Holistische Konzeption und rechtliche Dimensionen des Risikomanagements

Abkürzungsverzeichnis............................................................................. 1

1.1 Bedeutung und Versuch einer Definition des Risikobegriffes............ 2

1.2 Einführung in das Risikomanagement........................................... 3

1.3 Wesentliche Bestandteile des Risikomanagementprozesses........... 4

1.4 Identifikation von Risiken............................................................. 5

1.5 Bewertung von Risiken................................................................ 6

1.6 Aggregation von Risiken............................................................... 8

1.7 Steuerung von Risiken................................................................. 9

1.8 Kontrolle und Berichtserstattung von Risiken............................... 11

2.1 Grundlegende Vorgedanken zum Aufbau eines Risikomanagementsystems................................................................. 12

2.2 Der Risikomanagementansatz als holistische Konzeption.................. 14

2.3 Rechtliche Dimensionen eines Risikomanagementsystems............... 16

3.1 Grundlagen des Entscheidungsprozesses........................................ 19

3.2 Rolle des Ratings im strukturierten Entscheidungsprozess................. 23

Literaturverzeichnis............................................................................ 25

Abkürzungsverzeichnis

bsph. beispielshalber

bspw. beispielsweise

bzw. beziehungsweise

ca. circa

etc. et cetera

ggf. gegebenen Falls

i.d.R. in der Regel

PA-Theorie Principal-Agent-Theorie

resp. respektive

RM Risikomanagement

RMS Risikomanagementsystem

sog. sogenannte

u. a. unter Anderem

uvm. und viele mehr

u. z. und zwar

z. B. zum Beispiel

1.1 Bedeutung und Versuch einer Definition des Risikobegriffes

Historisch betrachtet haben wir wohl schon seit Menschengedenken mit Risiken zu hantieren. Bereits in der Antike diente die potenzielle Aussicht auf Macht, Geld und Ruhm einzelnen Individuen, sowie ganzen Nationen als Antrieb für heroische Errungenschaften und grausame Schandtaten. Das Geschäft zur Beantwortung der Frage danach, ob einem das Schicksal bei anstehenden Unternehmungen denn hold ist, wandelte sich dabei im Laufe der Zeit von einer monistischen auf Schicksal, Mythen und Sagen basierendem Ansatz, wie er etwa im Alten Griechenland z.B. bei der Phytia um die Priester des Apollons im antiken Griechenland, welche auserwählten (König von Theben-> Ödipus, oder Alexander dem Großen) im Austausch gegen Gefälligkeiten den Willen der Moiren, oder den Nornen aus der Edda um die Nordisch germanischen Mythologie, sowie anderen altertümlichen Gesellschaftsformen anzutreffen sind, hin zu einem auf Logik und Wahrscheinlichkeiten basierenden mathematischen Ansatz, den der Mensch durch sein Tun und Handeln gezielt beeinflussen zu vermag. [1] An die Stelle der alten Orakel, Seher und Schicksalsgötter treten nunmehr Big Data, Datenanalysen, Predictive Analytics und Prescriptive Analytics. Wie Romeika anführt, differenzieren sich die Risiken, welche in unserer modernen und vernetzen Welt vorherrschen u. a. dadurch von denen vorheriger Generationen, da sie um ein vielfältigeres größer und vielschichtiger sind. [2] Der Versuch zur Bestimmung einer Risikodefinition wird im Rahmen dieser Ausarbeitung insoweit behindert, als es verschiedene Ansätze gibt, welchen wir folgen können. Alternativen bestehen im Allgemeinen in einem Management orientierten oder dem Statistik, Theorie der Unternehmen und Entscheidungstheorie folgenden Ansatz. Wir folgen im Weiteren dem Management orientierten Ansatz, welches das Risiko als kalkulierbares Wagnis erachtet, womit dieses als natürlicher Bestandteil einer Unternehmung zu erachten ist, da alle wirtschaftlichen Handlungen mit begleitenden Gefahren verbunden sind und uns dieser definitorische Ansatz in direkter Verbindung mit dem Risikomanagement (RM) steht. [3]

1.2 Einführung in das Risikomanagement

Wie Gleißner anführt, ist die Zukunft um die Wirkung von Handlungen im privaten, sowie auch im wirtschaftlichen Kontext als keinesfalls vorhersehbar zu konnotieren. Dies stellt uns alle vor ein großes Problem, denn (Unternehmerisches) Handeln ist ohne Risiken nicht möglich. Da wir jedoch auf der einen Seite unternehmerisch aktiv werden müssen, um unser sozioökonomisches Überleben zu sichern, jedoch auf der anderen Seite darauf angewiesen sind, hierfür nicht selten unter (Druck), angemessene Entscheidungen treffen zu müssen, benötigen wir Hilfsmittel, die Organisationen dabei so gut wie es nur geht unterstützen. Genau an dieser Stelle wird für Unternehmen das RM interessant. [4] Im Weiteren der Annahme folgend, dass alle Unternehmen unter Unsicherheit agieren, besteht die zentrale Herausforderung für das Management nach Mahnke und Rohlfs nunmehr darin herauszufinden, wie groß die Unsicherheit (Wagnis) im Rahmen der unternehmerischen Tätigkeit werden darf und wie viel Risiko das Unternehmen bereit ist einzugehen. [5] Nach Hunziker und Meissner nimmt das moderne Verständnis von RM einen ganzheitlichen, strategiebezogenen Ansatz ein und wird dabei oft als holistisch integriertes RM resp. als Enterprise-Risk-Management (ERM bezeichnet). [6] Wir definieren dieses der Einfachheit halber wie folgt: „Modernes RM ist ein Unternehmensweit abgestimmter Prozess, mit dem Unternehmen alle Schlüsselkriterien identifizieren, bewerten und aktiv steuern, um Unternehmenswerte für alle Anspruchsgruppen zu generieren.“ [7] Die offizielle im Deutschen Rechnungslegungsstandard 20 (DRS20) angeführte Definition lautet die „Gesamtheit aller Reglungen, die einen strukturierten Umgang mit Risiken oder mit Chancen und Risiken im Unternehmen bzw. Konzern sicherstellen.“ [8] In beiden definitorischen Herleitungen kommt dem RM die Aufgabe zu dem Unternehmen mittels Transparenz eine ausreichende Übersicht über die jeweilige Risikosituation im Unternehmen mittels Risikocontrolling zu verschaffen, dies inkludiert im Weiteren auch das Ertrag-Risiko-Profil des Unternehmens unter Berücksichtigung von Risikosteuerung zu optimieren. Während das RM aus Sicht des strategischen Managements vor allem auf die Schaffung eines robusten Unternehmens mit einem für die Eigentümer akzeptablen Insolvenzrisiko und (Credit-) Rating, sowie einer akzeptablen Ertragsvolatilität abzielt, erweist sich die perspektivische Sicht seitens des Controllings auf das RM vor allem bei der Schaffung von Transparenz im Rahmen der Planungssicherheit und der Reduzierung von Planabweichungen als effizient. Wie Gleißner abschließend anführt, ist die Analyse von Chancen und Gefahren (Risiken) als Aufgabe bei der Vorbereitung unternehmerischer Entscheidungen zu verstehen und als absolut notwendig zu konnotieren. [9]

1.3 Wesentliche Bestandteile des Risikomanagementprozesses

Unter gutem resp. effizientem RM ist hierbei mehr als das (selbstverständliche) Einhalten gesetzlicher Vorschriften und Normen zu verstehen, die wir etwa im Aktienkontroll- oder Transparenzgesetz vorfinden und geht weit über den Abschluss von Versicherungen oder der Erstellung von Notfallplänen hinaus. Wie oben bereits angeführt stellt dieses einen umfassenden Prozess der Identifikation, Bewertung, Aggregation, Überwachung sowie der gezielten Steuerung aller sich auf ein Unternehmen auswirkenden Risiken dar, welche über das Potenzial verfügen, Abweichungen von den identifizierten Zielen auslösen zu können. [10] Diese Ziele resp. Unternehmensziele werden aus den ex ante definierten Geschäftsstrategien extrahiert. Dabei hängt das Erreichen besagter Ziele von unterschiedlichen Faktoren ab, die z. T. durch externe Umwelteinflüsse bedingt sind. Alle für ein Unternehmen erkennbare Risiken werden dann unter Berücksichtigung von Wesentlichkeitsgesichtspunkten festgelegt. Dies inkludiert auch, wie die generelle Bereitschaft Risiken einzugehen (Risikobereitschaft) im Rahmen der (Risikotoleranz) des Unternehmens auszusehen hat. Die eben angeführte Definition der Unternehmensziele, sowie die einzelnen Aspekte der Risikostrategie resp. Toleranz sind dabei dem eigentlichen Risikomanagementprozess vorgelagert. [11] Auf die Frage danach, wie sich ein Risikomanagementprozess für Unternehmen im Details auszugestalten ist, gibt es in der Literatur einige Ansätze, wir folgen in dieser Ausarbeitung einem klassischen Ansatz. Grundlegend beginnen die meisten Ansätze mit der Analyse des Risikos, wozu im ersten Schritt auch die Identifikation von besagten Risiken gehört, versuchen anschließend, die Risiken gezielt im Sinne der Risikosteuerung zu beeinflussen und durch Kontrollmaßnahmen (Risikokontrolle) auf einem gewünschten Niveau zu halten, haben jedoch im Weiteren auch auf eine umfassende Berichtserstattung zur Dokumentation Wert zu legen. Zusammenfassend besteht die Risikoanalyse somit aus der Identifizierung, Beurteilung und Bewertung von potenziellen Unternehmensrisiken, sowie deren Aggregation. [12] Der gesamte Prozess des RM wird durch die folgende 1. Abb. eindrücklich visualisiert. Wie zu observieren, handelt es sich bei dem Prozess nicht um ein einmaliges, sondern viel mehr um ein repetitives Prozedere.

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

1. Abb. Risikomanagementprozess. Quelle: Rohlfs, T. (2020), S. 4

1.4 Identifikation von Risiken

Die Identifikation der Risiken stellt nicht ohne Grund den Beginn des RM dar. Der oberen Annahme, dass sich Risiken aus der Geschäftsstrategie, sowie allen operativen Tätigkeiten ergeben folgend, besteht das Ziel darin, die frühzeitige Erkennung von diesen zu fördern, um das Hauptziel, den Fortbestand der Gesellschaft zu sichern zu erfüllen. Dies beinhaltet nach Rohlfs eine möglichst vollständige Erfassung aller Risikobereiche, Risikoursachen und Risikoobjekte. [13] Wie Schneck anführt, sind bevor angemessene Maßnahmen zur Risikosteuerung ergriffen werden können, zunächst die bestehenden Risiken und Chancen hinsichtlich ihrer Potenziale zu identifizieren. [14] Dies setzt ein systematisch, strukturiertes und auf die wesentlichen Aspekte fokussiertes Vorgehen voraus. Bei der Identifikation der Risiken können nach Gleißner Arbeitsprozessanalysen, Workshops, Benchmarks oder Checklisten adaptiert werden. [15] Eine grundlegende Kategorisierung der Methoden zur Risikoidentifizierung kann in die Kategorien Managementmethoden und Unterstützende Methoden zur Informationssammlung geschehen. Während unter Managementmethoden eher reine Analyseansätze verstanden werden, die im Unternehmen zur Aufdeckung von Risiken wie auch zur Bildung der Geschäfts- und Risikostrategie Anwendung finden, Bsp. (Wertschöpfungsketten, SWOT-Analysen, Benchmarks usw.), eignen sich Kollektion- und Suchmethoden wie Checklisten, Dokumentenanalyse, Fehlerbaumanalysen, oder Szenariotechniken vor allem dafür um den Managementprozess Informationsbedingt zu unterstützen. [16] Der Einsatz von verschiedenen Kreativitätstechniken wie Brainstorming, die Six Thinking Hats, oder das World Cafe helfen ebenfalls dabei, die Qualität der Ergebnisse zu steigern. [17] Im Rahmen dieser Verfahren ist die Risikoidentifizierung danach bestrebt mittels der Suche und Bestimmung aller Einzelrisiken, sowie der Bildung von Risikogruppen und -kategorien zu determinieren, um diese anschließend hinsichtlich ihrer Ausmaße und Auswirkungen der Risikoarten resp. -gruppen bestimmen zu können und diesen ihre entsprechende Bedeutung beizumessen. [18] Nach Gleißner haben sich bei der praktischen Bestimmung von Risiken vor allem die drei Quellen Strategie und strategische Risiken, Controlling, operative Planung und Budgetierung, sowie Risikoworkshops (Risk Assessment) zur Bestimmung von Leistungsrisiken als wesentlich herausgestellt. [19] In Relation zur strategischen Unternehmensplanung hat sich ein Unternehmen über seine maßgeblichen Erfolgspotenziale resp. Kernkompetenzen interne Stärken, sowie für Kunden wahrnehmbare Wettbewerbsvorteile bewusst zu werden. Nach Gleißner können die wichtigsten strategischen Risiken dadurch identifiziert werden, indem Unternehmen ihre wichtigsten Erfolgspotenziale systematisch nach dem Bedrohungsgrad untersuchen, welche diese ausgesetzt sind. Aus der Perspektive des Controllings, der Unternehmensplanung und Budgetierung führen Annahmen über bestimmte Determinanten, die sich aus internen und externen quantitativen Faktoren wie bsph. der Konjunktur, den Wechselkursen oder Erfolgen bei Vertriebsaktivitäten ergeben zum langfristigen Erfolg, dabei verfügen alle unsicheren Planannahmen über ein Risiko im Sinne der Wahrscheinlichkeit des Auftretens von Planabweichungen. Gerade Risiken die sich aus Leistungserstellungsprozessen (operative Risiken), rechtliche und politische Risiken und Risiken aus Unterstützungsprozessen ergeben, lassen sich sehr präzise in kritischen Diskussionen im Rahmen von Workshops erfassen. [20]

1.5 Bewertung von Risiken

Wurden die Risiken im ersten Schritt identifiziert, erscheint es nunmehr notwendig, diese Risiken hinsichtlich einer Bewertung im Hinblick ihrer Auswirkung auf den Unternehmenserfolg zu unterziehen. [21] Angermeier bezeichnet die quantitative Bewertung als die wohl schwierigste Aufgabe des RM. [22] Das erklärte Ziel der Risikobewertung besteht darin, die Ausmaße und Auswirkungen der Risikoarten resp. Gruppen zu bestimmen, sowie diesen ihre entsprechende Bedeutung beizumessen. Relevant erscheint es hier, dass von den, als Risiken identifizierte ausgehende Gefahrenpotenzial transparent zu machen, sowie deren Wirkung offenzulegen. Hierbei erscheint die Festlegung von sog. Wesentlichkeitsgrenzen als angebracht, wobei es zu berücksichtigen gilt, dass es Risiken gibt, die sich besser quantitativ als qualitativ und vice versa bewerten lassen. [23] Der Prozess der Beurteilung vollzieht sich unter Adaption der vom Unternehmen bestimmten Risikokriterien. Zu diesen zählen u. U. anfallende Kosten, Leistungen, rechtliche Auflagen, sozioökonomische und umweltmäßige Faktoren, Anliegen der Stakeholder usw. Somit dient die Risikobewertung zur Entscheidung über die Risikosignifikanz des Unternehmens, sowie der Frage nach der Akzeptanz oder Behandlung resp. Steuerung (Risikosteuerung) jedes spezifischen Risikos und zur Bestimmung des einzelnen Risikokapitalbedarfs als Basis für die sich daran adaptierende Aggregation zur Ermittlung eines Kapitalbedarfs. [24] Die Quantifizierung eines Risikos sorgt zunächst dafür, dass dieses durch eine geeignete mathematische Verteilungsfunktion beschrieben wird. Häufig auftretende Quantifizierungen geschehen hierbei durch sog. Binomialverteilungen (digitale Verteilung). Beispiele für solche sind z. B. Eintrittswahrscheinlichkeit oder Schadenshöhe. Manche Risiken hingegen, welche mit unterschiedlicher Wahrscheinlichkeit verschiedene Höhen erreichen können, werden durch andere Verteilungsfunktionen bsph. eine Dreiecksverteilung mit Mindestwert, oder dem wahrscheinlichsten Wert resp. Maximalwert bzw. einer Normalverteilung mit Erwartungswert und Standardabweichung besser beschrieben Bsp. für solche sind z. B. Abweichungen bei Instandhaltungskosten oder Zinsaufwendungen. [25] Methoden, welche sich im ersten Schritt der Risikobewertung empfehlen sind Relevanzeinschätzungen, Scoring-Modelle, ABC/XYZ-Analysen und Ratings, diese dienen vor allem zur Verdichtung der unterschiedlichen Risikoaspekte und zur Reduzierung der Komplexität auf die realen Gegebenheiten resp. der Trennung von wesentlichen und unwesentlichen Risiken. Nicht selten werden die Risiken mittels eines Ratings in eine Reihenfolge gebracht. [26] Um alle Risiken effizient hinsichtlich ihrer Bedeutung miteinander vergleichen zu können, wird ein geeigneter Risikoindex, resp. ein Risikomaß benötigt. Z. B. der Value-at-Risk oder Expected Shortfall. Für die Bewertung eines Risikos empfiehlt es sich an in der Vergangenheit tatsächlich eingetretenen Risikowirkungen (Schäden), an in der Branche etablierten Benchmarks, oder an selbst erstellten realistischen Schadensszenarien zu orientieren. [27] Im zweiten Schritt werden dann zumeist nur noch die Risiken intensiver untersucht, welche nach dem Filterungsprozess des ersten Schrittes hinsichtlich der Relevanz für das Unternehmen übrig blieben, dies geschieht durch die Quantifizierung durch die Adaption unter Hilfenahme statistischer Methoden und der oben angeführten eindeutigen definierten Risikogrößen. Etablierte Methoden für die Quantifizierung und die Bewertung des Risikoausmaßes sind die Risikomatrix, Wahrscheinlichkeitsverteilungen sowie Sensitivitäten resp. Stresstests und Szenariotechniken. [28]

1.6 Aggregation von Risiken

Unter Aggregation verstehen wir im Sinne der Wirtschaftstheorie und im Rahmen dieser Ausarbeitung die „Zusammenfassung mehrerer Einzelgrößen hinsichtlich eines gleichartigen Merkmals, um Zusammenhänge zu gewinnen.“ [29] Z. B. dem Eintreten einer Risikowahrscheinlichkeit im Rahmen des RM. Somit verstehen wir unter Risikoaggregation nach Gleißner die Bestimmung des Gesamtrisikoumfangs, ausgehend von bekannten Einzelrisiken einer Risikoanalyse unter Beachtung von Abhängigkeiten und möglichen Kombinationseffekten. [30] Für die Aggregation von Risiken im Kontext der Unternehmensplanung werden multivariate Simulationsverfahren wie die (Monte-Carlos-Simulation, das Varianz-Kovarianz-Modell oder historische Simulationen) benötigt. Die eben genannten Verfahren helfen bei der Bestimmung des Gesamtrisikoumfangs, welcher im Weiteren für die Ableitung des Eigenkapitalbedarfs und für eine präzisere Fundierung von Ratings für den Risikoadjustierten Kapitaleinsatz grundlegend sind. [31] Da Risiken anders als z. B. Kosten, bis auf wenige Ausnahmen – nicht addierbar sind und die Monte-Carlo-Simulation bei der Risikoaggregation eine große repräsentative Anzahl risikobedingter möglicher Zukunftsszenarien berücksichtigt, wird es im Rahmen der Häufigkeitsverteilung ermöglicht, eine realistische Bandbreite über zukünftige Kenngrößen wie Cashflows, Gewinne und Erträge aufzuzeigen und Planungssicherheit zu gewährleisten sowie den Umfang von möglichen Planabweichungen akkurat darzustellen. [32] Die Ermittlung des gesamten Risikokapitalbedarfs und die sich an diesen inkludierende Frage danach, wie das eruierte Risiko letztlich auch durch das Unternehmen getragen werden kann, erweisen sich hier als fundamental und wird durch die Risikotragfähigkeit als Wert repräsentiert. Diese beschreibt die Fähigkeit, Verluste aus Risiken zu absorbieren, ohne dass aus diesen eine direkte Gefahr für die Existenz des Unternehmens entsteht. Die 2. Abb. zeigt die Formel zur Berechnung der Risikotragfähigkeit, welche in Relation zur jeweils bestehenden Rechnungs- und Bilanzierungsgrundlage zu ökonomischen, ratingbezogenen oder Aufsichtsrechtlichen Zwecken ermitteln ist. [33]

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

2. Abb. Ermittlung der Risikotragfähigkeit. Quelle: Rohlfs. W. (2020), S.8

1.7 Steuerung von Risiken

Die St. Gallen Business School konnotiert die Risikosteuerung als den Kern des RM. Eine definitorische Annäherung geschieht hierbei, indem die Risikosteuerung die zuvor identifizierten und bewerteten Risiken mittels geeigneten Risikobewältigungsstrategien/-Maßnahmen im Sinne der Risikostrategie aktiv beeinflussen. [34] Neben den aktiven Strategien resp. Maßnahmen zur Minderung oder dem Transfer übernommener Risiken zählt die passive Risikovorsorge ebenfalls zur Risikosteuerung. [35] Die 3. Abb. und 1. Tab offeriert uns einen Überblick über grundsätzliche und branchenunabhängige allgemeine Risikostrategien. [36]

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

3. Abb. branchenunabhängige Funktionsweise der allgemeinen Risikostrategie. Quelle: Werner, A. (2023), 1. Kap. 1. Abs.

1. Tab. Strategien und Maßnahmen zur Handhaben von Risiken im Rahmen des Risikomanagements. Quelle: Rohlfs. T. (2020), S. 8-9; Werner, A. (2006), 1. Kap. 1. Abs. bis 5. Kap. 1. Abs.; Schwarz, T. (2023), 2. Kap. 2.5. Abs.

1.8 Kontrolle und Berichtserstattung von Risiken

Die Risikokontrolle stellt neben der Berichtserstattung den letzten Prozessschritt im Risikomanagementprozess dar. Ziel dieser Kontrolle besteht darin, die getroffenen risikopolitischen Maßnahmen und deren Auswirkung mittels Verfolgung und Identifizierung von Abweichungen zu gewährleisten, um Korrekturmaßnahmen im Sinne der Steuerungsfunktion zu veranlassen. Ebenfalls hilft die Risikokontrolle dabei, relevantes Wissen für den zukünftigen Entscheidungsfindungs- und Bewertungsprozess im Sinne der Lernfunktion zu adaptieren. [37] Somit umfasst die Risikokontrolle zugleich ein steuerndes und zusammenfassendes Element, innerhalb des gesamten Risikomanagementprozesses, welches zur Feststellung möglicher Verbesserungspotenziale erforderlich ist. [38] Die grundlegenden Aufgabenbereiche der Risikokontrolle werden in der 2. Tab. angeführt.

2. Tab. Aufgaben der Risikokontrolle. Quelle: Eigene Darstellung in Anlehnung an Schuster, P. (2012), S. 44

Die Risikoberichtserstattung dient der permanenten Überwachung des Risikoprofils des Unternehmens und stellt hierbei sicher, dass identifizierte und bewertete Risiken den (internen und externen) Adressaten umfassend mitgeteilt werden. Wie Rohlfs abschließend anführt, entspricht lediglich eine ganzheitliche und an die jeweiligen Bedürfnisse des Unternehmens und verschiedenen in den Risikomanagementprozess involvierte Parteien angemessenen Berichtserstattung, den teils umfänglichen Überwachungs- und Entscheidungspflichten der internen und externen Berichtserstattung. [39]

2.1 Grundlegende Vorgedanken zum Aufbau eines Risikomanagementsystems

Die Gründe, weshalb sich ein Unternehmen für ein Risikomanagementsystem(e) (RMS) entscheiden divergieren, sich teils deutlich voneinander. Während größere Unternehmen vor allem aus rechtlichen Gründen an dem Aufbau und der Fortführung eines RMS interessiert sind, erhalten besagte Systeme für KMU vor allem in Relation zu den an diese durch Kreditinstitute gestellten Anforderungen zwecks Fremdkapitalvergabe ihre Relevanz. [40] An dieser Stelle hervorzuheben scheint, dass sich Unternehmen dem RM aus verschiedenen Perspektiven nähern. Im Zentrum stehen hierbei vor allem Fragen, die sich aus dem individuellen Nutzen resp. der Notwendigkeit und den jeweiligen Anforderungen in Bezugnahme zu den Bedürfnissen der Unternehmen, jedoch auch hinsichtlich rechtlicher Regularien ergeben. Als Hilfsmittel zur Festlegung, welche Dimensionen sich im Einzelfall als relevant erweisen, können nach Seidel sog. Checklisten zur Prüfung der Notwendigkeit eines RMS adaptiert werden. Die an das RM gestellten Anforderungen sind zwar im einzelnen individualisierbar, haben jedoch über die allg. übergeordneten Charakteristiken der Ganzheitlichkeit (Betrachtung der Gesamtrisikosituation, anstelle nur einzelner Risiken), der Vollständigkeit (umfassende Identifikation und Bewertung aller bestandsgefährdenden Risiken) und die Integration (Das Vermeiden von Insellösungen und anstatt dessen über eine vollständige Integration) zu verfügen. [41] Bei der Suche nach für ein RMS relevante Eckpunkte kann uns ein Reifegradmodell von Vorteil sein, da uns ein solches die grundlegenden Funktionen und Anforderung der jeweiligen Standards in Stufen spezifischer Form offeriert, welchen wir die Eckpunkte mit einem gewissen Abstraktionsvermögen extrahieren können, oder wie Gleißner anführt: „Die Leistungsfähigkeit der RMS von Unternehmen unterscheidet sich deutlich. Für einen systematischen Ausbau ist es hilfreich den aktuellen „Status“ möglichst strukturiert beurteilen zu können.“ [42] Der nachfolgenden 4. Abb. ist das Sechsstufige Reifegradmodell zu entnehmen.

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

4. Abb. Die Sechs Stufen des Risikomanagements. Quelle Gleißner, W. (2016), S. 32

Wie den einzelnen Stufen der 4. Abb. zu entnehmen, ist der Frage nach den Eckpunkten, über welche ein RMS beim Aufbau zu entsprechen hat, vor allem auch durch die jeweiligen Erwartungen des Unternehmens zu begegnen. Während sich die meisten KMU, wie oben bereits angedeutet, mit RMS, welches seinem Aufbau nach den Eckpunkten der regulatorischen Anforderungen entspricht, haben größere kapitalmarktorientierte Unternehmen zumeist eher ein Interesse daran, ein embedded (holistisches) RM zu verfolgen. [43] Im Rahmen dieser Arbeit folgen wir dem Risikomanagementansatz der 6 Stufen, also jenem der dieses als holistischen Ansatz betrachtet und gehen im Folgenden auch auf die rechtlichen Anforderungen (Eckpunkte ein, die es beim Aufbau zu berücksichtigen gilt), da einige fundamentale Aspekte zum Aufbau im Sinne der Beantwortung zu den (Wesentliche Bestandteile des Risikomanagementprozesses) bereits erläutert wurden. Zur Identifikation weiterer Eckpunkte können uns die von Fleig angeführten Fragen zur Beschreibung von Eckpunkten des RM von Organisationen dienen. „Gibt es eine Rahmenrichtlinie oder Leitlinie für das Risikomanagement? Wer ist der zentrale und Verantwortliche Risikomanager? Hat der Risikomanager die notwendigen Kompetenzen und Befugnisse? Wer wirkt im Risikoausschuss mit? Sind die Aufgaben und Prozesse klar und eindeutig zugewiesen? Gibt es ein unabhängiges Risiko-Controlling für Identifikation, Bewertung und Dokumentation von Risiken sowie für die Kontrolle der Risikoorganisation?“ [44]

2.2 Der Risikomanagementansatz als holistische Konzeption

Gleißner erwähnt zwei verschiedene Ansätze, denen beim Aufbau eines RMS gefolgt werden kann, dem sog. Traditionellen Risikomanagementansatz und dem Controlling Ansatz: Integriertes, entscheidungsorientiertes RM. Wir beschäftigen uns im Rahmen dieser Ausarbeitung mit ersterem. [45] Wie das Deutsche Institut für Interne Revision e. V. resp. (DIIR) anführt, ist unter einem RMS der von der Leitung der Organisation vorgegeben Aufbau- und ablauforganisatorische Rahmen zur Umsetzung des oben angeführten Prozesses des RM zu konnotieren. Der Ausgangspunkt und somit Eckpunkte eines solchen Systems sind nach dem DIIR die Festlegung von Rahmenbedingungen durch die Geschäftsleistung. Diese Festlegung bezieht sich auf die Organisationsziele, die betriebene Risikopolitik, Verhaltensregeln, sowie die Verantwortlichkeiten und Kompetenzen, durch welche die Geschäftsprozesse inklusive der Risikomanagementtätigkeiten ablaufen. Da dies auch Aspekte der strategischen Planung, sowie Entscheidungs- und andere Prozesse inkludiert, die sich mit Risiken beschäftigen, bzw. diese beinhalten, hat das RM kontinuierlich weiterentwickelt und überwacht zu werden. [46] Der Überbegriff, welcher den Aufbau- und ablauforganisatorischen Rahmen des RM definieren wird nach Gleißner als Risikomanagementorganisation bezeichnet. [47] Zwei Begriffe, die nach dem DIIR als grundlegend für ein effektiv RMS gelten sind, die Risikokultur und die Risikostrategie. Die Risikokultur dient dazu, einen offenen Umgang mit Risiken innerhalb des Unternehmens zu fördern. Neben dem Management bereits bekannter Risiken, wird hierdurch auch die Reaktion hinsichtlich schneller Änderungen im Risikoprofil unterstützt. Dabei umfasst die Risikokultur als Bestandteil der Unternehmenskultur die grundsätzlichen Einstellungen, sowie das Verhalten beim Umgang mit Chancen und Risiken des Risikobewusstseins und bildet somit die Grundlage für ein wirksames RMS. [48] Die Risikostrategie oder auch Risikopolitik leitet sich hingegen aus der Gesamtstrategie des Unternehmens ab und umfasst hierbei die Risikobereitschaft der Geschäftsleitung unter Berücksichtigung des jeweiligen Risikodeckungspotenzials, sowie die gesetzten Ziele der Risikosteuerung aller relevanten Geschäftsaktivitäten und alle Maßnahmen die durch Erreichung dieser Ziele zu adaptieren sind. Eine vollständige Risikostrategie hat hierbei dem Anspruch zu genügen, die operative Steuerung der Risiken aus besagter Strategie ableiten zu können. Weiterhin sollte die Organisation des RM und der Risikomanagementprozess als solcher in einem sog. Risikohandbuch resp. einer Riskmanagement-Policy zusammengefasst werden. Diese Dokumentation trägt, wie oben bereits erläutert, nicht nur zur Funktionsfähigkeit innerhalb des Risikomanagementprozesses bei, sondern wird, wie weiter unten detailliert beschrieben, auch gesetzlich gefordert. [49] Nach Geißler ist die Schaffung einer Zentralen Stelle (Zentrales Risikocontrolling) als eine allgemeine Voraussetzung für die Funktionsfähigkeit eines RMS zu konnotieren. Die Hauptaufgabe des zentralen Risikocontrollings darin, das RM zu einem konsistenten und effizienten System auszubauen und dessen Funktionsfähigkeit durch die Koordination aller Aufgaben und beteiligten Personen zu unterstützen. Eine grundlegende Frage, die bereits zu Beginn bei der Architektur des Systems zu berücksichtigen ist, besteht in der Wahl zwischen einem Einstufigen und einem Mehrstufigen RMS. Die folgenden Ausführungen von Gleißner verdeutlicht den Unterschied zwischen den Architekturen recht deutlich: „Einstufig meint dabei, dass das RMS nur über eine zentrale Koordinationsstelle- eben das Zentrale Risikocontrolling – verfügt. Direkt darunter sind dann die Verantwortlichen für einzelne Bereiche bzw. Teilaufgaben des Systems. Bei großen oder sehr stark verflochtenen Unternehmen mit einer entsprechend komplexen Risikolandschaft scheint es in jedem Fall empfehlenswert, ein mehrstufiges System zu gestalten.“ [50] Besonders häufig sind solche mehrstufigen Systeme, welche die Koordinationsaufgabe des zentralen Risikocontrollings durch vergleichbare dezentrale Stellen unterstützten, in komplexen Holdingstrukturen resp. vergleichbaren Organisationsformen zu finden, in denen eigenständig agierende sowie ausreichend bedeutsame Unterorganisationen existieren. [51] Neben dem oben bereits angeführten zentralem Risikocontrolling im einstufigen System, tragen im Rahmen des zweistufigen Systems vor allem sog. Risikoverantwortliche (Risikoeigner oder engl. Riskowner), zur Überwachung der Risikofelder bei. Nicht selten handelt es sich hierbei um vertrauenswürdige Fachexperten, denen die Identifikation, Überwachung und Umsetzung von Risikobewältigungsmaßnahmen innerhalb ihres Risikobereiches übertragen wird. Da der Risikomanagementprozess zwangsweise (IDW PS 340 3.5) von einer vom zentralen Risikocontrolling unabhängigen Instanz überwacht zu werden hat, kommt diese Funktion der internen Revision zu. Dabei beurteilt diese die Wirksamkeit bestehender RMS, identifiziert vorhandene Lücken und leistet Hilfestellung bei der Verbesserung des RM. Dem Aufsichtsrat obliegt gem. §111 Abs. 1. AktG die Überwachung der Tätigkeit des Vorstandes und ist somit als Kontrollgremium der Eigentümer und der Belegschaft zu konnotieren. Es gilt hier als erstrebenswert, eine gesonderte Kontrolle des Vorstandes durch den Aufsichtsrat hinsichtlich der Risiken, die sich aus dessen strategischer Planung und Entscheidungen ergeben anzustreben, da der Aufsichtsrat als die letzte Verteidigungslinie im RM zu erachten ist. Der nachfolgenden 5. Abb. Ist eine beispielhafte Struktur einer zweistufigen Risikomanagement-Organisation zu entnehmen. [52]

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

5. Abb. Struktur der zweistufigen Risikomanagement-Organisation. Quelle: Gleißner, W. Berger, T. (2011), S. 67

2.3 Rechtliche Dimensionen eines Risikomanagementsystems

Nach dem DIIG bestehen rechtliche Grundlagen, aus welchen sich die Anforderungen zur Einrichtung eines RMS und dessen Überwachungspflicht direkt oder indirekt ableiten lassen, zu genügend und in vielfältiger Form, wobei dieser vor allem nach Branche und Rechtsform der Organisation variieren. Somit sind neben den gesetzlichen Regelungen zu den Berichtspflichten über das RMS bsph. Handelsrecht gem. §§ 298 und 315 HGB, auch branchenspezifische Regelungen zu berücksichtigen bsph. MaRisk. [53] Wie durch die §§ 91 und 93 AktG normiert, besteht im Speziellen für kapitalmarktorientierte Unternehmen eine gesetzliche Notwendigkeit die Erfüllung von Mindestanforderungen, die organisatorische Buchführung und Sorgfaltspflicht betreffend. Diese bestehen seit Inkrafttreten des Kontroll- und Transparenzgesetzes (KontTraG) seit dem Jahr 1998. Gem. § 91 AktG besteht die Aufgabe des RM darin, bestandsgefährdende Entwicklungen frühzeitig zu erkennen. Die wesentlichen Anforderungen, welche von einem Risikofrühwarnsystem zu erbringen sind, werden hierbei ebenfalls seit dem Jahre 1998 durch das Institut für Wirtschaftsprüfer in Deutschland e.V. (IDW) PS 340 zusammengetragen, welcher auch die Dimensionen der Risikoquantifizierung und -Aggregation umfasst. Anders als der DIIR RS NR.2 beinhaltet dieser lediglich gesetzliche relevante Inhalte, welche den aus den §91 AktG gestellten Anforderungen entsprechen und die aus §93 AktG (Business Judgement Rule) vernachlässigt. Die relevantesten und zugleich neuesten Änderungen, welche es im Rahmen des neuen im Juni 2020 erschienen IDW PS 340 n. F. zu berücksichtigen gilt, sind in stark komprimierter Form der nachfolgenden 6. Abb. sowie der 3. Tab. zu entnehmen. [54]

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

6. Abb. Die wichtigsten Neuregelungen im Kurzüberblick. Quelle: Link, M. Scheffler, R. (2020), 2. Kap. 1. Abs.

3. Tab. Anforderungen an die Organisation des Risikomanagementsystems (IDW PS 340). Quelle: Eigene Darstellung in Anlehnung an Gleißner, W. (2017), 6. Kap. 2. Abs.; Gleißner, W. (2018), S. 5

3.1 Grundlagen des Entscheidungsprozesses

„Der Erfolg eines Unternehmens hängt wesentlich von der Qualität unternehmerischer Entscheidungen ab, die der Vorstand im Zusammenspiel mit dem Aufsichtsrat trifft. Daher sind die betriebswirtschaftlichen Instrumente der Entscheidungsvorbereitung und die Qualität der Entscheidungsvorlage bei Vorstand und Aufsichtsrat kritische Faktoren“. [55] Wie dem § 93 AktG (Business-Judgement-Rule) zu entnehmen, haben Vorstandsmitglieder „bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Informationen zum Wohle der Gesellschaft zu handeln.“ [56] Wie Gleißner weiterhin anführt, haben die betriebswirtschaftlichen Steuerungssysteme und speziell die Verfahren zur Entscheidungsvorbereitung jederzeit dazu in der Lage zu sein, Erträge und Risiken gegeneinander abzuwiegen, sowie die aus Entscheidungen resultierende Implikationen für das zukünftige Rating und den Unternehmenswert zu prognostizieren. [57] Die Quantifizierung der Risiken und Chancen dient zur Bestimmung von möglichen Planabweichungen, welche sich in Kenngrößen wie dem benötigtem Eigenkapitalbedarf oder Variationskoeffizienten des Gewinns, welcher die üblichen prozentualen Schwankungsbreiten angibt, äußert. [58] Als Grundlage für eine Entscheidungsvorlage des Vorstands und Aufsichtsrates sind eine nachvollziehbare Strategie mit einer aus dieser ebenso nachvollziehbaren operativen Planung, Transparenz und Annahmen zu konnotieren. [59] Somit ergeben sich aus dem Entscheidungsprozess Anforderungen, die sich insbesonders an den betriebswirtschaftlichen Methoden der Entscheidungslehre zu orientieren haben. [60] Allgemeine Fragen, die es nach den Forderungen von Graumann im Entscheidungsprozess zu beantworten gilt, lauten wie folgt: „1. Welche Ziele werden bei der Entscheidung verfolgt? 2. Welche Handlungsmöglichkeiten stehen zur Verfügung? 3. Wie wirken sich die Handlungsmöglichkeiten auf die Ziele aus? 4. Wie sind die prognostizierten Wirkungen im Hinblick auf Nutzen und Risiko zu bewerten?“[61]. Nähern wir uns der Frage danach, wie eine optimale Entscheidung unter Unsicherheit aus ökonomischer Sicht zu treffen ist, finden wir u. a. in der normativen rationalen Entscheidungstheorie oder der naheliegenden (prospect-theorie, Spieltheorie) Antworten. Bevor wir uns mit der Theorie beschäftigen, ist vorab noch anzuführen, dass wir im Rahmen dieser Ausarbeitung den Mensch als zentrales Entscheidungsorgan betrachten, welcher durch beeinflussende Elemente, im Rahmen der PA-Theorie einer komplexen Unternehmensumwelt, nicht ausschließlich im Wohle der Gesellschaft, sondern auch zu seinem Eigennutzen handelt und in seiner Entscheidungsfindung von multifaktorieller und teils nicht bis ins Letzte Detail quantifizierbarer Beeinflussung ausgesetzt ist, bsph. (die an ihn gestellte Erwartungshaltung von Principals, oder seine individuellen Eigenarten). Trotz, oder gerade wegen all dieser Eigenarten ermöglicht uns diese Theorien einen ersten Ansatz, um die Verfälschung (Bias) unserer individuellen Wahrnehmung in einem gewissen Grade zu umgehen und eher auf Wahrscheinlichkeit und Vernunft basierende Entscheidungen zu treffen, welche das Maß an Risiko, welchem der Entscheider ausgesetzt ist, dem durch die Entscheidung zu erreichenden Nutzen gegenüberstellt. Dieser Entscheidungsprozess vollzieht sich mehrstufig und berücksichtigt die oben angeführten Fragen, womit die Zieldefinition als Grundelement dessen zu verstehen ist, worauf die Identifizierung von Alternativen zur Zielerreichung folgt, welche anschließend mit der individuellen Risiko- und Nutzenfunktion des erwarteten Nutzens abgeglichen wird und die Alternative mit dem höchsten erwarteten Nutzen gewählt wird. [62] Hierbei gilt: „Je höher das Risiko ist, desto umfangreicher sollte die informationelle Fundierung dieser Entscheidung sein.“ [63] Und je komplexer die Entscheidungssituation ist, desto eher sollte diese unterstützt von einem strukturierten Prozess erfolgen. Potenzielle Ansätze, die strukturierten Entscheidungsprozesse fördern, umfassen bspw. ausführliche Analysen und Feedback zu bereits getroffenen Entscheidungen, sowie Fallstudien basierte Trainings für Entscheidungsträger, welche die teils weitreichende Auswirkungen auf die Vermögens-, Finanz- und Ertragslage des Unternehmens berücksichtigen. [64] Bei der systematischen Ausgestaltung des Entscheidungsprozesses ist nach Müller neben dem Treffen der Entscheidungen aus Gründen der Nachweispflicht auch auf die Dokumentation der getroffenen Entscheidungen zu achten. Den eigentlichen Entscheidungsprozess gliedert er die der 4. Tab zu entnehmende Phasen. [65]

4. Tab. Phasenspezifische Darstellung eines systematisierten Entscheidungsprozesses. Quelle: Eigene Darstellung in Anlehnung an Müller, K. R. (2022), S. 653

In Relation, zu der von Müller in der 4. Tab. erbrachten Vorschlages zur Systematisierung des Entscheidungsprozesses postuliert er darüber hinaus noch 5 Prinzipien, welche unabhängig von der jeweiligen Prozessstufe angestrebt werden sollten: „1. Handeln zum Wohle der Gesellschaft (des Unternehmens). 2. Handeln in gutem Glauben. 3. Handeln ohne Eigeninteresse, ohne Interessenskonflikte und ohne Fremdeinflüsse. Ein Handeln zugunsten Nahestehender Dritter oder Unternehmen ist gleichzusetzen mit Eigeninteressen. 4. Entscheidung auf der Basis angemessener Informationen. 5. Wahrung der erforderlichen Vertraulichkeit.“ [66]

3.2 Rolle des Ratings im strukturierten Entscheidungsprozess

Nicht selten werden von Entscheidungsträger auf Vorstandsebene Ratings von Agenturen adaptiert, da diese u. a. zu einem zumutbaren Preis am Markt zur Verfügung stehen und somit direkten Einfluss auf den Entscheidungsprozess der Unternehmen nehmen und als externe Evidenz von Sachverständiger zu betrachten sind. [67] Unter einem Rating verstehen wir im Folgenden ein Verfahren, welches sich einen Mix aus qualitativen und quantitativen Kriterien bedient, um einen Wert zu vergeben, welcher je nach gewähltem Ratingindex, bspw. einem Bankinternen Rating oder dem Standard & Poor´s, Moody´s Investors Service oder Fitch Ratings (externe Ratings) dazu dient, um spezifische Aussagen über die Möglichkeit und Bereitschaft eines Schuldners auszudrücken, seinen Finanzverbindlichkeiten zeitgerecht und vollständig nachkommen zu können. Neben den Schuldner spezifischen Daten wie der Profitabilität, Liquidität, Kapitalstruktur etc. werden auch externe Einflussfaktoren wie etwa die (Branchenspezifika, Konkurrenzunternehmen, Länderrisiko, etc.) berücksichtigt. Das Ergebnis anhand der Dimensionen resultiert in der Schätzung der Ausfallwahrscheinlichkeit, welche zumeist durch einen Buchstaben und/ oder einer Folgeziffer repräsentiert wird. Sehe 7. Abb. [68]

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

7. Abb. Ratings für langfristige Verbindlichkeiten der drei großen Ratingagenturen. Quelle: Rauscher, M. (2020), 2. Kap. 2. Abs.

Es bleibt anzumerken, dass das Einholen eines Ratings den Vorstand nicht von einer eigener Urteilsbildung entbindet, an dieser Stelle trifft das Rating auf das Riskmanagement, denn die eingeholten Ratings sind durch die zusätzlichen internen Analysen des RM durch den Vorstand zu plausibilisieren. [69]

3.3 Einfluss des Risikos auf den Entscheidungsprozess und Wechselwirkungen

Im Sinn von größerer Reflexivität und Nachhaltigkeit ist davon auszugehen, dass ein voll integriertes RM zu besseren Entscheidungen führt, da die Verbesserung der Entscheidungsqualität mitunter der wichtigste Nutzen und Anspruch von RM darstellt. Weiterhin besteht das erklärte Ziel von RM wie bereits angeführt in der aktiven Steuerung durch die Gestaltung der Entscheidungsprozesse bezüglich der Risikoexposition, in Abstimmung mit dem definierten Risikoappetit. [70] In der Praxis trifft Rating durch die Verknüpfung von Finanzkennzahlenrating und qualitativem Rating in der Roh-Ratingnote (bis hierhin noch nicht Risikoadjustiert)- unter Berücksichtigung diverser Kriterien zur Bestimmung der Risiken aufeinander. In einer Umgebung, in welcher die Rahmenbedingungen einer starken Digitalisierung unterliegen, scheint die Einbindung von Simulationsbasierten Verfahren zur Entscheidungsfindung und Methode der Quantifizierung resp. Aggregation als Erweiterung resp. Substitution von empirisch-statistischen Insolvenzprognoseverfahren als unabdingbar. Wie Gleißner anführt, können hierdurch alle drei primären Determinanten der Insolvenzwahrscheinlichkeit, (erwartete Ertragskraft, Risikotragfähigkeit und Ertragsrisiko), welche nach ihm ausschließlich seitens bestehender Risikopotentiale ausgelöst werden kann, bei der Abschätzung der Insolvenzwahrscheinlichkeit Berücksichtigung finden. [71] Somit bleibt abschließend noch auf die Zusammenhänge zwischen Risiko, Rating und dem Unternehmenswert im Rahmen der systematisierten Entscheidungsfindung hinzuweisen, diese gilt es nämlich im Rahmen einer fundierten Entscheidungsvorbereitung zu überwachen. Fundamentale Prozessschritte bestehen nach Gleißner zunächst vor allem in der Quantifizierung von Chancen und Gefahren (Risiken), welche das Potenzial zur Planabweichung besitzen. Die Beurteilung der Planung hat hierbei sowohl aus der Perspektive der Gläubiger (Ratingprognose), als auch jener der Eigentümer (modellbasiert berechneter Unternehmenswert, durch die Discounted-Cashflow-Methode oder anderer wertorientierter Performancemaße, nicht jedoch dem Aktienmarkt basierten CAMP) zu erfolgen. Als wesentlicher Krisenfrühwarnindikator helfen die Ratingprognosen für ein Plan- und Stressszenario, dem Unternehmen Bestandsgefährdungen zu vermeiden. [72] All diese Informationen werden dann zuletzt in einem Rendite-Risiko-Profil zur Entscheidungsfindung final gegenübergestellt, sehe 8. Abb.

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

8. Abb. Risikomatrix als Entscheidungsgrundlage. Quelle: Gleißner, W. (2018), S. 3

Im Rahmen des Entscheidungsorientierten RM ergibt sich somit ein Regelkreislauf, welcher sich in Übereinstimmung mit dem §93 AktG, als Grundlage für die Vorstands- Entscheidungsvorlage wie in der 9. Abb. darstellen lässt.

[Diese Abbildung ist nicht in der Leseprobe enthalten.]

9. Abb. Kreislauf des Entscheidungsorientierten Risikomanagements (Vorstands-Entscheidungsvorlage) gem. §93. AktG. Quelle: (2022), S. 17

Literaturverzeichnis

Angermeier, G. (2005), Risikobewertung. Verfügbar unter https://www.projektmagazin.de/glossarterm/risikobewertung , abgerufen am 26.4.2023

Berger, T. & Ernst, D. & Gleißner, W. & Hofmann, P. & Meyer, M. & Schneck, O. & Ulrich, P. & Vanini, U. (2021), Verfügbar unter https://futurevalue.de/wp-content/dokumente/offiziell_Nr._1850_Die_Pruefung_von_RMS_und_die_Defizite_des_IDW_PS_340_-_Teilversion.pdf , abgerufen am 30.3.2023

Brauchle, T. (2015), Unternehmerische Entscheidungen und Risikomanagement. Vorstandsermessen im Spannungsfeld von Organhaftung, Corporate Governance und Kapitalmarkt. Wiesbaden: Springer Fachmedien. ISBN 978-3-658-11419-0 DOI 10.1007/978-3-658-11420-6

Deutsches Institut für Interne Revision e.V. [DIIR] (2018), Verfügbar unter https://www.diir.de/fileadmin/fachwissen/standards/downloads/DIIR_Revisionsstandard_Nr._2_Version_2.0.pdf , abgerufen am 29.4.2023

Federation of European Risk Management Associations [ferma] (2004), Der Risikomanagement-Standard. Verfügbar unter https://www.theirm.org/media/6829/german_risk_management_standard_130204.pdf , abgerufen am 26.4.2023

Fleig, J. (2023), Risikomanagement im Unternehmen organisieren. Verfügbar unter https://www.business-wissen.de/hb/risikomanagement-im-unternehmen-organisieren/ , abgerufen am 29.4.2023

Gleißner, W. (a.) (2023), Risikomanagement. Verfügbar unter https://wirtschaftslexikon.gabler.de/definition/risikomanagement-42454 , abgerufen am 23.4.2023

Gleißner, W. (b.) (2023), Risikoaggregation. Verfügbar unter https://wirtschaftslexikon.gabler.de/definition/risikoaggregation-99608 , abgerufen am 26.4.2023

Gleißner, W. (c.) (2023), Risikoaggregation. Verfügbar unter https://www.haufe.de/finance/haufe-finance-office-premium/risikoaggregation_idesk_PI20354_HI1070761.html , abgerufen am 26.4.2023

Gleißner, W. (d.) (2023), Reifegradmodelle und Entwicklungsstufen des Risikomanagements: Ein Selbsttest. Verfügbar unter https://www.haufe.de/finance/haufe-finance-office-premium/reifegradmodelle-und-entwicklungsstufen-des-risikomanagements-ein-selbsttest_idesk_PI20354_HI10892842.html , abgerufen am 29.4.2023

Gleißner, W. (2020), Der neue IDW PS 340 n.F. (2020), für die Prüfung der Risikofrüherkennungssysteme/ Verbesserungen und Unschärfen. Verfügbar unter https://rma-ev.org/news-publikationen/news-risk-blog/einzelansicht-blog/der-neue-idw-ps-340-nf-2020-fuer-die-pruefung-der-risikofrueherkennungssysteme-verbesserungen-und-unschaerfen , abgerufen am 30.4.2023

Gleißner, W. (2018), Vorbereitung von Geschäftsleitungsentscheidungen: Controlling und Risikomanagement im Zusammenspiel. Verfügbar unter https://www.icv-controlling.com/fileadmin/Veranstaltungen/VA_Dateien/Congress_der_Controller/Vorträge_2018/Gleißner-Vorbereitung_von_Geschäftsleitungsentscheidungen.pdf , abgerufen am 3.5.2023

Gleißner, W. (2017), Rating, Risikomanagement und die Bewertung von Ratingstrategien. Titel – NR. 1310-01. SRH-Fernhochschule- The Mobile University, Riedlingen.

Gleißner, W. (2016), Reifegradmodelle und Entwicklungsstufen des Risikomanagements: ein Selbsttest. Verfügbar unter http://www.werner-gleissner.de/site/publikationen/WernerGleissner_offiziell-Nr-1440-Reifegradmodelle-und-Entwicklungsstufen-des-RM.pdf , abgerufen am 29.4.2023

Gleißner, W. (2013), Risiko, Rating, Krisenprävention und wertorientiertes Management: Die Zusammenhänge. Verfügbar unter http://www.werner-gleissner.de/site/publikationen/WernerGleissner_offiziell-Nr-1163-Risiko-Rating-Krisenpraevention.pdf , abgerufen am 2.5.2023

Gleißner, W. & Berger, T. (2011), Einfach Lernen ! Risikomanagement. Verfügbar unter https://www.researchgate.net/profile/Werner-Gleissner/publication/325157050_Grundlagen_des _Risikomanagements_im_Unternehmen_Controlling_Unternehmensstrategie _und_wertorientiertes_Management_Verlag_Vahlen_2_Auflage_2011/links/606a00d3a6fdccad3f714beb /Grundlagen-des-Risikomanagements-im-Unternehmen-Controlling-Unternehmensstrategie -und-wertorientiertes-Management-Verlag-Vahlen-2-Auflage-2011.pdf , abgerufen am 1.5.2023

Gleißner, W. (2001), Ratschläge für ein Leistungsfähiges Risikomanagement. Verfügbar unter https://www.risikomanagement.info/Ratschlaege-fuer-ein-leistungsfaehiges-Risikomanagement.300.0.html , abgerufen am 3.5.2023

Hunziker, S. & Meissner, J. O. (2017), Risikomanagement in 10 Schritten. Wiesbaden: Springer Fachmedien. ISBN 978-3-658-15840-8 DOI 10.1007/978-3-658-15840-8

Kamps. U. (2013), Aggregation. Definition: was ist „Aggragation“? Verfügbar unter https://wirtschaftslexikon.gabler.de/definition/aggregation-30653 , abgerufen am 26.4.2023

KMU-Portal (2020), Risikoidentifikation und Risikobewertung. Verfügbar unter https://www.kmu.admin.ch/kmu/de/home/praktisches-wissen/finanzielles/risikomanagement/wie-fuehrt-man-ein-risikomanagementsystem-ein/risikoidentifikation-und-risikobewertung.html , abgerufen am 25.4.2023

Link, M. & Scheffler, R. (2020), Neureglungen des IDW PS 340 n.F. im Überblick. Verfügbar unter https://www2.deloitte.com/de/de/pages/audit/articles/idw-eps-340-n-f-neuregelungen-ueberlick.html , abgerufen am 30.4.2023

Mahnke, A. & Rohlfs, T. (2023), Betriebliches Risikomanagement und Industrieversicherung. Erfolgreiche Unternehmenssteuerung durch ein effektives Risiko- und Versicherungsmanagement. Wiesbaden: Springer Fachmedien. ISBN 978-3-658-30420-1 https://doi.org/10.1007/978-3-658-30421-8

Müller, K. R. (2022), Handbuch Unternehmenssicherheit. Umfassendes Sicherheits-, Kontinuitäts- und Risikomanagement mit System. (4.Aufl.). Wiesbaden: Springer Verlag ISBN 978-658-40571-7 https://doi.org/10.1007/978-3-658-40572-4

Rauscher, M. (2020), Rating. Definition: Was ist „Rating“?. Standardisierte Bonitätsbeurteilung (Bonitätsprüfung) von Emittenten und Finanzierungstiteln. Verfügbar unter https://www.gabler-banklexikon.de/definition/rating-60805 , abgerufen am 2.5.2023

Projektmagazin (2022), Risikomanagement (Risk Management). Verfügbar unter https://www.projektmagazin.de/glossarterm/risikomanagement , abgerufen am 25.4.2023

Rohlfs, T. (2020), Grundlagen zum Risikomanagementprozess. Verfügbar unter https://solvency-kompakt.de/files/print/sii-kompakt_risikomanagementprozess.pdf , abgerufen am 25.4.2023

Romeike, F. (2018), Risikomanagement. Wiesbaden: Springer Gabler. ISBN 978-3-658-13951-3 https://doi.org/10.1007/978-3-658-13952-0

Schneck, O. (2018), Rechtsgrundlagen des Risikomanagements / 1.1. Gesetz zur Kontrolle und Transparenz von Unternehmen (KontraG). Verfügbar unter https://www.haufe.de/finance/haufe-finance-office-premium/rechtsgrundlagen-des-risikomanagements-11-gesetz-zur-kontrolle-und-transparenz-von-unternehmen-kontrag_idesk_PI20354_HI2711385.html , abgerufen am 1.5.2023

Schneck, O. (2010), Risikomanagement. Grundlagen, Instrumente, Fallbeispiele. Weinheim: WILEY-VCH Verlag & Co. KGaA. ISBN 978-3-527-50543-2

Schuster, P. (2012), Risikomanagement. Eine theoretische Betrachtung. Verfügbar unter https://monami.hs-mittweida.de/frontdoor/deliver/index/docId/3234/file/Bachelorarbeit_Schuster.pdf , abgerufen am 27.4.2023

Schwarz, T. (2023), Risikosteuerung. Verfügbar unter https://sgbs.ch/publication/grundlagen-des-geschaeftsrisiko-managements-in-kreditinstituten , abgerufen am 26.4.2023

Seidel, U. M. (a.) (2021), Risikomanagement: Grundlagen und Aufbau. Verfügbar unter https://www.haufe.de/finance/haufe-finance-office-premium/risikomanagementsystem-grundlagen-und-aufbau_idesk_PI20354_HI2707284.html , abgerufen am 29.4.2023

Seidel, U. M. (b). (2021), Risikomanagementsystem: Grundlagen und Aufbau / 3Bestandteile eines Risikomanagementsystems. Verfügbar unter https://www.haufe.de/finance/haufe-finance-office-premium/risikomanagementsystem-grundlagen-und-aufbau-3-bestandteile-eines-risikomanagementsystems_idesk_PI20354_HI2711353.html , abgerufen am 1.5.2023

Weber, J. (a.) (2016), Risiko. Verfügbar unter https://wirtschaftslexikon.gabler.de/definition/risiko-44896 , abgerufen am 23.4.2023

Weber, J. (b.) (2016), Wagnisse. Verfügbar unter https://wirtschaftslexikon.gabler.de/definition/wagnisse-47400 , abgerufen am 23.4.2023

Werner, A. (2023), Risikosteuerung. Verfügbar unter https://www.controllingportal.de/Fachinfo/Risikomanagement/Risikosteuerung.html , abgerufen am 26.4.2023

Wiedemann, A. (2020), Risikosteuerung. Verfügbar unter https://www.gabler-banklexikon.de/definition/risikosteuerung-61022 , abgerufen am 26.4.2023

Rechtsquellenverzeichnis

Aktiengesetz (AktG) | Verfügbar unter https://www.gesetze-im-internet.de/aktg/

§ 91 | Organisation. Buchführung

§ 93 | Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder

Handelsgesetzbuch (HGB) | Verfügbar unter https://www.gesetze-im-internet.de/hgb/

§ 298 | Anzuwendende Vorschriften Erleichterungen

§ 315 | Inhalt des Konzernlageberichts