entwi- ckeln. Deshalb sollten indikatorenorientierte Frühaufklärungssysteme ebenso wie Kenn- zahlen/Kennzahlensysteme und Planungshochrechnungen nur eine Komponente eines umfassenden Frühaufklärungssystems, unter Einschluss einer strategischen Frühaufklä- rung sein. 31 Vgl. Krystek, U./Müller, M., Controlling 1999, S. 179; Klausmann, W., Zeitschrift für Führung und Organisation 1983, S. 39-45 38 1.5.1.3 Strategisches Radar (3. Generation) Die Frühaufklärungssysteme der ersten und zweiten Generation befassten sich primär mit finanziellen Zielgrößen. Bei den Aufklärungssystemen der dritten Generation wird eine langfristige, strategische Orientierung zugrunde gelegt. Sie sind ausgerichtet auf den Empfang „Schwacher Signale“ und werden auch als „Strategisches Radar“ des Un- ternehmens bezeichnet. 32 Im deutschsprachigen Raum begann die Beschäftigung mit solcher strategischer Frühaufklärung etwa zeitgleich mit dem Ausbau der indikatorenorientierten Frühaufklärungsansätze. Das Konzept der „Schwachen Signale“ 33 basiert auf der Annahme, dass kein von Men- schen unvorhergesehenes Ereignis eintritt. Ausgangspunkt dieser Annahme ist die Über- legung, dass sich Diskontinuitäten in ökonomischen, technologischen, politischen und sozialen Bereichen lange vor ihrem Eintreten durch unscharf definierte, strukturierte Informationen (z.B. Veränderungen der Rechtsprechung, Meinungen und Stellungnah- men von Verbänden, Organisationen, sowie die Verbreitung von neuartigen Auffassun- gen und Ideen) andeuten. Zur Verbreitung ihrer Meinungen, Ideen und Nachrichten bedienen sich die Sender „Schwacher Signale“ bevorzugt öffentlich zugänglicher Medi- eneinrichtungen, d.h. die Suche nach Frühaufklärungsinformationen geschieht überall und zu jeder Zeit. Die Ortung „Schwacher Signale“ erfolgt durch Scanning im Sinne eines Abtastens und Rasterns des Umfelds des Unternehmens und Monotoring, d.h. durch die vertiefte, dauerhafte Beobachtung eines durch das Scanning erfassten Signals, wobei das Hauptziel ist, zusätzliche Informationen über das noch unscharfe Signal zu erlangen. Die erfassten Signale werden auf ihre Relevanz beurteilt. Im Anschluss wer- den, aufgrund der zuvor durchgeführten Ursachen-Wirkungsanalysen, Reaktionsstrate- gien abgeleitet. In einer Gesamtbetrachtung der drei Generationen kann festgestellt werden, dass die Frühzeitigkeit, mit der latente Chancen und Bedrohungen signalisiert werden, im Zeit- ablauf stetig verbessert wurden. Unter Ausnutzung heute aller verfügbaren Informatio- nen sollten diese Systeme die Eigenschaft haben möglichst früh, präzise und nachvoll- ziehbar, die Zukunft für das Unternehmen vorherzusagen und darüber hinaus die Mitar- 32 Vgl. Horvàth, P., 1994, S. 400. 33 Vgl. Ansoff, H.J., ZfbF 1976, S. 129 ff. 39 beiter für den kritischen Umgang mit wahrgenommenen Veränderungen im Unterneh- men und seinem Umfeld zu sensibilisieren. Die Aufgabe eines Frühwarnsystems besteht darin, bereits heute Störungen zu erkennen, daraus Schlussfolgerungen für die künftige Entwicklung der Ziele abzuleiten und so die Grundlage für einen zielorientierten Einsatz der betrieblichen Steuerungsinstrumente zu bilden. Probleme ergeben sich durch die unzureichende Anerkennung in der Praxis, zumal Schwierigkeiten in der Erkennung vage anbahnender zu lösender Aufgaben auf- treten können. 1.5.2 Klassifizierung der Frühaufklärungssysteme nach ihrer Signalherkunft Externe Frühaufklärungssysteme verarbeiten vor allem unternehmensexterne, öffentlich zugängliche Informationen, wie z.B. aus veröffentlichten Jahresabschlüssen und liefern Warnsignale, die aus diesen öffentlichen Berichten erkennbar sind. Dagegen verarbeiten interne Systeme Informationen aus dem eigenen Unternehmen und warnen vor Gefah- ren, die innerhalb eines Unternehmens erkennbar sind. 34 1.5.3 Beschreibung der Frühaufklärungssysteme nach dem Bezugsbereich Die Gliederung der Frühaufklärungssysteme erfolgt nicht nur nach der Signalherkunft, sondern auch nach dem Bezugsbereich. Die Gesamt – Frühaufklärungssysteme betref- fen das Unternehmen im Ganzen und knüpfen auch an unternehmensweite Kennzahlen an, wobei dagegen bereichsbezogene Frühaufklärungssysteme einzelne betriebliche Funktionsbereiche betreffen. 34 Vgl. Hahn, D., ZfB 1979, S. 28-33. 40 1.5.4 Unterteilung der Frühaufklärungssysteme nach der Beobachtungsperspektive Die Frühaufklärungssysteme werden zusätzlich nach der Art der Beobachtungsperspek- tive mit externer und interner Ausprägung klassifiziert. Zum einen versorgen Frühauf- klärungssysteme mit externer Beobachtungsperspektive unternehmensexterne Beobach- ter mit Informationen. Bei interner Ausprägung werden die Mitarbeiter des Unterneh- mens mit Informationen versorgt. 35 1.5.5 Differenzierung der Frühaufklärungssysteme nach ihrer Zielsetzung Nach der Zielsetzung können strategische und operative Frühaufklärungssysteme unter- schieden werden. Wegen der engen Verzahnung von Frühaufklärungssystemen mit der Unternehmensplanung, zu deren informationeller Basis neben Analysen desgleichen Prognosen zählen, aber auch wegen ihrer konzeptionellen Unterschiede sowie wegen ihrer diametralen zeitlichen Reichweite erscheint ebenso eine generelle Abgrenzung in strategischer und operativer Ausrichtung sinnvoll. Infolgedessen führt diese Abgren- zung zu der nachfolgend rudimentären Entscheidung von strategischem und operativen Risikomanagementsystem. Da vom Gesetzgeber nach dem Wortlaut des KonTraG die Forderung nach einem Frühwarnsystem vorgegeben ist, wird im weiteren Verlauf der Dissertation die Termi- nologie „Frühwarnsystem“ einheitlich verwendet. 35 Vgl. Haag, T., Zeitschrift für Planung 1993, S. 262. 41 2 Darstellung des strategischen und operativen Risikomanagementsystems 2.1 Strategisches Risikomanagementsystem Das strategische Risikomanagement ist eine nicht delegierbare Aufgabe der Unterneh- mensleitung. Risiken einzugehen gehört zur unternehmerischen Kerntätigkeit, wobei unterschiedliche Einstellungen zum Risiko anzutreffen sind. Folgende Kategorien kön- nen dabei unterschieden werden: 36  Risikobereit (Risikofreudig) Das Unternehmen ist bereit bei geringen Risikokosten ein breites Spektrum der Schadenverteilung hinzunehmen. Die notwendigen Maßnahmen zur Risikobewäl- tigung, Risikokontrolle und Risikofinanzierung werden ergriffen. Die Gefahr, dass bei Risikoeintritt hohe Aufwendungen entstehen, ist hoch.  Risikoscheu Das Unternehmen akzeptiert nur ein enges Spektrum der Schadenverteilung, d.h. negative Zielabweichungen. Dazu werden hohe Aufwendungen zur Risikobewäl- tigung, Risikokontrolle und Risikofinanzierung bei hohen Risikokosten getragen. Allerdings ist die Gefahr, dass bei Risikoeintritt hohe Aufwendungen entstehen, gering. – Risikoneutral Das Unternehmen strebt eine Optimierung der Risikokosten durch den ausgewo- genen Einsatz der Risikomanagementmaßnahmen an, die unter Kosten-Nutzen- Aspekten entschieden werden. Zum strategischen Risikomanagement gehört auch die Festlegung von Sicherheitszielen (z.B. Einhaltung gesetzlicher, behördlicher und vertraglicher Vorschriften, Vermeidung strafrechtlicher Folgen, Image des Unternehmens, Einhaltung von Qualitätsstandards, Schutz vor Haftungsansprüchen, EDV-Sicherheit, Kundenanforderungen), die unter Berücksichtigung von Risikobewusstsein und Risikotragfähigkeit für den Unterneh- menserfolg von Bedeutung sind. 36 Vgl. Ziegenbein, K., 2009, S. 59-61 42 Die Gewichtung kann von der Unternehmensleitung nach folgender Grobdarstellung, zeitsparend und mit geringem Komplexitätsgrad durch Bildung von vier Risikokatego- rien einfach festgelegt werden und als Entscheidungshilfe dienen, wobei in die Risikoer- fassung nach KonTraG die Risiken der Kategorie 1 und 2 Eingang finden. Jedoch ist an dieser Vorgehensweise zum einen zu monieren, dass aufgrund der vorgenommenen Unterteilung keine einwandfreien Abgrenzungskriterien für die einzelnen Klassen exis- tieren, zum anderen wird eine Systematisierung von potenziellen Risiken und deren Entwicklung sowie der Wahrscheinlichkeitsaspekt nicht explizit berücksichtigt. Risikokategorie Definition 1 = Großrisiko Stellt die Existenz des Unternehmens in Frage 2 = Mittleres Risiko Zwingt zur Änderung von Zielen und Erwartungen 3 = Kleinrisiko Zwingt zur Änderung von Mitteln und Wegen 4 = Bagatellrisiko Ohne Auswirkungen Abb. 4: Bildung von Risikokategorien Quelle: Eigene Darstellung, in Anlehnung an Romeike, F./Finke, R., 2003, S. 184 Die betriebliche Organisation des strategischen Risikomanagements richtet sich nach dem jeweiligen Unternehmen. In vielen Unternehmen existieren Stellen bzw. Arbeitsbe- reiche, die mit Teilaspekten des betrieblichen Risikomanagements befasst sind, wie z.B. Datenschutzbeauftragte, Werkschutz, Sicherheits- und Brandschutzbeauftragte, wobei Großunternehmen über sogenannte Risikokommitees in Form von Fach- bzw. Stabsstel- len verfügen. 43 2.2 Das Operative Risikomanagementsystem Die Bedeutung des Risikomanagements einer wertorientierten Unternehmensführung wird nicht nur im beschriebenen strategischen Sinne deutlich, sondern zeichnet sich auch für die operative Unternehmensführung ab. Beim operativen Risikomanagement gilt es, die gesetzlichen Anforderungen mit strategischen Zielsetzungen zu systematisie- ren. Dabei ist das Risikoprofil vollständig zu erfassen und den erkannten Risiken mit geeigneten Maßnahmen zu begegnen. Um kein existenzbedrohendes Großrisiko oder auch nur erfolgsbeeinträchtigendes mittleres Risiko außer Acht zu lassen, werden stra- tegisches und operatives Risikomanagement in einem sich kontinuierlich wiederholen- den Prozess vollzogen, jedoch unter Verwendung unterschiedlicher Instrumentarien und durch verschiedene Gremien bzw. Personen wahrgenommen. Insgesamt kann aus der ursachenbereichsorientierten Parzellierung von strategischem und operativem Risikomanagement gefolgert werden, dass das strategische Risikoma- nagement das Fundament des gesamten Risikomanagementprozesses bildet. Das strate- gische Risikomanagement beinhaltet in erster Linie die Konzipierung von Risikomana- gementzielen in Form risikopolitischer Grundsätze sowie die Definition eines Risiko- managements. Demgegenüber impliziert das operative Risikomanagement den Prozess der systematischen und laufenden Risikoanalyse der Geschäftsabläufe. Für einen effizi- enten Risikomanagementprozess ist es von Signifikanz, dass Risikomanagement als kontinuierlicher Prozess – im Sinne eines Regelkreises – in die Unternehmensprozesse integriert wird. Bevor das Risikomanagement als kontinuierlicher Prozess eingeführt und fortwirken kann, sind zu Beginn die organisatorischen Rahmenbedingungen zu de- finieren, damit im Anschluss der Risikomanagementprozess mit seinen Einzelphasen charakterisiert werden kann. 37 37 Vgl. Romeike, F., 2003, S. 147-152. 44 3 Organisatorische Rahmenbedingungen des Risikomanagementsystems Die Etablierung von organisatorischen Rahmenbedingungen ist für ein effektives Risi- komanagement unerlässlich. Die Rollen und Verantwortlichkeiten aller am Prozess be- teiligten Personen müssen genau festgelegt sein, damit die Zuständigkeiten klar verteilt sind und keine Überschneidungen auftreten. Die Organisation ist dabei im Einzelfall von Faktoren wie der Unternehmensgröße, -struktur oder -komplexität abhängig. Es lassen sich aber Mindestinhalte festlegen, die von jedem Risikomanagementsystem er- füllt werden müssen. Hierfür sind die Kommunikationsbereitschaft der Belegschaft bzw. der Hierarchien, die Kompetenz- und Aufgabenverteilung, sowie Risikosensibili- sierung der Mitarbeiter, zwingende Voraussetzung. 3.1 Einrichtung einer Kommunikationsstruktur Von zentraler Bedeutung für die Funktionsfähigkeit des Risikomanagementsystems ist die Berichterstattung über die nicht bewältigten Risiken. Dies setzt neben der Kommu- nikationsbereitschaft bzw. Risikosensibilisierung eine in sich abgestimmte Kommunika- tionsstruktur voraus. Für die jeweiligen Entscheidungsträger besteht die Verpflichtung in ihren Bereichen für ein angemessenes, in das Gesamtsystem eingebundenes Risiko- management zu sorgen. Durch die Einbeziehung der Mitarbeiter in den Prozess des Ri- sikomanagements kann sichergestellt werden, dass alle relevanten Risiken, denen das Unternehmen ausgesetzt ist und aus denen entsprechende Gefahren erwachsen können, tatsächlich auch vom System erfasst und an höhere Instanzen in der Unternehmenshie- rarchie berichtet werden. Risikomanagement betrifft damit grundsätzlich jeden Mitar- beiter. 38 Bei der Einrichtung einer solchen Kommunikationsstruktur sind insbesondere folgende Aspekte von Bedeutung: 39 – Festlegung der Kommunikationswege, 38 Vgl. Weidemann, M./Wieben, H.-J., DB 2001, S. 1791. 39 Vgl. Hahn, K./Weber, St./Friedrich, J., BB 2000, S. 2622. 45 – Berücksichtigung von Interdependenzen zwischen Einzelrisiken, – Festlegung von Regelberichtszeiträumen und Zeitpunkten einer systematischen und standardisierten Berichterstattung (risk-reporting) sowie einer Ad-hoc- Berichterstattung, – Dokumentation der Risikoberichterstattung Auf bestimmte Mitarbeiter ist die Verantwortung in den jeweiligen Unternehmensfunk- tionsbereichen zu übertragen, dass die dort auftretenden Risiken im Rahmen des Risiko- früherkennungssystems rechtzeitig erfasst und entweder sofort bewältigt oder im Falle der Nichtbewältigung an die festgelegten Berichtsempfänger weitergeleitet werden. Es muss die Bereitschaft der Mitarbeiter bestehen, Risiken bewusst wahrzunehmen und entsprechend zu kommunizieren sowie risikobewusst zu handeln. Zu den Bestandteilen, die eine dahingehende Risiko- und Kontrollkultur vereinbaren, zählen u.a. die Integrität der Mitarbeiter, die Unternehmensphilosophie, sowie der praktizierte Führungsstil, wovon die Effektivität eines systematisierten Risikomanagementsystems wesentlich abhängt. 3.2 Kompetenz- und Aufgabenverteilung Bei der Kompetenz – und Aufgabenverteilung sind folgende Gesichtspunkte zu berück- sichtigen: 40 – Abstufung der Verantwortlichkeiten in Hierarchieebenen, – Sicherstellung der Rückkopplung zwischen den einzelnen Unternehmensfunkti- onsbereichen über die berichteten Risiken, – Zuweisung von Verantwortlichkeiten bei den Berichtsempfängern, – Dokumentation der Kompetenz- und Aufgabenverteilung Je nach Branche, Struktur bzw. der Unternehmensgröße werden die Risikomanagement- Aktivitäten durch eine bestimmte Fachabteilung oder Stelle, der die fachspezifischen Aufgaben für das Risikomanagement zu übertragen sind, koordiniert. Nach Möglichkeit sollte es sich dabei um eine eigenständige und unabhängige Abteilung „Risikomanage- ment“ handeln, die direkt der Unternehmensleitung unterstellt ist. Durch weitere, eben- 40 Vgl. IDW PS 340, Wpg. 1999, S. 659. 46 falls über Know-how verfügende Stabs- und Fachabteilungen im Unternehmen, wie z.B. Interne Revision, Rechts- und Steuerabteilung, Controlling, mit denen gemeinsam die Grundsätze, Konzepte, Methoden und Standards des Risikomanagements erarbeitet werden, kann diese Abteilung Unterstützung erfahren. 41 Diese Abteilung, insbesondere bei kleinen und mittelständischen Unternehmen in der Regel ein einzelner Beauftragter („Risiko-Beauftragter“ bzw. „Risiko-Manager“), hat in Zusammenarbeit mit qualifizier- ten Mitarbeitern die Koordination im gesamten Unternehmen durchzuführen und einen einheitlichen Standard der angewandten Methoden und Instrumente zu gewährleisten. In der Praxis wird diese Funktion oft aus Kostengründen in Personalunion durch die Geschäftsleitung ausgeübt, womit zumindest dem Prinzip der Funktionstrennung nicht Rechnung getragen wird. In solchen Fällen sollte auf übergreifender Ebene die Einbe- ziehung eines Wirtschaftsprüfers in Betracht gezogen werden. Dieses Gremium gewähr- leistet zum einen eine Risikoaggregation auf höchster Unternehmensebene, die der Ge- fahr einer Bestandsgefährdung entgegenwirkt, andererseits wird zumindest ein Erfah- rungsaustausch ermöglicht Schwachstellen im System zu erkennen. Für die Entscheidungsfindung werden nützliche Informationen geliefert, und zwar die Informationen, die geeignet sind, Vorhersagen über die Auswirkungen vergangener, gegenwärtiger und künftiger Ereignisse zu treffen, sowie frühere Erwartungen zu bestä- tigen oder zu korrigieren, wobei für die Adressaten der Zeitpunkt des Informationszu- gangs entscheidend ist. Als weitere Vertreter könnten Aufsichtsräte in Betracht kommen, die zur Wahrnehmung ihrer Aufgaben eine prozessunabhängige Position aufweisen. Um die wirtschaftliche Lage des Unternehmens beurteilen zu können, müsste der Aufsichtsrat strategische Kontrollen durchführen, um rechtzeitig Veränderungen der Situation ermitteln zu kön- nen. Der Aufsichtsrat ist nicht nur berechtigt eine solche strategische Kontrolle auszu- führen, sondern er besitzt auch eine besondere Eignung zur strategischen Überwachung, sofern bei seiner Zusammensetzung auf den Erfahrungshorizont und die Vorbildung seiner Mitglieder Wert gelegt wird. Die Behandlung kontroverser Themen könnte in kleineren Gruppen, z.B. durch Verla- gerung in den Personal -, Finanz -, Prüfungs- oder Bilanzausschuss ermöglicht werden. 41 Vgl. Wittmann, E., 1999, S. 160-162. 47 Hierdurch könnten durch Spezialisten wesentliche Vorarbeiten für die Meinungs- und Entscheidungsfindung des Aufsichtsrates geleistet werden. 3.3 Risikosensibilisierung der Mitarbeiter Risikomanagement kann nur dann qualitativ hochwertig sein, indem die Unternehmens- leitung eine nachhaltige Geltung beimisst, die jeder Mitarbeiter erkennen kann. Das Risikobewusstsein muss durch die Unternehmensleitung auf allen Hierarchieebenen gefördert werden, indem die Mitarbeiter auf allen Ebenen für einen aktiven Umgang mit Risiken im Rahmen der Vorgaben sensibilisiert und eine Risikokultur etabliert wird. So können beispielsweise in Form einer Leitlinie die risikopolitischen Grundsätze des Unternehmens festgeschrieben werden. Die Mitarbeiter sind darin zu einem risiko-, aber auch chancenbewussten Verhalten anzuleiten, das die übergeordnete Risikoneigung oder Risikoaversion der Geschäftsleitung widerspiegelt. Letztlich dienen die Richtlinien als Verhaltensregeln, die den Mitarbeitern zeigen, inwieweit das Eingehen von Risiken unternehmenspolitisch erwünscht oder nicht erwünscht ist. Damit wird die Einheitlich- keit im Umgang mit Risiken gefördert. 42 Die risikopolitischen Grundsätze können folgenden Inhalt aufzeigen: a. Die Erzielung eines wirtschaftlichen Erfolges ist notwendigerweise mit Risiken verbunden. b. Keine Handlung oder Entscheidung darf ein existenzgefährdendes Risiko nach sich ziehen. c. Ertragsrisiken müssen durch die entstehende Rendite angemessen prämiert wer- den. d. Risiken sind mit dem Instrumentarium des Risikomanagements zu steuern. e. Nicht vermeidbare Risiken sind wirtschaftlich sinnvoll zu versichern. Als Instrumente des Risikomanagements, die aus der Führungsaufgabe entstammen, sind praxisorientiert zu nennen: 42 Vgl. Hornung, K./Reichmann, Th./Diederichs, M., Controlling 1999, S. 319. 48 a. Risikomanagement-Handbuch Das nicht gesetzlich explizit vorgeschriebene Handbuch beschreibt Aufbau, Ab- lauf und Instrumentarium des Risikomanagements auf oberster Leitungsebene. Als fortlaufende, aktualisierte und überprüfte Unternehmensrichtlinie sind hierin Konzeption und Regularien für den Umgang mit Risiken festgeschrieben. Sie be- sitzen Vorschriftscharakter bzw. Verhaltensregeln und sind damit für ihren An- wendungsbereich verbindlich, wobei eine personenunabhängige Vereinheitli- chung gewährleistet wird. 43 b. Risikocheckliste Sie bildet die formalisierte Grundlage zur Berichterstattung von Einzelrisiken an die Führungsspitze. Anhand eines entlang der Unternehmenswertkette aufgebau- ten Risikoschemas werden die von einer Entscheidung eventuell betroffenen Un- ternehmensbereiche revidiert, wobei zusätzlich Anhaltspunkte zur Quantifikation des Risikos durch den Aufbau der Checkliste in Form eines Fragebogens systema- tisch zusammengestellt werden. c. Geschäftsordnung Im Rahmen der Geschäftsordnung sind Sitzungszyklen festzulegen und mit einer Tagesordnung zu versehen, die gewährleistet, dass während einer Sitzung ein möglichst detaillierter Überblick über die Risikosituation gegeben wird. Im An- schluss sind die Empfehlungen, Entscheidungen bzw. beschlossenen Maßnahmen zu protokollieren. Die Ergebnisse sind auf oberster Leistungsebene zusammenzu- führen respektive auszuwerten und ergeben damit einen zentralen Überblick über die Risikosituation des Geschäftsbereiches bzw. des gesamten Unternehmens. d. Genehmigungsverfahren Verschiedene Personen und Instanzen mit unterschiedlicher Informations- und In- teressenlage werden in den Prozess der Entscheidungsfindung integriert. Auf- grund der Kompetenzvielfalt wird eine umfassende Risikoerkennung bzw. Risi- kobewertung mit Einleitung von Steuerungsmaßnahmen zeitgerecht ermöglicht. e. Limit – oder Schwellenwertsysteme Ähnlich den Genehmigungsverfahren wirken diese Systeme risikovermeidend. Bei diesem Verfahren werden Schwellenwerte, deren Erreichen die Einschaltung 43 Vgl. Hornung, K./Reichmann, Th./Diederichs, M., Controlling 1999, S. 324. 49 zusätzlicher Kontrollsysteme bewirkt, definiert. Als Auftragsvolumina, Liquidi- täts- oder Kostenunterdeckungen, aber auch als spezielle vertragliche Formulie- rungen können sie in Erscheinung treten. f. Spezifische Sicherungssysteme Diese sind der jeweiligen Problemstellung individuell auszuwählen bzw. zu ge- stalten und sind daher kaum umfassend zu beschreiben. Beispielhaft seien an die- ser Stelle Alarmanlagen, Bewachungen, Datenauslagerung und Viren-Scanner zur Vermeidung von Informationstechnologierisiken erwähnt. Sofern Risiken teilwei- se oder vollständig versicherbar sind, dienen Versicherungen der Abdeckung ein- tretender Konsequenzen bzw. der finanziellen Regulierung der entstehenden Schäden. Die Konsequenzen möglicher Schadenfälle werden auf die Versiche- rungsgeber überwälzt. Die vorangestellten Ausführungen zu den organisatorischen Rahmenbedingungen geben die Maßstäbe, Einstellungen und Verhaltensweisen vor, an denen sich ein wirkungsvol- les Risikomanagement zu orientieren hat. Letztlich dienen diese Prinzipien als Grundla- ge für die Ausgestaltung einer unternehmensadäquaten Risiko- und Kontrollkultur und tragen des Weiteren dazu bei, das Risikobewusstsein in die gesamte Unternehmensor- ganisation zu verankern. Dabei ist es zwingend erforderlich, dass die Rahmenbedingun- gen nachhaltig Beachtung finden, um die Kontinuität des Risikomanagements zu ge- währleisten. Die Vorgaben sind damit ein übergeordnetes Rahmenwerk, auf dem die Risikomanagementstrategie aufbaut. Um diese Ziele erreichen zu können, ist das Risi- komanagement mit dem bereits weiter oben formulierten Begriffsverständnis in institutionaler und funktionaler Hinsicht in die bestehende Unternehmensstrategie ein- zubinden. Mit dieser Plattform öffnet sich der Weg einer systematischen und kontinuier- lichen Auseinandersetzung mit den unternehmerischen Risikopotenzialen, deren Umset- zung im nachfolgend zu analysierenden Risikomanagementprozess erfolgt. 50 4 Der Risikomanagementprozess Ausgangspunkt des Risikomanagementprozesses ist die Formulierung einer Risikoma- nagementstrategie, in welcher Risikopolitik, Prozesse und Verantwortlichkeiten der Risikobewältigung und -dokumentation festgelegt werden. Dabei orientiert sich die Ri- sikostrategie an den von der Unternehmensleitung vorgegebenen Unternehmenszielen mit der Intention, gefährdende Entwicklungen und Beeinträchtigungen frühzeitig zu erkennen sowie Maßnahmen zu ergreifen, die langfristig der Sicherung des Unterneh- mensfortbestandes dienen. Daraus abgeleitet entwickelt sich der Risikomanagementpro- zess, dessen Kern in der Handhabung der Risiken besteht. Der Risikomanagementprozess ist die verrichtungsorientierte Komponente eines funkti- onalen Ordnungsrahmens bei dem es sich nicht um einen einmaligen und stichtagsbezogenen Vorgang handelt, sondern vielmehr um einen kontinuierlichen und dynamischen Prozess, der sich mit dem Einsatz unterstützender Instrumente permanent und flexibel an die sich ändernden Gegebenheiten anpassen muss. 44 Dadurch vollzieht sich dieser Prozess ablauftechnisch in Form eines geschlossenen Regelkreislaufes mit dem Ziel, eine Optimierung der Gesamtrisikoposition zu erlangen. 45 Um zu gewährleis- ten, dass sämtliche Aktivitäten im Umgang mit Risiken kalkulierbar und kontrollierbar bleiben, wird der Prozess nach seiner Implementierung in das Risikomanagement ab- lauftechnisch in Einzelphasen aufgeteilt. Den weiteren Betrachtungen werden die fol- genden Phasen zugrunde gelegt, wobei Wiederholungen einzelner oder mehrerer Schrit- te erforderlich sein können, sofern prozessbegleitende Kontrollen einen Handlungsbe- darf offenbaren. 46 1. Risikoidentifikation 2. Quantifizierung der Risiken 3. Steuerung der Risiken 4. Überwachung und Dokumentation der Risiken. 44 Vgl. Brühwiler, B., 2001, S. 46 ff.; Weber, J./Weißenberger, B./Liekweg, A., 1999, S. 15 ff.; Bitz, H., 2000, S. 25. 45 Vgl. Burger, A./Buchhart, A., 2002, S. 31; Daube, C. H., 1997, S. 79-82. 46 Die Ablaufphasen des Risikomanagementprozesses werden in der Literatur unterschiedlich darge- stellt, wobei die Anzahl und Bezeichnungen sowie die Inhalte teilweise unterschiedlich interpretiert werden. Lediglich die Einordnung der Phasen in ein Ablaufschema wird uneinheitlich wahrgenom- men. 51 4.1 Risikoidentifikation Bei der ersten Phase, der Risikoidentifikation, welche als Informationsbasis für die nachgelagerten Prozessphasen dient, sind sämtliche auf die Unternehmensziele wirken- den Risikopotentiale zu erfassen. Die Risikoidentifikation beinhaltet eine möglichst strukturierte, detaillierte und vollständige Erfassung aller wesentlichen Risiken bzw. Schadensgefahren und Verlustpotentiale unternehmerischer Aktivitäten einschließlich ihrer Wirkungszusammenhänge. 47 Dieser Prozess, der sich in die Phasen „erstmalige Risikoidentifikation“ und „fortlaufende Risikoidentifikation“ unterteilen lässt, hat die gesamte unternehmerische Wertschöpfungskette auf externe und interne Risiken fortlau- fend zu untersuchen und ist vereinfacht formuliert „die Risikoinventur“ des Unterneh- mens. Um einen Überblick zu erhalten und kein wesentliches Risiko zu übersehen, sollten für die erstmalige Risikoidentifikation alle bestehenden und potentiellen Risiken, denen das Unternehmen ausgesetzt ist, durch die Unternehmensleitung, gegebenenfalls unter Ein- schaltung externer Berater, erfasst werden. Nach der erstmaligen Risikoerhebung hat jede einzelne organisatorische Einheit weitere Risiken, die im täglichen Geschäft auftre- ten, zu analysieren und bei der Überschreitung von Schwellenwerten bzw. Wesentlich- keitsgrenzen an die Unternehmensleitung bzw. an die zuständige Abteilung Risikoma- nagement oder an den Risikomanagement-Beauftragten zu berichten. Demgegenüber ist die organisatorische Einheit mit Know-how zu unterstützen, wobei u.U. mit verhaltens- bedingten Barrieren seitens der betroffenen Personen gerechnet werden muss. Verhal- tensbedingte Barrieren können hier eventuell sogar ein Indikator für bisher nicht er- kannte Risiken (Verschleierungsversuch) und Führungsmängel sein. 48 Eine vollständige Risikoerfassung wird gleichwohl nicht möglich sein, zumal bei der Suche nach Risiken der Grundsatz der Wirtschaftlichkeit eine nicht unübersehbare Grenze bildet. Zu einer möglichst effektiven Risikoerfassung kann sich das Unterneh- men verschiedener Methoden bzw. Mittel bedienen, die sich wie folgt kategorisieren lassen: 49 47 Vgl. Hornung, K./Reichmann, Th./Diederichs, M., Controlling 1999, S. 320. 48 Vgl. Lück, W., DB 2000, S. 1476. 49 Vgl. Schenk, A.,1998, S. 43. 52 – Brainstorming – Workshops – Standardisierte Befragungen – Betriebsbesichtigungen – Prüfung interner Dokumente – Checklisten – Externe Informationsquellen Ohne eine derartige Kategorisierung besteht die Gefahr der unvollständigen oder mehr- deutigen Identifikation der Risiken. Infolgedessen sollte zur Unterstützung der erstmali- gen und laufenden Risikoidentifikation ein allgemeines Risikoprofil für das Unterneh- men definiert und rudimentär nach erfolgsrelevanten Risikofeldern (Finanzwirtschaftli- che Risiken, Leistungswirtschaftliche Risiken, Externe Risiken und Risiken aus Management und Organisation, d.h. interne Risiken) differenziert werden. In einem nächsten Schritt muss dieses Profil zu einem unternehmensindividuellen Risi- koprofil, welches als Grundlage dient und angesichts der kontinuierlichen Veränderung interner und externer Bedingungen der Risiken eine Momentaufnahme darstellt, wie folgt andeutungsweise weiterentwickelt werden: 50 Finanzwirtschaftliche Risiken – Liquidität – Überschuldung – Bonität Leistungswirtschaftliche Risiken – Investition – Beschaffung – Absatz – Logistik Externe Risiken – Gesetze und Auflagen – Politik – Technologie Risiken aus Management und Organisation – Managementqualität – Personal – Organisationsstruktur 50 Vgl. Hornung, K./Reichmann, Th./Form, S., Controlling 2000, S. 155. 53 Grundlage für ein betriebsindividuelles Risikoprofil ist – wie bereits schon weiter oben dargestellt – ein fest verankertes Risikobewusstsein, welches durch eine möglichst optimale Kontrollumgebung kreiert werden muss. Zugleich ist es notwendig, entspre- chende Informationswege festzulegen, die zu jedem Zeitpunkt die richtige Weiterleitung eines neu entdeckten oder auch veränderten Risikos garantieren. Den leistungswirt- schaftlichen Risiken kommt dabei eine besondere Bedeutung zu, da ihre Auswirkungen zumindest mittelbar auf die Wertschöpfungskette Einfluss nehmen und lediglich am Ort ihrer Entstehung Ansatzpunkte zur Steuerung bieten. An die Risikoidentifikation knüpft die Risikoquantifizierung an, die als zielgerichtete Analyse, Bewertung und Klassifizie- rung unternehmensinterner und unternehmensexterner Risikopotentiale verstanden wird. 4.2 Quantifizierung der Risiken Zu Beginn dieser Prozessphase liegt unter der Voraussetzung einer Risikoinventur ein möglichst vollständiger Katalog aller denkbaren Risiken im Unternehmen vor. Auf der Grundlage einer dauernden prozessbegleitenden Risikoanalyse sind die identifizierten Risiken des Unternehmens zu quantifizieren, d.h. es erfolgt die Messung und idealer- weise die Zusammenfassung der Einzelrisiken zu einem Gesamtrisiko. Dabei wird fest- gelegt, welche Risiken als Schwerpunktrisiken einzustufen sind und welche Risiken gegebenenfalls vernachlässigt werden können (Bottom-Up-Ansatz). 51 Da Risikomana- gement lediglich bewertete Risiken steuern kann, ist demzufolge eine Quantifizierung der Risiken durch die Ermittlung eines Schadenerwartungswertes (= Schadenhöhe x Eintrittswahrscheinlichkeit) erfo