Inhaltsverzeichnis

Abkürzungsverzeichnis................................................................................ 1

1.1 Annäherung an den Risiko-Begriff und wesentliche Bestandteile des Risikomanagementprozesses................................................................ 2

1.2 Identifizierung von Risiken und deren Implikationen............................ 4

1.3 Bewertung und Quantifizierung von Risiken und deren Implikationen.... 5

1.4 Aggregation und Steuerung von Risiken und deren Implikationen.......... 6

1.5 Bestehende Implikationen durch die Kontrolle der Risiken................... 7

2.1 Die Bedeutung der funktionalen Klassifizierung von Risiken in einem holistischen Risikomanagement mit Fokus auf die Phasen der Identifizierung, Bewertung und Berichterstattung..................................... 8

2.2 Restriktionen eines undifferenzierten Risikomanagementsystems und Möglichkeiten zur Intervention............................................................... 9

2.3 Berücksichtigung der internen und externen Risiken bei der Erstellung eines Risikokataloges und deren Ableitung in eine Risikomatrix................ 10

3.1 Grundlegende rechtliche Aspekte in Bezugnahme auf das Risikomanagement und der Risikokommunikation in deutschen Unternehmen..................................................................................... 12

3.2 Leitlinien des DSR 20 hinsichtlich der im Rahmen der externen Unternehmenskommunikation zu berücksichtigende Aspekte................. 14

4.1 Beschreibung der Unternehmensstruktur und des Unternehmensumfeldes der Porsche AG............................................... 16

4.2 Grundlegender Aufbau des PORSCHE Risikomanagementsystems..... 17

4.3 Phasenspezifischen Aufbaus des Porsche AG Konzern internen Risikomanagementprozesses.............................................................. 18

Literaturverzeichnis............................................................................ 21

Rechtsquellenverzeichnis.................................................................... 26

Abkürzungsverzeichnis

BCMS Business-Continuity-Management-System

bsph. beispielshalber

bspw. beispielsweise

bzw. beziehungsweise

ca. circa

etc. et cetera

ggf. gegebenen Falls

i.d.R. in der Regel

resp. respektive

RM Risikomanagement

RMP Risikomanagementprozess

RMS Risikomanagementsystem

sog. sogenannte

u. a. unter Anderem

u. z. und zwar

z. B. zum Beispiel

1.1 Annäherung an den Risiko-Begriff und wesentliche Bestandteile des Risikomanagementprozesses

Jedes Unternehmen – egal ob Einzelunternehmen, oder Großkonzern ist Risiken ausgesetzt, diese Risiken und Auswirkungen können unterschiedlicher Natur und für den Fortbestand des Unternehmens mehr, oder weniger gravierende Folgen aufweisen. [1] Bevor wir uns mit dem Risikomanagementprozess (RMP) befassen, scheint es zunächst angebracht, sich der Begrifflichkeit des Risikos definitorisch zu nähern. Neben der allgemeinen Bedeutung, nach welcher es ein Risiko als Kennzeichnung der Eventualität zu konnotieren gilt, mit der eine Wahrscheinlichkeit eintritt, die über das Potenzial verfügt, durch ihr Auftreten Schaden (wirtschaftlicher) zu verursachen, oder durch welche ein erwarteter Vorteil ausbleibt. Die Management orientierte Definition setzt den Risikobegriff ins direkte Verhältnis zu den Begriffen Wagnis und Risikomanagement (RM), welchen wir im Rahmen dieser Ausarbeitung folgen werden. [2] Unter dem Begriff Wagnis, sind Verlustgefahren zu verstehen, welche sich aus der Natur einer Unternehmung ergeben, womit letztens alle wirtschaftlichen Handlungen der Unternehmung begleitende Gefahren, Unsicherheits- und Zufälligkeitsfaktoren, hervorgerufen, welche sich aus allg. oder branchenbedingte Störung des Marktes ergeben. [3] Unter gutem resp. effizientem RM ist hierbei mehr als das (selbstverständliche) Einhalten gesetzlicher Vorschriften und Normen zu verstehen, die wir etwa im Aktienkontroll- oder Transparenzgesetz vorfinden und geht weit über den Abschluss von Versicherungen oder der Erstellung von Notfallplänen hinaus. RM stellt einen umfassenden Prozess der Identifikation, Bewertung, Aggregation, Überwachung sowie der gezielten Steuerung aller sich auf ein Unternehmen auswirkenden Risiken dar, welche über das Potenzial verfügen, Abweichungen von den identifizierten Zielen auslösen zu können. [4] Diese Ziele resp. Unternehmensziele werden aus den ex ante definierten Geschäftsstrategien extrahiert. Dabei hängt das Erreichen besagter Ziele von unterschiedlichen Faktoren ab, die z. T. durch externe Umwelteinflüsse bedingt sind. Alle für ein Unternehmen erkennbare Risiken werden dann unter Berücksichtigung von Wesentlichkeitsgesichtspunkten festgelegt. Dies inkludiert auch, wie die generelle Bereitschaft Risiken einzugehen (Risikobereitschaft) im Rahmen der (Risikotoleranz) des Unternehmens auszusehen hat. Die eben angeführte Definition der Unternehmensziele, sowie die einzelnen Aspekte der Risikostrategie resp. Toleranz sind dabei dem eigentlichen RMP vorgelagert. Bereits hier kann die Verfolgung angemessener Ziele, welche vom RM als realistisch eingeschätzt werden, einen maßgeblichen Einfluss auf den Unternehmenserfolg ausüben. [5] Auf die Frage danach, wie sich ein RMP für Unternehmen im Details auszugestalten ist, gibt es in der Literatur einige Ansätze, wir folgen in dieser Ausarbeitung einem klassischen Ansatz. Grundlegend beginnen die meisten Ansätze mit der Analyse des Risikos, wozu im ersten Schritt auch die Identifikation von besagten Risiken gehört, versuchen anschließend, die Risiken gezielt im Sinne der Risikosteuerung zu beeinflussen und durch Kontrollmaßnahmen (Risikokontrolle) auf einem gewünschten Niveau zu halten, haben jedoch im Weiteren auch auf eine umfassende Berichtserstattung zur Dokumentation Wert zu legen. Zusammenfassend besteht die Risikoanalyse somit aus der Identifizierung, Beurteilung und Bewertung von potenziellen Unternehmensrisiken, sowie deren Aggregation, Steuerung, Dokumentation und Berichtserstattung. [6] Der gesamte Prozess des RM wird durch die folgende 1. Abb. eindrücklich visualisiert. Wie zu observieren, handelt es sich bei dem Prozess nicht um ein einmaliges, sondern viel mehr um ein repetitives Prozedere.

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

1. Abb. Risikomanagementprozess. Quelle: Rohlfs, T. (2020), S. 4; Schreiber, C. (a.) (2023), 1. Kap. 3. Abs.

1.2 Identifizierung von Risiken und deren Implikationen

Wie bereits angeführt, dependiert das RM in einem hohen Maße an der strategischen Ausrichtung und dem Geschäftsmodell des Unternehmens. Diese Ausrichtung wird hierbei von internen und externen Faktoren resp. Einflüssen beeinträchtigt. Daher zielt das RM darauf ab, die für das Unternehmen ersichtlichen Risiken zu eliminieren, genauer gesagt diese in einen für das Unternehmen tragbaren Bereich zu reduzieren und deren Eintrittswahrscheinlichkeit sowie die finanz- und betriebswirtschaftlichen Auswirkungen entsprechend zu operationalisieren. In der Praxis hat sich für dieses Unterfangen das bereits angeführte RM, mit klassischem Aufbau nach ISO 3100, als empfehlenswert erwiesen. [7] Dieser besteht aus den Elementen Risikoanalyse, Risikosteuerung, Risikokontrolle und Berichtserstattung. [8] Bevor angemessene Maßnahmen zur Risikosteuerung ergriffen werden können, sind zunächst die bestehenden Chancen und Risiken hinsichtlich ihrer Potenziale zu identifizieren. [9] Das Hauptziel des RM besteht darin, den Fortbestand der Gesellschaft zu sichern, um dies zu gewährleisten haben alle Risikobereiche, Risikoursachen und Risikoobjekte möglichst vollständig erfasst zu werden. [10] Um dieses Hauptziel zu wahren, wird für die Risiko-Identifikation ein systematisch, strukturiertes Verfahren benötigt, welches in der Praxis auf verschiedene Methoden zurückgreift, bspw. Arbeitsprozessanalysen, Workshops, Benchmarks oder Checklisten etc. Bei der praktischen Bestimmung von Risiken haben sich vorwiegend die Quellen Strategie und strategische Risiken, Controlling, operative Planung und Budgetierung, sowie Risikoworkshops (Risk Assessment) für die Bestimmung von Leistungsrisiken als Relevant erwiesen. Implikationen ergeben sich in dieser Phase des RM primär in der Notwendigkeit, relevante Risiken durch die Adaption von geeigneten Methoden abzubilden. Fragen, welche sich diesbezüglich zu stellen sind, u. a. wurden alle relevanten Risiken erfasst? Welche Methoden zur Risikoidentifizierung wurden angewandt? Reichen die angewandten Methoden aus, um eine holistische Abbildung der bestehenden und zukünftigen Risiken zu erhalten? [11]

1.3 Bewertung und Quantifizierung von Risiken und deren Implikationen

Nach der ersten Identifizierung haben die Risiken anschließend hinsichtlich ihrer Auswirkung auf den Unternehmenserfolg bewertet zu werden. Die quantitative Bewertung dieser Risiken ist aufgrund ihrer Schwierigkeit und bestehenden Relevanz für den RM-Prozess als kritisch zu konnotieren. [12] Das Ziel der Risikobewertung besteht darin, das von den identifizierten Risiken ausgehende Gefahrenpotenzial transparent abzubilden und deren Wirkung aufzuzeigen. Um dies zu gewährleisten, werden die Risiken einer Analyse unterzogen. Als Basis der Analyse dienen sog. Wesentlichkeitsgrenzen, welche in die Kategorien quantitativ und qualitativ differenziert werden. Weiterhin gilt die Risikobewertung als der Ausgangspunkt zur Festlegung für Maßnahmen zur Risikosteuerung und dient im Rahmen der Ermittlung des Einzelrisikokapitalbedarfs als Grundlage für die Aggregation zur Erstellung des Gesamtrisikokapitalbedarfs. [13] Die Quantifizierung eines Risikos ermöglicht es, dieses durch eine geeignete mathematische Verteilungsfunktion zu beschreiben. [14] Vor der Quantifizierung werden jedoch zunächst Modelle zur Verdichtung und Reduktion der Komplexität angewandt, welche eine Strukturierung auf der Basis von mehreren ermittelten Mittelwerten ermöglichen und wesentliche von unwesentliche Risiken trennen, bspw. Relevanzeinschätzungen, Scoring-Modelle, BC/XYZ-Analysen sowie Ratings. Im zweiten Schritt kommt es dann durch Verfahren wie die Risikomatrix, Wahrscheinlichkeitsverteilungen, Sensitivitäten resp. Stresstests, sowie Szenario-Rechnungen zur Bewertung des Risikoausmaßes. Gerade die Adaption letzterer Methoden ermöglicht eine Intensivierung und Präzisierung der identifizierten und spezifizierten Risiken, eine Risiko-Quantifizierung (statistisches Verfahren), sowie die Definition und Messung eindeutig definierter Risikogrößen und deren Implikationen auf andere Risiken. [15] Um die Validität der miteinander verglichenen Risiken hinsichtlich ihrer Bedeutung zu wahren, ist ein geeigneter Risikoindex (Risikomaß) zu verwenden, welcher im Optimalfall auf empirischen Daten basiert, wie der Value-at-Risk, oder der Expected-Shortfall. Die Implikationen, welche sich in dieser Phase für das RM ergeben, erscheinen, weitreichend, da es bei einer fehlerhaften Quantifizierung, der Verwendung eines nicht empirisch fundierten Risikomaßes im späteren Verlauf zu falschen Einschätzungen der Risiken in Relation zu deren Auswirkungen auf den Unternehmenserfolg, resp. im Rahmen der Ermittlung des Einzelrisikokapitalbedarfs zu falschen Aggregationen zur Bestimmung des Gesamtrisikokapitalbedarfs kommt, was verehrende Folgen für das Unternehmen hat. [16]

1.4 Aggregation und Steuerung von Risiken und deren Implikationen

Um die identifizierten Einzelrisiken zu einem Gesamtrisiko zusammenzufassen, werden dieser der Risikoaggregation unterzogen. Die Risikoaggregation ist als die Methode zur Bestimmung des Gesamtrisikoumfangs, welcher sich aus quantifizierten Einzelrisiken unter Berücksichtigung möglicher Kombinationseffekte und stochastischer Abhängigkeiten (wie Korrelationsanalysen) ergibt. [17] Hierfür bestehen in der Praxis differenzierte Möglichkeiten, die relevantesten jedoch sind multivariate Verfahren wie die Varianz-Ko-Varianz-Modelle, die historische Simulation und die Monte-Carlo-Simulation. [18] Sofern keine vollständig positive Korrelation zwischen den aggregierten Einzelrisiken vorliegt, ist deren Summe grundsätzlich kleiner als die Summe aller Einzelrisiken, da die Diversifikation den Risikoausgleichseffekt zwischen den Einzelrisiken berücksichtigt. Fragen, welche sich hier für mögliche Implikationen als relevant erweisen, sind u. a. kann der gesamte Risikokapitalbedarf vom Unternehmen getragen werden? Kann ausreichend ökonomische Liquidität ausgewiesen werden? [19] Die im Rahmen der angeführten Prozessschritte (Risikoidentifizierung, Risikobewertung und Risikoaggregation) evaluierten Risiken werden durch die Risikosteuerung aktiv beeinflusst. Hierfür werden die für das RM gültigen Ziele aus den allg. Unternehmenszielen abgeleitet. Hierbei richten sich die Steuerungsmaßnahmen auf die Beeinflussung der determinierten Bewertungskriterien und dienen zur Reduzierung der Eintrittswahrscheinlichkeit resp. der Begrenzung der Auswirkungen beim Eintritt dieser. [20] Implikationen ergeben sich bei der Risikosteuerung insoweit, als es sicherzustellen gilt, dass die Risikotragfähigkeit größer zu sein hat als der Risikoumfang resp. die eingeschätzte Risikosituation, welche mit den eruierten Chancen in Relation steht. Somit sollten Risiken nur eingegangen werden, wenn diesen entsprechende Ertragspotenziale gegenüberstehen. Besteht ein negatives Chancen-Risiko-Verhältnis der Risikovorstellung des Unternehmens, wird mittels der Risikosteuerung eingegriffen, z. B. durch die Reduzierung des ursprünglichen Bruttorisikos und angestrebt, die Soll-Risikosituation zu erreichen. [21] Grundlegend sind hierfür verschiedene Strategien zu differenzieren, wobei die Adaption einer geeigneten dieser Strategien, mitunter maßgeblich zum Unternehmenserfolg – Misserfolg beitragen. 1.) Die Risikovermeidung stellt einen Verzicht auf risikoreiche Aktivitäten dar. 2.) Unter Risikoverminderung wird die Reduzierung der Eintrittswahrscheinlichkeit von Risiken verstanden. 3.) Risikoabwälzung (Risikoübertragung resp. Risikotransfer) bezieht sich auf die Übertragung des Risikos auf ein anderen Unternehmen. 4.) Die Risikokompensation, bzw. Risikoakzeptanz kommt z. B. bei Bagatellrisiken oder bei solchen Risiken zum Tragen, auf welche keine anderen Strategien der Risikosteuerung anwendbar sind. [22]

1.5 Bestehende Implikationen durch die Kontrolle der Risiken

Die Risikokontrolle soll gewährleisten, dass das tatsächlich eingetretene Risiko auch mit dem geplanten Risiko übereinstimmt. Zur kontinuierlichen Kontrolle des Risikos gehört es auch ein Berichtswesen einzuführen, welches die Risikosituation des Unternehmens im Zeitablauf anzeigt und bei Abweichungen von den Soll-Zielen, dieses den verantwortlichen Stellen berichtet. [23] Somit ist die Risikokontrolle als Resümee und steuerndes Element des RMS zu konnotieren und dient hierbei der Beurteilung von Effizienz und Wirksamkeit des RM, sowie zur Evaluierung möglicher Verbesserungsmaßnahmen. Die Risikoberichtserstattung hingegen hält die Geschäftsführung bzw. andere Zielgruppen über das Risikoprofil des Unternehmens gem. s. identifizierte und bewertete Risiken (intern oder extern) auf dem aktuellen Stand, was es den im RMS eingebundenen Parteien ermöglicht (Interne Berichtserstattung) ihrer Überwachungs- und Entscheidungsfunktion nachzukommen. Hinsichtlich der externen Berichtserstattung ist zwischen der handelsrechtlichen und aufsichtsrechtlichen Berichtserstattung zu differenzieren. Implikationen für den Erfolg, resp. Misserfolg eines Unternehmens reichen von der fehlerhaften Identifizierung von Verbesserungspotenzialen, bis zu einer unzureichenden Berichtserstattung interner oder externer Autoritäten. [24]

2.1 Die Bedeutung der funktionalen Klassifizierung von Risiken in einem holistischen Risikomanagement mit Fokus auf die Phasen der Identifizierung, Bewertung und Berichterstattung

Wie oben angeführt gilt es als wesentlicher Bestandteil eines umfassenden RM, im Rahmen einer Risikoidentifizierung alle denkbaren Risiken, mit welchen von Beginn an zu rechnen ist, zu identifizieren und zusammenzufassen. [25] Grundlegend erscheint die Differenzierung zwischen internen und externen Umweltfaktoren in jeder Phase des RM von Bedeutung. In der ersten Phase des RM steht die Identifizierung von Risiken im Fokus, was die Bedeutung einer funktionalen Klassifizierung in intern und extern Umweltfaktoren in dieser wesentlich erhöht und wovon auch die Folgephasen im Prozessverlauf betroffen sind, besonders die Risikobewertung. Wichtig anzuführen ist somit, dass in dieser Phase alle internen und externen Umweltfaktoren berücksichtigt werden. [26] Während interne Risiken verwaltungsinterne Ursachen aufweisen, was bedeutet, dass diesen Entscheidungen seitens der öffentlichen Entscheidungsträger zugrunde liegen bspw. personalwirtschaftliche, oder Risiken, welche sich direkt aus der strategischen Spitze der Unternehmensführung ableiten. Externe Risiken hingegen beziehen ihren Ursprung aus der Verwaltungsumwelt und sind somit oftmals nur sehr begrenzt, resp. fasst gar nicht als durch die Unternehmensführung beeinflussbar zu bezeichnen. [27] Dennoch können externe Risiken beeinflusst werden, ein Bsp. hierfür findet sich z.B. in einer Maßnahme, um den Sponsor und das Management (externes Risiko), frequentierter und mit qualitativ höherwertigen Informationen zu versorgen resp. deren Feedback abholen, um deren Ideen zum Projektstatus besser nachvollziehen zu können. Jedoch gibt es eine spezielle Art von externen Risiken, deren Eintrittswahrscheinlichkeit durch keine Maßnahmen zu senken sind, die sog. Umweltrisiken. [28] Beispiele für solche Risiken sind in allen Aspekten der Unternehmensumwelt zu finden, bspw. konjunkturelle Risiken (z. B. finanzielle oder wirtschaftliche Krisen, rechtliche Risiken, Naturkatastrophen usw. [29] Die nachfolgende 2. Abb. offeriert uns einen tieferen Einblick in wichtigsten Risikokategorien.

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

2. Abb. Bestehende interne und externe Risikofelder resp. Risikofaktoren und deren Indikatoren. Quelle: MODU learn. 4. Kap. 1. Abs. bis 5. Kap. 1. Abs.

2.2 Restriktionen eines undifferenzierten Risikomanagementsystems und Möglichkeiten zur Intervention

Nicht selten haben Unternehmen eine Art RMP eingeführt, bei welchem Risiken nicht oder nur teilweise unternehmensweit ermittelt, bewertet und gesteuert werden. Deshalb kommt es teilweise sogar zum Ausschluss ganzer Geschäftsbereiche aus der Risikoanalyse, wobei der Fokus zumeist auf den Schwerpunkten finanzielle oder operative Risiken liegt, oder nur interne Risiken ermittelt werden. [30] Um alle bestehenden Risiken zu erfassen, welchen das Unternehmen ausgesetzt ist, hat es sich in der Praxis implementiert, mit der Stärken-Schwächen-Analyse (SWOT-Analyse) zu beginnen, bei welcher alle wesentlichen Dimensionen und Kategorien an Risiken zunächst generisch erfasst werden. [31] Oft werden hierfür Workshops und Interviews mit Schlüsselverantwortlichen durchgeführt. Die SWOT-Analyse gilt als einfaches und schnell zu adaptierendes Instrument, welches sowohl das Verständnis des RM im Unternehmen schafft, als auch die Verknüpfungen der relevanten Problemfelder in Relation zu den unternehmenseigenen Zielen aufzeigt. Das Ziel der SWOT-Analyse besteht darin, die wesentlichen internen und externen Faktoren zu identifizieren, welche einen Einfluss auf die Unternehmensentwicklung und den Unternehmenserfolg ausüben. Die aus den Workshops, Interviews, Benchmark-Analyse, sowie Informationen aus weiteren internen und externen Datenquellen gewonnenen Erkenntnisse, werden dann entsprechend der Art und Weise ihrer Risiken kategorisiert, um den entsprechenden Dimensionen im Risikomodell zugeordnet werden zu können. [32] Problematisch bei der Identifizierung von internen Risiken sind u. a. lange eingeschliffene und anscheinend bewährte Abläufe, welche die Gefahr der Betriebsblindheit beinhalten. [33] Nicht selten werden zur Objektivierung deshalb externe Moderatoren in den Identifizierungsprozess integriert, da dies die Voraussetzung für die notwendige Unbefangenheit bei der Analyse erlaubt und neue Perspektiven mit sich bringt. Dennoch gilt es zu berücksichtigen, dass die Moderatoren mit den Prinzipien des RM vertraut sein sollten und die Zielsetzung des Prozesses kennen. Gerade für die Identifikation von intern bedingter Risiken scheint es hilfreich, sich von Fragebögen leiten zu lassen, welche die relevanten Unternehmensbereiche abdecken. Hierbei sollten alle Führungskräfte zur Beantwortung der Fragen animiert werden. Informationen zu den externen Risiken lassen sich i.d.R. gut erfassen, da in fast jeder Branche ein breites Spektrum an Information bereitgestellt aus Medien und Verbänden verfügbar ist. So sind Informationen zur Veränderung der gesamtwirtschaftlichen Bedingungen bspw. über allgemein zugängliche Medien zugänglich. Wobei es wichtig erscheint, sich gezielt nach für den RMP relevanten Informationen zu erkundigen, sowie die Quellen und Glaubwürdigkeit der getätigten Aussagen zu kontrollieren. Spezifischere Informationen zur eigenen Branche und dem Markt, auf welchem das Unternehmen tätig ist, werden von Branchenverbänden, Wirtschaftsförderungsgesellschaften und den Kammern gesammelt und stehen für Mitglieder in aufbereiteter Form zur Verfügung. Bei spezifischen Fragen zur Zielgruppe offeriert sich der Einsatz von Markt Forschungsmethoden. [34]

2.3 Berücksichtigung der internen und externen Risiken bei der Erstellung eines Risikokataloges und deren Ableitung in eine Risikomatrix

Die identifizierten Risiken intern und extern, werden dann anschließend zusammen in einem sog. Risikokatalog zusammengetragen. Wie zu erwarten, gelten die in der 2. Abb. gemachten Anführungen nur als grobe Übersicht, ein solcher Katalog hat mit spezifischer Ausrichtung auf das gewählte Unternehmen und der Branche, in welcher dieses tätig ist, entwickelt zu werden. Ein erster Ansatz bildet somit die Adaption eines branchenspezifischen Risikoleitfadens unter der Konsultierung eines Risikoberaters, welcher diesen dann im späteren auf die jeweiligen Bedürfnisse des Unternehmens anpasst. Auch wenn die Erstellung einer solchen Risikoliste mit intensiver Vorbereitungszeit und benötigter Branchenkenntnis verbunden ist, gilt die Verwendung als umso zielführender, da die involvierten Personen beim Thema abgeholt und die Risiken mittels eines kleinen Aufwands noch spezifiziert werden können. [35] Die im Risikokatalog erfassten Items werden dann anschließend im Rahmen der Risikobewertung in eine Risikomatrix durch einzelne Punktmarkierungen übertragen und umfasst mehrere Zeilen und Spalten [36] Unter der Risikomatrix ist ein Instrument der Risikokommunikation zu verstehen, nach welchem Risiken entsprechend ihrem potenziellen Schaden und dessen Eintrittswahrscheinlichkeit in Achsen unterteilt werden, wobei die Wahrscheinlichkeit sowohl auf Grundlage vergangenheitsbasierter, Daten, als auch auf Basis subjektiver Einschätzungen beruhen kann. [37] Die Achse Eintrittswahrscheinlichkeit beschreibt die Wahrscheinlichkeit mit welcher das abgebildete Ereignis eintritt. Für den Zeitraum der Wahrscheinlichkeitsvorhersagen wird zumeist von einem Drei-Jahres-Rhythmus ausgegangen. Verfügt das Unternehmen über einen strategischen Planzyklus, wird dieser Zeitraum normalerweise als Basis adaptiert. Die Achse Auswirkungen beschreiben die mit dem Auftreten des Risikos für das Unternehmen verbundene Implikationen. Normalerweise wird für die Beurteilung ein finanzieller Wert angenommen, da jedoch nicht alle Effekte (externe Umweltfaktoren) vollständig finanziell zu erschließen sind, besteht die Möglichkeit diese mittels einer quantitativen Vergabe von Kennzahlen zu priorisieren. [38] Die Position der Items auf der Matrix entspricht dabei ihrer relativen Wichtigkeit resp. dem Grad des bestehenden Risikos. Während links unten in den weißen Feldern die eher weniger gefährlichen Risiken stehen, werden die gefährlichen Risiken oben rechts abgebildet. [39] Sehe 3. Abb.

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

3. Abb. Risikomatrix ohne und mit Maßnahmen. Quelle: Wanner, R. (2016), 2. Kap. 3. Abs.

Während die linke Abbildung die IST-Position des Risikos ohne Maßnahmen anzeigt, offeriert uns die rechte Abbildung, die Risikomatrix, mit den Veränderungen des Risikowertes, welcher je nach Zweck der Risikomatrix entweder die IST-Position, die IST-Position und die geplante Sollposition nach der Maßnahmenplanung, oder die Veränderung des Risikos von der Vergangenheit zur heutigen IST-Position anzeigt. [40] Fragen, welche sich bei der Übertragung der Items in die Matrix zu stellen gilt, sind u. a. Handelt es sich um ein mittleres, niedriges oder hohes Risiko? Welches Risiko muss zuerst angegangen werden. [41] Die Vergabe der Zahlen an den Achsen entsprechen hierbei folgenden Bedeutungen. 1.) Unbedeutend. 2.) Gering. 3.) Spürbar. 4.) Kritisch bzw. optimistisch. 5.) Katastrophal bzw. unerwartet positiv. [42] Viel zu selten werden neben den bestehenden Risiken, die aus diesen hervorgehenden Chancen vernachlässigt. Chancen können mit dem gleichen Verfahren wie Risiken identifiziert und bewertet werden, worauf der oben angeführte Punkt 4.) Kritisch bzw. optimistisch und Punkt 5.) Katastrophal bzw. unerwartet positiv hindeuten. Diese Polarität zwischen Chance und Risiko ermöglicht es uns, diese in einer gemeinsamen Grafik, der sog. Kombinierten Risikomatrix darzustellen, sehe 4. Abb. [43]

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

4. Abb.Kombinierte Risikomatrix für Risiken und Chancen. Quelle: Wanner, R. (2016), 3. Kap. 1. Abs.

The arrov of Attention, oder die sog. Risiko-Toleranzgrenze wird in die Risikomatrix implementiert, um aufzuzeigen, auf welchen Risiken und Chancen der Fokus des Unternehmens liegen sollte. Risiken, welche auf der linken Abbildung liegen und oberhalb der Grenze liegen, sollen nicht toleriert werden, wohingegen Risiken unterhalb der Grenze als tolerant gelten. Auf der rechten Abbildung spiegelt sich dieser Effekt. Chancen, welche oberhalb der Grenze verlaufen, gelten als erstrebenswert, Chancen, welche unterhalb der Grenze verlaufen, gelten als zu klein, um diese zu berücksichtigen. [44] Die Größe des Dreiecks dependiert daran, wie risikoavers das betreffende Unternehmen ist und wie viel Aufwand generell für das RM erbracht werden soll. Dies bedeutet, das Dreieck wird größer, je weniger risikofreudig ein Unternehmen ist, dies bedeutet jedoch auch, dass sich das Unternehmen möglichst wenig Chancen entgehen lassen möchte. Das Ziel besteht nun darin, Maßnahmen zu ergreifen, um eine individuelle Mischung aus Chancen und Risiken zu erhalten. [45] Wie bereits angeführt spielen die Ergebnisse aus der SWOT, oder STEP-Analyse und somit die externen Umweltfaktoren bei der Bewertung der Risiken eine Rolle, da diese zusammen mit den internen Faktoren dazu beitragen, die Validität des Konstruktes zu erhöhen. [46]

3.1 Grundlegende rechtliche Aspekte in Bezugnahme auf das Risikomanagement und der Risikokommunikation in deutschen Unternehmen

Grundlegend sind einige Organisationsformen, z.B. Kapitalgesellschaften mit Sitz in Deutschland dazu verpflichtet, ein Risikomanagementsystem (RMS) einzurichten und entsprechend den hierfür geltenden rechtlichen Grundlagen, aus welchen sich die Mindestanforderungen an ein solches System ableiten, dieses nach bestem Wissen und Gewissen zu betreiben. [47] Neben der Pflicht zur Führung eines RMS, welches dem Unternehmen als Führungsinstrument dient, ist auch eine dem Risikosystem entsprechende Risikopublizität gegenüber den Adressaten zu betreiben um der aus § 93 hervorgehende Sorgfaltspflicht und Verantwortlichkeit der Vorstandmitglieder, gegenüber externen Anforderungsgruppen zu entsprechen. Die Risikopublizität hat den Anspruch, die Adressaten über bestehende Risiken des Unternehmens zu informieren. Zumeist wird die Publizität aus der rechtlichen Perspektive betrachtet, nicht selten wird diese als externe Risikoberichterstattung im Lagebericht angeführt, welche als rein gesetzliche Pflicht von einer ökonomisch geprägten Analyse des RM ausgeklammert ist. [48] Hierbei hat der Inhalt des Lageberichts, resp. der Risikoberichterstattung an die schutzwürdigen Interessen der (Rechenschafts-) Adressaten zu orientieren. Ein gesetzlich berechtigter Informationsanspruch besteht hierbei vor allem für Anteilseigner, bzw. Gesellschafter, Gläubiger, Lieferanten, Dauerkunden sowie die Arbeiter eines Unternehmens. [49] Diese Pflichten, wurden als Reaktion auf einige aufsehenerregende und durch Missmanagement herbeigeführte Unternehmenskrisen gem. dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), Veränderungen am Aktiengesetz § 91 2. Abs. AktG, sowie im Handelsgesetzbuch § 289 1. Abs. (2), sowie § 315 1. Abs. (2) HGB im Jahre 1998 im deutschen Rechtsrahmen für deutsche Konzerne (unabhängig ihrer Notierung am Kapitalmarkt) kodifiziert. Aktiengesellschaften resp. mittelgroßen Kapitalgesellschaften finden gem. § 267 HGB Anwendung. [50] Aufgrund der Vielzahl an Anpassungen über die Jahrzehnte, kann bei der Lageberichterstattung von einer Evolution der gesetzgeberischen Gestaltung der Berichterstattung über die Lage der Unternehmen gesprochen werden, wobei die sukzessive Bedeutung dieser Berichte über die Jahre eine steigende Relevanz erfuhren. [51] Mit der Einführung des KonTraG wurden erweiterte Berichtspflichten eingeführt, welche sich auf den Lagebericht des Unternehmens Fokussieren. [52] Mitunter deshalb sind Konzerne gem. § 315 1. Abs. HGB dazu verpflichtet, den Geschäftsverlauf, die Geschäftsergebnisse sowie die Lage des Konzerns gem. den Inhalten aus § 289 HGB darzustellen, und zwar in einer Art und Weise, damit ein den tatsächlichen Verhältnissen entsprechendes Lagebild vermittelt wird. Wichtig erscheint hierbei, dass in diesem Konzernlagebericht, die voraussichtliche Entwicklungen mit ihren Chancen und Risiken zu beurteilen und zu erläutern sind, u. z. mit den ihnen zugrunde liegenden Annahmen. Besonders hervor treten hierbei der 2. 1. a) und b) Abs. diese umfassen weitere Aspekte, auf welche der Konzern einzugehen hat und sich direkt auf die risikospezifischen Elemente fokussieren. So haben bspw. die Risikomanagementziele und Methoden, sowie die gewählten Methoden zur Absicherung von Transaktionen im Rahmen der Bilanzierung von Sicherungsgeschäften, sowie Preisänderungen, Ausfall- und Liquiditätsrisiken, so wie Risiken aus Zahlungsstromschwankungen, welche der Konzern adaptiert etc. angeführt zu werden. [53] Die Frage danach, ab welcher Unternehmensgröße von einer Verpflichtung zur Einführung eines RMS auszugehen ist, hat den Umständen entsprechend im Einzelfall beantwortet zu werden, wobei die derzeitige Rechtsauffassung jedoch von Größenkriterien ausgeht, welche breite Teile des Mittelstandes inkludieren. [54] Unter Anspruchsgruppen verstehen wir alle internen und externen Personengruppen, die von den unternehmerischen Tätigkeiten gegenwärtig oder in Zukunft direkter oder indirekter Weise betroffen sind. [55] Diese Stakeholder lassen sich in die Kategorien intern und extern differenzieren. Während interne Stakeholder im Unternehmen beschäftigt, oder mit Eigenkapital daran beteiligt sind, versteht man unter externen Stakeholder Anspruchs- und Interessengruppen, welche ohne Betriebszugehörigkeit, z. B. durch die Vergabe von Kapital, oder in einer anderen Art und Weise mit dem Unternehmen interagieren. Bspw. Fremdkapitalgeber, Lieferanten, Kunden, Konkurrenten, Staat und Gesellschaft. [56]

3.2 Leitlinien des DSR 20 hinsichtlich der im Rahmen der externen Unternehmenskommunikation zu berücksichtigende Aspekte

Der DRS 20 stellt derzeit den neuesten branchenübergreifenden Standard des Deutschen Rechnungslegungsstandard Committee (DRSC) dar, welches den Auftrag verfolgt, Grundsätze für die ordnungsmäßige Konzernrechnungslegung zu entwickeln und den Gesetzgeber bei der Fortentwicklung der Rechnungslegung zu beraten, die Bundesrepublik Deutschland in internationalen Rechnungslegungsgremien zu vertreten und Interpretationen der internationalen Rechnungslegungsstandards im Sinn des § 315 (a) 1. Abs. HGB zu erarbeiten. [57] Bei der Konzernlageberichterstattung nach DSR 20 sind die folgenden Grundsätze zu berücksichtigen. 1.) Vollständigkeit. 2.) Verlässlichkeit und Ausgewogenheit. 3.) Klarheit und Übersichtlichkeit. 4.) Vermittlung der Sicht der Konzernleitung. 5.) Wesentlichkeit. 6.) Informationsabstufung. 7.) Konzentration auf die nachhaltige Wertschaffung. [58] Hierbei umfasst die Risikoberichterstattung Angaben zu den einzelnen Risiken, sowie eine zusammengefasste Darstellung der Risikolage, sowie für am Kapitalmarkt notierte Mutter-Unternehmen, Angaben zum RMS. Unternehmen haben über die wesentlichen Risiken, welche die Entscheidungen eines verständigen Adressaten des Konzernlageberichts (unternehmensexterne Anspruchsgruppen) beeinflussen können, zu berichten. [59] Weiterhin sind die dargestellten Risiken zu quantifizieren, was ggf. durch die interne Steuerung geschehen kann, solange die quantitativen Angaben für den verständigen Adressaten wesentlich sind. Die Risiken haben, um die Klarheit und Übersichtlichkeit des Risikoberichts zu erhöhen, entweder in einer Rangfolge geordnet oder zu Kategorien gleichartiger Risiken zusammengefasst zu werden, wobei Chancen analog den Risiken zu behandeln sind. [60] Für die Risikoberichterstattung hat sich ein Unternehmen gem. DRS 20.157 auf eine von zwei möglichen Darstellungsformen berufen. Entweder die Bruttodarstellungsform, bei welcher die Risiken vor den jeweils ergriffenen Maßnahmen in gesonderter Form dargestellt werden, oder die Nettobetrachtung. Bei letzterer Darstellungsform sind die Risiken nach Risikobegrenzungsmaßnahmen darzustellen, wobei jedoch auch hier die ergriffenen Maßnahmen in gesonderter Form dargestellt werden müssen. Werden hierbei im Rahmen der internen Risikosteuerung, die identifizierten Risiken auch quantitativ an das Management berichtet, sind diese i. S. d Management Approach verpflichtend an externe Anspruchsgruppen zu kommunizieren. Solche Risiken sind bspw. finanzwirtschaftliche Risiken, z. B. Marktpreis, Kredit- und Bonitätsrisiken, sowie rechtliche Risiken wie Bußgelder oder laufende Prozesskosten. [61] Der DRS 20 spezifiziert sich hierbei vor allem auf die Risiken, welche es im Rahmen von Kredit- und Finanzdienstleistungsinstitutionen sowie Versicherungsunternehmen im Rahmen der Risikokommunikation gegenüber externen Anspruchsgruppen im Sinne des § 1 1. Abs bzw. 1a. KWG (Kredit- und Finanzdienstleistungsinstitutionen), sowie gem. § 341 1. Abs. und 2. Abs. HGB, resp. § 341i 2. Abs. HGB (Versicherungsunternehmen) gem. § 315 1. Abs. (5) unter Berücksichtigung der allgemeinen Standardregelungen zur Risikoberichterstattung zu berücksichtigen gilt. [62] Den oben angeführten Annahmen folgend sind bei der Risikoberichterstattung von Kredit- und Finanzdienstleistungsinstituten nach A1.3. vor allem die Risikokategorien (Aspekte) a.) Adressenausfallrisiken, b.) Marktpreisrisiken, c.) Liquiditätsrisiken und d.) Operationale Risiken zu berücksichtigen. [63] Bei der Risikoberichterstattung von Versicherungsunternehmen gilt es nach A2.3. die Aspekte a.) versicherungstechnische Risiken, getrennt nach Risiken der Schaden-/ Unfallversicherung und der Lebensversicherung auszuweisen. Risiken der Krankenversicherung sind entsprechend der Art des betriebenen Geschäfts den Risiken der Schaden-/Unfallversicherung oder den Risiken der Lebensversicherung zuzuordnen, b.) Risiken aus dem Ausfall von Forderungen aus dem Versicherungs-Geschäft. c.) Risiken aus Kapitalanlagen und d.) Operationelle Risiken. [64] Nach dieser sehr branchenspezifischen Betrachtung, seitens des Konzerns zu kommunizierenden Risiken, verfügt der DRS 20 jedoch auch über sehr generische Erfordernisse zur Berichterstattung, auf welche, sofern diese zur Beurteilung der wirtschaftlichen Lage oder der voraussichtlichen Geschäftsentwicklung wesentlich erscheinen, gesondert einzugehen sind. Diese bestehen nach DRS 20.181a, in den Risikoarten, denen der Konzern aufgrund seiner gehaltenen Finanzinstrumente zum Bilanzstichtag ausgesetzt ist und erinnern an die nach § 315 2. Abs. (1) bestehende Anführungen. Weiterhin haben nach DRS 20.181b, die Risikomanagementziele für die entsprechende Risikoarten, welchen der Konzern zum Bilanzstichtag ausgesetzt ist, ausgewiesen zu werden. Gem. DRS 20.181c, sind hinsichtlich der gewählten RM-Methoden, welche auf die Abwehr der Risiken aus der Verwendung von Finanzinstrumenten resultieren, welche der Konzern eingeht, zu machen. [65] Abschließend ist anzuführen, dass die Risikoberichterstattung u. a. dem Grundsatz der Wesentlichkeit unterliegt und diese damit nicht Punkt für Punkt auf alle Risiken in sämtlichen die wirtschaftliche Lage bestimmenden Unternehmensbereiche einzugehen hat, da eine Berichterstattung über geringfügige Risiken mitunter im Widerspruch zur Warnfunktion des Risikoberichts stehen und zudem gegen den Grundsatz der Klarheit verstoßen würde. Somit sind grundsätzlich nur Risiken, welche die Vermögens-, Finanz und Ertragslage wesentlich beeinflussen resp. spürbar beeinträchtigen und über bestandsgefährdende Risiken wie Insolvenzgefahr zu berichten. [66]

4.1 Beschreibung der Unternehmensstruktur und des Unternehmensumfeldes der Porsche AG

Bei der Porsche AG handelt es sich um einen am Aktienmarkt notiertes Großunternehmens mit Sitz in Stuttgart, Deutschland, welches primär im Bereich Kraftfahrzeuge und Fahrzeugteile tätig ist und hierbei das Premium Segment beliefert. Die Gründung des Unternehmens geht ins Jahr 1931 zurück und beschäftigte zum Ende des letzten Geschäftsjahres ca. 40.000 Tausend Mitarbeiter. [67] Dieser Tage weist die Porsche AG, eine komplexe Unternehmensstruktur mit mehr als 100 Tochtergesellschaften auf. Bsp. hierfür sind z. B. die Porsche Deutschland GmbH, welche im Fahrzeuggeschäft ist, der Porsche Engineering Group GmbH, welche einer von mehreren Engineering-Services darstellt und die Porsche Consulting GmbH, welche als ein interner Consulting-Service zu verstehen ist. [68] Die relevantesten Anteilseigner der Porsche AG sind die Volkswagen AG, die Norges Bank Investment Management und T. Rowe Price Associates, Inc. (Investment Management). Der Umsatz zum Ende des letzten Jahres betrug 37.63 Mrd. EUR, bei einem Gewinn von 4.95 Mrd. EUR, wobei sich der Umsatz gegenüber dem letzten Jahr um 13,6 % erhöht hat. Die derzeitige Marktkapitalisierung beträgt 102.94 Mrd. EUR. Zur Sektor Klassifizierung des Unternehmens wird ein FactSet eigenes RBICS Sektor System verwendet. [69] Die relevantesten Einflussfaktoren auf das Marktumfeld ergeben sich sowohl aus Megatrends Bsp. Fragmentierung der Märkte, Segmentierung der Kundengruppen, Erleben wird wichtiger als Besitzen, Corporate Social Responsibility, nachhaltiger Luxus, demografischer Wandel, Urbanisierung, Digitalisierung und Vernetzung sowie Branchentrends, Bspw. Wachstumsmärkte, Alternative Antriebe, gesetzliche Verordnungen und das vernetzte Automobil. [70]

4.2 Grundlegender Aufbau des PORSCHE Risikomanagementsystems

Wie aus dem Porsche AG Konzern Geschäfts- und Nachhaltigkeitsbericht aus dem Jahr 2022 hervorgeht, erachtet es das Unternehmen für den nachhaltigen Erfolg der Organisation als entscheidend, die sich aus den unternehmerischen Tätigkeiten ergebende Risiken und Chancen frühzeitig zu erkennen und vorausschauend zu steuern. Hierbei erweist sich der verantwortungsvolle Umgang mit unternehmerischen Risiken, die zur Zielerreichung beitragen, als ebenso wichtig, wie die rechtzeitige Identifikation von Chancen zur Sicherung der Wettbewerbsfähigkeit. Deswegen kommen im Porsche AG Konzern Steuerungs- und Kontrollsysteme zum Einsatz, welche in ein umfassendes Chancen- und Risikomanagement eingebettet sind. [71] Hierbei setzen die Stuttgarter auch in rezessiven Marktphasen, sprich Zeiten knapper Budgets auf eine eigens entwickelte, integrierte RM-Plattform. Der Ausgangspunkt für dieses System hat es zum Zweck, der gestiegenen Interesse seitens des Vorstandes und anderen Stakeholdern nach quantitativer Risikobewertung entgegenzukommen. Die Grundlage des Systems bildet hierbei die höhere Belastbarkeit des Systems, durch die stochastische Modellierungen auf der Basis von internen und externen Daten. Hierfür konsolidiert das Unternehmen Risiken aller Kategorien in einem einheitlichen Risikoinventar und integriert nahtlos Steuerungssysteme, wie das Kontrollsystem und das Business-Continuity-Management-System (BCMS). Unter Verwendung einer Open-Source Lösung werden auf Basis der gesammelten internen und externen Daten, Risiko-Modelle entworfen und für alle Stakeholder leicht verständlich in Dashboards anschaulich aufbereitet. [72] Grundsätzlich ist das RMS dezentral organisiert. Hierbei bestehen neben der zentralen Risikomanagementfunktion als Methoden- und Berichtsstelle, in jeder Hauptabteilung (Entwicklung und Design, Produktion, Vertrieb und Marketing, Finanzen und Controlling, Personalwesen, Forschung und Entwicklung sowie Kundenservice), sowie in jeder Tochtergesellschaft einen dezidierten Risikomanager, welcher die Umsetzung und Einhaltung der Mindeststandards steuert. [73] Wobei der Konsolidierungskreis des RMS, jenem des Konzernabschlusses entspricht, bei entsprechender Relevanz jedoch um zusätzliche Tochterfirmen erweitert werden kann. Dem dezentralen Aufbau des RMS folgend, sind die Fachabteilung resp. Tochtergesellschaften als Risikoeigentümer für die Identifizierung, Bewertung und Steuerung der Risiken verantwortlich. Die identifizierten Netto-Risiken (Einzelrisiken), werden durch das zentrale RM und anderen wesentliche Funktionen grundsätzlich plausibilisiert und im Risk Council auf Vollständigkeit überprüft und zum jeweiligen Quartal zusammen mit der Evaluation des Gesamtrisikos an den Vorstand berichtet. Risiken, welche über große Tragweite verfügen, können über sog. Ad-hoc-Meldeprozesse außerhalb des Regelprozesses direkt an das zentrale System berichtet werden. Risiken, welche der Stufe 1 entsprechen und im Falle des Eintretens einen kumulierten Schaden größer gleich 5 Mio. € verursachen können, einen temporären negativen Einfluss auf die Reputation im betroffenen Markt oder in der betroffenen Region mit sich bringen, oder strafrechtliche Konsequenzen für mindestens einen Mitarbeiter der lokalen Gesellschaft des Porsche AG Konzerns haben, sind direkt an den Vorstand zu berichten. [74]

4.3 Phasenspezifischen Aufbaus des Porsche AG Konzern internen Risikomanagementprozesses

Auch wenn oben bereits die grundlegenden Aspekte des RMS des Porsche AG Konzerns ansatzweise modelliert wurden, gilt es dieses noch in Relation zu den einzelnen Phasen im Sinne des zuvor gewählten klassischen Ansatzes zu präzisieren. Beginnend mit der ersten Phase, jener der Identifikation von Risiken ist darauf zu verweisen, dass die Risiken auf Basis der Risikobewertung, sowie ohne Berücksichtigung der Eintrittswahrscheinlichkeit in verschiedene Risikoklassen eingeteilt werden. Eine Differenzierung der verschiedenen Risikoklassen dabei hinsichtlich des finanziellen Schadens (Nettobewertung), des Reputationsverlustes und den strafrechtlichen Konsequenzen, welche sich aus diesen ergeben. [75] Sehe 5. Abb.

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

5. Abb. Risikoklassen des Porsche Ag Konzerns. Quelle: Porsche (2022), S. 233

Grundlegend umfasst der Prozess der Risikoidentifikation, die nachfolgend angeführten Risikokategorien. 1.) Strategische Risiken: Diese ergeben sich vor allem aus der Bedrohung von Kern-Erfolgspotenzialen und umfassen u. a. Trends, neue Wettbewerber oder langfristige technologische Änderungen. 2.) Absatzrisiken: Berücksichtigen die Entwicklungen der in Zukunft möglichen Verkaufsvolumen. 3.) Versorgungsrisiken: Ergeben sich aus den Möglichkeiten einer nicht- oder Unterversorgung mit notwendigen Teilen seitens der Zulieferer, berücksichtigen jedoch auch Qualitäts- resp. Preisrisiken im Zusammenhang mit diesen. 4.) Finanzwirtschaftliche Risiken: Die vor allem aus der Unsicherheit von Wechselkursen, Zinsentwicklungen und anderen Bewegungen der Finanzmärkte resultieren. 5.) Personalrisiken: Die sich besonders aus der Motivation und Verfügbarkeit des Personals ergeben. 6.) Operative Risiken: Die aus der Unangemessenheit oder dem Versagen interner Prozesse oder Systeme resultieren. Alle eben angeführten Risikokategorien ergeben sich aus Geschäftsstrategie. Zur Begegnung der identifizierten Risiken, werden die oben erläuterten Steuerungsmechanismen der (Akzeptanz, Vermeidung, Verminderung und des Risikotransfers) adaptiert. [76] Der 6. Abb. ist eine Visualisierung der verschiedenen Risikoklassen zu entnehmen.

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

6. Abb. Risikoklasse A (Stufe 4) höchste Risikoklasse, Risikoklasse B (Stufe) 3 Quelle: PORSCHE (2022), S. 227

Im Rahmen der Risikobeurteilung, finden die wesentlichen akuten Risiken, also solche, welche mit einem über den Betrachtungszeitraum möglichen finanziellen Schaden von über 100 Mio. € aufweisen, in einem nächsten Schritt durch das RM ihre Quantifizierung. Die Quantifizierung erfolgt hierbei durch die Adaption von geeigneten Wahrscheinlichkeitsverteilungen und unter der Anwendung von IT-gestützten Simulationsverfahren mit Fokus auf Monte-Carlo-Simulationen. [77] Die Aggregation der Einzelrisiken, zur Erfassung der Gesamtrisikosituation erfolgt im Rahmen der Risikotragfähigkeitsrechnung in Gegenüberstellung zum Eigenkapital. Die Berechnung des Gesamtrisikos an sich basiert anhand des Value at Risk auf dem 99 % Konfidenzniveau für das laufende Geschäftsjahr. Sowie für die drei folgenden Geschäftsjahre, bei einer quartalsweise Berichtserstattung. [78] Dem Geschäftsbericht des Porsche AG Konzerns aus dem Jahr 2022 sind zwei Risikoklassen A der Stufe 4 zu entnehmen, diese sind die Risiken und Chancen, welche sich aus der Gasmangellage ergeben und die BCM-Risiken. Die sich aus den Risiken und Chancen aus der Gasmangellage ergeben, betreffen vor allem die Produktions- und Entwicklungsstätten des Porsche AG Konzerns und dessen Lieferanten. Somit sind die Auswirkungen des Russland-Ukraine-Konflikts direkt spürbar. Zusätzlich gefährden die Preissteigerungen und gesetzlich vorgegebenen Sparmaßnahmen das Lieferantennetzwerk und damit die Teilversorgung. Neben der Versorgungsunsicherheit auf den deutschen Strommärkten, welche sich durch die Gasmangellage ergibt, verstärkt sich dieser Trend durch weitere Faktoren, wie z. B. die Abschaltung von Atomkraftwerken und die im europäischen Ausland bestehende Wasserknappheit. Porsche richtete vor allem für das Szenario einer Stromunterversorgung währen den Wintermonaten und einem sich anbahnenden Worst-Case-Szenario (Produktionsstillstand durch Stromunterversorgung) eine eigene Taskforce ein und hofft auf eine sich baldige positivere Entwicklung der politischen, makroökonomischen und wetterbedingten Entwicklung, welche eine Entspannung auf dem Gebiet der Gas- und Stromversorgung und der damit zusammenhängenden positiven Effekte aus der Versorgungs- und Kostenseite mit sich bringen. Bei den BCM-Risiken stehen vor allem Ausfallrisiken aufgrund von höherer Gewalt oder anderen unvorhergesehenen Ereignissen im Fokus der Betrachtung. Bspw. Pandemie, Brand, Hochwasser, Cyber-Angriffe, wobei die präventive Absicherung kritischer Ressourcen, z. B. IT-Applikationen, Mitarbeitern oder Gebäude, über das BCMS erfolgt. Hierbei wird die bestehende Absicherung der IT-Infrastruktur gegen das Risiko von Systemausfällen und Prozessbeeinträchtigungen an die möglichen Bedrohungsszenarien angepasst. Die Umsetzung aller Maßnahmen, welche mit erheblichen IT-Aufwänden verbunden sind, ist in einem, voraussichtlich bis 2026 dauernden Programm verankert. [79] Zusammenfassend ist die im Geschäftsbericht betriebene Kommunikation an externe Anspruchsgruppen als holistisch und dem deutschen Recht entsprechend zu beurteilen.

Literaturverzeichnis

Angermeier, G. (2016), Risikokatalog. Verfügbar unter https://www.projektmagazin.de/methoden/risikokatalog , abgerufen am 20.7.2023

Berger, T. Risikomanagement in Deutschland. (2. Aufl.). Titel – NR. 0946-02. SRH-Fernhochschule- The Mobile University, Riedlingen.

Canfora, C. & Ottmann, A. (2017), Risikomanagement. Verfügbar unter https://www.researchgate.net/publication/310625657_Risikomanagement , abgerufen am 20.7.2023

Comdirect (2023), DR:ING:H:C:F:PORSCHE VZOI Vorzugsaktie. Verfügbar unter https://www.comdirect.de/inf/aktien/DE000PAG9113 , abgerufen am 23.7.2023

Deutsches Rechnungslegungsstandard Committe [DRSC] (2014), Deutscher Rechnungslegungs Standard Nr. 20 (DRS 20)*. Verfügbar unter https://www.drsc.de/app/uploads/2017/02/120928_DRS_20_near-final.pdf , abgerufen am 21.7.2023

Dobler, M. (2005), Zur Verbindung von Risikomanagement und Risikopublizität. Prozess, Regulierung, Empirie. Controlling und Management, 49, S. 144-152.

Ernst & Young [EY] (2023), EY zeichnet erstmals die Standardsetter für modernes Risikomanagement aus. Verfügbar unter https://www.umweltdialog.de/de/management/CSR-Strategie/2023/EY-zeichnet-erstmals-die-Standardsetter-fuer-modernes-Risikomanagement-aus.php , abgerufen am 23.7.2023

Gleißner, W. (c.) (2023), Risikoaggregation. Verfügbar unter https://www.haufe.de/finance/haufe-finance-office-premium/risikoaggregation_idesk_PI20354_HI1070761.html , abgerufen am 17.7.2023

Gleißner, W. (2021), Risikoaggregation. Verfügbar unter https://www.controlling-wiki.com/de/index.php/Risikoaggregation , abgerufen am 17.7.2023

Gleißner, W. (2017), Rating, Risikomanagement und die Bewertung von Ratingstrategien. Titel – NR. 1310-01. SRH-Fernhochschule- The Mobile University, Riedlingen.

Gleißner, W. (2001), Ratschläge für ein Leistungsfähiges Risikomanagement. Verfügbar unter https://www.risikomanagement.info/Ratschlaege-fuer-ein-leistungsfaehiges-Risikomanagement.300.0.html , abgerufen am 16.7.2023

Gulden, T. (2003), Risikoberichterstattung in den Geschäftsberichten der deutschen Automobilindustrie. Verfügbar unter https://www.hs-pforzheim.de/fileadmin/user_upload/uploads_redakteur/Die_Hochschule/Oeffentlichkeit/05.Publikationen/Beitraege/Nr108.pdf , abgerufen am 22.7.2023

Günther, E. (2018), Risikomatrix. Ausführliche Definition im Online-Lexikon. Verfügbar unter https://wirtschaftslexikon.gabler.de/definition/risikomatrix-52417/version-275555 , abgerufen am 20.7.2023

HaushaltsSteuerung (2023), Risiko. Verfügbar unter https://www.haushaltssteuerung.de/lexikon-risiko.html , abgerufen am 18.7.2023

Hunziker, S. (2022), Risikomanagement im Unternehmen. Moderne Ansätze im Umgang mit Risiko und Ertrag. Wiesbaden: Springer Fachmedien. ISBN 978-3-658-38846 https://doi.org/10.1007/978-3-658-38847-8

Ionos (2018), Stakeholder- kennen Sie ihre Anspruchsgruppen? Verfügbar unter https://www.ionos.de/startupguide/gruendung/stakeholder/ , abgerufen am 21.7.2023

Jung, S. (2018), Der Kreislauf des Risikomanagements. Verfügbar unter https://www.braintool.com/blog/der-kreislauf-des-risikomanagements/ , abgerufen am 18.7.2023

Kaack, J. (2023), Verlässliche Informationen bilden die Basis. Verfügbar unter https://www.mittelstandswiki.de/wissen/Risiken_identifizieren/#Externe_Risiken , abgerufen am 19.7.2023

KMU-Portal für kleine und mittlere Unternehmen [KMUP] (2020), Risikoidentifikation und Risikobewertung. Verfügbar unter https://www.kmu.admin.ch/kmu/de/home/praktisches-wissen/finanzielles/risikomanagement/wie-fuehrt-man-ein-risikomanagementsystem-ein/risikoidentifikation-und-risikobewertung.html , abgerufen am 19.7.2023

KPMG (2013), DRS 20- Die Neuregelungen zur Konzernlageberichterstattung. Verfügbar unter https://assets.kpmg.com/content/dam/kpmg/pdf/2013/04/IFRS_DRS20__260213_sec_final.pdf , abgerufen am 22.7.2023

MODU learn (2023), Risikomanagement: Die wichtigsten Beispiele für interne und externe Risiken. Verfügbar unter https://www.modu-learn.de/verstehen/management/risikomanagement/ , abgerufen am 18.7.2023

Müller, S. (2021), Regeln für den Risiko und Chancenbericht. Verfügbar unter https://www.haufe.de/finance/jahresabschluss-bilanzierung/die-auswirkungen-des-drs-20-auf-den-lagebericht/regeln-fuer-den-risiko-und-chancenbericht_188_206336.html , abgerufen am 22.7.2023

Peterjohann, H. (2014), Die Risikomatrix. Verfügbar unter https://www.peterjohann-consulting.de/risikomatrix/ , abgerufen am 20.7.2023

PORSCHE (2022), Geschäfts- und Nachhaltigkeitsbericht (MOMENTUM) (2022), Verfügbar unter https://newsroom.porsche.com/de/unternehmen/porsche-geschaefts-und-nachhaltigkeitsbericht-2021/download-center.html , abgerufen am 23.7.2023

PORSCHE (2013), Controlling in einem zunehmend volatilen Geschäftsumfeld. Verfügbar unter https://www.icv-controlling.com/fileadmin/Wissen/Vortrag/Controlling_in_einem_zunehmend_volatilen_Geschäftsfeld_Vortag_Volatilität.pdf , abgerufen am 23.7.2023

Projektmagazin (2022), Risikomanagement (Risk Management). Verfügbar unter https://www.projektmagazin.de/glossarterm/risikomanagement , abgerufen am 16.7.2023

Rohlfs, T. (2020), Grundlagen zum Risikomanagementprozess. Verfügbar unter https://solvency-kompakt.de/files/print/sii-kompakt_risikomanagementprozess.pdf , abgerufen am 16.7.2023

Romeike, F. (2008), Rechtliche Grundlagen des Risikomanagements. Haftungs- und Strafvermeidung für Corporate Compliance. Berlin: ISBN 978-3-503-10647-9 Verfügbar bar unter https://www.risknet.de/fileadmin/eLibrary/Leseprobe-2007-Romeike-Rechtliche_Grundlagen-RM.pdf , abgerufen am 21.7.2023

Roterberg, M. (2023), Wie Sie systematisch eine Risikoidentifizierung durchführen können. Verfügbar unter https://tipps4gruender.de/risikoidentifizierung#:~:text=Interne%20Risiken%20sind%20durch%20das,des%20Einflusses%20des%20Vorhabens%20(z ., abgerufen am 19.7.2023

Schneck, O. (2010), Risikomanagement. Grundlagen, Instrumente, Fallbeispiele. Weinheim: WILEY-VCH Verlag & Co. KGaA. ISBN 978-3-527-50543-2

Schreiber, C. (a.) (2023), Mit Risikomanagement immer auf Kurs- wie Unternehmen Frühzeitig Risiken vermeiden und Chancen besser ergreifen können- Teil 1. Verfügbar unter https://plenovia.de/mit-risikomanagement-immer-auf-kurs-wie-unternehmen-fruehzeitig-risiken-vermeiden-und-chancen-besser-ergreifen-koennen-teil-1 , abgerufen am 16.7.2023

Schreiber, C. (b.) (2023), Mit Risikomanagement immer auf Kurs- wie Unternehmen Frühzeitig Risiken vermeiden und Chancen besser ergreifen können- Teil 2. Verfügbar unter https://plenovia.de/mit-risikomanagement-immer-auf-kurs-wie-unternehmen-fruehzeitig-risiken-vermeiden-und-chancen-besser-ergreifen-koennen-teil-2 , abgerufen am 17.6.2023

Schreiber, C. (c.) (2023), Mit Risikomanagement immer auf Kurs- wie Unternehmen Frühzeitig Risiken vermeiden und Chancen besser ergreifen können- Teil 3. Verfügbar unter https://plenovia.de/mit-risikomanagement-immer-auf-kurs-wie-unternehmen-fruehzeitig-risiken-vermeiden-und-chancen-besser-ergreifen-koennen-teil-3 , abgerufen am 18.7.2023

Schwab, R. (2015), Risiken identifizieren, beurteilen und überwachen mit der STEP-Analyse. Verfügbar unter https://www.projektmagazin.de/artikel/risiken-identifizieren-beurteilen-und-ueberwachen-mit-der-step-analyse-teil-2_1099823 , abgerufen am 20.7.2023

Schwarz, T. (2023), Risikosteuerung. Verfügbar unter https://sgbs.ch/publication/grundlagen-des-geschaeftsrisiko-managements-in-kreditinstituten , abgerufen am 17.7.2023

Seidel, U. M. (a.) (2021), Risikomanagement: Grundlagen und Aufbau. Verfügbar unter https://www.haufe.de/finance/haufe-finance-office-premium/risikomanagementsystem-grundlagen-und-aufbau_idesk_PI20354_HI2707284.html , abgerufen am 16.7.2023

Seidel, U. M. (b.) (2021) Risikomanagement: Grundlagen und Aufbau./ 3.5 Risikosteuerung und -überwachung. Verfügbar unter https://www.haufe.de/finance/haufe-finance-office-premium/risikomanagementsystem-grundlagen-und-aufbau-35-risikosteuerung-und-ueberwachung_idesk_PI20354_HI2711377.html , abgerufen am 17.7.2023

Senn-Hübscher, M. R. S. (2022), Übersichtsdokument-Risikoanalyse. Verfügbar unter https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&ved=2ahUKEwicr6zkzpmAAxUzSvEDHRFxBPQQFnoECA8QAQ&url=https%3A%2F%2Fwww.hslu.ch%2F-%2Fmedia%2Fcampus%2Fcommon%2Ffiles%2Fdokumente%2Fw%2Fw-ibr%2Fintegrales-risikomanagement%2Fchecklisten%2Fuebersichtsdokumente%2F2vanalyse.pdf%3Fla%3Dde-ch&usg=AOvVaw0k2vOig1SomklTNDLDAGC0&opi=89978449 , abgerufen am 19.7.2023

Thommen, J. P. (2018), Anspruchsgruppen. Verfügbar unter https://wirtschaftslexikon.gabler.de/definition/anspruchsgruppen-27010 , abgerufen am 21.7.2023

Wanner, R. (2016), Kennen Sie die Risikomatrix wirklich? Verfügbar unter https://rolandwanner.ch/kennen-sie-die-risikomatrix/ , abgerufen am 20.7.2023

Wanner, R. (2015), Der Unterschied zwischen internen und externen Risiken bei Projekten. Verfügbar unter https://rolandwanner.ch/interne-und-externe-risiken-bei-projekten/ , abgerufen am 19.7.2023

Weber, J. (a.) (2016), Risiko. Verfügbar unter https://wirtschaftslexikon.gabler.de/definition/risiko-44896 , abgerufen am 23.4.2023

Weber, J. (b.) (2016), Wagnisse. Verfügbar unter https://wirtschaftslexikon.gabler.de/definition/wagnisse-47400 , abgerufen am 23.4.2023

wlw (2023), Supply Chain Risikomanagement: Darauf müssen Sie achten. Verfügbar unter https://www.wlw.de/de/inside-business/praxiswissen/einkaeufer-ratgeber/supply-chain-risikomanagement , abgerufen am 18.7.2023

Rechtsquellenverzeichnis

Aktiengesetz (AktG) | Verfügbar unter https://www.gesetze-im-internet.de/aktg/

§ 91 | Organisation. Buchführung

§ 93 | Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder

Gesetz über das Kreditwesen (Kreditwesengesetz -) KWG | Verfügbar unter https://www.gesetze-im-internet.de/kredwg/__1.html

§ 1 | Begriffsbestimmungen

Handelsgesetzbuch (HGB) | Verfügbar unter https://www.gesetze-im-internet.de/hgb/

§ 267 | Umschreibung der Größenklassen

§ 289 | Inhalt des Lageberichts

§ 315 | Inhalt des Konzernlageberichts

§ 341 | -