Die Errichtung eines Risikofrüherkennungs- bzw. Risikomanagementsystems ist ausdrücklich in § 91 Abs. 2 AktG geregelt. Der Gesetzgeber geht aber davon aus, dass diese Regelung nicht nur für Aktiengesellschaften gelten soll, sondern auch Ausstrahlungswirkung auf den Pfl ichtenrahmen anderer Gesellschaftsformen hat. So haben Vorstände einer Genossenschaft die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden (§ 34 Abs. 1 GenG).
Vorstandsmitglieder, die ihre Pfl ichten verletzen, sind der Genossenschaft zum Ersatz des daraus entstehenden Schadens als Gesamtschuldner verpflichtet (§ 34 Abs. 2 GenG). Geschäftsführer einer GmbH haben die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden (§ 43 GmbHG). Geschäftsführer, die ihre Obliegenheiten verletzen, haften der Gesellschaft solidarisch für den entstehenden Schaden (§ 43 Abs. 2 GmbHG).
Aus rechtlicher Sicht wird nicht nur auf das Vorhandensein eines Risikomanagementsystems, sondern auch auf die jeweilige Ausgestaltung abgestellt. So ist beispielsweise die Verwendung von
Kennzahlen der Vorperiode im Risikofrüherkennungssystem nicht zukunftsorientiert. Genauso wenig erfüllt ein System ohne Dokumentation und ohne engmaschiges
Berichtswesen die gesetzlichen Anforderungen.
Abbildung 1: Mögliche risikobehaftete Organisations- und Beobachtungsbereiche
Mit dem
immobilienwirtschaftlichen Risikomanagementsystem wird versucht, Risiken systemisch zu begegnen. Risiken sind als Möglichkeit ungünstiger, zukünftiger Entwicklungen definiert. Um Risiken systemisch begegnen zu können, sind sie zu identifizieren, zu systematisieren und zu bewerten. Zur Identifizierung von Risiken werden in einem ersten Schritt
alle Organisationsbereiche erfasst, die einerseits
Risikopotenziale für Immobilienunternehmen bergen und andererseits
wesentlich für die zukünftige Entwicklung sind.
Um die Risiken systematisieren zu können, werden alle
als wesentlich identifizierten Risiken nach
Beobachtungsbereichen gegliedert. Die
Gliederung der Beobachtungsbereiche richtet sich wiederum nach den Verantwortungsbereichen innerhalb der Organisationsstruktur des Unternehmens. Die Bewertung der Risiken erfolgt risikoindividuell nach der zu erwartenden
Schadenshöhe und der
Eintrittswahrscheinlichkeit.
Risiken lassen sich meist schon in ihrer
Entstehungsphase an sogenannten
Indikatorenerkennen.
Risikoindikatoren bezeichnen Tatbestände, die auf ein Risiko schließen lassen. Beispielsweise lässt im Bereich
Bestandsbewirtschaftung eine bestimmte Belegungsstruktur auf steigende Mietausfälle und somit auf eine
sinkende Ertragslage für das Immobilienunternehmen schließen. Aufgabe des Risikomanagements ist letztlich die Handhabung von Risiken. Um das Ziel einer effizienten Handhabung der Risiken zu erreichen, sind darauf abgestimmte Reaktionen, Maßnahmen und Handlungsweisen zu entwickeln. Ein die Kriterien des Qualitätsmanagements DIN ISO 9001:2000 berücksichtigender Systemaufbau des Risikomanagements integriert Risikofrühwarnsystem, Internes Kontrollsystem,
Risikocontrolling und
Risikoreporting.
Abbildung 2: Instrumente des Risikomanagementsystems
1. Internes Kontrollsystem
Das
Interne Kontrollsystem (
IKS) beinhaltet z.B. folgende organisatorische Regelungen:
- Funktionstrennung nach Verantwortlichkeiten
- Vier-Augen-Prinzip
- Unterschriftsregelungen
- Zuordnung von Wertgrenzen
- Verteilung von EDV-Zugriffsrechten
- Prozessbeschreibungen zu Arbeitsabläufen
- Stellenbeschreibungen
- Arbeits- und Dienstanweisungen
- Belegwesen etc.
Darüber hinaus werden innerhalb der Internen Revision regelmäßig Teilbereiche des Unternehmens analysiert und bewertet. In diesem Zusammenhang ist die
Ausarbeitung eines Prüfungsplanes notwendig, da beispielsweise eine regelmäßige Kassenprüfung allein den Anforderungen nicht genügen kann. Dazu ist entweder von der Geschäftsführung oder von den beauftragten externen Prüfern ein
Innenrevisionsplan aufzustellen. Auch die Tiefe der Prüfung ist von Relevanz. Um den fachlichen Anforderungen zu genügen, sind hier unabhängige Sonderprüfungen durch externe Prüfer oder durch Verbände anzuraten.
Abbildung 3: Beispielhafter Innenrevisionsplan
2. Risikocontrolling
Das
Risikocontrolling besteht aus dem
entscheidungsorientierten Kennzahlensystem des Unternehmens sowie der
Verantwortlichkeitsmatrix. Das Kennzahlensystem liefert
externe und unternehmensinterne Kennzahlen. Diese sind so gegliedert, dass daraus zukünftige Unternehmensentwicklungen ablesbar sind. Das bedeutet, dass die innerhalb der integrierten Bilanz-, Wirtschafts- und Finanzplanung ermittelten Plankennzahlen in das Risiko-Controlling als Richtwerte und somit als Soll- oder Zielgrößen einfließen!
Gleichzeitig erfolgt hier die
Ableitung von Risiko-Schwellenwerten. Bei der Ermittlung von Schwellenwerten steht die Lage des eigenen Unternehmens im Vordergrund. Hier müssen substanzgefährdende Risikokennzahlen festgemacht werden. Eine Orientierung an den Kennzahlen anderer Unternehmen, beispielsweise über Betriebsvergleiche, ist nur bedingt hilfreich.
Abbildung 4: Beispielhafter Auszug aus dem Kennzahlensystem (Bild anklicken für vergrößerte Darstellung)
Die Verantwortlichkeitsmatrix bietet einen zusammengefassten Überblick über alle
nach Verantwortungsbereichen gegliederten Einzelrisiken, die jeweilige Risikoeinstufung sowie den jeweiligen Reporting- und Überwachungsturnus.
Abbildung 5: Beispielhafter Auszug aus der Verantwortlichkeitsmatrix (Bild anklicken für vergrößerte Darstellung)
3. Risikofrühwarnsystem
Das Risikofrühwarnsystem besteht aus dem
nach Bereichen gegliederten Risikokatalog, der alle Einzelrisiken erfasst, bewertet und Gegenmaßnahmen bereithält. Die eingehende Bewertung eines Einzelrisikos erfolgt unter Verwendung der sogenannten
Risikomatrix. Sie dient der Bewertung der identifizierten und systematisch gegliederten Risiken. Dabei werden alle wesentlichen Einzelrisiken anhand der Kriterien "
Schadenshöhe" und "
Eintrittswahrscheinlichkeit" eingestuft. Die Kriterien erfahren dabei jeweils eine dreistufige Untergliederung.
Abbildung 6: Risikomatrix
Die jeweilige
Risikoeinstufung eines Einzelrisikos ergibt sich aus dem Produkt der
numerischen Bewertung der Kriterien "Schadenshöhe" und "Eintrittswahrscheinlichkeit". Beispielweise wird ein Risiko mit geringer Schadenshöhe (1), aber sehr hoher Eintrittswahrscheinlichkeit (3) als Risiko der Klasse 3 (1 x 3) eingestuft.
- Rot eingestufte Risiken, die mit einer hohen Wahrscheinlichkeit eintreten und gleichzeitig eine schwerwiegende Schadenshöhe nach sich ziehen können, sollen strikt vermieden werden. Bei Feststellung derartiger Risiken ist sofortiger Handlungsbedarf gegeben.
- Gelb eingestufte Risiken, die mit einer mittleren Wahrscheinlichkeit eintreten und dabei gleichzeitig eine erhebliche Schadenshöhe verursachen können, sollen vermieden werden. Derartige Risiken unterliegen einer regelmäßigen Beobachtung.
- Grün eingestufte Risiken, deren Eintritt unwahrscheinlich ist und die gleichzeitig eine geringe Schadenshöhe nach sich ziehen können, finden sich meist im operativen Bereich und werden durch Instrumente wie das IKS bzw. andere Regelungen und Anweisungen aufgedeckt und vermieden.
Aus der Risikoeinstufung ergibt sich zum einen der notwendige
Überwachungs-
bzw.
Reportingturnus und zum anderen der jeweilige
Handlungsbedarf bzw. die einzuleitenden Gegenmaßnahmen. Die Einzelrisikoerfassung enthält notwendigerweise folgende Angaben:
- Einzelrisiko
- Beobachtungsbereich
- Verantwortliche(r)
- Schadenspotenzial(e)
- Schadenshöhe
- Eintrittswahrscheinlichkeit
- Risikoeinstufung
- Reportingturnus
- Indikatoren
- Gegenmaßnahmen
Einzelrisiken können mehr qualitativer oder eher quantitativer Natur sein.
Qualitative Risiken
zeichnen sich vor allem hinsichtlich ihrer Indikatoren dadurch aus, dass diese aus Handlungen, Methoden oder Systemen bestehen, die vorhanden sind oder nicht. Im
Risikoreport ist deshalb eine Beschreibung bzw. die Feststellung vorzunehmen, ob die Systeme vorhanden bzw. nicht vorhanden sind. Dies erfolgt durch die Angabe "ja" oder "nein". Der
Indikatorstatus, der eine
Schwellenwertüberschreitung farblich anzeigt, ist
bei den qualitativen Indikatoren immer gelb.
Quantitative Risiken verfügen dagegen über messbare Indikatoren und Kennzahlen.
Schwellenwertüberschreitungen werden hier rot angezeigt.
4. Risikoreporting
Wesentlicher Bestandteil der hier vertretenen
Risikomanagement-Systematik ist das
Berichtswesen, neudeutsch
Reporting. Im Gegensatz zu ausschließlich EDV-gestützten Risikofrühwarn- bzw. Risikomanagementsystemen wird durch das
Risikoreporting versucht, das Bewusstsein der verantwortlichen Führungskräfte und Mitarbeiter zu schärfen. Die
Vorgaben zum Risikoreporting führen dazu, dass beim Abfassen der Reports von den verantwortlichen Führungskräften und Mitarbeitern grundlegende
eigene Überlegungen zur Risikosituation des Unternehmens angestellt werden müssen.
Darüber hinaus ist es von größter Wichtigkeit,
Risiken verursachungsgerecht zuordnen zu können. Dazu sind meist nur die Mitarbeiter "vor Ort" in der Lage. Rein EDV- bzw. kennzahlgestützte Frühwarnsysteme sind hierzu nur bedingt geeignet. So lässt sich beispielsweise aus der
Kennzahl "
Leerstandsquote" nicht ablesen, ob es sich um lagebedingte, um ausstattungsbedingte oder um rein mieterbedingte Ursachen handelt. Genauso wenig sind Unterschiede an verschiedenen Standorten festzustellen, wenn die Kennzahl "Leerstandsquote" über alle Bestandsobjekte und Risikoursachen aggregiert ist.
Nur ein vom verantwortlichen Mitarbeiter verfasstes Risikoreporting kann daher
verursachungsgerechte Aussagen zu Einzelrisiken treffen und damit
unternehmerischen Fehlentscheidungen vorbeugen. Von großer Wichtigkeit ist zudem, ein
zukunftsorientiertes Risikomanagement zu verwenden. Die gesetzlichen Anforderungen verlangen ein System, mit dem "den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden". Die Verwendung von Vorjahres-Kennzahlen genügt diesen Anforderungen in keinem Fall.
Notwendig erscheint die
Verwendung von Plankennzahlen, also derjenigen Kennzahlen, die sich bei Durchführung aller
geplanten Neubau-,
Modernisierungs- und
Instandhaltungsinvestitionen, Desinvestitionen, Zins- und Tilgungsleistungen, Personaleinstellungen etc. ergeben. Diese Kennzahlen stellen zu erreichende Ziele dar. Werden diese Plan- oder Zielkennzahlen nicht erreicht, muss dies von den verantwortlichen Mitarbeitern reportet werden. Für das Risikomanagement ist softwaretechnisch eine
Verknüpfung mit der integrierten Bilanz, Wirtschafts- und Finanzplanung anzustreben.
Das Risikomanagementsystem muss in der Lage sein, die Plan- bzw. Zielkennzahlen aus dem Planungssystem auszulesen und in der
risikospezifischen Reportvorlage dem risikoverantwortlichen Bearbeiter zu Verfügung zu stellen. Reports werden häufig aus dem jeweiligen Einzelrisiko generiert. Im nachfolgend dargestellten Beispiel geschieht dies durch Aufruf des jeweiligen Einzelrisikos in der
Verantwortlichkeitsmatrix.
Abbildung 7: Beispielhafte Verantwortlichkeitsmatrix (Bild anklicken für vergrößerte Darstellung)
Aus dem dann geöffneten Einzelrisiko lässt sich ein
Reporting-Muster aufrufen. Dieses Reporting-Muster verfügt bereits über die
eingelesenen Plan- oder Zielkennzahlen.
5. Controlling-Funktion des immobilienwirtschaftlichen Risikomanagement-Systems
Die
systematische Erfassung und Dokumentation möglicher Einzelrisiken im Risikokatalog – unabhängig, ob vorhanden oder nicht – hat Informationscharakter. Durch Beschreibung und Bewertung von Risiken erfolgt eine
Reflexion von Unternehmenszielen und konkreten
Maßnahmezielen (
Planung). Die Verantwortlichkeitsmatrix offenbart die die Risikostruktur einzelner Geschäftsbereiche und deren Maßnahmen (Information, Planung). Die Berücksichtigung von Personal und Organisationsstruktur bei der Verteilung der Risiken deckt Schwachstellen (Kontrolle) und gleichzeitig Schnittstellen (Koordination) zu anderen Risiken auf und führt möglicherweise zum
Überdenken von Plänen (
Reflexion).
Durch das Übersetzen von Unternehmenszielen und geplanter Einzelmaßnahmen in Kennzahlen im
Plankennzahlensystem /
Risikocontrolling können Pläne durch den Vergleich mit festgelegten Schwellenwerten bereits in der Planungsphase Risiken erkennen lassen und wirken somit als Risikofrühwarnsystem. Ein Überdenken geplanter Maßnahmen ist vor der eigentlichen Planrealisation möglich (Information, Reflexion Plankontrolle). Nach der Planrealisation erfolgt durch den Vergleich der Indikator- oder Planwerte mit den Istwerten ein
Soll-Ist-Vergleich und somit die Kontrolle, ob die Planung eingehalten wird (
Planungs-
und Kontrollfunktion).
Abbildung 8: Controlling-Funktionen des immobilienwirtschaftlichen Risikomanagement-Systems
Das
einzelrisikoangepasste Reporting der Risikoverantwortlichen erfüllt damit nicht nur die gesetzlich geforderte
Dokumentationspflicht, sondern dient wiederum der Information der Geschäftsleitung sowie der Rückkopplung mit dem übergeordneten Zielsystem (Reflexions- und Koordinationsfunktion). Das
Reporting stellt zudem sicher, dass das Risikomanagement nicht nur externe Vorgabe bleibt, sondern von allen Beteiligten ein differenziertes Risikobewusstsein entwickelt wird (Reflexion). Durch die Integration der Bereiche
Personal und
Organisation wird neben Kontrolle auch die
Controlling-Funktion Koordination sichergestellt.
Die weiteren Teile der Reihe "Controlling in der Immobilienwirtschaft und Rating nach Basel II und III" können Sie hier lesen:
Download des vollständigen Beitrages:
Laden
letzte Änderung D.P.D.
am 20.12.2021
Autor:
Dr. Peter Dietrich
|
Autor:in
|
Herr Dr. Peter Dietrich
Dr. Peter Dietrich, Diplom-Kaufmann, wurde am 20. Juli 1967 in München geboren. Seit 1995 in Prüfung und Beratung von Wohnungsunternehmen tätig, versucht der Autor praktische Beratungsarbeit mit wissenschaftlichen Erkenntnissen zu verknüpfen. Darauf aufbauend entwickelte er ein umfassendes wohnungswirtschaftliches Controlling-System.
|
Homepage |
weitere Fachbeiträge des Autors
| Forenbeiträge
|