Sandkasten

Aus Controlling-Wiki

Das Risikocontrolling kann als Unterstützung des Risikomanagements und der Unternehmensleitung definiert werden, indem es Informationen und Instrumente für den Risikoumgang bereitstellt. Es trägt dazu bei, Risiken zu identifizieren, zu bewerten, zu aggregieren, zu steuern, zu kommunizieren und zu kontrollieren, um die Unternehmensexistenz zu gewährleisten (Wolke, 2016, S. 1-5; Gebhardt, 2007, S. 1713-1715; Horváth, 2003, S. 780). Zudem kann das Risikocontrolling als Managementfunktion des funktionalen Controllings betrachtet werden.

Einführungsmotive des Risikocontrollings

Die Einführungsmotive eines Risikocontrollings bzw. eines Risikomanagements sind vielfältig, wobei gesetzliche Anforderungen und Forderungen seitens der Eigner als am Wichtigsten zu erachten sind (Hoitsch, Winter & Baumann, 2006, S. 71). So müssen in der Schweiz revisionspflichtige Unternehmen gemäss OR Art. 961c eine Risikobeurteilung durchführen und nach OR Art. 728b das interne Kontrollsystem bzw. IKS von der Revisionsstelle prüfen lassen. OR Art. 727 definiert in diesem Zusammenhang, welche Unternehmen revisionspflichtig sind. In Deutschland bildet das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) die rechtliche Grundlage. Auch der internationale Rechnungslegungsstandard IFRS verlangt ein umfangreiches Risikoreporting. Beispielsweise verlangen IAS 32 und IFRS 7 Angaben über die Risikomanagementpolitik, das Zinsänderungsrisiko oder das Ausfallrisiko (Gleissner, 2017, S. 75-77). Weitere Einführungsmotive des Risikocontrollings sind volkswirtschaftliche Ursachen, technologische Fortschritte und gesellschaftliche Veränderungen (Wolke, 2016, S. 3). Darüber hinaus kann die Einführung zu einem verbesserten Rating und somit auch zu tieferen Kapitalkosten verhelfen (Ossadnik, 2009, S. 538-539).

Begriffsdefinition Risiko

Es gibt keine allgemeine Begriffsdefinition von Risiko, sondern es kann unterschiedlich definiert werden (Borghesi & Gaudenzi, 2013, S. 7-10). Diederichs (2012) hat aber festgestellt: „Eine häufig gebrauchte Definition bezeichnet ein Risiko als die Möglichkeit einer Abweichung eines zukünftigen, mit bestimmter Wahrscheinlichkeit eintretenden Kennzahlenwertes (oder Ereignisses) von einem ursprünglich geplanten Kennzahlenwert (oder erwarteten Ereignis). Sowohl die positive als auch die negative Abweichung wird dabei als Risiko verstanden“ (S. 8). Positiv meint in der weiteren Begriffsdefinition, dass eine Gewinnmöglichkeit besteht. Negativ auf der anderen Seite eine Verlustmöglichkeit (Diederichs, 2012, S. 8). Jedes Unternehmen muss jedoch für sich selber eine geeignete Definition bestimmen und diese kommunizieren.

Struktur des Risikocontrollings

In der Literatur gibt es viele Möglichkeiten, wie Risikocontrolling strukturiert sein kann. Das Risikocontrolling kann zum Beispiel als Element des Risikomanagements verstanden werden. Hingegen wird es in der Literatur auch als integraler Bestandteil des Controllings bezeichnet und kann so als Querschnittsfunktion über alle Controllingmodule interpretiert werden (Diederichs, 2012, S. 19-20). Dies bedeutet, dass alle auf der Abbildung 1 ersichtlichen Controllingmodule zusätzlich die risikorelevanten Aspekte ihres Bereiches zu analysieren haben. Die Besonderheit des Risikocontrollings liegt folglich in der modulübergreifenden Reichweite.

Schliesslich kann das Risikocontrolling auch in Form einer Parallelhierarchie zum strategischen Controlling aufgebaut sein, dessen Aufgabe darin besteht, die langfristige Unternehmensplanung und -kontrolle durchzuführen und die strategischen Erfolgspotentiale aufzubauen und zu erhalten (Diederichs, 2012, S. 19-20).

Ziele des Risikocontrollings

Wie aus der Abbildung 2 ersichtlich, lassen sich die Ziele des Risikocontrollings vom Risikomanagement ableiten. Das Ziel des Risikomanagements besteht darin, die zukünftigen, risikobehafteten Entwicklungen so früh wie möglich zu erkennen, zu beurteilen, zu steuern und fortlaufend zu überwachen, damit die unternehmerische Existenz gesichert bzw. der Unternehmenswert gesteigert werden kann. Ziel des Risikocontrollings ist es, das Management dabei zu unterstützen (Reichmann, 2011, S. 569; Rautenstrauch, 2014).

Das Risikocontrolling hat daher weiter zum Ziel, die betriebswirtschaftlichen und technischen Strukturen im Unternehmen so aufzubauen, dass die entscheidungswichtigen Informationen systematisch identifizierbar und vermittelbar sind, um so für das strategisch und entscheidungsverantwortliche Management eine effiziente und effektive Entscheidungsfindung zu ermöglichen (Braun, Gänger & Schmid, 1999, S. 238; Hornung, 1998, S. 280; Karten, 1993, S. 3828).

Zusammengefasst ist das Ziel des Risikocontrollings die Koordination von Planung, Steuerung und Kontrolle in Bezug auf risikorelevante Sachverhalte sowie die Überwachung und Aufbereitung dieser Sachverhalte in Form von Auswertungen und Dokumentationen für das Risikomanagement, welches schliesslich die Entscheidung trifft (Kropp, 1999, S. 132).

Aufgaben des Risikocontrollings

Die Aufgaben des Risikocontrollings lassen sich von denjenigen des klassischen Controllings sowie den Zielen des Risikocontrollings ableiten.

  • Unterstützung des Risikomanagements im Zusammenhang mit der Risikosteuerung und -Überwachung
  • Sicherstellung der Informationsversorgung
  • Aufbau einer hierarchieebenenübergreifenden Risikoberichterstattung
  • Entwicklung, Bereitstellung und Anwendung von Instrumenten zur Identifikation, Beurteilung und Steuerung von Risiken (Diederichs, 2012, S. 20-21)

Das Risikocontrolling unterstützt somit das Risikomanagement bei dessen Entscheidungen, indem es die wichtigsten Risikoinformationen für die Entscheidungsträger bereitstellt.

Risikomanagement-Prozess

Der Risikomanagement-Prozess in Abbildung 3 umfasst die Risikoidentifikation, -bewertung, -aggregation, -steuerung, -kommunikation und -kontrolle. Wichtig ist, dass dieser Prozess kontinuierlich durchlaufen wird, um die ständig ändernden Umfeldbedingungen zu berücksichtigen (Reichmann, 2011, S. 572-573). In der Praxis dominiert eine quartalsweise Durchführung (Denk, Exner-Merkelt & Ruthner, 2008, S. 82-84).

Risikoidentifikation

„Nur wenn ein Unternehmen die relevanten Risiken identifiziert hat, können diese auch im weitergehenden Risikomanagementprozess effizient gesteuert werden“ (Wild, 2012, S. 319). Daher werden zunächst einmal mögliche Risiken evaluiert, die auf das Unternehmen einwirken können. Für die Identifikation von Risiken stehen dem Risikocontroller viele unterschiedliche Instrumente zur Verfügung. Die bekanntesten Instrumente sind wohl die gängigsten strategischen Instrumente wie PESTE-, SWOT-, Five-Forces- oder Produktlebenszyklusanalyse. Gemäss einer PwC-Studie verwenden Unternehmen am häufigsten Checklisten, Interviews, Erhebungsbögen und IT-Eingabetools (PwC, 2015, S. 26). Einige dieser Instrumente werden nachfolgend beschrieben:

Risikobewertung und -Aggregation

Nachdem potenzielle Risiken identifiziert wurden, müssen diese entsprechend beurteilt und quantifiziert werden. Dies ist notwendig, damit das Unternehmen Risiken besser einschätzen kann (Wild, 2012, S. 320). Die Beurteilung von Risiken (bzw. Risikoanalyse) wird auch als Kern des Risikomanagements bezeichnet (Wolke, 2016, S. 13). Bei der Beurteilung müssen auch wechselseitige Beziehungen zwischen einzelnen Risiken berücksichtigt werden, sofern diese sich gegenseitig verstärken (Wild, 2012, S. 320). Um festzustellen, wie gross das Gesamtrisiko unter Berücksichtigung der Abhängigkeiten der Einzelrisiken ist, ist eine Risikoaggregation erforderlich (Gleissner, 2017, S. 245). Dazu werden statistische und aufwändige Instrumente wie der Value at Risk oder die Monte-Carlo-Simulation verwendet. Die PwC-Studie zeigt auf, dass in der Praxis am häufigsten Schätzwerte bzw. Erfahrungswerte verwendet werden. Weiter werden auch Szenariotechniken und mathematische Modelle angewandt (PwC, 2015, S. 30). Deshalb werden die folgenden Instrumente beschrieben:

Risikosteuerung

Nach der Risikobeurteilung muss entschieden werden, wie mit den analysierten Risiken umgegangen werden soll. Dabei können nachfolgende fünf Strategien kombiniert zur Anwendung kommen (Wild, 2012, S. 321).

Risikokommunikation und -kontrolle

Risiken können mittels Risikoreporting kommuniziert werden. Die Aufgabe des Risikoreportings besteht darin, über die identifizierten und bewerteten Risiken sowie über eingeleitete Massnahmen zur Steuerung und Bewältigung der Risiken zu berichten. Ein Risikoreporting soll Auskunft über Identifikation, Beurteilung, Quantifizierung, Aggregation und Steuerung der Risiken geben (Sartor & Bourauel, 2013, S. 90). Umfang, Inhalt und Frequenz des Reportings sind zwingend mit den Berichtsempfängern zu definieren (Diederichs, 2012, S. 163-174).

Rautenstrauch betont bei der Kommunikation von Risiken, dass eine angemessene Risikokultur aufgebaut werden sollte. Alle Mitarbeitenden einer Unternehmung müssen die Bereitschaft entwickeln, Risiken (im weiteren Sinne) in ihrer internen als auch externen Umwelt bewusst wahrzunehmen und zu kommunizieren. Es reicht nicht aus, wenn lediglich das Management und das Controlling bei diesem Prozess vertreten sind. Um das zu erreichen, ist eine Schulung der Kommunikationsbereitschaft bei den relevanten Fach- und Führungskräften empfehlenswert. Darüber hinaus sollen auch Grenzwerte und Revisionszyklen festgelegt werden (2014).

Darüber hinaus soll das Controlling prüfen, ob die Vorgaben des Managements eingehalten werden. Dafür stehen dem Controlling unterschiedliche Instrumente zur Verfügung wie z. B. ein Soll-Ist-Vergleich oder Soll-Wird-Vergleich (Wild, 2012, S. 321). Da sich die Risiken im Zeitverlauf ständig verändern, sollte die Kontrolle kontinuierlich durchgeführt werden (Gleissner, 2017, S. 417). Zudem soll das Risikocontrolling im Rahmen der Risikokontrolle die Effizient der oben beschriebenen Prozessschritte gewährleisten (Ossadnik, 2009, S. 538-539).

Kritische Würdigung

Es ist grundsätzlich illusorisch, genaue Prognosen und Konsequenzen über die zukünftige Entwicklung der Weltgeschehnisse aufzustellen. Bei Prognosen wird in der Praxis durchwegs auf Vergangenheitsdaten – sofern solche überhaupt vorliegen – referenziert (Heri & Zimmermann, 2000, zit. in Gleissner, 2017, S. 193). Da sich die Umfeld-Bedingungen jedoch stetig verändern, sind diese für Geschehnisse in der Zukunft nicht repräsentativ. Gerade deshalb kann das Risikomanagement und somit auch das Risikocontrolling als lästige Pflichtaufgabe anstelle der Kernaufgabe des Managements verstanden werden (Gleissner, 2017, S. 12). Weiter werden einfachere Bewertungs- und Reportinginstrumente in der Praxis häufiger angewendet als aufwändigere Methoden wie z. B. der Value at Risk (Hoitsch, Winter & Baumann, 2003, S. 73). Dies obwohl besonders einfachere Bewertungsmethoden die Wirklichkeit unzureichend abbilden (Wolke, 2016, S. 14; Sartor & Bourauel, 2013, S. 47). So wird unter anderem die Risk-Map dafür kritisiert, dass ihre Darstellungsform impliziere, es liessen sich die Risiken meistens nur durch Schadenshöhe und Eintrittswahrscheinlichkeit beschreiben. Zudem bildet die Risk-Map Einzelrisiken ab und berücksichtigt die Korrelationen zwischen den einzelnen Risiken unzureichend (Sartor & Bourauel, 2013, S. 53). Beispielsweise korreliert ein Brand in der Produktionsstätte mit einem Produktionsausfall. Aber auch der Value at Risk steht unter Kritik, da dieser Extremsituationen nur unzureichend abbilden kann. Der Basler Ausschuss für Bankenaufsicht empfiehlt daher, dass der Value at Risk auf einem 99-%-igen Konfidenzniveau berechnet wird (Lechner & Ovaert, 2010). Ein weiteres Problem ist, dass immer noch fachliche Kenntnisdefizite bestehen. So ist das Risikomanagement kaum ein Ausbildungsschwerpunkt für potenzielle Manager und hat im Studium für Ökonomen einen vergleichsweise geringen Zeitanteil (Gleissner, 2017, S. 12). Zudem ist davon auszugehen, dass die mangelnde begriffliche Klarheit (z. B. uneinheitliche Trennung von Risikocontrolling und -management) eine Beschäftigung mit der Thematik behindert (Winter, 2007, S. 26). Weiter können psychologische als auch persönliche Interessen ein adäquates Risikocontrolling (bzw. Risikomanagement) erschweren. Gemäss psychologischer Forschung ist der Mensch aversiv gegenüber Risiken bzw. Verlusten. Daher können Risiken bewusst aber auch unbewusst ignoriert werden, um kognitive Dissonanzen zu vermeiden (Gleissner, 2017, S. 13). Zudem verschafft das Risikocontrolling Transparenz über die Risikosituation einer Unternehmung. Eine solche Transparenz muss aber nicht zwangsläufig im Interesse jedes Managers sein (Gleissner, 2017, S. 14). Ein weiteres Problem ist, dass Opportunitätskosten meistens vernachlässigt werden. Falls sie berechnet werden, werden deren Werte subjektiv geschätzt. Opportunitätskosten treten beispielsweise dann auf, wenn aufgrund eines Schadenfalles finanzielle Mittel aufgewendet werden müssen, um den vorherigen Zustand wiederherzustellen. Wäre dieser Schadensfall nicht eingetroffen, hätten die Mittel anderweitig eingesetzt werden können (Diederichs, 2012, S. 89).

Lern- und Praxismaterialien

Fallstudien
*COSLU Holding AG - Aufgaben Beteiligungscontrolling
*COSLU Holding AG - Berechnung Unternehmenswert (DCF-Entitiy)

Quellen

Literaturverzeichnis

Weiterführende Literatur