Kitabı oku: «Compliance», sayfa 33

Markus Böttcher, Sina Poppe, Christina Fischer, Michael Steiner, Fabian Stancke Frank Romeike Uwe Heim Joachim Schrey Daniel Kaiser Michael Bernd Peters Tobias Ackermann Britta Bannenberg Silvia C. Bauer Sophie Luise Bings Markus Burckhardt Björn Demuth Alfred Dierlamm Markus Eberhard David Elshorst Martina Flitsch Hermann LL.M. Geiger Anne-Catherine LL.M. Hahn Marion Hanten Mathias Hanten Frank M. Hülsberg Cornelia Inderst Sebastian Lach Jens C. Laue Bernd Michael Lindner Eva Racky Torsten Reich Markus S. LL.M. Rieder Christoph LL.M. Rieken Alexander von Saenger Burkhard Schwenker Annke von Tiling Stefan Weiss Uta LL.M. Zentes ve dahası

Yazı tipi:

2. Die Risikolandkarte im Unternehmen

260

Wie bereits dargestellt, ist die Wahrnehmung von Risiken eine höchst subjektive Angelegenheit, da Risiken in ihrer Dimension und Materialität und Immaterialität durch unsere Sinnesorgane konstruiert werden.[3]

261

Daher sind Risikolandkarten nicht nur über die Branchengrenzen hinweg, sondern auch innerhalb eines Unternehmens eher heterogen. Empirische Studien zeigen jedoch auf, dass Unternehmenszusammenbrüche primär auf strategische oder operative Risiken zurückgeführt werden können.[4] Strategische und operative Risiken zusammen werden auch als operationelle Risiken bezeichnet. In Abb. 2 ist eine generische und branchenübergreifende Risikolandkarte skizziert.

262

Risiken im Kontext Compliance sind in unterschiedlichen Risikokategorien wiederzufinden. So können sich beispielsweise Risiken in der Folge deliktischer bzw. doloser Handlungen[5] sowohl im Bereich Finanzrisiken als auch im Bereich der operativen bzw. strategischen Risiken niederschlagen.

Abb. 2: Risikokategorien im Überblick[6]

[Bild vergrößern]

263

Des Weiteren können Risiken durch externe oder interne Ereignisse und Störungen verursacht werden. So kann etwa ein Beschaffungsrisiko auf Schwierigkeiten im Beschaffungsprozess oder ebenso auf die Ursache zurückgeführt werden, dass durch ein externes Schadensereignis (Erdbeben, Überschwemmung etc.) bestimmte Produkte auf dem Weltmarkt nicht mehr oder nur zu höheren Preisen verfügbar sind. Nachfolgend sind einige Beispiele für potenzielle Risikobereiche aufgezählt:

–	Bedrohung von Kernkompetenzen oder Wettbewerbsvorteilen;
–	Risiken durch eine Unternehmensstrategie, die inkonsistent ist oder auf sehr unsicheren Planungsprämissen basiert;
–	strukturelle Risiken der Märkte infolge ungünstiger Struktur der Wettbewerbskräfte (beispielsweise geringe Differenzierungschancen in stagnierenden Märkten, niedrige Markteintrittshemmnisse oder erhebliche Substitutionsgefahr);
–	starke Abhängigkeiten von wenigen Kunden oder wenigen Lieferanten;
–	Markteintritt neuer Wettbewerber;
–	Adressausfallrisiken, insbesondere Ausfall von Kundenforderungen;
–	Wertschwankungen von Beteiligungen oder Wertpapieren des Umlaufvermögens;
–	Organisatorische Risiken durch fehlende bzw. unklare Aufgaben- und Kompetenzregelung oder Schwächen des internen Kontrollsystems (Wirtschaftskriminalität in Form von Bilanzmanipulationen, Vermögensschädigungen, Korruptionssachverhalten und sonstigen Compliance-Verstößen („Fraud and Misconduct“));
–	Risiken durch den Ausfall von Schlüsselpersonen;
–	Schadenersatzforderungen oder Produkthaftpflichtfälle;
–	Sachanlageschäden, beispielsweise infolge von Feuer;
–	Reputationsrisiken;
–	Risiken aus korrumptiven Handlungen von Mitarbeitern oder Führungskräften;[7]
–	Know-How-Verlust durch Wirtschaftsspionage.

264

Ein Blick in die Praxis der Unternehmen zeigt, dass eine Abgrenzung zwischen den einzelnen Risikokategorien aufgrund der Vielschichtigkeit und Komplexität häufig nicht unproblematisch ist. Insbesondere die komplexe Verknüpfung der Einzelrisiken ist von besonderer Bedeutung für das Management strategischer und operativer Risiken. Risikokategorien dürfen nicht losgelöst voneinander erfasst und analysiert werden, da Risiken durch positive und negative Rückkopplungen miteinander verbunden sind (vgl. Abb. 3).

Abb. 3: Dynamische und interaktive Beziehungen prägen eine Risikolandkarte[8]

[Bild vergrößern]

265

Die in der Praxis zu beobachtenden Kettenreaktionen (Dominoeffekt) sind insbesondere bei Compliance-Risiken zu beobachten:

–	eine Verfälschung von Finanzinformationen (Bilanzfälschung etc.) führt zu einem Reputationsverlust für das betroffene Unternehmen bzw. die Marke;
–	dies wiederum führt ggf. zu einer Beeinträchtigung von Kunden- und Lieferantenbeziehungen;
–	dies führt ggf. zu einer Beeinträchtigung der Beziehungen zu Behörden (beispielsweise keine öffentlichen Aufträge mehr);
–	dies führt in der Konsequenz ggf. zu einem Motivationsverlust der Mitarbeiter bzw. einem Rückgang der Arbeitsethik;
–	obige Beeinflussungen führen zu einem erhöhten Zeit- und Arbeitsaufwand (Pressearbeit, Kommunikation, Entwicklung und Umsetzung von Steuerungsmaßnahmen etc.) und in der Konsequenz zu einem höheren finanziellen Aufwand;
–	dies führt insgesamt zu einem höheren finanziellen und zeitlichen Aufwand bzw. einem Liquiditätsrisiko;
–	in der Konsequenz kann dies zu einem Unternehmenszusammenbruch führen.[9]

266

Sehr häufig ist ein ganzes Bündel von unterschiedlichen Risikokategorien für die Schieflage eines Unternehmens verantwortlich. Vor diesem Hintergrund wird auch die Bedeutung eines angemessenen Reifegrades (Maturity Level) im Risikomanagement, vgl. Abb. 4) deutlich. In der Abb. ist eine Reifegrad-Treppe (Risk Maturity Model) wiedergegeben, die die wesentlichen Schritte von einem initialen System hin zu einem „Leading“-System skizziert.

Zwischen dem Reifegrad des Risikomanagements und dem Einsatz unterschiedlicher Werkzeuge und Methoden besteht ein direkter Zusammenhang. Auf der Stufe eines initialen Risikomanagements sowie auf der Stufe „Basic“ dominieren vor allem Kollektionsmethoden. Der primäre Treiber für den Aufbau eines Risikomanagements liegt im Bereich der regulatorischen Pflichterfüllung (im Sinne einer Umsetzung der Minimalanforderungen). Auf der Reifegrad-Stufe „Evolved“ erfolgt bereits eine gute Kooperation zwischen den existierenden „Silos“ Risikomanagement, Compliance-Management und Controlling. Neben den Kollektionsmethoden kommen auch analytische Methoden zum Einsatz. Bei „Advanced“ erfolgt zum einen eine Verknüpfung von Planung und Risikomanagement in Form einer „Bandbreitenplanung“ sowie die Integration von Compliance-Management und Risikomanagement zu einem GRC-System (Governance, Risk & Compliance). Dies bedingt auch den Einsatz eines fundierten und umfassenden Werkzeugkastens. In der höchsten Ausbaustufe („Leading“) wird Risiko-/Chancenmanagement als strategisches Instrument der Unternehmenssteuerung verstanden. Compliance-Management, IKS (Interne Kontrollsysteme als Teil des Risikomanagements) und Controlling sind hier selbstverständlich integriert in ein einheitliches Methodensetting und System. Außerdem ist Risiko- und Chancenmanagement (bzw. Risk-/Opportunity-Management) voll integriert in die Geschäftsprozesse des Unternehmens. Basierend hierauf wird Risiko-/Chancenmanagement in der gesamten Organisation gelebt (Risikokultur) und ist einer der Kernprozesse des Unternehmens.

Abb. 4: Reifegrad-Treppe im Risikomanagement[10]

[Bild vergrößern]

3. Drei Verteidigungslinien in der Praxis

267

Es ist weder neu noch innovativ, dass Risiken an ihrem Entstehungsort am effektivsten erkannt und gesteuert werden können. Nicht selten wird in der Unternehmenspraxis der Risikomanager als der „Manager von Risiken“ missverstanden. Der Risikomanager ist jedoch vielmehr der Koordinator im Unternehmen bzw. derjenige, der die „Werkzeugkiste“ im Risikomanagement zusammenstellt und die operativen Einheiten beim Management der relevanten Risiken unterstützt. Ein präventives Risikomanagement sollte dezentral in den operativen Einheiten eines Unternehmens verankert und gelebt werden.

268

Nicht erst die Finanzkrise und diverse Unternehmensskandale haben Unternehmen vor Augen geführt, dass das Corporate Governance System zu modifizieren und vor allem Kontrollmechanismen einzuführen sind, um potenzielle und bestandsgefährdende Risiken früher zu erkennen. In diesem Zusammenhang wurde in der Praxis das Organisationsmodell „Three Lines of Defence“ (kurz TLoD) als funktionsfähiges Kontroll- und Überwachungssystem in vielen Unternehmen eingeführt (vgl. Abb. 5). Was steckt genau dahinter?

269

Die „erste Verteidigungslinie“ bilden die operativen Einheiten, das heißt die Risikoeigentümer (oder auch „Risk Owner“) in den operativen Bereichen wie Produktion, Einkauf, Logistik etc. Sie verantworten für ihren Bereich die Balance zwischen Risiken und Chancen bzw. zwischen Risiken und Risikotragfähigkeit.

270

Auf der „zweiten Verteidigungslinie“ finden die operativen Kontrollen statt. Dies ist vor allem das Betätigungsfeld der Unternehmensbereiche Risikomanagement, Unternehmenssicherheit, Compliance, IT-Security etc. Als eine Art „Inhouse-Berater“ stellen sie für die operativen Einheiten Werkzeuge und Prozesse zur Verfügung. Außerdem nehmen sie Einfluss auf die Risikostrategie und schlagen erforderliche Kontrollen zur Beachtung von risikobehafteten Prozessen vor. Des Weiteren sind sie das Sprachrohr gegenüber der Geschäftsleitung, führen alle Unternehmensrisiken (und Chancen) zu einem Gesamtbild zusammen (Risikoaggregation) und unterstützen die Geschäftsleitung bei der Umsetzung einer chancen- und risikoorientierten – und damit wertorientierten – Unternehmensführung. Eine höhere Transparenz über Chancen und Risiken sollte dann in der Konsequenz auch zu besseren Entscheidungen führen.

271

Die „dritte Verteidigungslinie“ stellt eine weitere unabhängige Organisationseinheit dar, die Vorstand und Aufsichtsrat bei der abschließenden Überwachung und Kontrolle bestehender und potenzieller Risiken unterstützt. In der Praxis ist dies in der Regel die interne Revision, die die untergeordneten Verteidigungslinien überwacht und unterstützt.

Abb. 5: Three-Lines-of-Defence-Ansatz[11]

[Bild vergrößern]

4. Der Risikomanagement-Prozess in der Praxis

272

Ein effizienter Risikomanagement-Prozess funktioniert ähnlich dem menschlichen Organismus oder anderer Netzwerkstrukturen in der Natur. In einem menschlichen Organismus arbeiten Gehirn, Herz und Nervensystem zusammen. Netzwerke sind anpassungsfähig und flexibel, haben gemeinsame Ziele, spielen zusammen und vermeiden Hierarchien. Netzwerkstrukturen sind skalierbar und außerordentlich überlebensfähig.[12]

4.1 Strategisches Risikomanagement

273

Übertragen auf den Prozess des Risikomanagements bedeutet dies, dass verschiedene Sensoren und Sinne (etwa Auge, Ohr, Nerven oder Frühwarnindikatoren) die Risiken aufnehmen und sie an eine zentrale Stelle weiterleiten (Gehirn bzw. Risikomanager). Und insgesamt entscheidet die strategische Ausrichtung des Systems (Unternehmens) über das Risikoverständnis. In diesem Zusammenhang ist es wichtig, die strategische Dimension des Risikomanagements nicht etwa losgelöst von der strategischen Unternehmensführung (Geschäftsstrategie) zu betrachten.

Abb. 6: Der Prozess des Risikomanagements in der Praxis[13]

[Bild vergrößern]

274

Das Strategische Risikomanagement bildet die integrative Klammer und das Fundament des gesamten Risiko-Management-Prozesses (vgl. Abb. 6). Es beinhaltet vor allem die Formulierung von Risikomanagement-Zielen in Form einer Risikostrategie. Bevor das Risikomanagement als kontinuierlicher Prozess eingeführt und gelebt werden kann, müssen zunächst die Grundlagen bezüglich der Rahmenbedingungen (etwa Risk Policy Statement bzw. Risikostrategie), Organisation (etwa Funktionen, Verantwortlichkeiten und Informationsfluss) und die eigentlichen Prozessphasen definiert werden. Bei der Entwicklung der Risikostrategie sollte darauf geachtet werden, dass auch Compliance-Aspekte adäquat berücksichtigt werden. Die Risikostrategie muss eine direkte Verbindung zur definierten Unternehmensstrategie herstellen, d.h. die relevanten Risiken sollten aus den strategischen Unternehmenszielen abgeleitet werden („Welche Risiken gefährden beispielsweise die Erfolgspotenziale des Unternehmens?“).

275

Die Risikostrategie soll die aus der Geschäftsstrategie resultierenden Risiken darstellen und so gestaltet sein, dass die operative Steuerung der Risiken an diese anknüpfen kann. Die Risikostrategie muss auf

–	die Art (welche Risiken sollen überhaupt eingegangen werden?),
–	die Risikotoleranz (welche Höhe des Risikos ist akzeptabel?),
–	die Herkunft (woher stammt das Risiko?),
–	den Zeithorizont der Risiken (welche Risiken sollen in welcher Zeitperiode mit der vorhandenen Risikodeckung bewältigt werden?) und
–	die Risikotragfähigkeit

eingehen.[14]

276

Risiken effizient zu steuern und zu kontrollieren sowie Chancen zu erkennen und zu nutzen, gehört zur unternehmerischen Kerntätigkeit jedes Unternehmens. Trotzdem ist die Bereitschaft der Unternehmen, Risiken einzugehen, sehr unterschiedlich und abhängig von den Eigentumsverhältnissen, der Liquidität und auch der persönlichen Risikoneigung der Unternehmensleitung bzw. der Eigentümer. Eine idealtypische Kategorisierung von Risikotypen ist in Abb. 7 dargestellt.

Abb. 7: Idealtypische Risikotypologie[15]

[Bild vergrößern]

277

Eine Maus (A) geht ein geringes Risiko ein und hat einen äußerst geringen Kontrollaufwand. Der Bürokrat (C) hingegen ist ähnlich risikoscheu, nimmt aber durch seine Kontrollstruktur in Kauf, dass auch seine Chancen – und damit sein Wachstums- und Entwicklungspotenzial – äußerst begrenzt sind. Ein Cowboy (C) hingegen riskiert die Gefahr, von negativen Entwicklungen überrascht zu werden, die er nicht mehr kontrollieren kann. Der kontrolliert handelnde Unternehmer (D) demgegenüber wendet bei seinen Entscheidungen die Werkzeuge des Risikomanagements an und geht Risiken bewusst und kontrolliert ein, um die damit verbundenen Gewinnchancen zu realisieren.

278

So gibt es eher risikofreudige Unternehmen, weil etwa eine kurzfristige Gewinnmaximierung angestrebt wird oder eine gute Kapitalausstattung vorhanden ist. Andere Marktteilnehmer investieren hohe Summen in die Risikosteuerung und -kontrolle und verhalten sich eher risikoavers, weil etwa die Liquiditätslage angespannt ist oder unplanmäßige Kosten vermieden werden sollen. Werden eine langfristige Sicherung der Marktposition und eine langfristige wertorientierte Unternehmenssteuerung angestrebt, so wird sich ein Unternehmen risikoneutral verhalten und sein Risiko-Chancen-Profil optimieren, um den Unternehmenswert zu erhöhen.

4.2 Risikoidentifikation

279

Das operative Risikomanagement (vgl. Abb. 6) beinhaltet den Prozess der systematischen und laufenden Risikoanalyse der Geschäftsabläufe. Ziel der Risikoidentifikation ist die frühzeitige Erkennung von „den Fortbestand der Gesellschaft gefährdende Entwicklungen“[16], d.h. die möglichst vollständige Erfassung aller Risikoquellen, Schadensursachen und Störpotenzialen. Für einen effizienten Risiko-Management-Prozess kommt es darauf an, dass dieser als kontinuierlicher Prozess – im Sinne eines Regelkreises – in die Unternehmensprozesse integriert wird.

280

Die Informationsbeschaffung ist die schwierigste Phase im gesamten Prozess und eine Schlüsselfunktion des Risikomanagements, da dieser Prozessschritt die Informationsbasis für alle nachfolgenden Phasen liefert – schließlich können nur Risiken bewertet und gesteuert werden, die auch erkannt wurden.

281

Ein wichtiges Instrument zur Risikoidentifikation[17] sind außerdem Frühwarnsysteme, mit deren Hilfe Frühwarnindikatoren (etwa externe Größen wie Zinsen oder Konjunkturindizes, aber auch interne Faktoren wie etwa Fluktuation im Management) ihren Benutzern rechtzeitig latente (d.h. verdeckt bereits vorhandene) Risiken signalisieren, sodass noch hinreichend Zeit für die Ergreifung geeigneter Maßnahmen zur Abwendung oder Reduzierung der Bedrohung besteht.[18] Frühwarnsysteme verschaffen dem Unternehmen Zeit für Reaktionen und optimieren somit die Steuerbarkeit eines Unternehmens.

282

Die Wahl der Methodik zur Risikoidentifikation hängt stark von den spezifischen Risikoprofilen des Unternehmens und der Branche ab. In der betrieblichen Praxis werden die einzelnen Identifikationsmethoden häufig kombiniert. Abb. 8 gibt einen Überblick über die verschiedenen in der Praxis angewendeten Methoden. Bei der Erfassung der Risiken helfen Checklisten, Workshops, Besichtigungen, Interviews, Organisationspläne, Bilanzen und Schadenstatistiken. Ergebnis der Risikoanalyse sollte ein Risikoinventar sein. Die identifizierten Risiken müssen im anschließenden Prozessschritt detailliert analysiert und bewertet werden. Ziel sollte dabei ein sinnvolles und möglichst für alle Risikokategorien anwendbares Risikomaß sein.

Abb. 8: Methoden der Risikoidentifikation[19]

[Bild vergrößern]

4.3 Risikobewertung

283

Die „grobe“ Ersteinschätzung von Risiken erfolgt in der Praxis häufig basierend auf einem Relevanzfilter. Experten unterteilen die Risiken beispielsweise in fünf Relevanzklassen von „unbedeutendes Risiko“ bis „bestandsgefährdendes Risiko“.

284

Relevanz wird dabei als die Gesamtbedeutung des Risikos für das Unternehmen verstanden. Sie gilt als weiteres Risikomaß und ist von folgenden Parametern abhängig:

–	mittlere Ertragsbelastung (Erwartungswert),
–	realistischer Höchstschaden,
–	Wirkungsdauer.

285

Ein weiterer Vorteil der Relevanzeinschätzung besteht darin, dass sie die Information über die Schwere eines Risikos in einfacher Form beschreibt und so die Kommunikation relevanter Risikoinformationen erleichtert.

286

In einem nächsten Schritt erfolgt eine Detailbewertung aller Risiken, die als „relevant“ betrachtet werden. Als Bewertungsmethodik bietet sich entweder ein „Top-down“- oder ein „Bottom-up“-Ansatz an. Erfolgt die Bewertung nach einer Top-down-Methode, so stehen für das Unternehmen die bekannten Folgen der Risiken im Vordergrund. Hierbei werden Daten der Gewinn- und Verlustrechnung wie etwa Erträge, Kosten oder das Betriebsergebnis im Hinblick auf deren Volatilitäten hin untersucht. Der Top-down-Ansatz bietet den Vorteil einer relativ schnellen Erfassung der Hauptrisiken aus strategischer Sicht. Diese „Makroperspektive“ kann jedoch auch dazu führen, dass bestimmte Risiken nicht erfasst werden oder Abhängigkeiten bzw. Korrelationen zwischen Einzelrisiken nicht korrekt bewertet werden. Der Bottom up-Ansatz erfasst Risiken von der Basis aus in den einzelnen Organisationseinheiten (basierend auf dem Three Lines of Defence-Ansatz die Risiken der ersten Verteidigungslinie).

287

Der Werkzeugkasten des Risiko- und des Compliance Managers bietet eine große Vielfalt an Methoden und Analysemethoden zur Bewertung von Risiken.[20] Die Auswahl der Werkzeuge und Methode wird primär von den verfügbaren Daten der einzelnen Risiken determiniert. Bei quantifizierbaren Risiken können die potenziellen Verlust in drei Bereiche aufgeteilt werden: erwartete Verluste, statistische Verluste und Stressverluste.

288

Die Ergebnisse der Risikobewertung können in das Risikoinventar (bzw. den Risikokatalog) übernommen werden. Wenn basierend auf den oben skizzierten Bottom-up- bzw. Top-down-Methoden die Eintrittswahrscheinlichkeiten und der Ergebniseffekt (Impact, Schadensausmaß etc.) quantifiziert wurden, lassen sich diese in einer Risk Map (auch Risikomatrix oder Risikolandschaft genannt)[21] darstellen. In Abb. 9 finden Sie ein Beispiel für eine Risikolandkarte. Eine Risk Map gibt einen Gesamtüberblick über das Risikoportfolio eines Unternehmens und kann den Entscheidungsträgern als erste Grundlage zur Risikosteuerung und -kontrolle dienen.

Abb. 9: Beispiel einer Risikolandkarte[22]

[Bild vergrößern]

289

Eine Aggregation aller relevanten Risiken ist erforderlich, weil sie auch in der Realität zusammen auf Gewinn und Eigenkapital wirken. Es ist damit offensichtlich, dass alle Risiken gemeinsam die Risikotragfähigkeit eines Unternehmens belasten (siehe Abb. 10). Die Risikotragfähigkeit wird – vereinfacht betrachtet – von zwei Größen bestimmt, nämlich zum einen vom Eigenkapital und zum anderen von den Liquiditätsreserven. Die Beurteilung des Gesamtrisikoumfangs ermöglicht eine Aussage darüber, ob die oben bereits erwähnte Risikotragfähigkeit eines Unternehmens ausreichend ist, um den Risikoumfang des Unternehmens tatsächlich zu tragen und damit den Bestand des Unternehmens zu gewährleisten. Sollte der vorhandene Risikoumfang eines Unternehmens gemessen an der Risikotragfähigkeit zu hoch sein, werden zusätzliche Maßnahmen der Risikobewältigung erforderlich. Die Kenntnis der relativen Bedeutung der Einzelrisiken (Sensitivitätsanalyse) ist für ein Unternehmen in der Praxis wichtig, um die Maßnahmen der Risikofinanzierung und -steuerung zu priorisieren.

290

Die Aggregation von Risiken zu einer Gesamtrisikoposition kann grundsätzlich auf zwei Wegen erfolgen, analytisch oder durch Simulation.[23]

Abb. 10: Die Risikotragfähigkeit eines Unternehmens