Buffl
Buffl
Risikomanagement

5. Risikokontrolle

MR
by Marie R.

Corporate Governance und Risikomanagementsysteme

  • Unternehmenszusammenbrüche führten zu strengeren gesetzlichen Anforderungen für Vorstände/Geschäftsführung.

  • „House of Governance“-Modell (Gnändiger, 2013) mit drei Säulen:

    1. Compliance-Managementsystem (CMS)

    2. Risikomanagementsystem (RMS)

    3. Internes Kontrollsystem (IKS)

  • Unterscheidung zwischen interner (Unternehmensführung, Aufsichtsrat, Abschlussprüfung) und externer Corporate Governance (Transparenz, Aktionärsüberwachung).


House of Governance



Compliance Management System (CMS)

  • Gewährleistung der Einhaltung gesetzlicher Vorschriften und interner Standards.

  • Aufbau einer Compliance-Kultur (Vorbildfunktion der Geschäftsleitung).

  • Definition von Compliance-Zielen orientiert an Geschäftsprozessen.

  • Enge Verbindung zum Risikomanagementsystem: Identifikation compliance-relevanter Risiken.

  • Erstellung eines Compliance-Handbuchs mit Steuerungsmaßnahmen und Berichtswegen.


Risikomanagementsystem

  • Identifikation und Bewertung unternehmensrelevanter Risiken.

  • Entwicklung von Strategien zur Risikosteuerung oder -vermeidung.

  • Erfassung compliance-relevanter Risiken und Maßnahmen im Compliance-Berichtswesen.


Internes Kontrollsystem (IKS)

  • Sicherstellung der Funktionsfähigkeit von CMS & RMS.

  • Kontrolle der Einhaltung interner Arbeitsabläufe durch verschiedene Maßnahmen:

    • Organisationsplan, Arbeitsanweisungen, Kontierungsrichtlinien, technische Kontrolleinrichtungen (z. B. Stechuhren).


Zwei Kontrollarten Internes Kontrollsystem

  • Zwei Kontrollarten:

    1. Prozessintegrierte Sicherungsmaßnahmen

      • Direkte Kontrolle innerhalb von Geschäftsprozessen durch Mitarbeitende.

      • Ziel: Fehlervermeidung & Problemidentifikation.

    2. Prozessunabhängige Überwachungsfunktion

      • Durchführung durch die Interne Revision.

      • Erstellung von Prüfungsberichten mit Verbesserungsvorschlägen für die Geschäftsleitung.



W-Fragen

  1. Wozu? (Berichtszweck) → bestimmt alle weiteren Entscheidungen.

  2. Was? (Berichtsinhalte & Detailgrad).

  3. Wer? (Empfänger:innen & Ersteller:innen, Verantwortlichkeiten).

  4. Wie? (Datenerfassung, Verarbeitung, Format, Optik).

    • Einheitliche Formate & Visualisierung steigern Verständlichkeit & Akzeptanz.

  5. Wann? (Zeitpunkt & Häufigkeit, Standard- vs. Ad-hoc-Reporting).




Risikoberichterstattung (Risikoreporting)

  • Ziel: Information der Unternehmensführung über aktuelle Risikosituation.

  • Ursprung: Risikokontrolle (Soll-Ist-Abgleich der Risikowerte).

  • Informationsbereitstellung für verschiedene Führungsebenen & Sachbearbeitung.

  • Unterstützung bei dispositiven & operativen Entscheidungen.

    • Dispositive Entscheidungen: Leitung & Steuerung betrieblicher Vorgänge (z. B. Stilllegung eines Betriebsteils).

    • Operative Entscheidungen: Tagesgeschäft, z. B. Lieferantenauswahl.


Anforderungen an das Risikoreporting

  • Aktualität der Berichte.

  • Verfügbarkeit, Konsistenz & Qualität der Daten.

  • Vergleichbarkeit mit Vorperioden.

  • Vermeidung überflüssiger Berichte.

  • Definition des Empfängerkreises


Formen der Risikoberichterstattung

  • Standardreporting

  • Ad-hoc-Reporting


Standardreporting

  • Kern des Risikoberichtswesens.

  • Regelmäßige Berichte mit konstanten Informationen.

  • Meist monatliche Berichte über Gesamtrisikolage.

  • Ergänzung durch Quartalsberichte bei börsennotierten Unternehmen (gemäß IAS 34).

  • Grundlage für externe Berichterstattung (Lagebericht im Geschäftsbericht).


Ad-hoc-Reporting

  • Ereignisbezogen, bei neuen oder kritischen Risiken.

  • Beispiele: Ausfall von Großkunden, Umweltschäden, Produkthaftung.

  • Hoher Aufwand → wirtschaftliche Notwendigkeit prüfen.


Risikomanagement-Handbuch (RMHB)

  • Sicherung konstanter Qualität im Reporting.

  • Dokumentation des gesamten Risikomanagementsystems.



Risikomanagement-Handbuch Bestandteile


    • Rechtliche Grundlagen

    • Risikostrategie

    • Bedeutung Frühzeitige Risikoerkennung

    • Definition Risikofelder mit Schadenspotenzialen.

    • Grundsätze für das Erkennen, Bewerten, Kommunizieren & Reagieren auf Risiken

    • Ablauf der Risikoberichterstattung.

    • Auflistung von Kontrollmaßnahmen

    • Fixierung von Risikoverantwortlichkeiten und Ansprechpersonen


Störungen der Risikoberichterstattung

  • Sender-Störungen: Fehlerhafte Übermittlung durch unklare oder unvollständige Kommunikation.

  • Kanal-Störungen: Technische Probleme (z. B. IT-Fehler, Verbindungsabbrüche).

  • Empfänger-Störungen: Fehlinterpretation oder mangelnde Aufmerksamkeit.

  • Semiotische Störungen:

    • Syntaktische Störungen: Sprach- oder Schreibfehler.

    • Semantische Störungen: Unterschiedliches Verständnis der Begriffe.

    • Pragmatische Störungen: Konflikte zwischen Sender & Empfänger.

  • Lösungen: Einheitliche Begriffsdefinitionen, Risikobewusstsein fördern, klare Unternehmenskultur.


PDCA-Zyklus



Aufgaben des Controllings und der internen Revision im Risikomanagement



Rolle des Controllings

  • Koordination der Planung und Steuerung zur Unterstützung des Managements

  • Informationsversorgung für Entscheidungsprozesse

  • Ganzheitliche Steuerung und Verbesserung von Unternehmensprozessen

  • Anwendung des PDCA-Zyklus:

  • Kontrolltätigkeiten zur Effizienzsteigerung und strategischen Steuerung

  • Entwicklung neuer Risikostrategien


Rolle des Risikocontrollings

  • Überwachung sämtlicher Unternehmensrisiken

  • Integration von Risiken in Planungs- und Kontrollsysteme

  • Bindeglied zwischen Controlling und Risikomanagement


Mögliche organisatorische Einbindung des Risikocontrollings



    1. Eigenständige Abteilung ohne Verbindung zum Controlling

    2. Teilweise Integration von Risikomanagement-Aufgaben ins Controlling

    3. Vollintegration ins Controlling


Risikomanagement als eigenes System

  • Gesetzliche Anforderungen als Treiber für ein eigenständiges Risikomanagement

  • Erfüllung der Vorgaben des IDW PS 340 (Prüfung des Risikofrüherkennungssystems)

  • Unabhängigkeit von anderen Managementsystemen

  • Vorteil: Spezialisierung und Fachkompetenzaufbau

  • Nachteil: Abhängigkeit von anderen Abteilungen kann zu Abstimmungsproblemen führen


Risikomanagement im Controlling

  • Aufgabenintegration ins Controlling:

    • Identifikation, Bewertung und Überwachung von Risiken

    • Nutzung bestehender Methoden wie Szenarioanalysen oder Monte-Carlo-Simulation

  • Verknüpfung mit Planungsprozessen:

    • Identifikation und Bewertung von Planabweichungen

    • Ergänzung von Planwerten um Szenarien oder Bandbreiten

    • Nutzung von KPI-Systemen zur Risikoüberwachung


Rolle der internen Revision

  • Prozessunabhängige Überwachung im Auftrag der Unternehmensleitung

  • Prüfung auf Ordnungsmäßigkeit, Rechtmäßigkeit, Wirtschaftlichkeit

  • Hohe Anforderungen an Unabhängigkeit und Fachkompetenz

  • Überprüfung der Wirksamkeit und Effizienz des Risikomanagements


Prüfbereiche interne Revision


    • Financial Auditing: Prüfung von Finanz- und Rechnungswesen

    • Operational Auditing: Verfahrens- und Systemprüfungen

    • Management Auditing: Prüfung der Geschäftsleitung


Three Lines of Defense-Modell

  • Darstellung im Three Lines of Defense-Modell:

    1. Erste Linie: Operative Geschäftsbereiche tragen Eigenverantwortung

    2. Zweite Linie: Risikomanagement als zusätzliche Kontrollfunktion

    3. Dritte Linie: Interne Revision überprüft Einhaltung der ersten beiden Linien

  • Ziel: Schutz des Unternehmens vor Vermögensverlusten und Regelverstößen


Join Course
Preview

Author

Marie R.

Information

Last changed

Report course
© 2023 Buffl GmbH