Risiko und Krisenmanagement / risk and crisis management

COSO-Framework:
Operationalisierung/ Operationalization
Risk management monitoring system / Risikomanagement-Überwachungssystem:

1. Design the monitoring system:

Understand the relevant risks and develop effective control mechanisms to monitor them.

2. Design of control activities:

Develop test procedures to verify the effectiveness of the control mechanisms.

3. Implementation of control activities:

Review control mechanisms to ensure proper functioning of the risk management system.

4. Adjusting the monitoring processes:

Continuous improvement of monitoring systems/control mechanisms.

1. Gestaltung des Überwachungssystems:

   Verständnis zu den relevanten Risiken und Entwicklung wirksame Kontrollmechanismen, um sie zu überwachen.

2. Gestaltung der Kontrolltätigkeiten:
   Entwickeln von Testverfahren, um die Wirksamkeit der Kontrollmechanismen zu überprüfen.

3. Umsetzung der Kontrolltätigkeiten:

   Überprüfung der Kontrollmechanismen, um das ordnungsgemäße Funktionieren des Risikomanagementsystems zu gewährleisten.

4. Anpassen der Überwachungsprozesse:

   Kontinuierliche Verbesserung der Überwachungssysteme/Kontrollmechanismen.

Strategisches Risikomanagement / Strategic risk management:
Kategorien/Arten von Risiken/ Types of Risks

Risk of strategic goal achievement:
Conflicting objectives arise between stakeholder interests and there is a corresponding risk that certain objectives cannot be achieved.

Financial reporting risk:
Irregularities in financial reporting
Example: Enron. Manipulation through internal accounting comes to light and leads to massive reputational damage, in the worst case to insolvency

Corporate governance risk:
Poor corporate governance leads to non-compliance with laws and regulations
Example: Financial crisis; a more independent board of directors could possibly have reduced the high exposure to US property

Market risk:
Failure to fulfil customer needs
Example: Nokia, producing products not in demand.

Operational risk:
Problems in the value chain
Example: Quality defects in production

Innovation risk, research & development risk:
New innovations must be continuously developed in order not to lose touch with the competition (see Nokia again)

Brand risk:
Loss of market share

Co-operation risk:
Risks arising from dependence on external partners, for example if suppliers fail to deliver or business partners fail to honour contracts.

Outsourcing risk:
Closely related to co-operation risk, describes problems that can arise from outsourcing business processes.

Employee risk:
Risks due to the loss of important employees (key person risk) or employee demotivation.

Communication risk:
Risks due to poor or delayed communication, which can have reputational damage or legal consequences.

Technology risk:
Risks associated with the use of new technologies or technical failures.

Trading risk:
Particularly relevant for banks and financial institutions.

Unsicherheit, Ungewissheit, Risiko /
Uncertainty, insecurity, risk

Uncertainty (risk in the broader sense)
Generic term for the possibility of deviation from the expected value (positive: opportunity, negative: danger).
Can be subdivided into uncertainty and risk in the narrower sense. Risk management deals with the latter

Insecurity:
The decision-maker is not aware of the probabilities of the possible environmental conditions occurring.

Risk in the narrower sense:
The decision maker knows the probabilities of the possible environmental states occurring. These can be determined either objectively, based on empirical frequency distributions, or subjectively, based on individual experience and considerations.

Alternative representation according to Möller:
Uncertainty exists on a continuum: from complete ignorance (‘Unknown Unknowns’) to complete information (‘Total Certainty’). In practice, decisions are usually made in a state of partial information, with varying degrees of uncertainty (general or specific uncertainty)

Qualitative risk assessment / Qualitative Risikoeinschätzung

Qualitative risk characterisation involves an initial classification of risks based on their relevance on a scale from 1 (insignificant) to 5 (jeopardising the existence of the company). To refine the relevance assessment, influencing factors are identified and weighted (= risk scoring).

The result is a qualitative risk inventory in which the measures already identified are also explained.
A risk inventory is used to assess risks, whereby risks with a high probability of occurrence and significant impact are prioritised.

Relevance has three functions:

Termination criterion to decide which risks are to be pursued or ignored.

Classification criterion to prioritise risks according to their importance.

Estimating the impact of a risk on the company value.

Compliance:
Elemente eines Compliance Programms /
Elements of a compliance programme

Commitment der Unternehmensleitung und formale Etablierung eines Compliance-Teams

Die Erstellung einer Compliance-Richtlinie, die insbesondere den Umfang der Compliance-Aktivitäten festlegt, sowie die Definition compliance-bezogener operativer Verfahren.

Überwachung der Effektivität der Compliance

Commitment of the company management and formal establishment of a compliance team

The creation of a compliance guideline that specifies the scope of compliance activities and the definition of compliance-related operational procedures.

Monitoring the effectiveness of compliance

Risikoindikatoren / risk indicators
Begriffsdefinition und Beispiel / definition and examples

Unter Risikoindikatoren sollen Messgrößen verstanden werden, die zur Bewertung eines Risikos dienen.
KRIs bewerten proaktiv die Risikoexposition, zeigen aktuelle Risikoniveaus sowie Trends in Echtzeit und ermöglichen rechtzeitige Maßnahmen.

Auf der zeitlichen Ebene unterscheidet man Frühwarnindikatoren ("Leading Indicators") von Indikatoren, die ein bereits eingetretenes Ereignis anzeigen ("Lagging Indicators").

Risk indicators should be understood as measurement parameters that are used to assess a risk. KRIs are used to proactively assess and address shifts in risk exposure. KRIs highlight, on a more real-time basis, current risk levels, and trends and changes in risk levels over time to enable more timely actions.

At the timescale, a distinction is made between early warning indicators (‘leading indicators’) and indicators that show an event that has already occurred (‘lagging indicators’).

examples of risk indicators:

Archers Struktuationstheorie: Morphogenese von Strukturen /
Archers structural theory: Morphogenesis of structures

Strukturelle Ausgangsbedingungen (T1):
Bestehende soziale Strukturen und kulturelle Systeme stellen vorgegebene Rahmenbedingungen für Handlungsmöglichkeiten der Akteure dar, determinieren diese jedoch nicht.

Soziale Interaktion (T2–T3):
Akteure handeln innerhalb dieser Strukturen und beeinflussen diese, was zu sowohl beabsichtigten als auch unbeabsichtigten Konsequenzen führt.

Strukturelle Transformation oder Reproduktion (T4):
Die bestehenden Strukturen werden entweder reproduziert (Morphostase) oder modifiziert (Morphogenese).

Eine hohe Sozialintegration führt meist zur Morphostase, eine niedrige Sozialintegration begünstigt Morphogenese.

Structural starting conditions (T1):

Existing social structures and cultural systems set conditions for opportunities for action without determining them.

Social interaction (T2-T3):

Actors act within these structures, leading to both intended and unintended consequences.

Structural transformation or reproduction (T4):

The existing structures are either reproduced (morphostasis) or modified (morphogenesis).

High social integration usually leads to morphostasis, while low social integration favours morphogenesis.

Archers Struktuationstheorie: Beispiel für den Zusammenhang zwischen Interaktionen und Strukturen /
Archer's structuration theory: example for the connection between interactions and structures

Ein Beispiel für analytischen Dualismus ist die Institution der Ehe​

• Struktur: Die Institution der Ehe existiert unabhängig von individuellen Akteuren und stellt eine vorgegebene Rahmenbedingung dar (rechtliche und kulturelle Normen).

• Aktion/Handlung: Individuelle Ehepaare handeln innerhalb dieser Struktur, beeinflussen sie aber auch durch ihre Entscheidungen, Praktiken oder gesellschaftliche Debatten über alternative Modelle (z. B. gleichgeschlechtliche Ehe oder offene Beziehungen).

  Die Trennung von Struktur und Aktionen erlaubt es, deren Wechselwirkungen über die Zeit zu analysieren, d. h. wie Handlungen von Individuen die bestehende Struktur reproduzieren oder verändern.

An example of analytical dualism is the institution of marriage

Structure: The institution of marriage exists independently of individual actors and represents a predetermined framework (legal and cultural norms).

action: Individual married couples act within this structure, but also influence it through their decisions, practices or social debates about alternative models (e.g. same-sex marriage or open relationships).

The separation of structure and action makes it possible to analyse their interactions over time, i.e. how individuals' actions reproduce or change the existing structure.

Archers Struktuationstheorie: Verbindung von kulturellen und strukturellen Interaktionen /
Archer's structuration theory: connection between cultural and structural interactions

Kulturelle Konzepte formen strukturelle Gegebenheiten, während diese wiederum die kulturelle Entwicklung beeinflussen.

Soziale Innovationen entstehen nicht alleine durch neue Ideen, sondern erfordern auch die aktive Umsetzung durch soziale Akteure (=Sponsoren die Ideen umsetzen).

Vier mögliche Kombinationen aus kultureller und struktureller Veränderung:

1. Morphostase in beiden Bereichen
   Kulturelle und strukturelle Integration verstärken sich gegenseitig, was zu Stabilität führt. Bestehende Strukturen werden aufrechterhalten).

2. Kulturelle Morphostase und strukturelle Morphogenese
   Behindert eine weitere strukturelle Differenzierung.

3. Kulturelle Morphogenese, strukturelle Morphostase:
   Hemmt zunächst die kulturelle Entwicklung, doch langfristig untergräbt der kulturelle Pluralismus die Basis der strukturellen Stabilität.

4. Morphogenese in beiden Bereichen
   Führt zur Entstehung neuer dominanter Akteure und Oppositionen

Cultural concepts shape structural conditions, while these, in turn, influence cultural development.

Social innovations do not emerge solely from new ideas but also require active implementation by social actors (=sponsors who implement ideas).

Four possible combinations of cultural and structural change:

• Morphostasis in both areas
  Cultural and structural integration reinforce each other, leading to stability. Existing structures are maintained.

• Cultural morphostasis and structural morphogenesis
  A unified culture hinders further structural differentiation.

• Cultural morphogenesis, structural morphostasis
  This initially inhibits cultural development, but in the long run, cultural pluralism undermines the foundation of structural stability.

• Morphogenesis in both areas
  Leads to the emergence of new dominant actors and oppositions.

Risikoparameter: Implementierung
Risk parameters: implementation

Die Implementierung von Risikoindikatoren erfordert Fachkompetenz, geeignete technische Voraussetzungen und Datenverarbeitung.

Linienverantwortliche sollten aufgrund ihrer Geschäftskenntnis einbezogen werden, während die interne Revision mit Methodenwissen und Überwachungstools unterstützt.


The implementation of risk indicators requires expertise, suitable technical requirements and data processing.

Line managers should be involved due to their business expertise, while internal audit provides support with methodological knowledge and monitoring tools.

Risikoprofil / Risk profile:
Risk Map

Das Risikoprofil enthält wesentliche identifizierte und bewertete Risiken.
Es lassen sich Zeithorizonte berechnen, innerhalb derer mit dem Eintritt eines Risikos zu rechnen ist. Das Unternehmen sollte auch bei einem Ausbleiben eines Risikoereignisses in der Vergangenheit nicht damit rechnen, in der Zukunft davon verschont zu bleiben. Als Empfehlung für das Risikoprofil ist ein Wirkungszeitraum von drei bis fünf Jahren.

Die wesentliche Schwäche des Risk Map ist, dass bekannte bzw. vorhandene Mittel zum Umgang mit den Risiken nicht abgebildet werden. Weiterhin sind Risk Maps statisch, d.h. Entwicklungen von Risiken im Zeitverlauf können nicht abgebildet werden.

Eine typische Darstellungsform für ein Risikoprofil ist eine Matrix mit den Dimensionen Eintrittswahrscheinlichkeit und Auswirkung des Risikos ("risk map")

1. hohe Auswirkung/geringe Wahrscheinlichkeit

Dies sind erhebliche Risiken, die für das Unternehmen eine Krise auslösen können. Da solche Ereignisse nicht vorhersehbar sind, werden sie oft durch eine Versicherung oder eine Krisenmanagementplanung gemildert.

2. geringe Auswirkung/geringe Wahrscheinlichkeit

Im Rahmen des operativen Geschäfts sind diese Risiken zu adressieren. Da sie nicht kritisch sind, haben entsprechende Überlegungen i.d.R. keine besondere Priorität.

3. hohe Auswirkung/hohe Wahrscheinlichkeit

Dies sind typischerweise dringende Fragestellungen, die die ungeteilte Aufmerksamkeit der Unternehmensleitung erfordern. Ein aktives Management dieser Risiken ist erforderlich

4. geringe Auswirkung/hohe Wahrscheinlichkeit

Es handelt sich um vorhersehbare und typischerweise mit normalen geschäftlichen Transaktionen verbundene Risiken. Sie müssen durch verfahrenstechnische Kontrollen in einem akzeptablen Kosten-Nutzen-Verhältnis gemildert werden.
Es gilt ein Überwachungs- und Berichtssystem zu etablieren

The risk profile contains significant identified and assessed risks.

Time horizons can be calculated within which the occurrence of a risk can be expected. Even if a risk event has not occurred in the past, the company should not expect to be spared from it in the future. A period of three to five years is recommended for the risk profile.

The main weakness of the risk map is that known or existing means of dealing with the risks are not mapped. Furthermore, risk maps are static, i.e. developments in risks over time cannot be depicted.

A typical form of presentation for a risk profile is a matrix with the dimensions probability of occurrence and impact of the risk (“risk map”)

1. high impact/low probability

These are significant risks that are likely to trigger a crisis for the company.
Such events, because of their unpredictability, are often mitigated by use of insurance or disaster recovery planning.

.

2. Low impact/low probability

These risks must be addressed as part of the operating business. As they are not critical, corresponding considerations are generally not a particular priority.

3. high impact/high probability

These are typically urgent issues that require the undivided attention of the company management.
Active risk management (e.g. avoidance of occurrence) is required

4. low impact/high probability

These are foreseeable risks that are typically associated with normal business transactions. They need to be mitigated through procedural type controls to an acceptable cost/benefit level.
Hence a monitoring and reporting system should be established.

Risikoprofil / Risk profile:
Heat Map

Eine Heat Map ist eine farbcodierte Matrix zur Darstellung von Risiken und deren Minderung in einer Organisation. Sie visualisiert Risikoniveaus (z. B. hoch = rot, mittel = gelb, niedrig = grün):
Der Vorteil des Heat Maps ist, dass neben den eigentlichen Risiken auch die Wirkungen ergriffener Maßnahmen zum Umgang mit den Risiken abgebildet werden können.

Die Klassifikation von Heat Maps kann auf zwei grundlegende Arten erfolgen: Erstens anhand bestimmter Kategorien, beispielsweise durch die Systematisierung nach Arten von Risiken ( Z.B. strategische, operative, systemische Risiken) was als Risk Source Heat Map bezeichnet wird.
Zweitens können Heat Maps nach Organisationseinheiten differenziert werden, etwa in Bezug auf Trading, Middle Office und Back Office,was als Organization Heat Map bezeichnet wird.

Heat maps can be classified in two basic ways: First, based on certain categories, for example by systematizing by types of risks ( E.g. strategic, operational, systemic risks) which is called a risk source heat map.
Secondly, heat maps can be differentiated according to organisational units, for example in relation to trading, middle office and back office, which is referred to as an organisation heat map.

Risikoindikatoren / risk indicators:
Designparameter für die Gestaltung
Parameters for the design

Anspruchsgruppen

Das Unternehmen operiert nicht in einem luftleeren Raum. Entsprechend sollten berechtigte Interessen relevanter Anspruchsgruppen berücksichtigt werden.

Messbarkeit

Für einen Risikomanagementprozess wird i.d.R. eine Vielzahl von Indikatoren benötigt. Um die Handhabbarkeit des Instrumentariums zu gewährleisten, sollte man auf eine präzise Definition der Indikatoren achten.

Priorisierung von wesentlichen Risiken

Es ist eine Priorisierung von Risiken vorzunehmen, d.h. lediglich relevante Risiken bzw. solche, von denen man erwartet, dass sie relevant werden, sollten abgebildet werden.

Objektive Messgrößen

Die fehlende Wiederholbarkeit (Reliabilität) macht subjektive Beurteilungen ungeeignet für ein systematisch konzipiertes Risikomanagement. Grundsätzlich ist daher auf objektive Messgrößen abzustellen.

Langfristperspektive

Insbesondere längerfristig wirksamen Entwicklungen ist Augenmerk zu schenken.

Stakeholders

The company does not operate in a vacuum. Accordingly, the legitimate interests of relevant stakeholder groups should be taken into account.

Measurability

A risk management process generally requires a large number of indicators. In order to ensure the manageability of the instruments, care should be taken to define the indicators precisely.

Prioritization of significant risks

Risks should be prioritized, i.e. only relevant risks or those that are expected to become relevant should be mapped.

Objective measurement parameters

The lack of repeatability (reliability) makes subjective assessments unsuitable candidates for systematically designed risk management. Objective measures should therefore always be used.

Long-term perspective

Particular attention should be paid to developments that are effective in the longer term.

Risikoprofil / risk profile:
Datenbasis für ein Risikoprofil /Data basis for a risk profile

Die Datenbasis für die in den Heat Maps dargestellten Informationen kann aus verschiedenen Quellen herrühren.

• Risk Workshop:

  • Vorteile: Effiziente Nutzung der Zeit, fördert den Austausch

  • Nachteile: Erfordert hohe Moderationsfähigkeiten

• Structured Interview:

  • Vorteile: stärkt Beziehungen und Risikokultur.

  • Nachteile: verhindert Dialog unter Entscheidungsträgern, aufwendige Planung nötig.

• Formal Survey:

  • Vorteile: Erreicht viele Teilnehmer, bietet konsistente Struktur

  • Nachteile: Mögliche Qualitätsprobleme bei Antworten, keine Interaktion oder Lernmöglichkeit für Befragte.

Für die Darstellung der Ergebnisse eignet sich eine Übersichtstabelle, die die Risiken benennt und quantifiziert

Abweichende Risikoeinschätzungen und Trendbewertungen sind zu dokumentieren und in der Validierung zu berücksichtigen. Zudem sind Veränderungen der Risikobeurteilung über die Zeit zu beachten.

Eine kritische Durchsicht und Validierung durch das Management ist unerlässlich. Hierbei wird das Risikoprofil auf Vollständigkeit und angemessene Schwerpunktsetzung geprüft. Das finalisierte Risikoverzeichnis sollte regelmäßig vom Leitungsgremium zur Kenntnis genommen und bei strategischen Entscheidungen berücksichtigt werden.

Die kontinuierliche Überwachung und Anpassung des Risikoprofils ist von großer Bedeutung. Dabei wird die Prognosegenauigkeit überprüft und ein Abgleich mit dem tatsächlichen Ressourceneinsatz vorgenommen

An overview table that names and quantifies the risks is suitable for presenting the results

Deviating risk assessments and trend evaluations must be documented and taken into account in the validation. Changes in the risk assessment over time must also be taken into account.

A critical review and validation by management is essential. This involves checking the risk profile for completeness and appropriate prioritisation. The finalised risk inventory should be regularly acknowledged by the management body and taken into account in strategic decisions.

The continuous monitoring and adjustment of the risk profile is of great importance. This involves checking the accuracy of the forecast and comparing it with the actual use of resources

Risk Focused Resource Allocation Framework (RFRAF)
*

1. Ableitung von Erfolgsfaktoren und Indikatoren
   Das Unternehmen definiert fünf strategische Ziele, darunter Kundenzufriedenheit, stabile Endkundenpreise, Gewinnsteigerung, Einhaltung von Arbeitsschutzbestimmungen und Reputationssicherung. Diese Ziele werden durch messbare Indikatoren (Key Performance Indicators, KPI) operationalisiert.

2. Festlegung der Risikotoleranz
   Die Risiken werden in fünf Klassen eingeteilt:

   • Kleine Störung („minor“): Routinemäßige Maßnahmen durch Fachbereiche ohne nachhaltige Konsequenzen.

   • Moderate Störung („moderate“): Wesentliche Abweichungen, die durch projektorganisierte Maßnahmen adressiert werden.

   • Starke Störung („major“): Bedeutende Zielabweichungen, über die Bereichsleiter und Unternehmensleitung gemeinsam entscheiden.

   • Schwere Störung („severe“): Grundsätzliche Infragestellung der Zielerreichung mit sofortiger Unternehmensleitungseinbindung und projektübergreifender Lösungsfindung.

   • Katastrophenszenario („worst case“): Existenzbedrohende Risiken, die sofortiges und umfassendes Managementhandeln erfordern.

3. Präventive Maßnahmen und Reaktionsplanung
   Vorab werden Maßnahmen definiert, um Risiken frühzeitig zu erkennen und Gegenmaßnahmen bereits im Vorfeld zu planen. Die Risikotoleranz wird operationalisiert, indem KPIs in konkrete Planungsindikatoren umgewandelt werden.

4. Bewertung der Eintrittswahrscheinlichkeit
   Die Risiken werden anhand einer fünfstufigen Skala von „sehr unwahrscheinlich“ bis „sehr wahrscheinlich“ klassifiziert. Diese Bewertung hilft, realistische Erwartungswerte für das Risikomanagement zu berechnen.

5. Erstellung einer Risikomatrix
   Durch Kombination von Eintrittswahrscheinlichkeit und Schadensausmaß wird eine Risikomatrix erstellt. Risiken mit hoher Relevanz befinden sich im oberen rechten Quadranten der Matrix, wodurch Prioritäten für das Management abgeleitet werden

Schritte des Risikomanagementprozesses

• Identifikation und Beurteilung der Risiken in Bezug auf die Unternehmensziele.

• Auswahl von Risiken, für die Maßnahmen ergriffen werden müssen

• Entwicklung alternativer Risikobewältigungsstrategien.(TARA)

• Prioritätenbildung basierend auf Risikoeinschätzung und Bewältigungsstrategien.

• Kritische Durchsicht und Validierung der Analyse anhand Sensititvitätsanalysen, Plausibilitätscheck und Beachtung der Budgetrestriktionen

• Diskussion und Verabschiedung der umzusetzenden Maßnahmen.

• Projektmanagement zur Umsetzung der Maßnahmen.und Ressourcen (Sachmittel, Finanzen, Information) in ausreichendem Umfang bereitstellen.

1. Derivation of success factors and indicators

   The company defines five strategic goals, including customer satisfaction, stable end customer prices, increased profits, compliance with health and safety regulations and safeguarding reputation. These goals are operationalised using measurable indicators (key performance indicators, KPIs).

2. Determination of risk tolerance

   Risks are categorised into five classes:

   Minor incident (‘minor’): Routine measures by specialised departments without lasting consequences.

   Moderate disruption (‘moderate’): Significant deviations that are addressed by project-organised measures.

   Major disruption: Significant deviations from targets that are decided jointly by the divisional manager and company management.

   Severe disruption: Fundamental questioning of target achievement with immediate company management involvement and cross-project solution finding.

   Catastrophic scenario (‘worst case’): Existence-threatening risks that require immediate and comprehensive management action.

3. Preventive measures and response planning

Measures are defined in advance in order to recognise risks at an early stage and plan countermeasures in advance. Risk tolerance is operationalised by converting KPIs into concrete planning indicators.

4. Assessment of the probability of occurrence

Risks are categorised on a five-point scale from ‘very unlikely’ to ‘very likely’. This assessment helps to calculate realistic expected values for risk management.

5. Creation of a risk matrix

A risk matrix is created by combining the probability of occurrence and the extent of damage. Risks with a high degree of relevance are located in the top right quadrant of the matrix, allowing management priorities to be derived

Steps of the risk management process

• Identification and assessment of risks in relation to the company's objectives.

• Selection of risks for which measures need to be taken

• Development of alternative risk management strategies (TARA)

• Prioritisation based on risk assessment and response strategies.

• Critical review and validation of the analysis based on sensitivity analyses, plausibility check and consideration of budget restrictions

• Discussion and adoption of the measures to be implemented.

• Project management for the implementation of the measures and provision of sufficient resources (material resources, finances, information).

Marktrisiko / market risk

Das Marktrisiko beschreibt die Gefahr, dass sich der aktuelle Wert oder die zukünftigen Zahlungsströme eines (Finanz)instruments aufgrund von Schwankungen der Marktpreise verändern.
Gefahr von Verlusten, die sich aus nachteiligen Marktpreisbewegungen ergeben.

Das Marktrisiko lässt sich in verschiedene Unterkategorien unterteilen:

• Wechselkursrisiko: Schwankungen des Wechselkurses können dazu führen, dass sich zukünftige Zahlungsströme anders entwickeln als erwartet. Dies betrifft insbesondere Unternehmen mit internationalen Geschäften.

• Zinsänderungsrisiko:
  Das Zinsänderungsrisiko besteht in einer aus Marktzinsänderungen resultierenden negativen Abweichung. Veränderungen von Zinssätzen beeinflussen nicht nur die Zahlungsströme, sondern auch den Wert von Vermögensgegenständen und Verbindlichkeiten. .

• Preisrisiko: Hierunter fallen Schwankungen der Preise von Rohstoffen (commodity price risk) sowie der Kurse von handelbarem Eigenkapital (equity price risk).

• volkswirtschafliche Risiken: Es handelt sich um Einflüsse, die eine Mehrzahl von Akteuren in einer Branche betreffen, z.B. die Nachfrageentwicklung der Konsumenten.

• Liquiditätsrisiken: Veränderungen in der Marktliquidität können die Fähigkeit eines Unternehmens beeinträchtigen, zu einem bestimmten Zeitpunkt zu vertretbaren Kosten Transaktionen durchzuführen.

Market risk describes the risk that the current value or future cash flows of a (financial) instrument will change due to fluctuations in market prices.

Market risk can be divided into various sub-categories:

Exchange rate risk: Fluctuations in the exchange rate can lead to future cash flows developing differently than expected. This particularly affects companies with international business.

Interest rate risk: Changes in interest rates affect not only cash flows, but also the value of assets and liabilities. This can make investments more or less attractive.

Price risk: This includes fluctuations in the prices of commodities (commodity price risk) and the prices of tradable equity (equity price risk).

Economic risks: These are influences that affect a majority of players in an industry, e.g. the development of consumer demand.

Liquidity risks: Changes in market liquidity can affect a company's ability to carry out transactions at a given time at a reasonable cost.

Marktrisiko / market risk:
Offenlegung in der Rechnungslegung / Disclosure in financial reporting

Nach IAS/IFRS müssen Unternehmen eine Sensitivitätsanalyse für jede Art von Marktrisiko im Anhang zum Jahresabschluss offenlegen.

Zu den wesentlichen Risiken zählen Änderungen von Zinssätzen, Rohstoffpreisen, Wechselkursen.

Unternehmen nutzen dabei interne Daten und Analyseverfahren, die auch für die Unternehmenssteuerung herangezogen werden (Management Approach).

Under IAS/IFRS, companies must disclose a sensitivity analysis for each type of market risk in the notes to the annual financial statements.

The main risks include changes in interest rates, commodity prices, exchange rates

Companies utilise internal data and analysis procedures that are also used for corporate management purposes (management approach).

Marktrisiko / market risk:
Relevanz des Marktrisikos aus der Investorenperspektive /
Relevance of market risk from the investor's perspective

Beim Umgang mit Marktrisiken gibt es zwei Extrempositionen: Entweder das Unternehmen adressiert Marktrisiken aktiv auf Unternehmensebene, insbesondere solche, die nicht zum Kerngeschäft gehören, oder es setzt auf eine hohe Kapitalmarkteffizienz, sodass Anleger Risiken besser innerhalb eines diversifizierten Portfolios managen können und keine Absicherung erforderlich ist. Wo ein Unternehmen in diesem Spektrum einzuordnen ist, hängt von mehreren Faktoren ab.

• Branchenstruktur: Wettbewerbsintensität beeinflusst die Fähigkeit, Preisänderungen durchzusetzen. Konzentrationen bei Zulieferern oder Kunden können den Handlungsspielraum einschränken.

• Kostenstruktur: Unternehmen mit Kostenführerschaftsstrategien sind unterschiedlich stark von Veränderungen in der Kostenstruktur betroffen.

• Akzeptanz volatiler Zahlungsströme: Erwartungen von Eigentümern und Gläubigern hinsichtlich Schwankungen operativer Zahlungsströme sind zu berücksichtigen, um Unsicherheiten zu vermeiden.

• Methodenkenntnis im Risikomanagement: Spezialisierte Fachkenntnisse sind erforderlich; Outsourcing ist oft nur begrenzt sinnvoll, da es den Kern unternehmerischer Entscheidungen betrifft.

• Markterwartungen: Unternehmensleitung muss zukünftige Marktentwicklungen bewerten und deren Eintrittswahrscheinlichkeit sowie mögliche Konsequenzen abwägen.
  
  

Letztlich läuft die Diskussion auf die Frage hinaus, wie stark operative Zahlungsströme schwanken dürfen. Grundsätzlich bevorzugen Anleger weniger volatile Zahlungsströme und verlangen für höhere Volatilität eine Risikoprämie.
Ein aktives Risikomanagement verursacht jedoch Kosten, sodass eine Kosten-Nutzen-Abwägung erforderlich ist. Eine übermäßige Risikoabsicherung kann zudem die Attraktivität des Unternehmens als Portfoliobestandteil mindern, da es seinen Beitrag zum systematischen Risiko reduziert und somit die Diversifikationsvorteile für Anleger schmälert.


There are two extreme positions when dealing with market risks: Either the company actively addresses market risks at a corporate level, especially those that are not part of its core business, or it focuses on high capital market efficiency so that investors can better manage risks within a diversified portfolio and no hedging is required.
Where a company falls within this spectrum depends on several factors:
Industry structure: The intensity of competition influences the ability to implement price changes. Concentrations of suppliers or customers can limit the scope for action.

Cost structure: Companies with cost leadership strategies are affected to varying degrees by changes in the cost structure.

Acceptance of volatile cash flows: Expectations of owners and creditors regarding fluctuations in operating cash flows must be taken into account in order to avoid uncertainties.

Knowledge of risk management methods: Specialized expertise is required; outsourcing is often only useful to a limited extent as it affects the core of business decisions.

Market expectations: Company management must evaluate future market developments and weigh up their probability of occurrence and possible consequences.

Ultimately, the discussion boils down to the question of how much operating cash flows may fluctuate. Investors generally favour less volatile cash flows and demand a risk premium for higher volatility.

However, active risk management incurs costs, so a cost-benefit analysis is required. Excessive risk hedging can also reduce the attractiveness of the company as a portfolio component, as it reduces its contribution to systematic risk and thus reduces the diversification benefits for investors.

Marktrisiko / market risk:
Kreditrisiko als Sonderfall des Marktrisikos / Credit risk as a special case of market risk

Das Kreditrisiko ist eine spezielle Form des Marktrisikos: Es beschreibt ausschließlich den möglichen Verlust durch den Ausfall einer Forderung.

Die Berechnung erfolgt nach der Formel:
Kreditrisiko = ungesicherter Betrag × Ausfallwahrscheinlichkeit × Loss Given Default (LGD).

Loss Given Default (LGD) bezeichnet den Verlustanteil nach einem Kreditausfall.

Ungesicherter Betrag ist der Teil des Kredits, der nicht durch Sicherheiten gedeckt ist.

Kreditrisiken sind nicht nur für bereits ausgezahlte Kredite, sondern auch für zugesagte Kreditlinien relevant, weil ein Unternehmen in einer finanziellen Notlage möglicherweise den gesamten verfügbaren Kreditrahmen ausschöpft.

Credit risk is a special form of market risk because it is defined one- sided - it only describes the possible loss due to the default of a loan.

It is calculated using the formula

Credit risk = unsecured amount × probability of default × loss given default (LGD).

Loss given default (LGD) refers to the share of loss following a credit default. It can be specified as a fixed monetary amount or as a percentage of the unsecured credit volume.

The unsecured amount is the part of the loan that is not covered by collateral. In practice, this amount can vary if collateral cannot be realized despite legal or economic hurdles.

Credit risks are not only relevant for loans that have already been disbursed, but also for committed credit lines, as a company in financial distress may utilize the entire available credit line.

Marktrisiko / market risk:
Bestimmungsfaktoren einer Kreditwürdigkeitsprüfung /
Determining factors of a credit assessment

Die Kreditwürdigkeitsprüfung basiert auf den sogenannten „5 C“: Capacity, Capital, Collateral, Conditions und Character

Capacity meint die Fähigkeit eines Unternehmens, den Kredit zurückzuzahlen.

Capital bezieht sich auf die vorhandene Kapitalausstattung

Collateral bezeichnet das Schuldendeckungspotenzial der Sicherheiten.

Conditions beschreiben unternehmenspezifische sowie allgemeine wirtschaftliche Kontextfaktoren.

Character bezieht sich auf die Kreditwürdigkeit und Vertrauenswürdigkeit des Kreditnehmers.

The credit assessment is based on the so-called ‘5 Cs’: Capacity, Capital, Collateral, Conditions and Character

Capacity refers to the ability of a company to repay the loan.

Capital refers to the available capital resources

Collateral refers to the debt coverage potential of the collateral.

Conditions describe company-specific and general economic context factors.

Character refers to the creditworthiness and trustworthiness of the borrower.

Marktrisiko / market risk:

Risikobewertung als Beurteilung eines Ausfallrisikos / Risk assessment as an evaluation of the risk of default

Die Risikobewertung bei Ausfallrisiken hängt von der Art der Forderung ab.

Kundenforderungen werden durch Kreditlimits gesteuert, basierend auf der wirtschaftlichen Lage des Kunden, Zahlungsmodalitäten und Sicherheiten.

Die Kreditvergabe orientiert sich am Finanzierungsbedarf des Unternehmens, insbesondere am Umlaufvermögen.

Eine marktbasierte Risikobewertung kann hohe Refinanzierungskosten verursachen. Alternativen sind Anzahlungen, Vorauszahlungen oder Factoring zur Risikoverlagerung.

Für größere Unternehmen existieren Kreditausfallversicherungen und -derivate.

The risk assessment for default risks depends on the type of receivable.

Customer receivables are managed using credit limits based on the customer's financial situation, payment terms and collateral.

Lending is based on the company's financing requirements, in particular its current assets.

A market-based risk assessment can result in high refinancing costs. Alternatives include advance payments, prepayments or factoring to shift risk.

Credit default insurance and derivatives are available for larger companies.

operatives Risiko / operational risk

Der operative Bereich betrifft das Tagesgeschäft und beeinflusst indirekt die Umsetzung von Strategien

Operatives Risikomanagement dient der Erreichung unternehmerischer Ziele.

Gründe für die Verfehlung von operativen Zielen sind unter anderem (siehe Abbildung)

The operational area concerns day-to-day business and indirectly influences the implementation of strategies

Operational risk management serves to achieve corporate goals.

Reasons for failing to achieve operational targets include (see illustration)

operatives Risiko / operational risk
Einflussfaktoren („Stellhebel“) auf das operative Risiko / Influencing factors (‘levers’) on operational risk

Wesentliche Stellhebel für das operative Risikomanagement sind:

• Klarheit über gemeinsame Ziele, Rollen und Verantwortlichkeiten

• geeignete und zielgerichtete Einsatz von Ressourcen

• Kompetenzen im Umgang mit unerwarteten Entwicklungen, insbesondere durch eine risikobewusste Wahrnehmung (z. B. durch Frühwarnsysteme) sowie den Aufbau aktiver Beziehungen zu wichtigen Stakeholdern.

Key levers for operational risk management are:

Clarity about common goals, roles and responsibilities

Appropriate and targeted use of resources

Expertise in dealing with unexpected developments:
In particular through the development of a risk-based perception. The ability to identify and assess risk-relevant influencing factors, e.g. in the sense of an early warning system as well as the development of active relationships with relevant stakeholder groups

operatives Risiko / operational risk

Rolle von Standardsetzern für das operative Risikomanagement am Beispiel von Banken /
Role of standard setters for operational risk management using the example of banks

Der maßgebliche Standardsetzer im Bankensektor ist der Basler Ausschuss für Bankenaufsicht der Bank für Internationalen Zahlungsausgleich (BIZ). Durch die Reformpakete Basel I bis III hat er Richtlinien zur Kapitalausstattung von Finanzinstituten formuliert, die darauf abzielen, die monetäre und finanzielle Stabilität verschiedener Zentralbanken zu gewährleisten.

Dies soll u.a. durch folgende Maßnahmen geschehen:

• Förderung der Diskussion und Zusammenarbeit der Zentralbanken untereinander,

• Als Gegenpartei für Zentralbanken bei finanziellen Transaktionen agieren

The Basel Committee on Banking Supervision of the Bank for International Settlements (BIS) is the authoritative standard setter in the banking sector. Through the Basel I to III reform packages, it has formulated guidelines on the capitalisation of financial institutions, which aim to ensure the monetary and financial stability of various central banks.

This is to be achieved through the following measures, among others:

• Promoting discussion and co-operation among central banks,

• Acting as a counterparty for central banks in financial transactions

operatives Risiko / operational risk

wesentliche Aspekte der Regelwerke Basel I, II und III aus der Risikomanagementperspektive

Basel I (1988) legte den Grundstein für die Regulierung der Eigenkapitalanforderungen von Banken.

Basel II (1999) verbesserte die Anforderungen durch ein dreisäuliges Konzept. Zudem wurden erstmals Anforderungen an das operative Risikomanagement einer Bank formuliert.

Basel III (nach 2007) infolge der Finanzkrise erfolgte die Berücksichtigung von Derivaten und außerbilanziellen Geschäften in der Eigenkapitalberechnung sowie die Einführung einer Leverage Ratio, die die Verschuldung der Banken begrenzen soll.

Basel I (1988) laid the foundation for the regulation of banks' capital requirements.

Basel II (1999) improved the requirements with a three-pillar concept. In addition, requirements for a bank's operational risk management were formulated for the first time.

Basel III (after 2007) as a result of the financial crisis, derivatives and off-balance sheet transactions were included in the calculation of equity and a leverage ratio was introduced to limit bank debt.

Operatives Risiko / operational risk

Rolle der Unternehmensverfassung /Role of the corporate constitution

Strukturelle Aspekte sind essenziell für die effektive Umsetzung des operativen Risikomanagements.

Die Schwerpunktsetzung liegt auf der Delegation von Entscheidungsbefugnissen im Risikomanagement. Eine Bank muss einen Risikomanagementverantwortlichen im Senior Management benennen, der das oberste Leitungsgremium in Risikofragen unterstützt, insbesondere durch die Festlegung eines Risikoprofils und entsprechender Limitierungen für die Geschäftsabläufe. Dieser Verantwortliche ist in wesentliche Entscheidungen wie Strategieentwicklung, Investitions- und Liquiditätsplanung, neue Produkte sowie das Vergütungssystem einzubeziehen.

Zur Risikobewertung sind Stresstests durchzuführen, um potenzielle Risiken unter verschlechterten Rahmenbedingungen einzuschätzen. Die Unternehmensleitung genehmigt die Szenarien interner Stresstests, deren Ergebnisse regelmäßig dem obersten Leitungsgremium vorgelegt werden. Die Ergebnisse beinhalten Auswirkungen auf Budget, Kapitalbedarf und Liquiditätsplanung und werden weiteren Verantwortlichen in der Bank mitgeteilt.

Structural aspects are essential for the effective implementation of operational risk management.

The focus is on the delegation of decision-making powers in risk management. A bank must appoint a risk management officer in senior management who supports the top management body in risk issues, in particular by defining a risk profile and corresponding limits for business processes. This officer must be involved in key decisions such as strategy development, investment and liquidity planning, new products and the remuneration system.

Stress tests must be carried out to assess potential risks under deteriorating conditions. The company management approves the scenarios of internal stress tests, the results of which are regularly presented to the highest management body. The results include effects on the budget, capital requirements and liquidity planning and are communicated to other responsible parties in the bank.

Strategische Dimension des Risikomanagement / Risikobegriff im unternehmerischen Kontext

Das Enterprise Risk Management (ERM) bezeichnet die systematische Auseinandersetzung mit unternehmerischen Risiken.

Unternehmerisches Handeln ist das bewusste Eingehen von Risiken.Nur wer Risiken eingeht kann ein Gewinn erzielen.

Dabei stehen nicht nur einzelne Risiken im Fokus, sondern auch deren Wechselwirkungen und die Gesamtauswirkungen auf das Unternehmen oder auf wesentliche Bereiche.

Ein wirksames Risikomanagement trägt nicht nur zur Begrenzung von Bedrohungen bei, sondern auch zur besseren Nutzung von Chancen. Entsprechend ist das Risikomanagement bei der Vereinbarung unternehmerischer Ziele, der Entwicklung und Umsetzung von Strategien einzubeziehen.

Jedes Unternehmen muss individuell festlegen, welche und wie viele Risiken es eingehen kann (=Risikotragfähigkeit) und will (=Risk Appetite).

Die Risikotragfähigkeit eines Unternehmens hängt insbesondere von der Eigenkapitalstruktur und der Liquidität ab.

Unternehmen mit einer geringen Risikobereitschaft werden vorsichtiger agieren und ihre Ziele entsprechend konservativer formulieren, während risikofreudigere Unternehmen – wie etwa Start-ups – ambitioniertere Strategien verfolgen, auch wenn dies mit einer höheren Wahrscheinlichkeit des Scheiterns verbunden ist.

Dies macht Risikomanagement zu einem stark unternehmensbezogenen Prozess, der sich am jeweiligen Kontext – bestehend aus Marktbedingungen, rechtlichen Rahmenbedingungen und unternehmensinternen Strukturen – orientiert.

Kriterien für eine erfolgreiche Unternehmensstrategie

Das langfristige Überleben gelingt nur denjenigen Unternehmen, die Wettbewerbsvorteile generieren bzw. verteidigen können.

Gute Kennzahlen aus der Rechnungslegung (Gewinn, Umsatz etc.). Bei Kennzahlen handelt es sich um eine vergangenheitsorientierte Betrachtung, die nur einen begrenzten Ausblick auf die Zukunft ermöglichen.
Sie beziehen sich auf einen festen Zeitraum (1 Jahr) und können durch Managemententscheidungen beeinflusst werden.

Erfüllung der Erwartungen von Stakeholdern die Ressourcen für das Unternehmen bereitstellen (Mitarbeiter, Lieferanten, Gläubiger etc.).

Die Operationalisierung dieses Ansatzes hat das Problem, dass verschiedene Stakeholder i.d.R. unterschiedliche Ansprüche formulieren die nicht alle miteinander vereinbar sind. Es kommt deshalb zu Zielkonflikten und nicht alle Interessen können gleichzietig befriedigt werden d.h. es gibt nicht den „Erfolg“ sondern viele kleine „Erfolge“.

Maximierung des Kapitalwertes des Unternehmens (Shareholder-Value-Ansatz) d. h. Fokussierung auf Investoren.

Tobins q: Marktwert/Wiederbeschaffungskosten eines Unternehmens.
Dieses dient der Messung des Mehrwerts von Investitionen eines Unternehmens.

Fokus liegt auf anspruchsorientierte Definition: Erfüllung der Erwartung der Stakeholder. Diese kann auch in eine finanzielle Betrachtung überführt werden; Maximierung des Kapitalwerts.
Das Ziel ist es, den Unternehmenswert positiv zu beeinflussen.
Auch die Begrenzung eines Verlust- oder Ausfallrisiko kann aus finanzieller Hinsicht relevanter Wertbeitrag darstellten

Risikoquantifizierung

Risiken können sowohl qualitativ als auch quantitativ analysiert werden. Während eine grobe qualitative Einschätzung eine erste Orientierung bietet, sollte für die wichtigsten Risiken eine detaillierte Quantifizierung vorgenommen. Hierzu sind Vergangenheitsdaten besonders wertvoll, da Wahrscheinlichkeiten bestimmter Ereignisse mithilfe von Verteilungs- und Dichtefunktionen berechnet werden.
Allerdings lassen sich viele Risiken nicht exakt quantifizieren, weshalb in solchen Fällen eine qualitative Relevanzeinschätzung als Ergänzung dient.

Der Erwartungswert ist die zentrale Kennzahl zur Risikobewertung, indem die Wahrscheinlichkeit eines Ereignisses mit seinen Auswirkungen (Schadenshöhe) multipliziert wird. Beispielsweise beträgt der erwartete Schaden 600.000 Euro, wenn eine Schadensersatzzahlung von 1 Million Euro (SH) mit einer Wahrscheinlichkeit von 60 % (P) fällig wird.
Erwartungswert (EW) = Schadenshöhe (SH) x Eintrittswahrscheinlichkeit (P)

Wenn mehr als ein Szenario (ein einzelner Punkt) berücksichtigt werden soll, können drei Szenarien erstellt werden. Diese Methode wird als Drei-Punkt-Schätzung bezeichnet. Dabei werden die Schadensauswirkungen (Schadenshöhe) und die Eintrittswahrscheinlichkeiten für drei Szenarien beschrieben: Kleinschaden, mittlerer Schaden und Höchstschaden. Der Erwartungswert ergibt sich anschließend als gewichtete Summe dieser drei Szenarien.

Der Erwartungswert wird oft als Maßstab für Risiken genutzt, hat jedoch Grenzen, da er nur den langfristigen Durchschnitt widerspiegelt, jedoch nicht extreme Ereignisse berücksichtigt Zudem lassen sich nicht alle Risiken durch Eintrittswahrscheinlichkeit und Schadenshöhe beschreiben, etwa Konjunktur- oder Währungsschwankungen.

Deshalb wird in der Praxis oft die Dreiecksverteilung angewendet. Sie erfasst Risiken mit Minimal-, wahrscheinlichstem und Maximalwert , ohne tiefgehende Statistikkenntnisse zu erfordern.
Nachteil der Dreiecksverteilung ist die Tatsache, dass Werte außerhalb der Bandbreiten nicht modelliert werden.

Weil Werte auch ausserhalb der Bandbreiten liegen können und es auch nicht immer eine Angaben darüber gibt, ob eine Grenze existiert, wird häufig die Normalverteilung verwendet.
Sie basiert auf dem Mittelwert und der Standardabweichung. 68 % der Werte liegen innerhalb einer Standardabweichung, 95,5 % innerhalb von zwei und 99 % innerhalb von drei Standardabweichungen. Dadurch lassen sich Wahrscheinlichkeiten für Extremereignisse berechnen.

ISO 31000: Elemente des Risikomanagementprozesses /
ISO 31000: Elements of the risk management process

1. Etablierung des Kontexts

Es ist zu berücksichtigen, in welcher Situation/Bedingungen risikobehaftete Entscheidungen getroffen werden sollen (z.B. Routinenetscheidungen vs. strategische Entscheidungen)

Sowohl externe als auch interne Faktoren beeinflussen die Risikolandschaft eines Unternehmens.
Extern umfassen Stakeholder wie Shareholder, Kreditgeber, Kunden, Zulieferer, Regierungen, NGOs sowie gesetzliche und regulatorische Vorgaben. Auch kulturelle Rahmenbedingungen spielen eine Rolle.
Intern umfasst Aspekte wie Mitarbeitervergütung, Motivation, Qualifikation, Arbeitsbedingungen und Sicherheit relevant.

2. Risikobeurteilung (Risk assesment)

Identifizierung von Risiken:
Etablierung eines geeigneter Suchprozesses. Relevante Risiken werden in ein Risikoverzeichnis bzw. Risikoinventar aufgenommen.

Analyse von Risiken:
Ziel ist es, dem Entscheidungsträger ein ausreichendes Verständnis über Eintrittswahrscheinlichkeit und mögliche Konsequenzen des Risikos zu vermitteln.

Bewertung von Risiken:
Berechnung des Erwartungswert, der dann mit angelegten Kriterien verglichen wird, sodass entschieden werden kann, ob ein Risiko akzeptabel ist oder nicht.

3. Umgang mit Risiken (Risk treatment)

   Folgt dem TARA-Ansatz

Eliminierung oder Isolierung des Risikos z.B. durch den Einsatz anderer Materialien,
Beeinflussung der Eintrittswahrscheinlichkeit/ Auswirkungen z.B. durch geeignete Schutzmaßnahmen im operativen Bereich.

4. Kommunikationstätigkeiten

Effektives Risikomanagement erfordert kontinuierliche Kommunikation und Abstimmung auf allen Ebenen, insbesondere bei hoher Unsicherheit.

5. Überwachungstätigkeiten (Monitor and Review)

Kontinuierliche Kontrolle des unternehmensweiten Risikomanagements. Dabei werden bestehende Maßnahmen überprüft und gegebenenfalls angepasst, um eine effektive Risikosteuerung sicherzustellen

Das Ziel ist, aus Ereignissen – einschließlich Fehlern – zu lernen, um das Risikomanagement kontinuierlich zu optimieren und an die unternehmerischen Anforderungen anzupassen.

Die interne Revision prüft Schlüsselrisiken. Die Bewertung bezieht sich auf das gesamte Unternehmen, sodass Gewissheit über die zutreffende Beurteilung von Risiken und des Risikomanagementprozesses gegeben werden kann.

Establishing the context

The situation/conditions in which risky decisions are to be made must be taken into account (e.g. routine decisions vs. strategic decisions)

Both external and internal factors influence the risk landscape of a company.

External factors include stakeholders such as shareholders, lenders, customers, suppliers, governments, NGOs and legal and regulatory requirements. Cultural conditions also play a role.

Internally, aspects such as employee remuneration, motivation, qualifications, working conditions and safety are relevant.

Risk assessment

Identification of risks:

Establishment of a suitable search process. Relevant risks are included in a risk register or risk inventory.

Analysing risks:

The aim is to provide the decision-maker with a sufficient understanding of the probability of occurrence and possible consequences of the risk.

Assessing risks:

Calculation of the expected value, which is then compared with applied criteria so that a decision can be made as to whether a risk is acceptable or not.

Dealing with risks (risk treatment)

Follows the TARA approach

Elimination or isolation of the risk, e.g. through the use of other materials,

Influencing the probability of occurrence/impact, e.g. through suitable protective measures in the operational area.

Communication activities

Effective risk management requires continuous communication and coordination at all levels, especially in the case of high uncertainty.

Monitoring activities (Monitor and Review)

Continuous monitoring of company-wide risk management. Existing measures are reviewed and adjusted if necessary to ensure effective risk management

The aim is to learn from events - including errors - in order to continuously optimize risk management and adapt it to business requirements.

The internal audit department examines key risks. The assessment relates to the entire company so that certainty can be provided regarding the correct assessment of risks and the risk management process

COSO-Rahmenwerk / COSO-framework

Das Committee of Sponsoring Organizations of the Treadway Commission (COSO) hat ein Rahmenwerk entwickelt, das die Gestaltungsparameter des Risikomanagements systematisiert.

Ein Unternehmen wird hierbei als Portfolio von Risiken betrachtet, die es ganzheitlich zu steuern gilt.

Definition:
Risikomanagement wird dabei als ein Prozess beschrieben, ausgeführt durch Mitarbeiter, angewandt bei der Strategie- festlegung innerhalb der gesamten Organisation, um eine hinreichende Sicherheit bezüglich der Erreichung der Unternehmensziele zu gewährleisten

Prozess:
Ist nicht als einmalige Aktivität zu verstehen, sondern als kontinuierliche Durchführung.

Mitarbeiter:
Überwachungs- und Leitungsorgane, Führungskräfte, Angestellte

Strategiefestlegung:
In diesem Zusammenhang ist auch das Konzept der Risikoneigung ("Risk Appetite") zu beachten, also wie viel Risiken das Unternehmen eingehen will.

hinreichende Sicherheit:
Das Risikomanagement kann nur eine beschränkte Zusicherung und keine Sicherheit bieten.

Risikomanagement ist einer Kosten-Nutzen-Überlegung unterworfen. Das Ziel ist daher, sich auf die wesentlichen Risiken zu konzentrieren.

Erreichung der Unternehmensziele:
strategische Ziele, betriebliche Ziele, Berichterstattung und Regeleinhaltung

The Committee of Sponsoring Organisations of the Treadway Commission (COSO) has developed a framework that systematises the design parameters of risk management.

A company is viewed as a portfolio of risks that must be managed holistically.

Definition:

Risk management is described as a process, carried out by employees, applied to the definition of strategy within the entire organisation in order to ensure adequate security with regard to the achievement of corporate objectives

Process:

Is not to be understood as a one-off activity, but as continuous implementation.

Employees:

Supervisory and management bodies, managers, employees

Strategy definition:

In this context, the concept of risk appetite (‘risk appetite’) should also be considered, i.e. how much risk the company is willing to take.

Reasonable assurance:

Risk management can only provide limited assurance and not certainty.

Risk management is subject to cost-benefit considerations. The aim is therefore to concentrate on the material risks.

Achievement of corporate objectives:

Strategic objectives, operational objectives, reporting and compliance

COSO-Rahmenwerk
Coso-Würfel Komponenten

COSO framework
Coso cube components

Internes Umfeld:
Das interne Umfeld beschreibt die Unternehmenskultur. Diese prägt maßgeblich den Umgang mit Risiken im Unternehmen.

Zielfestlegung:
Sicherstellen, dass die gesetzten Unternehmensziele mit der Mission und Risikoneigung der Organisation übereinstimmen.

Ereignisidentifikation:
Interne und externe Ereignisse mit potenziellem Einfluss auf die Unternehmensziele werden analysiert und als Risiko oder Chance klassifiziert.

Risikobeurteilung:
Risiken werden hinsichtlich ihrer Eintrittswahrscheinlichkeit und Auswirkungen bewertet, um eine fundierte Entscheidungsgrundlage für die Steuerung von Risiken zu schaffen.

Risikosteuerung:
Die Risikosteuerung beinhaltet die Auswahl und Umsetzung von Maßnahmen zur Bewältigung identifizierter Risiken. TARA-Ansatz.

Kontrollaktivitäten:
Kontrollaktivitäten sollen sicherstellen, dass die vorgesehenen Maßnahmen zur Risikobewältigung zeitnahe und effizient umgesetzt werden.

Information und Kommunikation:
Hauptaufgabe dieser Komponente besteht darin, den Informationsfluss zwischen den COSO-ERM-Komponenten sicherzustellen.
Die Kommunikation erfolgt dabei in alle Richtungen, sodass alle relevanten Akteure informiert sind.

Monitor and Review:
Kontinuierliche Kontrolle des unternehmensweiten Risikomanagements. Dabei werden bestehende Maßnahmen überprüft und gegebenenfalls angepasst, um eine effektive Risikosteuerung sicherzustellen

Das Ziel ist, aus Ereignissen – einschließlich Fehlern – zu lernen, um das Risikomanagement kontinuierlich zu optimieren und an die unternehmerischen Anforderungen anzupassen.

Internal environment:

The internal environment describes the corporate culture. This significantly characterises how risks are handled within the company.

Target setting:

Ensuring that the corporate objectives set are in line with the organisation's mission and risk appetite.

Event identification:

Internal and external events with a potential impact on corporate objectives are analysed and classified as risks or opportunities.

Risk assessment:

Risks are evaluated in terms of their probability of occurrence and impact in order to create a sound basis for decision-making on the management of risks.

Risk management:

Risk management involves the selection and implementation of measures to manage identified risks. TARA approach.

Control activities:

Control activities are designed to ensure that the planned risk management measures are implemented promptly and efficiently.

Information and communication:

The main task of this component is to ensure the flow of information between the COSO-ERM components.

Communication takes place in all directions so that all relevant stakeholders are informed.

Monitoring:

Monitoring comprises the continuous control of company-wide risk management. Existing measures are reviewed and adjusted if necessary in order to ensure effective risk management.

COSO-Rahmenwerk:
Kontextfaktoren eines Unternehmens

COSO framework:
Contextual factors of a company

„Philosophie“ des Risikomanagements:
Betrifft die grundsätzliche Ausrichtung des Risikomanagements. Man kann beispielsweise das Risikomanagement nutzen, um einen vergleichsweise sicheren Entwicklungsweg zu beschreiten, aber auch, um kalkulierte höhere Risiken einzugehen.

Risikoneigung:
Unternehmen können verschiedene Einstellungen zum Umgang mit Risiken haben, d.h. unterschiedlich auf sich bietende Chancen oder Risiken reagieren.
Berücksichtigung der Risikoneigung bedeutet die Beschränkung von alternativen Handlungsoptionen.

Risikokultur:
Gemeint sind geteilte Überzeugungen innerhalb des Unternehmens zur Einschätzung von und zum Umgang mit Risiken.


Fachkompetenz:
Auf der Ebene des Managements ist die Notwendigkeit der Fachkompetenz als Zurverfügungstellung von Ressourcen (Personal, Geld, Sachmittel, Informationen) und auch einer entsprechenden Aufmerksamkeit des Managements zu sehen.

Führungsstruktur:
Am Ende ist das COSO-Modell ein Ansatz, der „top-down“ funktioniert, also von der Initiative der Unternehmensleitung abhängig ist.

Managementphilosophie und Führungsstil:
Einstellungen des Managements spielen eine zentrale Rolle für das Eingehen von Risiken, aber auch den Umgang mit Risiken. Bei einer detaillierteren Analyse würde man vielleicht die Aggressivität der Rechnungslegung einbeziehen.

Integrität und Werte
Hierunter werden Überzeugungen des Managements zusammengefasst. Die Mitarbeiter müssen überzeugt und einbezogen sein, wenn ein Risikomanagement funktionieren soll.

Regelung der Verantwortlichkeiten
Das Ausmaß der Eigeninitiative bzw. das Einräumen von (lokalen) Entscheidungsspielräumen innerhalb des Unternehmens.

Personalwesen
Das Risikomanagement kann nicht ohne qualifizierte und kompetente Mitarbeiter gedacht werden. Folgerichtig werden zentrale Aktivitäten aus dem Personalwesen als Kontextfaktor auf die Ausgestaltung des Risikomanagements gefasst.

Organisationsstruktur
Die Organisationsstruktur bezieht sich sowohl auf die Aufbauorganisation (Verantwortungsbereiche) als auch die Ablauforganisation, d.h. das koordinierte Zusammenwirken von Organisationseinheiten im Rahmen der Geschäftsprozesse.

‘Philosophy’ of risk management:

Refers to the fundamental orientation of risk management. For example, risk management can be used to pursue a comparatively safe development path, but also to take calculated higher risks.

Risk appetite:

Companies can have different attitudes to dealing with risks, i.e. react differently to opportunities or risks that present themselves.

Taking risk appetite into account means limiting alternative courses of action.

Risk culture:

This refers to shared beliefs within the company on how to assess and deal with risks.

Management structure:

In the end, the COSO model is a ‘top-down’ approach, i.e. it depends on the initiative of the company management.

Integrity and values

This summarises the management's convictions. Employees must be convinced and involved if risk management is to work.

Expertise:

At the management level, the need for expertise is to be seen as the provision of resources (personnel, money, material resources, information) and also appropriate management attention.

Management philosophy and management style:

Management attitudes play a central role in taking risks, but also in dealing with risks. A more detailed analysis would perhaps include the aggressiveness of accounting.

Organisational structure

The organisational structure refers to both the organisational structure (areas of responsibility) and the process organisation, i.e. the coordinated interaction of organisational units within the framework of business processes.

Regulation of responsibilities

The extent of individual initiative or the granting of (local) scope for decision-making within the organisation.

Human resources

Risk management cannot be realised without qualified and competent employees. Consequently, central activities from human resources are seen as a contextual factor in the organisation of risk management.

COSO-Rahmenwerk: Beispiele von Kontrollaktivitäten
COSO framework: Examples of control activities

umfassende kritische Durchsicht der durchgeführten Tests
Beispiel: Im Rahmen der Jahresabschlusserstellung wird eine umfassende Überprüfung der Buchhaltungsdaten durchgeführt.



spezifische Überwachungstätigkeiten des Linienmanagements, d.h. dezentrale Nutzung von fachlichen, technischen oder marktbezogenen Überlegungen
Beispiel: Das Finanzmanagement überwacht regelmäßig die Einhaltung der Budgetvorgaben in den einzelnen Abteilungen.



IT-Überwachung durch Kontrollschritte im IT-System
Beispiel: In einem Finanzunternehmen wird regelmäßig geprüft, ob die Zugriffsrechte im Core Banking System korrekt vergeben sind.

physische Kontrollen,z.B. Sicherungsmaßnahmen fur Anlagen und Lagerbestände, Zugangskontrolle.
Beispiel: In einer Bank werden Zugangskontrollen zu Tresorräumen eingesetzt, um physische Vermögenswerte zu schützen.

Verwendung von Performanceindikatoren (Kennzahlen) im Rahmen des Controlling
Beispiel: Im Controlling werden regelmäßig Finanzkennzahlen wie die Eigenkapitalquote, Liquiditätskennzahlen oder Return on Investment (ROI) überwacht.

Aufgabentrennung (z.B. Vier-Augen-Prinzip), zur Entdeckung von Fehlern, aber auch zur Verhinderung mksbräuchlichen Verhaltens.
Beispiel: Im Zahlungsverkehr eines Unternehmens erfolgt die Aufgabentrennung so, dass die Person, die Zahlungen vorbereitet, nicht dieselbe ist, die diese freigibt.

Comprehensive critical review of the tests performed

Example: A comprehensive review of the accounting data is carried out as part of the preparation of the annual financial statements.

Specific monitoring activities of line management, i.e. decentralised use of professional, technical or market-related considerations

Example: Financial management regularly monitors compliance with budget targets in the individual departments.

IT monitoring through control steps in the IT system

Example: In a financial organisation, regular checks are carried out to ensure that access rights are assigned correctly in the core banking system.

Physical controls, e.g. security measures for systems and inventories, access control.

Example: In a bank, access controls to vaults are used to protect physical assets.

Use of performance indicators (key figures) in the context of controlling

Example: Controlling regularly monitors key financial figures such as the equity ratio, liquidity ratios or return on investment (ROI).

Segregation of duties (e.g. dual control principle) to detect errors, but also to prevent abusive behaviour.

Example: In a company's payment transactions, tasks are segregated in such a way that the person who prepares payments is not the same person who authorises them.

Coso-Rahmenwerk: Nutzen /
Coso framework: Benefits

Anpassung von Risikoneigung und Strategie
lm Risikomanagement wird die Risikoneigung der Organisation berücksichtigt.

Verbessern von risikobezogenen Entscheidungen
Es erfolgt ein systematisches Vorgehen zur Bestimmung und Auswahl von alternativen Reaktionen auf Risiken.

Verringern von Überraschungen und Verlusten im Geschäftsbetrieb
Das Risikomanagement kann dazu dienen, mögliche Ereignisse rechtzeitig zu erkennen und entsprechende (Gegen)maßnahmen einzuleiten.

Bestimmen und Steuern unternehmensübergreifender Risiken
Das Risikomanagement ermöglicht es, wirksame Reaktionen auf voneinander abhängige Wirkungen zu ergreifen und umfassende Maßnahmen bei Mehrfachrisiken einzuleiten.

Nutzung von Chancen
Die Berücksichtigung unterschiedlicher Ergebnisse ermöglicht es Führungskräften, Chancen zu erkennen und proaktiv zu nutzen

Verbesserte Kapitalallokation
Aufgrund von zuverlässigen Risikoinformationen kann die Kapitalausstattung in einer Gesamtschau hinterfragt werden, zur effektiven Nutzung vorhandenen Kapitals.

Adjustment of risk appetite and strategy

The organisation's risk appetite is taken into account in risk management.

Improving risk-related decisions

A systematic approach is used to determine and select alternative responses to risks.

Reducing surprises and losses in business operations

Risk management can be used to recognise potential events in good time and initiate appropriate (counter)measures.

Determine and control cross-company risks

Risk management makes it possible to respond effectively to interdependent effects and initiate comprehensive measures in the event of multiple risks.

Utilisation of opportunities

Consideration of different outcomes enables managers to recognise and proactively exploit opportunities

Improved capital allocation

Based on reliable risk information, capital resources can be scrutinised in an overall view in order to effectively utilise existing capital.

COSO-Rahmenwerk: Perspektive des Gesamtunternehmens
COSO framework: perspective of the entire company

Vgl. Moeller, 2011, S. 120ff.

Integrität und Werte:
Individuelle Mitarbeiter und das Managements haben Wertvorstellungen, die Einfluss auf die Geschäftsprozesse ausüben.Verhaltenskodizes können solche Wertvorstellungen kodifizieren.

Das Ziel ist, dass die handelnden Personen „das Richtige tun“.
Ausgangspunkt ist ein Mission statement, das Daseinszweck und Ausrichtung des Unternehmens beschreibt und Verhaltenskodizes (code of conduct), also eine schriftliche Darstellung (nicht-)wünschenswerter Verhaltensweisen.
Beispiel: „We all have a responsibility to care for all of the Company's assets including inventory"
Der Verhaltenskodex muss unterschiedlichen rechtlichen Voraussetzungen in verschiedenen Ländern Rechnung tragen.

Die genannten Dokumente müssen im gesamten Unternehmen – ggf. angepasst an regionale Besonderheiten – gelten.

Es ist wichtig dass die Werte gelebt werden, weshalb Kommunikations- und Schulungsmaßnahmen Anwendung finden, um die Inhalte zu transportieren.

Transparenz und Offenlegung:
Gute interne und externe Kommunikation schafft Glaubwürdigkeit. Beispiel: eine zeitnahe Finanzberichterstattung. Indirekt ermöglicht die Transparenz auch die Partizipation von Vertretern relevanter Anspruchsgruppen am Unternehmensgeschehen.

Selbstverständnis und Verantwortlichkeiten des Führungsgremiums (z. B Verwaltungsrat, Geschäftsführer): Externe Dritte im Führungsgremium (z.B Vertreter der Aktionäre) können zur Offenheit beitragen.

Governance-Richtlinien, z.B. zum Selbstverständnis und den Verantwortlichkeiten des Führungsgremiums (Board of Directors).
Von den Mitgliedern des Führungsgremiums wird erwartet, dass diese sich unternehmerisch verhalten, als auch, dass sie das interne Regelwerk beachten.

Ein umfassendes Risikomanagement ist auch aus Sicht der Anspruchsgruppen eines Unternehmens essenziell. Investoren und Gläubiger stellen Finanzmittel bereit und erwarten eine entsprechende Rendite, die von verschiedenen Faktoren abhängt. Im schlimmsten Fall kann eine Insolvenz zum Totalverlust führen. Daher berücksichtigen Ratingagenturen das Risikomanagement bei der Bewertung von Anlageformen.

Integrity and values:

Individual employees and management have values that influence business processes. codes of conduct can codify such values.

The aim is to ensure that the people involved “do the right thing”.

The starting point is a mission statement that describes the purpose and direction of the company and a code of conduct, i.e. a written description of (un)desirable behavior.

Example: “We all have a responsibility to care for all of the company's assets including inventory”

The code of conduct must take account of different legal requirements in different countries.

The documents mentioned must apply throughout the company - adapted to regional specifics if necessary.

It is important that the values are lived, which is why communication and training measures are used to convey the content.

Transparency and disclosure:

Good internal and external communication creates credibility. Example: timely financial reporting. Indirectly, transparency also enables representatives of relevant stakeholder groups to participate in the company's activities.

Self-image and responsibilities of the management body (e.g. Board of Directors, Managing Director):
External third parties on the management body (e.g. shareholder representatives) can contribute to openness.

Governance guidelines, e.g. on the self-image and responsibilities of the Board of Directors.

The members of the Board of Directors are expected to behave in an entrepreneurial manner and to comply with the internal rules and regulations.

Comprehensive risk management is also essential from the perspective of a company's stakeholders. Investors and creditors provide funds and expect a corresponding return, which depends on various factors. In the worst case scenario, insolvency can lead to a total loss. Rating agencies therefore take risk management into account when assessing forms of investment.

Prinzipal-Agent-Theorie

In den meisten Unternehmen gibt es eine personelle Trennung zwischen Eigentümern (Kapitalgeber) und den Individuen, die das Unternehmen operativ führen.

Mit dieser Problematik befasst sich die Prinzipal-Agent-Theorie. Konkret untersucht sie Delegation von Entscheidungsbefugnissen an eine Person ergeben, deren konkretes Tun und Unterlassen man nicht im Detail beobachten kann.
Es wird von der Annahme ausgegangen, dass eine vertragliche Beziehung zwischen dem nicht ausreichend informierten Eigentümer (Prinzipal) und dem mit der Unternehmensleitung betrauten Manager (Agent) besteht.
Der Agent handelt im Rahmen des ihm Prinzipal erteilten Auftrags.

Das Agenturproblem besteht nun darin, dass die Manager als für die Eigentümer tätige Personen ihre eigenen Interessen (z.B. Maximierung ihrer eigenen Einkünfte) verfolgen können bzw. eine abweichende Risikoneigung an den Tag legen, als das von den Eigentümern gewünscht wird.

Eine Möglichkeit der Einflussnahme besteht in der Entlassung eines Managers, der nicht die gewünschte Leistung erbringt.
Dies kann sowohl innerhalb der bestehenden Eigentümerstrukturen oder durch eine feindliche Übernahme der Gesellschaft geschehen.

Man wird aber nicht umhin kommen, auch operative Kontrollmaßnahmen zu etablieren. Dies ist aufgrund des Informationsvorsprungs des Managers im Unterschied zum Gesellschafter schwierig. Hierbei ist auch der Begriff der Agenturkosten zu beachten – er umfasst Aufwendungen, die wegen der Delegation der Entscheidungsbefugnisse in Kauf genommen werden müssen.

In der Praxis kombiniert man i.d.R. Elemente einer leistungsabhängigen Vergütung (z.B. die Ausgabe von Aktienoptionen mit dem Erfordernis einer regelmäßigen, teilweise unternehmensindividuell angepassten Berichterstattung.

In most companies, there is a personal separation between the owners (investors) and the individuals who manage the company operationally.

The principal-agent theory deals with this problem. Specifically, it examines the delegation of decision-making powers to a person whose concrete actions and omissions cannot be observed in detail.

It is based on the assumption that a contractual relationship exists between the owner (principal), who is not sufficiently informed, and the manager (agent) entrusted with the management of the company.

The agent acts within the framework of the mandate given to him by the principal.

The agency problem now consists in the fact that the managers, as persons working for the owners, can pursue their own interests (e.g. maximizing their own income) or display a different risk appetite than the owners would wish.

One way of exerting influence is to dismiss a manager who is not performing as desired.

This can be done within the existing ownership structures or through a hostile takeover of the company.

However, it will not be possible to avoid establishing operational control measures. This is difficult due to the manager's information advantage over the shareholder. The concept of agency costs must also be considered here - it includes expenses that must be accepted due to the delegation of decision-making powers.

In practice, elements of performance-related remuneration (e.g. the issue of share options) are usually combined with the requirement for regular reporting, which is sometimes adapted to the individual company.

Stewardship-Theorie / Stewardship Theory

Das Kernproblem wird im Unterschied zur Agenturtheorie nicht im Misstrauen gegenüber beauftragten Personen gesehen. Es geht positiv formuliert um das bestmögliche, integre Handeln im Sinne der Eigentümer.

Die Anleger (Eigentümer) bestimmen das Leitungsgremium (Vorstand und Aufsichtsrat), die im Auftrag der Anleger handeln. Das Leitungsgremium berichten regelmäßig über den Erfolg des Unternehmens an die Eigentümer. Sie verwalten das Vermögen der Anleger.

Die Umsetzung des Gedankens der Unternehmenssteuerung erfordert die Auseinandersetzung mit Interessen verschiedener Anspruchsgruppen wie Kunden, Lieferanten oder auch Mitarbeitern, dem Interesse der Eigentümer soll jedoch Priorität eingeräumt werden.

Interessenkonflikte sollten durch Wettbewerbsdruck im freien Markt ausgeglichen werden, ergänzt durch gesetzliche Regelungen.

Als Kritikpunkt an der Stewardship-Theorie kann die Distanz zwischen Eigentümern und den Leitungsorganen eines Unternehmens ausgemacht werden.
Weiterhin stellt das anglo-amerikanische Rechtsverständnis den Ausgangspunkt der Theorie dar.
Ausserdem ist die Macht von Finanzintermediären im aktuellen Umfeld vergleichsweise hoch.

In contrast to agency theory, the core problem is not seen as mistrust of the persons commissioned. In positive terms, it is about acting with the best possible integrity in the interests of the owners.

The investors (owners) appoint the management body (Management Board and Supervisory Board), which act on behalf of the investors. The management body reports regularly to the owners on the success of the company. They manage the investors' assets.

Implementing the concept of corporate governance requires the interests of various stakeholders such as customers, suppliers and employees to be taken into account, but the interests of the owners should be given priority.

Conflicts of interest should be balanced by competitive pressure in the free market, supplemented by legal regulations.

criticism:

The distance between owners and the management bodies of a company
the Anglo-American understanding of law represents the starting point of the theory.

Ithe power of financial intermediaries is comparatively high in the current environment.

Compliance

Definition:
Unter Compliance versteht man die Einhaltung von Regelwerken, seien es solche auf gesetzlicher Grundlage wie Gesetze, privatrechtliche Verträge oder auch unternehmensinterne Richtlinien.

Es handelt sich dabei um keine Übung im Abhaken von Anforderungen. Im Gegenteil: Compliance beinhaltet auch die Frage nach der geeigneten Gestaltung des Regelsystems

Herausforderungen:
Das Praxisproblem der Compliance besteht letztlich aus der Komplexität der Anforderungen

• Verschiedene Regelwerke müssen analysiert und nach relevanten Gesichtspunkten für das Unternehmen untersucht werden.

• Bei Standorten eines Unternehmens in mehreren Ländern sind verschiedene Regelungen anzuwenden

• Die Missachtung eines Regelwerks kann wirtschaftliche Schäden und/oder rechtliche Konsequenzen sowohl für das Unternehmen als auch einzelne Verantwortliche nach sich ziehen.

Mit einem Compliance-Programm wird nicht die unbedingte Einhaltung eines oder mehrerer Regelwerke verbunden. Es geht stattdessen um die unternehmerische Beurteilung der möglichen Konsequenzen eines oder mehrerer Regelverstöße. D.h. das Compliance-Programm setzt eine bewusste Entscheidung über den Umgang mit bestehenden Risiken voraus.

Es kann zwischen strenger und lockerer Einhaltung von Vorschriften sowie zwischen einfachen und komplexen Vorschriften unterschieden werden.

Insbesondere die lockere Einhaltung komplexer Vorschriften birgt erhebliche Risiken („Gefahrenzone“), weshalb hier ein stringentes Compliance Management erforderlich ist.

Bei einfacheren Vorschriften hingegen ist die Kosten-Nutzen-Frage klarer, so dass Unternehmen in bestimmten Fällen von einer strikten Compliance absehen können


Definition:

Compliance is the adherence to rules and regulations, whether they are based on legal provisions such as laws, private contracts or internal company guidelines.

It is not an exercise in ticking off requirements. On the contrary: compliance also includes the question of the appropriate design of the regulatory system

Challenges:

The practical problem of compliance is ultimately the complexity of the requirements

Various sets of rules must be analyzed and examined for relevant aspects for the company.

If a company has sites in several countries, different regulations must be applied

Failure to comply with a set of regulations can result in economic damage and/or legal consequences for both the company and individual responsible parties.

Design:

The primary purpose of a compliance programme is not to ensure unrestricted compliance with all applicable regulations, but rather to evaluate the potential consequences of breaches of regulations from a business perspective. Companies must consciously decide how to deal with existing risks.

A distinction can be made between strict and loose compliance with regulations and between simple and complex regulations.

Loose compliance with complex regulations in particular harbours considerable risks (‘danger zone’), which is why stringent compliance management is required here.

In the case of simpler regulations, on the other hand, the cost-benefit question is clearer, meaning that companies can refrain from strict compliance in certain cases

Compliance:
Elemente eines Compliance Programms

Uneingeschränkte Unterstützung des Top-Managements für die Notwendigkeit einer formellen Compliance-Funktion.

Erstellung einer Compliance-Richtlinie, die insbesondere den Umfang der Compliance-Tätigkeit definiert.

Compliance-bezogene operative Verfahren, die der Compliance-Tätigkeit dienen.

Eine Überwachung der Effektivität der Compliance-Programme und falls notwendig Korrektur der Ausrichtung.

Unrestricted support from top management for the need for a formal compliance function.

Creation of a compliance policy that defines in particular the scope of compliance activities.

Compliance-related operational procedures that serve compliance activities.

Monitoring the effectiveness of the compliance programs and, if necessary, correcting the alignment.

Unternehmenskultur:
Begriffsverständnis nach Schein

Corporate culture
Definition according to Schein

Unternehmenskultur wird im Wesentlichen wertebasiert konzipiert, d.h. es handelt sich um ein Muster gemeinsamer Grundprämissen.

Dieses Muster gemeinsamer Grundprämissen wurde in der Vergangenheit erlernt, hat sich bewährt und wird i.d.R. als bindend angesehen.

Weiterhin wird die Unternehmenskultur an neue Mitglieder als rational und emotional korrekter Ansatz für den Umgang mit Problemen weitergegeben.

Die Unternehmenskultur ist allerdings für eine Gestaltung nicht direkt zugänglich.
Beeinflussbarkeit der Unternehmenskultur durch Managementhandeln stellt den eigentlichen Kerngedanken dar. Allerdings ist festzuhalten, dass nicht sämtliches Handeln in einer Organisation kulturbestimmt konzipiert wird. Die Kultur hilft lediglich bei der Interpretation und strukturiert im gewissen Rahmen Interaktionen.

Corporate culture is essentially conceived on the basis of values, i.e. it is a pattern of shared basic premises.

This pattern of shared basic premises has been learned in the past, has proven itself and is generally regarded as binding.

Furthermore, the corporate culture is passed on to new members as a rational and emotionally correct approach to dealing with problems.

However, the corporate culture is not directly accessible for shaping.

The ability to influence corporate culture through management action represents the actual core idea. However, it should be noted that not all actions in an organization are conceived in terms of culture. Culture merely helps with interpretation and structures interactions to a certain extent.

Unternehmenskultur:
Drei Ebenen nach Schein

Grundprämissen /Grundannahmen basic assumptions (tiefste Ebene)

Diese Annahmen entstehen, wenn bestimmte Lösungen oder Überzeugungen über lange Zeit hinweg erfolgreich sind und daher nicht mehr hinterfragt werden. Sie sind:

• Unbewusst und schwer veränderbar.

• Grundlage für das Weltbild der Organisationsmitglieder und prägen deren Wahrnehmung, Denken und Handeln.

• Tief in der Kultur verankert und definieren, was als selbstverständlich angesehen wird.

• Es besteht Konsens innerhalb des Unternehmens, abweichende Interpretationen ausgeschlossen.

• Für Managementgestaltung nur bedingt zugänglich

• Beispiel: Jeder glaubt, dass mehr Werbung zu mehr Einnahmen führt

Bekundete Werte und Überzeugungen espoused belifes and values (mittlere Ebene)

Diese umfassen die expliziten Aussagen über Werte, Normen und Ideale der Organisation. Sie entstehen oft aus den Vorstellungen der Führungskräfte oder Gründer, wie Dinge sein sollten.

• Werden durch erfolgreiche Erfahrungen gefestigt, wenn sie wiederholt positive Ergebnisse liefern. bspw. wenn festgestellt wird dass mehr Werbung zu mehr Umsatz führt

• Können allerdings von der tatsächlichen Praxis abweichen. Beispielsweise kann eine Organisation Teamarbeit betonen, aber individuelle Leistung belohnen.

• Teilweise bewusst und diskursfähig, aber immer noch von unbewussten Grundprämissen beeinflusst.

• Beispiele: Maximen, Richtlinien, Unternehmensphilospohie(bspw. Wie verhalten wir uns gegenüber Kunden).

• Bildlich: Spitze des Eisbergs – wahre Unternehmenskultur nicht vollständig sichtbar.

Artefakte artefacts (sichtbare Ebene)

Artefakte sind die sichtbaren und spürbaren Phänomene einer Kultur, die man beim ersten Kontakt mit einer neuen Gruppe wahrnimmt – etwa Architektur, Kleidung, Sprache, Rituale, Geschichten oder sichtbare Verhaltensweisen. Diese äußeren Erscheinungen sind leicht zu beobachten, aber schwer zu deuten, da ihre Bedeutung nur aus dem kulturellen Kontext heraus verstanden werden kann. Es ist riskant, allein von Artefakten auf tiefere kulturelle Annahmen zu schließen, da man leicht seine eigenen kulturellen Vorstellungen projiziert. Um ein tieferes Verständnis zu gewinnen, sollte man Mitglieder der Gruppe direkt nach den Gründen für bestimmte Verhaltensweisen fragen

Basic premises / basic assumptions (deepest level)

These assumptions arise when certain solutions or beliefs have been successful for a long time and are therefore no longer questioned. They are:

Unconscious and difficult to change.

The basis for the organisational members' world view and shape their perception, thinking and actions.

Deeply anchored in the culture and define what is taken for granted.

There is a consensus within the organisation, excluding deviating interpretations.

Example: Everyone believes that more advertisement leads to more revenue

Espoused values and beliefs (middle level)

These include explicit statements about the values, norms and ideals of the organisation. They often arise from the ideas of managers or founders about how things should be.

Are reinforced by successful experiences when they repeatedly deliver positive results.

However, they may differ from actual practice. For example, an organisation may emphasise teamwork but reward individual performance.

Partly conscious and capable of discourse, but still influenced by unconscious basic premises.

Figuratively: tip of the iceberg - true corporate culture not fully visible.

Examples: Maxims, guidelines, convictions (e.g. how do we behave towards customers).

Artefacts (visible level)

Artifacts are the visible and tangible phenomena of a culture that are perceived upon first contact with a new group - such as architecture, clothing, language, rituals, stories or visible behaviors. These external phenomena are easy to observe but difficult to interpret, as their meaning can only be understood from the cultural context. It is risky to infer deeper cultural assumptions from artifacts alone, as it is easy to project one's own cultural ideas. To gain a deeper understanding, one should ask members of the group directly about the reasons for certain behaviors.

Unternehmenskultur:
Funktionen nach Sackmann

Eine Unternehmenskultur stellt Kontinuität und Stabilität sicher, indem sie das „kollektive Gedächtnis“ einer Organisation bildet.

Eine Unternehmenskultur reduziert Komplexität, indem Informationen bereits vor der individuellen Bewertung in wichtig oder unwichtig selektiert werden.

Eine Unternehmenskultur stärkt die Identifikation der Mitarbeiter mit dem Unternehmen, indem sie den Unternehmenszweck definiert.

Eine Unternehmenskultur stellt ein Orientierungsraster für koordiniertes Handeln bereit, indem „richtiges“ und „schlechtes“ Verhalten z.B. in Bezug auf Entscheidungsfindung innerhalb der Organisation definiert sind.

A corporate culture ensures continuity and stability by forming the “collective memory” of an organization.

A corporate culture reduces complexity by selecting information as important or unimportant before it is evaluated individually.

A corporate culture strengthens employees' identification with the company by defining the company's purpose.

A corporate culture provides an orientation grid for coordinated action by defining “right” and “bad” behaviour, e.g. in relation to decision-making within the organization.

Blickwinkel der Struktuationstheorie (Archer) /
Perspective of structural theory (Archer) /

Die von Archer verfolgte Strategie wird von ihr als analytischer Dualismus bezeichnet. Ziel besteht darin das Zusammenspiel von Struktur und Handeln zu untersuchen.


Dem Ansatz liegen die folgenden Annahmen zugrunde:

 Die Eigenschaften von Strukturen und Handelnden können nicht voneinander abgeleitet werden, d.h. sind analytisch separierbar

 Strukturen und Handelnde können anhand der Zeitdimension unterschieden werden

• Es existieren strukturelle Beziehungen innerhalb bzw. zwischen sozialen Strukturen – diese sind für Handelnde extern gegebene Größen. Die strukturelle Dimension kann sowohl Stärken (Vorteile) als auch Schwächen (Nachteile) implizieren.

• Die soziale Interaktion findet vor einem Kontext statt, der nicht notwendigerweise durch (dieselben) Akteure verursacht wurde.

• Soziale Interaktionen beruhen auf kausalen Beziehungen zwischen individuellen und kollektiven Akteuren.

The aim of structural theory is to analyze the interaction between structure and actions (= analytical dualism)

The theory is based on the following assumptions:

1. Clear separation between structure and actions, they are analytically separable

2. Structures and actors can be distinguished on the basis of the time dimension.

   • Social structures exist independently of the actors and can entail both advantages and disadvantages.

   • Interactions take place in a given context that was not necessarily created by the current actors.

   • Social interactions are based on causal relationships between individual and collective actors.

Unternehmenskultur: Praktische Implikationen
Positive Eigenschaften der Unternehmenskultur

Betonung der Führung:
Die Rolle der Führung tritt sowohl innerhalb der Linienorganisation — d.h. bei traditionellen Verantwortungsbereichen — als auch bei Projekten in den Vordergrund.

Risikomanagement nahebringen:
Methoden und Tools des Risikomanagements sollen in den Unternehmensalltag einfließen sollen und die Qualität von Entscheidungen verbessern helfen.

Partizipativer Führungsstil:
Die Beteiligung von Mitarbeitern an Entscheidungen soll neben einer gesteigerten Qualität der Entscheidung auch einen positiven Einfluss auf die Umsetzung von konkreten Maßnahmen haben.

Wissen der Mitarbeiter nutzen:
Faktenwissen und Fähigkeiten der Mitarbeiter sollen für das Unternehmen erschlossen werden. Durch Teilhabe an Entscheidungen können sie diese einbringen.

Verantwortung übernehmen:
Durch Delegation von Entscheidungsbefugnissen können Mitarbeiter mehr Motivation bzw. Identifikation mit dem Unternehmen erfahren und daher bessere Ergebnisse erzielen.

Umfassendes Risikomanagement:
Sämtliche Bereiche (Aufbauorganisation) und sämtliche Prozesse (Ablauforganisation) sind relevant.

Steuerungsmaßnahmen:
Es bedarf Maßnahmen um bestehende Risiken zu identifizieren und adressieren aber auch ein Früherkennungssystem für die Veränderung von Risiken (sowohl präventiv als aufdeckend)

Kommunikation und Teams:
Die Kommunikation sollte offen und möglichst hierarchiefrei erfolgen, um ein umfassendes Bild von Situationen und Entscheidungen zu erhalten. Dominantes Verhalten von Führungskräften kann Beteiligung hemmen. Tabus sind zu vermeiden. Expertenwissen wird geschätzt, jedoch sollten Entscheidungen nicht allein aufgrund des Expertenstatus delegiert werden.

Verbreiterung der Risikowahrnehmung:
Es bedarf einer lnstitutionalisierung, damit Risikoüberlegungen umfassend in Arbeitsabläufe und Denk- bzw. Entscheidungsprozesse einfließen.

Emphasis on leadership:

The role of leadership comes to the fore both within the line organization - i.e. traditional areas of responsibility - and in projects.

Making risk management accessible:

Risk management methods and tools should be incorporated into day-to-day business and help to improve the quality of decisions.

Participative management style:

Involving employees in decisions should have a positive impact on the implementation of specific measures in addition to increasing the quality of the decision.

Use employee knowledge:

Employees' factual knowledge and skills should be made accessible to the company. By participating in decisions, they can contribute these.

Assume responsibility:

By delegating decision-making powers, employees can experience greater motivation or identification with the company and therefore achieve better results.

Comprehensive risk management:

All areas (organizational structure) and all processes (process organization) are relevant.

Control measures:

Measures are needed to identify and address existing risks but also an early detection system for changing risks (both preventive and detective)

Communication and teams:

Communication should be open and as non-hierarchical as possible in order to obtain a comprehensive picture of situations and decisions. Dominant behavior of managers

Risikoindikatoren: Zweck

Validierung der Planung und Überwachung der Performance:
Bessere Planung der strategischen Ziele; Hinterfragen bestehender Ziele

Verbesserung der Effektivität & Effizienz von Geschäftsprozessen:
Die Risikobewertung führt zur Auseinandersetzung mit einzelnen Risiken

Mehr Transparenz von Risikoerwartungen:
Risikoindikatoren erlauben es, Risiken im Unternehmen vergleichbar zu machen.

Laufende Überwachung und Messen von Risiken:
Bei Überschreiten von Schwellenwerten ("threshold") werden definierte, abgestufte Maßnahmen ergriffen

Besonders wichtig im Banking (Kreditausfallwahrscheinlichkeiten)

Validation of planning and monitoring of performance:

Better planning of strategic goals; questioning existing goals

Improving the effectiveness & efficiency of business processes:

Risk assessment leads to addressing individual risks

Greater transparency of risk expectations:

Risk indicators make it possible to compare risks within the company.

Ongoing monitoring and measurement of risks:

Defined, graduated measures are taken if threshold values (“threshold”) are exceeded

Particularly important in banking (credit default probabilities)

Risikotoleranz

Risiko : die positive oder negative Abweichung in der Erreichung unternehmerischer Ziele

Die Risikotoleranz basiert auf einer Einschätzung welche Art und welches Ausmaß eines Risikos akzeptabel sind. Sichtweise relevanter Anspruchsgruppen sollte in Betracht gezogen werden


Entscheidungsprozess für eine bestimmte Risikotoleranz ..

1. Grundlegende Einstellung zu Risiken,
   Risikoaversion, oder Risiko als Chance? individuelles Merkmal der Entscheidungsträger.

2. Ziele der Organisation,
   Ziele bestimmen, was eine Organisation erreichen möchte. Da Risiken als Abweichungen von diesen Zielen definiert sind, spielen Ziele eine zentrale Rolle für die Risikotoleranz.

Ziele variieren zwischen privaten oder öffentlichen Unternehmen.

3. Fähigkeit der Organisation zum Umgang mit Risiken, welches abhängt von…

• Risikoverständnis, Fähigkeit zur Risikoidentifikation

• Verfahren zur Risikobeurteilung (z.B. historische Daten oder Prognosen?)

• Personal (qualifizierte Mitarbeiter)

• Erfahrungen und Fertigkeiten im Risikomanagement (z.B. Software)

• Funktionierendes Steuerungs— und Überwachungssysteme

• Umfeld (Stakeholder—Interessen)

4. Risikotragfähigkeit (z.B. finanzielle Reserven, Reputation)

5. Kosten-Nutzen Beurteilung (Risikomanagement kostet Geld und muss sich rechnen)

Risk : the positive or negative deviation in the achievement of business objectives

Risk tolerance is based on an assessment of what type and extent of risk is acceptable. Perspective of relevant stakeholders should be taken into account

Decision-making process for a specific risk tolerance ...

1.Fundamental attitude towards risk,

Risk aversion, or risk as an opportunity? individual characteristic of the decision maker.

2. Goals of the organization,

Goals determine what an organization wants to achieve. Since risks are defined as deviations from these goals, goals play a central role in risk tolerance.

Objectives vary between private or public companies.

3. ability of the organization to deal with risks, which depends on...

Understanding of risk, ability to identify risk

Risk assessment procedures (e.g. historical data or forecasts?)

Personnel (qualified employees)

Experience and skills in risk management (e.g. software)

Functioning control and monitoring systems

Environment (stakeholder interests)

4.Risk-bearing capacity (e.g. financial reserves, reputation)

5.Cost-benefit assessment (risk management costs money and must pay off)

ISO 31000 Komponenten /
ISO 31000 components

Komponenten

Auftrag an das Risk Management

Begründung der Notwendigkeit und Zuständigkeitsbereich des Risikomanagements. Es wird eine Lückenanalyse durchgeführt (Abweichung Soll-Ist).

Richtlinien für das Risikomanagement:

Die zentralen Abläufe des Risikomanagements werden operationalisiert, darunter der akzeptable Risikoumfang (Risk Appetite), die Struktur des Reportings sowie die Kriterien zur Risikobewertung.

Integration des Risikomanagements in das (gesamte) Unternehmen:

Ein zentraler Aspekt des ISO-Ansatzes ist das unternehmensweite Risikomanagement, das von der strategischen Dimension des Unternehmens ausgeht. Das unternehmensweite Risikomanagement verfolgt das Ziel, alle wesentlichen Risiken ganzheitlich zu erfassen.

Risikomanagement betrifft alle – jede Abteilung, jede Schnittstelle, jeden Standort und jede Hierarchiestufe.

Kommunikation und Berichterstattung:

Klare Kommunikations- und Berichtswege mit relevanten Anspruchsgruppen sind essenziell im Risikomanagement. Die Berichterstattung wird auch inhaltlich strukturiert (z.B. Formulare, Checklisten usw.).

Verantwortung für das Risikomanagement:!

Es wird ein Risk Owners bennennt und die Risiken werden in einem Risikoinventar gesammelt. Risikogesichtspunkte sollten in die Leistungsbeurteilung der Managementebene einfließen.

Überwachung, Überprüfung und kontinuerliche Verbesserung (Monitor and Review)
Kontinuierliche Kontrolle des unternehmensweiten Risikomanagements. Dabei werden bestehende Maßnahmen überprüft und gegebenenfalls angepasst, um eine effektive Risikosteuerung sicherzustellen

Das Ziel ist, aus Ereignissen – einschließlich Fehlern – zu lernen, um das Risikomanagement kontinuierlich zu optimieren und an die unternehmerischen Anforderungen anzupassen.

Components

Mandate for risk management

Justification of the necessity and area of responsibility of risk management. A gap analysis is carried out (deviation between target and actual).

Guidelines for risk management:

The central processes of risk management are operationalised, including the acceptable scope of risk (risk appetite), the structure of reporting and the criteria for risk assessment.

Integration of risk management into the (entire) organisation:

A central aspect of the ISO approach is company-wide risk management, which is based on the strategic dimension of the company. The aim of company-wide risk management is to capture all significant risks in their entirety.

Risk management affects everyone - every department, every interface, every location and every hierarchical level.

Communication and reporting:

Clear communication and reporting channels with relevant stakeholder groups are essential in risk management. Reporting is also structured in terms of content (e.g. forms, checklists, etc.).

Responsibility for risk management:

A risk owner is appointed and the risks are collected in a risk inventory. Risk aspects should be included in the performance appraisal at management level.

Monitoring, review and continuous improvement of risk management processes:

The aim is to learn from events - including errors - in order to continuously optimise risk management and adapt it to business requirements.

Vergleich Stewardship Theorie und Prinzipal-Agent-Theorie /
Comparison of stewardship theory and principal-agent theory

Operatives Risiko / operational risk

Umsetzung in Strukturempfehlungen / Implementation in structural recommendations

Die Verantwortung liegt zunächst bei den jeweiligen Geschäftsbereichen, in denen das Risiko aufritt,.wie Front Office (z.B. Retail Banking), Back Office, IT, Finanz- und Rechtsbereich. Diese Ebene bildet die "First Line of Defense".

Weiterhin soll auf der Ebene des Gesamtunternehmens ein zentraler Risikomanagementbereich (CORF) eingerichtet werden. Diese agiert als "Second Line of Defense".
Sie ist unabhängig und verantwortlich für die Entwicklung, Pflege und Überwachung des Risiko-Rahmenwerks sowie für die Kontrolle der Risikodaten aus den Geschäftsbereichen. Besonders in großen Unternehmen ist eine unabhängige Berichtslinie wichtig.

Die interne Revision der Bank fungiert als “third line of defense” Sie nimmt eine unabhängige Überprüfung und Bewertung der operativen Risikomanagementprozesse vor.

Für größere Finanzinstitute wird zusätzlich eine separate Gremienstruktur empfohlen.
Regelmäßige Sitzungen und eine umfassende Dokumentation sichern die kontinuierliche Optimierung und Nachvollziehbarkeit des Risikomanagements.

Die Verantwortung für das operative Risikomanagement kann unterschiedlich verortet werden:

• Chief Risk Officer (CRO):
  Zentrale Anlaufstelle für alle Risikoarten mit Verantwortung für Ausgleich und Priorisierung.

• Linienverantwortung:
  Verortung beim Chief Operating Officer (COO) oder Chief Financial Officer (CFO), was jedoch Potenziale für ein integriertes Risikomanagement einschränken könnte.

• Compliance-Verantwortlicher (CCO):
  Besonders in kleineren Finanzinstituten eine gängige Lösung.

Die Berichtsstruktur hängt von der Unternehmensgröße ab. Große Unternehmen setzen auf Vollzeit-Risikomanager, kleinere auf Teilzeitkoordinatoren. Alternativ übernehmen spezialisierte Fachkräfte zentrale Aufgaben für mehrere Gesellschaften.

Operatives Risiko / operational risk
Interne Richtlinien / Internal guidelines

Richtlinien definieren Mindestanforderungen für verschiedene Unternehmensbereiche wie strategisches Management und Compliance.

Richtlinien legen fest, warum Maßnahmen nötig sind (Begründung), wie sie umzusetzen sind (Standardisierung) und welche Erfolgskriterien gelten.

Zudem klären sie den Anwendungsbereich und unterstützen Grundsatzentscheidungen zur Gestaltung des Risikomanagements, etwa zur Zuständigkeit, Risikoerkennung und -bewertung sowie Überwachung

Guidelines define minimum requirements for various areas of the company such as strategic management and compliance.

Guidelines specify why measures are necessary (justification), how they are to be implemented (standardisation) and which success criteria apply.

They also clarify the scope of application and support fundamental decisions on the organisation of risk management, such as responsibility, risk identification and assessment as well as monitoring

Operatives Risiko / operational risk

Identifikation von operativen Risikoereignissen / Identification of operational risk events

Interne Ereignisdaten / Internal event data

Classification of operational risks according to BIZ.

Grundsätzlich werden verschiedene Arten von Ereignisdaten unterschieden, darunter Daten zu eingetretenen oder drohenden Verlusten.

Es gibt unterschiedliche Ansätze dessen, was als operatives Risiko erfasst wird. Laut dem Basler Ausschuss für Bankenaufsicht der BIZ lassen sich sieben Hauptkategorien von operativen Risikoereignissen unterscheiden:

• dolose Handlungen
  Bewusster Verstoß gegen gesetzliche oder vertraglich geregelte Pflichten. Es kann zwischen internem und externem Betrug differenziert werden. Die Abgrenzung erfolgt danach, ob in den Sachverhalt zumindest ein externer Dritter involviert ist (externe dolose Handlungen) oder ob er ausschließlich von unternehmensinternen Personen ausgelöst bzw. verantwortet wurde (interne dolose Handlungen)

intern: Theft and fraud, unauthorized activity
extern: Theft and fraud, system security

• Beschäftigungspraktiken und Arbeitssicherheit: Verluste, die durch Verstöße gegen Arbeits-, Gesundheits- oder Sicherheitsgesetze oder -vereinbarungen entstehen, einschließlich Schadenersatzansprüchen und Diskriminierungsvorfällen.

• Kunden, Produkte und Geschäftspraktiken: Verluste aufgrund von unbeabsichtigten oder fahrlässigen Fehlern, die professionelle Verpflichtungen gegenüber Kunden verletzen, oder aus der Art oder dem Design eines Produkts resultieren.
  Für Banken gelten spezielle Anforderungen, u.a. Sorgfaltspflichten bei Geldwäsche
  - product flaws
  - advisory activities

  - improper business of market practices
  

• Schäden an physischen Vermögenswerten: Verluste durch Schäden an physischen Vermögenswerten, verursacht durch Naturkatastrophen oder andere Ereignisse.

• Betriebsunterbrechungen und Systemausfälle: Verluste durch Störungen im Geschäftsbetrieb oder IT-Systemausfälle.

• Ausführung, Lieferung und Prozessmanagement: Verluste, die aus Fehlern in der Transaktionsabwicklung im Backoffice sowie aus Beziehungen zu Handelspartnern und Lieferanten entstehen.

.

Operatives Risiko / operational risk

Identifikation von operativen Risikoereignissen / Identification of operational risk events

Interne Ereignisdaten / Internal event data

Systemamtisierung von risikobehafteten Aktivitäten nach Geschäftsbereichen /
Classification of risky activities by business areas

1. Corporate Finance (Unternehmensfinanzierung)

• Unterbereiche: Beratungsdienstleistungen.

• Aktivitäten: Fusionen und Übernahmen, Börsengänge,

---

2. Trading and Sales (Handel und Vertrieb)

• Unterbereiche:Market Making, Treasury.

• Aktivitäten: Handel mit festverzinslichen Wertpapieren, Aktien, Devisen, Rohstoffen, Brokerage

---

3. Retail Banking (Privatkundenbanking)

• Unterbereiche: Privatkundengeschäft,

• Aktivitäten: Privatkredite, Einlagen, Bankdienstleistungen, Beratung,

---

4. Commercial Banking (Firmenkundenbanking)

• Unterbereiche: Firmenkundenbanking.

• Aktivitäten: Projektfinanzierung, Immobilien, Exportfinanzierung, Leasing, Handelsfinanzierung, Bürgschaften.

---

5. Payment and Settlement (Zahlungs- und Abwicklungssysteme)

• Unterbereiche: Externe Kunden.

• Aktivitäten: Zahlungen und Einzüge, Überweisungen, Clearing und Abwicklung.

---

6. Agency Services (Dienstleistungen für Dritte)

• Unterbereiche: Verwahrung, Agentur- und Treuhanddienstleistungen.

• Aktivitäten: Custody, Corporate Actions,

---

7. Asset Management (Vermögensverwaltung)

• Unterbereiche: Diskretionäres und nicht-diskretionäres Fondsmanagement.

• Aktivitäten: Verwaltung von Investmentfonds in verschiedenen Kategorien wie Einzelhandel, Institutionell, Geschlossene und Offene Fonds.

---

8. Retail Brokerage (Privatkunden-Brokerage)

• Unterbereiche: Privatkunden-Brokerage.

• Aktivitäten: Ausführung von Wertpapiergeschäften und umfassender Service für Privatkunden.

Operatives Risiko / operational risk

Identifikation von operativen Risikoereignissen / Identification of operational risk events

Interne Ereignisdaten / Internal event data

Messung des Risikoausmaßes, Dokumentation und Berichterstattung / Measurement of the extent of risk, documentation and reporting

Zur Bewertung interner Ereignisdaten werden Marktpreise oder kostenbasierte Ansätze genutzt. Wesentlichkeitsgrenzen bestimmen, ab wann ein Risikoereignis erfasst wird. Neben direkten Verlusten müssen auch indirekte Kosten, wie Anwalts- oder Beraterkosten, berücksichtigt werden.

Ein weiterer Aspekt sind Opportunitätskosten und "Near Miss"-Ereignisse – also Beinahe-Verluste, die keine direkten Schäden verursacht haben, aber wertvolle Hinweise auf Schwachstellen geben.

Für jedes relevante Risikoereignis sollte eine detaillierte Dokumentation erfolgen, die Ursachen, betroffene Geschäftsbereiche und mögliche Lehren für die Zukunft umfasst. Dies stellt sicher, dass die Daten für spätere Risikoanalysen und regulatorische Berichte genutzt werden können

Market prices or cost-based approaches are used to measure internal event data. Materiality thresholds determine when a risk event is recognised. In addition to direct losses, indirect costs such as legal or consultancy fees must also be taken into account.

Another aspect is opportunity costs and ‘near miss’ events - i.e. near misses that have not caused any direct losses but provide valuable indications of weaknesses.

Each relevant risk event should be documented in detail, including causes, affected business areas and possible lessons learnt for the future. This ensures that the data can be used for subsequent risk analyses and regulatory reports

Operatives Risiko / operational risk

Identifikation von operativen Risikoereignissen / Identification of operational risk events

Externe Ereignisdaten / external event data

Bei der Nutzung externer Datenquellen wird zur Vorsicht geraten. Die Qualität der Daten kann nur begrenzt kontrolliert werden, da viele Einträge auf Presseberichten basieren, die potenziell verzerrt oder unvollständig sein können. Zudem kann die Relevanz bestimmter Risikoereignisse für das eigene Unternehmen von den in der Datenbank erfassten Sachverhalten abweichen. Spezifische Risiken könnten aufgrund unternehmensinterner Prozesse ausgeschlossen werden, was die Vergleichbarkeit von Daten zwischen Branchen oder Geschäftsbereichen erschwert.

Caution is advised when using external data sources. The quality of the data can only be controlled to a limited extent, as many entries are based on press reports, which can potentially be distorted or incomplete. In addition, the relevance of certain risk events for your own company may differ from the facts recorded in the database. Specific risks could be excluded due to internal company processes, which makes it difficult to compare data between sectors or business areas.

Operatives Risiko / operational risk

Operative Risikoindikatoren / Operational risk indicators

Inhaltlich kann man die Indikatoren folgendermaßen charakterisieren

1. Leistungsindikatoren (Performance Indicators):
   Diese Indikatoren messen die Performance eines Bereichs oder des gesamten Unternehmens.

2. Kontroll- bzw. Steuerungsindikatoren (Control Indicators):
   Diese Indikatoren dienen der Überprüfung der Umsetzung von Steuerungsmaßnahmen.

3. Indikatoren zur Anzeige von Ereignissen (Event Indicators):

   • Leading Indicators: Diese Indikatoren dienen der Früherkennung von Risiken und basieren meist auf qualitativen Daten. .

   • Lagging Indicators: Diese Indikatoren erfassen eingetretene Ereignisse und zeigen Handlungsbedarf auf.

Für die Nutzung dieser Indikatoren ist es wichtig, einen Gültigkeitsbereich festzulegen. Es soll definiert werden, ab wann ein Indikator als kritisch gilt. Auch Kombinationen von Ereignissen, die selbstverstärkende Effekte haben könnten, sind zu berücksichtigen. Häufig erfolgt die Klassifikation der Risiken in Kategorien wie gering, mittel oder hoch, was dem sogenannten Ampelmodell entspricht.

Beispiele für Indikatoren in verschiedenen Funktionsbereiche innerhalb von Banken:

• Personalbereich: Hier stehen Indikatoren wie Mitarbeiterfluktuation, Qualifikationsstand und die Überwachung von Anreizsystemen im Vordergrund, um risikobehaftete Entwicklungen frühzeitig zu erkennen.

• Compliance-Bereich: Ein bedeutender Indikator ist hier beispielsweise die Einhaltung von Vorschriften zur Verhinderung von Geldwäsche.

• IT-Bereich: Relevante Indikatoren betreffen unter anderem Systemausfälle, Reaktionszeiten bei Störungen und Schutzmaßnahmen gegen interne und externe Angriffe.

• Kundenbereich: Die Überwachung der Kundenprofitabilität und die Berücksichtigung von Kaufkriterien sind hier entscheidend.

• Back Office: Indikatoren fokussieren sich hier auf die Integrität und Korrektheit von Transaktionen.

Finanzielles Risiko
Begriff des finanziellen Risikomanagements

Financial risk
Definition of financial risk management

Finanzielle Risiken können durch den Abschluss von Verträgen (z.B. unbedingte Termingeschäfte, Swaps, Optionen) abgesichert werden.

Ziel ist eine Reduktion oder vollständigen Eliminierung des abzusichernden Risikos ("hedging")

Finanzielles Risiko
Möglichkeiten zum Umgang mit finanziellen Risiken

Financial risk
Ways of dealing with financial risks

Bestehende finanzielle Risiken können durch den Abschluss entsprechender Verträge (z.B. unbedingte Termingeschäfte, Swaps, Optionen) adressiert werden.
Dadurch kann eine Reduktion oder vollständigen Aufhebung des abzusichernden Risikos (=hedging) erreicht werden.

1. Absicherung von Zahlungsströmen:

Zukünftige Zahlungsströme deren Höhe aufgrund von Unsicherheitsfaktoren noch nicht genau bekannt sind, können durch Verträge wie Swaps in vorhersehbare Zahlungsströme umgewandelt werden.

2. Fixierung von Marktwerten:
Verträge können genutzt werden, um den Marktwert von Vermögenswerten oder Schulden zu stabilisieren.

3. Rechnungslegungsbezogene Absicherung:
Unternehmen mit Auslandsinvestitionen sichern sich gegen Währungsschwankungen oder andere ausländische Einflüsse ab, um die Erfolgsrechnung stabil zu halten.

Existing financial risks can be addressed by concluding corresponding contracts (e.g. unconditional forward transactions, swaps, options).

This can lead to a reduction or complete elimination of the risk to be hedged (=hedging).

1. hedging of cash flows:

Future cash flows whose amount is not yet precisely known due to uncertainty factors can be converted into predictable cash flows through contracts such as swaps.

2. fixing market values:

Contracts can be used to stabilize the market value of assets or liabilities.

3. accounting-related hedging:

Companies with foreign investments hedge against currency fluctuations or other foreign influences in order to keep the income statement stable.

Finanzielles Risiko
„Griechen“

Financial risk

‘Greeks’

• Delta (Δ) misst die Wertveränderung eines Portfolios im Verhältnis zur Veränderung einer Referenzgröße, beispielsweise dem Goldpreis. Ein Anleger kann sich durch den Kauf einer entsprechenden Menge der Referenzgröße absichern, was als „Delta Hedging“ bezeichnet wird.

• Gamma (Γ) gibt an, wie stark sich das Delta verändert, wenn sich der Preis des zugrunde liegenden Vermögenswerts verändert (zweite Ableitung des Portfoliowerts). Gamma ist nur relevant, wenn ein nichtlinearer Zusammenhang besteht. .

• Vega (V) misst die Sensitivität des Portfoliowerts gegenüber Änderungen der Volatilität des zugrunde liegenden Vermögenswerts.

• Theta (Θ) beschreibt den Einfluss des Zeitablaufs auf den Wert des Portfolios. Normalerweise ist Theta negativ, da Optionen an Wert verlieren, je näher ihr Verfallsdatum rückt.

• Rho (ρ) misst die Sensitivität des Portfoliowerts gegenüber Änderungen des Zinssatzes.

Delta (Δ) measures the change in value of a portfolio in relation to the change in a reference value, for example the price of gold. An investor can hedge by buying a corresponding amount of the reference value, which is known as ‘delta hedging’.

Gamma (Γ) indicates how much the delta changes when the price of the underlying asset changes (second derivative of the portfolio value). Gamma is only relevant if there is a non-linear relationship.

Vega (V) measures the sensitivity of the portfolio value to changes in the volatility of the underlying asset.

Theta (Θ) describes the influence of the passage of time on the value of the portfolio. Theta is normally negative, as options lose value as their expiry date approaches.

Rho (ρ) measures the sensitivity of the portfolio value to changes in the interest rate.

Finanzielles Risiko
Duration

financial risk
duration

Die Duration beschreibt die durchschnittliche Kapitalbindungsdauer und zeigt, wie sich der Wert eines Bonds bei einer Veränderung des Zinsniveaus verhält.

Mathematisch wird die Duration als gewichteter Mittelwert der Zahlungszeitpunkte berechnet, wobei die Gewichtung durch die abgezinsten Zahlungsströme erfolgt. Die gängigste Form ist die Macauley-Duration, die sich wie folgt berechnen lässt:
Barwert der Einzahlungsüberschüsse / Preis des Bonds

Duration is a key figure for measuring the interest rate dependency of a financial instrument, particularly bonds. It describes the average capital commitment period and shows how the value of a bond behaves in the event of a change in the interest rate level.

Mathematically, the duration is calculated as a weighted average of the payment dates, whereby the weighting is based on the discounted cash flows. The most common form is the Macauley duration, which is calculated by dividing the sum of the discounted cash flows multiplied by their payment dates by the current bond price.

Finanzielles Risiko
Value at Risk

Financial risk
Value at risk

Der Value at Risk repräsentiert die negative Änderung des Marktwertes eines Portfolios.

Die Ermittlung des Value at Risk erfolgt in fünf Schritten.
Voraussetzung ist, dass sämtliche Bestandteile des Portfolios bekannt und erfasst sind.

1. Ermittlung von Risikofaktoren, d.h. Einflüsse auf den Wert des Portfolios.

2. Analysieren wie der Wert des Portolios auf Veränderungen der Risikofaktoren reagiert.

3. Die mögliche zukünftige Entwicklung der Risikofaktoren in Szenarien durchspielen.

4.Aus der potenziellen (kombinierten) Entwicklung der Risikofaktoren lassen sich Szenarien für die Veränderung des Portfoliowerts ableiten.

5. Berechnung des Value at Risk

The value at risk represents the negative change in the market value of a portfolio.

The value at risk is calculated in five steps.

The prerequisite is that all components of the portfolio are known and recorded.

1. determination of risk factors, i.e. factors influencing the value of the overall portfolio

2. determine the reaction of the overall portfolio value to changes in risk factors

3. run through scenarios for the possible future development of risk factors

4. derive scenarios for the change in the overall portfolio value from the possible (combined) performance of the risk factors

5. calculating the value at risk

Finanzielles Risiko
Value at Risk
Vor- und Nachteile der verschiedenen Methoden für die Szenarioentwicklung der Risikofaktoren innerhalb des Value at Risk.

Financial risk
Value at risk
Advantages and disadvantages of the various methods for the scenario development of risk factors within the value at risk.

1. Varianz-Kovarianz-Methode

Advantages:

• Low computational effort.

• Easy analysis of alternative scenarios concerning standard deviations and correlations.

Disadvantages:

• Does not consider nonlinear relationships between price and risk factors (problematic for portfolios with options).

• Assumes normal distribution.

• Not suitable for stress tests.

---

2. Monte-Carlo-Simulation

Advantages:

• Considers nonlinear relationships between price and risk factors.

• Allows analysis of alternative scenarios for various standard deviations and correlations.

Disadvantages:

• Assumes normal distribution.

• High computational effort.

• Not suitable for stress tests.

---

3. Historische Simulation

Advantages:

• Uses actual distribution of risk factors.

• Considers nonlinear relationships between price and risk factors.

Disadvantages:

• Requires high-quality data with sufficient observations.

• Difficult to implement alternative scenarios.

---

4. Benchmark-Simulation

Advantages:

• Low computational effort.

• Does not necessarily require high-quality data.

• Easy to understand and communicate.

Disadvantages:

• Some risks may be overlooked.

• Confidence level is not clearly defined.

• Limited comparability with other methods.

• Difficult to set up scenarios involving multiple risk factors.

Risikoberichterstattung


Risk reporting

Grössere Unternehmen in der EU müssen jährlich einen Lagebericht erstellen.

Eine mögliche Auslegung wird durch den freiwillig anzuwendenden Deutschen Rechnungslegungsstandard Nr. 20 (DRS 20) vorgegeben.

Nach diesem sollte Risikoberichterstattung aus dem Blickwinkel der Unternehmensleitung verfasst werden, aber auf die Bedürfnisse der Adressaten ausgerichtet sein.

Maßgeblich für die Risikoberichterstattung nach DRS 20 ist ein für das jeweilige Risiko adäquater Prognosezeitraum.

Companies in the EU must prepare an annual management report.

One possible interpretation is provided by the German Accounting Standard No. 20 (DRS 20), which is applied voluntarily.

According to this standard, risk reporting should be written from the perspective of the company management, but should be geared towards the needs of the addressees.

The decisive factor for risk reporting in accordance with DRS 20 is an adequate forecast period for the respective risk.

Risikoberichterstattung
die Risikoberichterstattung als Teil des Lageberichts kennzeichnen;

Risk reporting

identify risk reporting as part of the management report;

IGNORE

Die Risikoberichterstattung ist ein integraler Bestandteil des Lageberichts und stellt die wesentlichen Risiken für das Unternehmen dar. Die Berichterstattung soll sich an den Bedürfnissen der Adressaten orientieren, insbesondere an den Kapitalmarktteilnehmern, die Investitionsentscheidungen treffen. Risiken sind detailliert darzustellen, insbesondere ihre potenziellen Konsequenzen und, falls möglich, ihre Quantifizierung. Unternehmen sollen zudem auf ihre Risikomanagementmaßnahmen eingehen und darauf hinweisen, ob effektive Maßnahmen zur Begrenzung getroffen wurden.

Risk reporting is an integral part of the management report and presents the main risks for the company. Reporting should be geared towards the needs of the addressees, in particular capital market participants who make investment decisions. Risks must be presented in detail, in particular their potential consequences and, if possible, their quantification. Companies should also discuss their risk management measures and indicate whether effective mitigation measures have been taken.

Risikoberichterstattung
nach DRS 20 anzugebende Merkmale des Risikomanagements ;

Risk reporting

characteristics of risk management in accordance with DRS 20

IGNORE

Der Deutsche Rechnungslegungsstandard Nr. 20 (DRS 20) erfordert, dass Unternehmen im Risikobericht ihr Risikomanagementsystem beschreiben. Dies umfasst die Ziele und Strategien, die Strukturen und Prozesse des Risikomanagements sowie gegebenenfalls die Anwendung eines anerkannten Rahmenkonzepts. Weiterhin sind die Identifikation, Bewertung, Steuerung und Kontrolle von Risiken sowie deren interne Überwachung zu erläutern. Unternehmen müssen auf ihre verwendeten Modelle zur Risikobewertung und deren Annahmen eingehen.

German Accounting Standard No. 20 (DRS 20) requires companies to describe their risk management system in the risk report. This includes the objectives and strategies, the structures and processes of risk management and, if applicable, the application of a recognized framework concept. Furthermore, the identification, assessment, management and control of risks as well as their internal monitoring must be explained. Companies must explain the risk assessment models they use and their assumptions.

Risikoberichterstattung
den nach DRS 20 anzuwendenden allgemeinen Risikokatalog;

Risk reporting

general risk catalog to be applied in accordance with DRS 20;

IGNORE

Der allgemeine Risikokatalog nach DRS 20 umfasst sowohl externe als auch interne Risiken. Externe Risiken können aus dem Markt- und Branchenumfeld entstehen, während interne Risiken aus dem Unternehmen selbst resultieren. Die Risiken sollten systematisch erfasst und nach Relevanz kategorisiert werden. Eine mögliche Kategorisierung umfasst:

• Umfeldrisiken

• Branchenrisiken

• Leistungswirtschaftliche Risiken

• Finanzwirtschaftliche Risiken

• Sonstige Risiken
  Wesentliche Risiken müssen einzeln dargestellt und quantifiziert werden, falls dies zur internen Steuerung des Unternehmens erfolgt. Zudem ist ein adäquater Prognosezeitraum zu wählen, wobei für bestandsgefährdende Risiken eine Frist von einem Jahr vorgeschrieben ist.

The general risk catalog in accordance with DRS 20 includes both external and internal risks. External risks can arise from the market and industry environment, while internal risks result from the company itself. Risks should be systematically recorded and categorized according to relevance. One possible categorization includes

• Environmental risks

• Industry risks

• Performance-related risks

• Financial risks

• Other risks

  Significant risks must be presented individually and quantified if this is done for the internal management of the company. In addition, an adequate forecast period must be selected, whereby a period of one year is prescribed for risks that could jeopardize the company as a going concern.

Risikoberichterstattung
Anforderungen für Kredit- und Finanzdienstleistungsinstitute nach DRS 20

Risk reporting

Requirements for Credit and Financial Institutions according to DRS 20

Das Risikomanagement in Banken umfasst vier zentrale Risikokategorien

1. Adressenausfallrisiko bezieht sich auf das Risiko, dass ein Schuldner seine Zahlungsverpflichtungen nicht erfüllt. Dabei werden Kreditrisiken, Emittentenrisiken und Kontrahentenrisiken unterschieden.

2. Marktpreisrisiko umfasst Zinsänderungsrisiken, Währungsrisiken, Preisrisiken von Eigenkapitaltiteln und Rohstoffpreisrisiken.

3. Liquiditätsrisiko wird unterteilt in Liquiditätsrisiko im engeren Sinne, Refinanzierungsrisiko und Marktliquiditätsrisiko.

4. Operationelle Risiken umfassen Risiken aus Prozessen, Personal, IT und rechtlichen Aspekten.

Unternehmen müssen zudem ihre Risikolage unter Berücksichtigung der gesetzlichen Eigenkapitalanforderungen darstellen.
Risiken sollten mit getesteten und anerkannten Modellen quantifiziert, gesteuert und überwacht werden.

Risk management in banks comprises four central risk categories

Counterparty default risk refers to the risk that a debtor will not meet its payment obligations. A distinction is made between credit risks, issuer risks and counterparty risk.

Market price risk comprises interest rate risks, currency risks, price risks of equity securities and commodity price risks.

Liquidity risk is subdivided into liquidity risk in the narrower sense, refinancing risk and market liquidity risk.

Operational risks include risks from processes, personnel, IT and legal aspects.

Companies must also present their risk situation taking into account the statutory capital requirements.
Risks should be quantified, managed and monitored using tested and recognized models.

Krisenmanagement
Lebenszyklusmodell von Pümpin/Prange

Wichtige Bezugspunkte des Modells sind der Aufbau und die Ausschöpfung von Nutzenpotenzialen (Anspruchsgruppenkonzept).

Unternehmen durchlaufen typischerweise vier Phasen im Lebenszyklus:

Pionierunternehmen sind meist junge, kleine Unternehmen, die entweder innovative oder bereits bekannte Geschäftsideen aufgreifen, um neue Nutzenpotenziale zu erschließen. Sie zeichnen sich durch eine einfache, stark auf den Gründer ausgerichtete Organisation, geringe Komplexität sowie einen eher informellen und oft autoritären Führungsstil aus.

Vorteile:
- Hohe Flexbilität/Anpassungsfähigkeit
- Hohe Innovationsfähigkeit
- Schnelle Entscheidungsfindung und Umsetzung

Nachteile:
- Fehlende Erfahrung alle Beteiligten
- Hohe Abhängigkeit vom Gründer/Pionier
- Geringer Eigenfinanzierungsgrad

Wachstumsunternehmen befinden sich in einer Phase starker Expansion, in der sie bewährte Geschäftsideen gezielt vervielfältigen und neue Märkte sowie Kundengruppen erschließen. Mit dem Wachstum steigen sowohl die Komplexität als auch die Anforderungen an Organisation und Führung, was zu einer Professionalisierung des Managements und dem Aufbau formaler Strukturen führt.

Vorteile:
- Verbreiterung des Managements
- Stabilisierung, Routine und Professionalisierung des Unternehmensgeschehens
- Hohe Motivation und Zufriedenheit der Mitarbeiter

Nachteile:
- Komplexere Managementaufgabe
- Gefahr einer Überexpansion
- Gefahr der Verzettlung

Reifeunternehmen befinden sich in einer Phase, in der das ursprüngliche Wachstum nachlässt und viele Geschäftsbereiche ihre Reife erreicht haben, wodurch Innovation und Expansion an Attraktivität verlieren. Trotz hoher Umsätze und stabiler Gewinne treten zunehmend interne Schwächen, Bürokratie und Machtkämpfe auf, die das Unternehmen lähmen können. Die Organisation wird formeller, Entscheidungen langsamer, und das Management verliert oft die gemeinsame Vision zugunsten individueller Interessen.

Vorteile:
- Verfügt über viele Ressourcen
- Niedrige Stückkosten
- Breites Beziehungsnetz zu Händlern, Kunden, Regierung etc.

Nachteile:
- Mangelnde Flexibilität
- Barrieren gegen Innovationen
- Zunehmende Marktferne des Managements

Wendeunternehmen befinden sich in einer existenzkritischen Phase, in der frühere Reifeprobleme wie innere Erstarrung und Orientierung an der Vergangenheit voll durchschlagen und die meisten Geschäftsfelder bereits im Niedergang sind. Machtkämpfe, fehlende Innovationsfähigkeit und eine defensive Unternehmenskultur führen zu sinkender Qualität, wachsender Verschuldung und Vertrauensverlust bei Kunden und Partnern. Ohne entschlossene Gegenmaßnahmen steuert das Unternehmen unaufhaltsam auf die Insolvenz zu.

Vorteile (begrenzt und temporär):
- Stützung der Staat
- Bilanzkosmetik (Buchgewinne)
- Gewinne durch Einschränkung des Wettbewerbs

Nachteile:
- Mittelabfluss, Aufzehrung der stillen Reserven
- Geringe Nutzenstiftung aufgrund veralteter Produkte und Technologien
- Festhalten an illusorischen Vorstellungen über die Zukunft

Am Ende jeder Phase einer Unternehmensentwicklung stellen sich typische Schwellenprobleme eines Übergangs zu einer folgenden Phase ein, die bei mangelnder Gestaltung des Übergangs Krisen-situationen ergeben können. . Werden Krisenursachen nicht abgestellt, kommt es schließlich zum Niedergang. Besonders der Übergang von der Wachstums- zur Reifephase muss als kritisch bezeichnet werden.

Important reference points of the model are the development and exploitation of potential benefits (stakeholder concept).

Companies typically go through four phases in their life cycle:

Pioneer companies are usually young, small companies that take up either innovative or already known business ideas in order to develop new potential benefits. They are characterized by a simple, founder-focused organization, low complexity and a rather informal and often authoritarian management style.

Advantages:

- High flexibility/adaptability

- High capacity for innovation

- Fast decision-making and implementation

Disadvantages:

- Lack of experience of all parties involved

- High dependency on the founder/pioneer

- Low level of self-financing

Growth companies are in a phase of strong expansion, in which they multiply proven business ideas in a targeted manner and tap into new markets and customer groups. As they grow, both the complexity and the demands on organization and management increase, which leads to a professionalization of management and the establishment of formal structures.

Advantages:

- Broadening of management

- Stabilization, routine and professionalization of company operations

- High employee motivation and satisfaction

Disadvantages:

- More complex management task

- Risk of over-expansion

- Danger of fragmentation

Mature companies are in a phase in which the original growth slows down and many business areas have reached maturity, making innovation and expansion less attractive. Despite high sales and stable profits, internal weaknesses, bureaucracy and power struggles increasingly emerge, which can paralyze the company. The organization becomes more formal, decision-making slower, and management often loses the common vision in favor of individual interests.

Advantages:

- Has many resources at its disposal

- Low unit costs

- Broad network of relationships with distributors, customers, government, etc.

Disadvantages:

- Lack of flexibility

- Barriers to innovation

- Management increasingly distant from the market

Turnaround companies find themselves in a critical phase of their existence, in which earlier maturity problems such as inner rigidity and a focus on the past are in full effect and most business areas are already in decline. Power struggles, a lack of innovative capacity and a defensive corporate culture are leading to declining quality, growing debt and a loss of trust among customers and partners. Without decisive countermeasures, the company is heading inexorably towards insolvency.

Advantages (limited and temporary):

- Support for the state

- Balance sheet cosmetics (book profits)

- Profits through restriction of competition

Disadvantages:

- Cash outflow, erosion of hidden reserves

- Low benefit creation due to outdated products and technologies

- Clinging to illusory ideas about the future

At the end of each phase of a company's development, typical threshold problems arise during the transition to the next phase, which can lead to crisis situations if the transition is not properly managed. . If the causes of the crisis are not remedied, the company will eventually go under. The transition from the growth phase to the maturity phase is particularly critical.

Krisenmanagement
Ursachen von Krisen & Krisenstadien

Crisis management
Causes of crises & crisis stages

Krisen treten oft beim Übergang zwischen Lebenszyklusphasen auf, besonders in Reife- und Wendeunternehmen. Sie werden häufig erst bei Zahlungsschwierigkeiten bemerkt, aber die Ursachenforschung ist entscheidend.
Unternehmenskrisen entstehen oft durch interne (endogene) oder externe (exogene) Ursachen. Endogene Ursachen sind z. B. Fehlentscheidungen des Managements, unzureichendes Controlling oder mangelnde Führungsqualität. Exogene Ursachen umfassen wirtschaftliche Rezessionen, steigendes Zinsniveau oder regulatorische Veränderungen.

Nach dem IDW S 6 Standards können folgende Krisenstadien unterschieden werden.

1. Stakeholderkrise: Eine Stakeholderkrise entsteht durch Konflikte zwischen verschiedenen Interessengruppen eines Unternehmens, wie Führung, Gesellschaftern und Arbeitnehmern.Problematisch wird die Stakeholderkrise, indem sie auf das Führungsverhalten ausstrahlt. Typische Erkennungsmerkmale sind Reibungsverluste, Blockaden sowie die Verhinderung notwendiger Entscheidungen.

2. Strategische Krise – Eine Strategiekrise entsteht durch fehlende Kundenorientierung, mangelhafte Marktbeobachtung und ineffektive Innovationen bspw. weil technologische Entwicklungen der Anschluss verloren wurde. Dies führt zu strategischen Lücken und einem Verlust der Wettbewerbsfähigkeit. Die Sanierung ist hier besonders schwierig. meist sogar unmöglich, da das langfristig wirkende Erfolgspotenzial verloren gegangen ist und erst wieder aufgebaut werden muss.
Beispiel: Nokia, Kodak. Filmleiheunternehmen, Textilindustrie

3. Produkt-/Absatzkrise: Eine Produkt-/Absatzkrise zeigt sich in einem starken, langfristig anhaltenden Nachfragerückgang nach Hauptumsatzträgern. Ursachen sind bspw. ein unzureichendes Marketingkonzept, Sortimentsschwächen, Qualitätsprobleme, Fehler in der Preispolitik oder Vertriebssteuerung sowie mangelnde Liefertreue sein.

4. Erfolgskrise – Es kommt zu einem starken Gewinnrückgang bzw. Verlusten bis hin zum vollständigen Verzehr des Eigenkapitals (Mangelnde Profitabilität). Mit sinkender Eigenkapitalquote wird das Unternehmen zunehmend kreditunwürdig. Die Mängel bestehen im operativen Bereich und sind dringend zu beseitigen. Gelingt dies, bestehen gute Sanierungschancen.

5. Liquiditätskrise –Mit der Liquiditätskrise geht eine Existenzgefährdung einher. Es besteht ein erhöhtes Insolvenzrisiko, falls keine oder unzureichende Maßnahmen ergriffen werden. Die Finanzierungsstruktur des Unternehmens entfaltet in der Liquiditätskrise eine besondere Relevanz. Es bestehen die besten Sanierungschancen, da keine Erfolgskrise und Strategische Krise vorliegen.

6.Insolvenzreife: Diese ist erreicht, wenn ein Insolvenzgrund erfüllt ist: Zahlungsunfähigkeit, drohende Zahlungsunfähigkeit und Überschuldung

In der Praxis werden Krisen häufig zu spät erkannt, weil Unternehmen Frühwarnsignale ignorieren. Ein Frühwarnsystem und eine rechtzeitige Ursachenanalyse sind daher essenziell, um Gegenmaßnahmen zu ergreifen.

Crises often occur during the transition between life cycle phases, especially in mature and turnaround companies. They are often only noticed when payment difficulties arise, but investigating the causes is crucial.

Corporate crises often arise from internal (endogenous) or external (exogenous) causes. Endogenous causes include poor management decisions, inadequate controlling or a lack of leadership quality. Exogenous causes include economic recessions, rising interest rates or regulatory changes.

According to the IDW S 6 standards, the following crisis stages can be distinguished.

1. stakeholder crisis: A stakeholder crisis arises from conflicts between different interest groups of a company, such as management, shareholders and employees. the stakeholder crisis becomes problematic when it affects management behavior. Typical characteristics are frictional losses, blockades and the prevention of necessary decisions.

2. strategic crisis - A strategic crisis is caused by a lack of customer orientation, inadequate market observation and ineffective innovations, for example because the company has lost touch with technological developments. This leads to strategic gaps and a loss of competitiveness. Restructuring is particularly difficult here, and usually even impossible, as the long-term potential for success has been lost and must first be rebuilt.

Example: Nokia, Kodak. Film rental companies, textile industry

3. product/sales crisis: A product/sales crisis is characterized by a sharp, long-term decline in demand for key sales drivers. Causes include, for example, an inadequate marketing concept, product range weaknesses, quality problems, errors in pricing policy or sales management and a lack of delivery reliability.

4. profit crisis - There is a sharp drop in profits or losses and even a complete depletion of equity. As the equity ratio falls, the company becomes increasingly unworthy of credit. The deficiencies exist in the operational area and must be urgently remedied. If this is successful, there are good chances of restructuring.

5. liquidity crisis - The liquidity crisis is accompanied by a threat to the company's existence. There is an increased risk of insolvency if no or insufficient measures are taken. The financing structure of the company is particularly relevant in a liquidity crisis. There are the best chances of restructuring as there is no success crisis and strategic crisis.

6. insolvency maturity: This is reached when a reason for insolvency is fulfilled: inability to pay, imminent inability to pay and over-indebtedness

In practice, crises are often recognized too late because companies ignore early warning signals. An early warning system and a timely root cause analysis are therefore essential in order to take countermeasures.

_____________________________________________________________________

Beispiele für geeignete Sanierungsmaßnahmen je nach Krisenstadium:

• Liquiditätskrise: Eine Liquiditätskrise erfordert die Mobilisierung interner Reserven, die Beschaffung liquider Mittel und Maßnahmen wie Lageroptimierung, Factoring, Outsourcing oder Sale-and-Lease-Back. Voraussetzung ist oft die Sicherstellung der Kreditfähigkeit durch ausreichende Sicherheiten.

• Erfolgskrise: Eine Erfolgskrise erfordert ein Sanierungskonzept, das marktseitig Geschäfte neu ausrichtet oder aufgibt und sich stärker an Kundenbedürfnissen orientiert. Innerhalb der Wertschöpfungskette sind Maßnahmen wie Straffung des Sortiments, Reduzierung der Produktpalette und Prozessbündelungen notwendig.

• Produkt-/Absatzkrise: Eine Produkt- bzw. Absatzkrise kann kurzfristig durch Maßnahmen wie Kurzarbeit, Kostenmanagement und Arbeitszeitverkürzungen adressiert werden, während langfristig Kapazitätsanpassungen, die Entwicklung marktfähiger Produkte und ein neues Vertriebskonzept erforderlich sind. Ein effektives Steuerungs- und Kontrollsystem ist dabei entscheidend.

• Stakeholderkrise: In einer Stakeholderkrise ist es entscheidend, einen Konsens zwischen den Interessengruppen herzustellen, das Unternehmensleitbild weiterzuentwickeln, angemessene Ziele abzuleiten und Veränderungsprozesse erfolgreich umzusetzen. Zentral ist dabei die Besetzung von Führungspositionen und der Gewinn des Vertrauens aller Anspruchsgruppen.

Examples of suitable restructuring measures depending on the stage of the crisis:

Liquidity crisis: A liquidity crisis requires the mobilization of internal reserves, the procurement of liquid funds and measures such as inventory optimization, factoring, outsourcing or sale-and-lease-back. A prerequisite is often the securing of creditworthiness through sufficient collateral.

Success crisis: A success crisis requires a restructuring concept that realigns or abandons business on the market side and focuses more strongly on customer needs. Within the value chain, measures such as streamlining the product range, reducing the product range and bundling processes are necessary.

Product/sales crisis: A product or sales crisis can be addressed in the short term through measures such as short-time working, cost management and reduced working hours, while in the long term capacity adjustments, the development of marketable products and a new sales concept are required. An effective management and control system is crucial here.

Stakeholder crisis: In a stakeholder crisis, it is crucial to establish a consensus between the interest groups, further develop the corporate mission statement, derive appropriate goals and successfully implement change processes. Central to this is filling management positions and gaining the trust of all stakeholder groups.

Krisenmanagement
Von der Krise zur Sanierung

Gegenstand und die Herangehensweise bei einer Sanierung

Ausgangspunkt der Sanierung ist, dass sich ein Unternehmen in einer Krise befindet. Unter Sanierung versteht man alle Aktivitäten die darauf abzielen die Existenz des Unternehmens zu sichern und es langfristig wieder rentabel zu machen. Um dies zu erreichen ist es entscheidend die tatsächlichen Ursachen der Krise richtig zu erkennen.
Um einen drohenden Zusammenbruch zu vermeiden, müssen frühzeitig steuernde Eingriffe durch die Unternehmensleitung erfolgen – möglichst bevor eine Insolvenz droht.

Gemäss Insolvenzordnung (§§ 17–19 InsO) bestehen drei Gründe der Insolvenz:
Zahlungsunfähigkeit:
Das Unternehmen kann seine fälligen Verpflichtungen nicht mehr begleichen.
Drohende Zahlungsunfähigkeit:
Es ist absehbar ist, dass das Unternehmen seine künftigen Zahlungen nicht mehr termingerecht leisten kann.
Überschuldung:
Das Vermögen eines Unternehmens reicht nicht mehr aus, um alle bestehenden Verbindlichkeiten (Fremdkapital) zu decken.

Kommt es zu einem gerichtlichen Insolvenzverfahren, wird geprüft, ob das Unternehmen grundsätzlich noch als lebensfähig gilt. Ist die Fortführung wahrscheinlicher als die Stilllegung, kann das Verfahren in eine gerichtliche Sanierung übergehen. Andernfalls wird das Unternehmen liqudiert.

Subject matter and the approach to restructuring

The starting point for restructuring is that a company is in crisis. Restructuring refers to all activities aimed at securing the company's existence and making it profitable again in the long term. In order to achieve this, it is crucial to correctly identify the actual causes of the crisis.

In order to avoid an imminent collapse, the company management must intervene at an early stage - if possible before insolvency threatens.

According to the Insolvency Code (§§ 17-19 InsO), there are three types of insolvency reasons

Insolvency:

The company can no longer pay its obligations as they fall due.

Imminent insolvency:

It is foreseeable that the company will no longer be able to make its future payments on time.

Over-indebtedness:

A company's assets are no longer sufficient to cover all existing liabilities (borrowed capital).

If judicial insolvency proceedings are initiated, it is examined whether the company is still considered viable in principle. If it is more likely to continue as a going concern than to be closed down, the proceedings can turn into a court-ordered restructuring. Otherwise, the company is liquidated.

______________________________________________________________________________

Typische Sanierungsmaßnahmen

Maßnahmen zur Krisenbewältigung in Unternehmen lassen sich in zwei Bereiche unterteilen: finanzwirtschaftliche Maßnahmen zur Stärkung der Liquidität und Stabilisierung der Kapitalstruktur. sowie leistungswirtschaftliche Maßnahme zur Optimierung innerbetrieblicher Abläufe und Steigerung der Effizienz in Produktion und Dienstleistungen..

Die finanzwirtschaftlichen Sanierungsmaßnahmen zeigen Wirkung bevor die leistungswirtschaftlichen Maßnahmen zur Überwindung der strategischen Krise und der Erfolgskrise umgesetzt werden.

Crisis management measures in companies can be divided into two areas: financial measures, which aim to improve the financial situation and eliminate liquidity bottlenecks, and performance measures, which focus on operational improvements and efficiency increases in production or services.

The financial restructuring measures take effect before the performance-related measures to overcome the strategic crisis and the performance crisis are implemented.

Financial Measures

• Waiver of claims by creditors

• Conversion of debt into equity

• Deferral of interest or principal payments

• Restructuring of loan agreements

• Asset reallocation:
  Sale & lease-back, factoring, reduction of capital commitment

Performance measures

• Optimization of internal processes

• HR measures: hiring freeze

• Renegotiation of purchasing conditions

• Adjustment of logistics (e.g. just-in-time)

• Optimizations in production (lead time, quality, etc.)

Finanzwirtschaftliche Maßnahme:
Umwandlung von Fremdkapital in Eigenkapital

Diese Maßnahme zählt zu den Sanierungsinstrumenten ohne Kapitalzufluss. Durch die Umwandlung von Krediten in Beteiligungen werden Gläubiger des Unternehmens (z.B. Banken oder Lieferanten) zu Miteigentümern.

Vorteile:

• Verringerung des Liquditätsabflusses da künftige Zins-

  und Tilgungszahlungen entfallen.

• Bessere Kreditwürdigkeit.

Nachteile:

• Die bisherigen Gläubiger müssen zustimmen, was oft nur gelingt, wenn Aussicht auf Unternehmensrettung besteht.

• Die Altgesellschafter verlieren ggf. Einfluss und Stimmrechte, da die neuen Anteilseigner Mitspracherechte erhalten.

  
  

Financial measure:
Conversion of debt into equity

This measure is one of the restructuring instruments without an inflow of capital. It aims to improve the company's liquidity and stabilize the capital structure at the same time.

Creditors (e.g. banks or suppliers) who have previously granted the company loans convert these receivables into equity.

Advantages:

Significant improvement in the liquidity situation.

Increased confidence in the economic future of the company.

Better opportunities for taking out new loans or investor investments thanks to improved balance sheet ratios.

Disadvantages:

The existing creditors must agree, which is often only possible if there is a prospect of the company being rescued.

The existing shareholders may lose influence and voting rights, as the new shareholders will have a say.

2. Leistungswirtschaftliche Maßnahme:
Anpassung der Logistik (Just-in-Time-Produktion)

Anstatt große Lagerbestände im eigenen Unternehmen vorzuhalten, erfolgt die Materialanlieferung exakt zu dem Zeitpunkt, an dem die Teile in der Produktion benötigt werden.

Vorteile:

• Reduktion der Lagerkosten (Miete, Energie, Kapitalbindung).

• Verbesserung der Liquidität durch geringere Kapitalbindung im Umlaufvermögen.

• Schnellere Reaktion auf Marktveränderungen, da keine veralteten Bestände „abgebaut“ werden müssen.

Nachteile:

• Enge Abstimmung mit den Lieferanten und oft den Aufbau digital unterstützter Logistikprozesse erforderlich

• Höheres Risiko bei Lieferverzögerungen oder Transportproblemen (z. B. Streiks, Naturkatastrophen).

2. performance management measure:
Adaptation of logistics (just-in-time production)

This measure aims to optimize internal processes and, in particular, to make materials management more efficient.

Instead of keeping large stocks in the company, materials are delivered exactly when the parts are needed in production.

Advantages:

Reduction in storage costs (rent, energy, capital commitment).

Improved liquidity due to less capital tied up in current assets.

Faster reaction to market changes, as no obsolete inventory has to be “reduced”.

Disadvantages:

Close coordination with suppliers and often the development of digitally supported logistics processes required

Higher risk of delivery delays or transportation problems (e.g. strikes, natural disasters).

Krisenmanagement
Sanierung im Rahmen des Insolvenzverfahrens

Unterschied zwischen gesetzlicher Regelabwicklung und dem Erhalt des Unternehmens im Insolvenzverfahren:
Die Insolvenzordnung erlaubt zwei Wege: Die gesetzliche Regelabwicklung (Liquidation) bedeutet die Auflösung des Unternehmens. Alternativ kann ein Insolvenzplan erstellt werden, um das Unternehmen zu erhalten und zu sanieren. Hierbei wird versucht, eine bessere Lösung für Gläubiger und das Unternehmen zu finden als bei der zügigen gesetlichen Regelabwicklung.

Difference between statutory liquidation and maintaining the company in insolvency proceedings:

The Insolvency Code allows two options: statutory liquidation means the dissolution of the company. Alternatively, an insolvency plan can be drawn up to preserve and restructure the company. Here, an attempt is made to find a better solution for creditors and the company than in the case of rapid liquidation.

---

Unterschied zwischen Schuldnerplan und Insolvenzverwalterplan:
Der Unterschied liegt im Zeitpunkt und in der Verantwortung für die Erstellung. Ein Schuldnerplan (auch „prepackaged plan“) wird bereits vor Eröffnung des Insolvenzverfahrens erstellt, zumeist durch das Unternehmen selbst. Der Insolvenzverwalterplan entsteht hingegen erst nach Verfahrenseröffnung und wird durch den Insolvenzverwalter ausgearbeitet.

Difference between debtor plan and insolvency administrator plan:

The difference lies in the timing and the responsibility for drawing it up. A debtor plan (also known as a “prepackaged plan”) is drawn up before insolvency proceedings are opened, usually by the company itself. The insolvency administrator plan, on the other hand, is only drawn up after the opening of proceedings and is prepared by the insolvency administrator.

---

Wesentliche Inhalte eines Insolvenzplans:
Der Plan besteht aus zwei Teilen:

Darstellender Teil: Ziele, Enthält Angaben zu den grundsätzlichen Zielen, Regelungsstruktur, Gruppenbildung und Auswirkungen für Gläubiger.

Gestaltender Teil: Hier wird verbindlich festgelegt, wie sich die Rechte der Gläubiger ändern sollen. Die Gläubiger werden in Gruppen eingeteilt, um unterschiedliche Interessen zu berücksichtigen. Auch dingliche Regelungen können aufgenommen werden, z.B. wenn Immobilien betroffen sind.

Essential contents of an insolvency plan:

The plan consists of two parts:

Descriptive part: objectives, contains information on the basic objectives, regulatory structure, group formation and effects for creditors.

Formative part: This is where the binding changes to the rights of creditors are defined. The creditors are divided into groups in order to take different interests into account. Provisions in rem can also be included, e.g. if real estate is affected.

---

---

Das Leitbild des sanierten Unternehmens
Das Leitbild beschreibt nicht den Ist-Zustand, sondern das Zielbild eines Unternehmens nach erfolgreicher Sanierung. Es geht um ein Unternehmen, das wirtschaftlich stabil ist, eine nachhaltige, branchenübliche Rendite erwirtschaftet und attraktiv für Investoren ist.
Zur Entwicklung eines zukunftsfähigen Geschäftsmodells sind Daten wie Geschäftsfelder, Umsatz- und Kostenstrukturen, Wettbewerbsposition entscheidend.
.

The mission statement of the restructured company

The mission statement does not describe the current state, but the target image of a company after successful restructuring. It is about a company that is economically stable, generates a sustainable, industry-standard return and is attractive to investors.
Data such as business areas, sales and cost structures and competitive position are crucial for the development of a sustainable business model.

IGNORE:

Bedeutung einer integrierten Planung für eine erfolgreiche Sanierung

• Das Sanierungskonzept enthält in zusammengefasster Form eine zahlenmäßige Planung des Sanierungsablaufs.

• Der Überblick über die Problem- und Verlustbereiche des Unternehmens umfasst die Ergebnisse der kritischen Bereiche, z.B. gegliedert nach Geschäftsfeldern, Produktbereichen, Produktionsstandorten, Absatzgebieten etc.

• Maßnahmen werden anhand der Auswirkung auf die künftige Ergebnis-, Finanz- und Vermögens-entwicklung des Unternehmens konkretisiert.

Das übliche Vorgehen ist die Erstellung von Szenarien – ein wahrscheinlichster Fall („real case“) sowie Alternativszenarien („worst case“, „best case“ etc.).

The importance of integrated planning for successful restructuring

• The restructuring concept contains a summarized numerical plan of the restructuring process.

• The overview of the company's problem and loss areas includes the results of the critical areas, e.g. broken down by business areas, product areas, production locations, sales areas, etc.

• Measures are specified on the basis of their impact on the company's future earnings, financial and asset development.

• The usual procedure is to create scenarios - a most probable case (“real case”) and alternative scenarios (“worst case”, “best case”, etc.).

wesentliche Inhalte eines schriftlichen Sanierungsberichts
In diesen Bericht sind wesentliche Feststellungen, erreichte Zwischenergebnisse, Schlussfolgerungen und eine Einschätzung der Sanierungsfähigkeit des Unternehmens als Fazit aufzunehmen. Um Missverständnisse auszuschließen, empfiehlt es sich auch, auf Schätzungen bzw. Erfahrungswerte als Grundlage von zukunftsgerichteten Finanzinformationen einzugehen.

Key contents of a written restructuring report
This report should include key findings, interim results achieved, conclusions and an assessment of the company's ability to restructure as a conclusion. In order to avoid misunderstandings, it is also advisable to refer to estimates or empirical values as the basis for forward-looking financial information.

Grundstruktur eines Sanierungskonzepts nach IDW S6:
Ein vollständiges Sanierungskonzept umfasst:

1. Auftragsgegenstand und -umfang

2. Basisinformationen über die wirtschaftliche und rechtliche Ausgangslage

3. Analyse des Krisenstadiums und Ursachen, liegt Insolvenzgrund vor?

4. Leitbild des sanierten Unternehmens darstellen

5. Maßnahmen zur Krisenbewältigung und Abwendung der Inslvenzgefahr

6. Integrierte Unternehmensplanung

7. Einschätzung der Sanierungsfähigkeit

   Wichtig ist, dass alle Bestandteile zusammenhängend betrachtet werden – Stimmigkeit ist entscheidend.

Basic structure of a restructuring concept according to IDW S6:

1. A complete restructuring concept includes

2. Object and scope of the assignment

3. Initial situation (economic, legal)

4. Analysis of the crisis stage and causes

5. Mission statement of the restructured company

6. Measures to overcome the crisis

7. Integrated corporate planning

8. Assessment of the ability to restructure

It is important that all components are considered together - coherence is crucial.

Bowtie-Modell

Das Modell ist so aufgebaut, dass das zentrale Risikoereignis in der Mitte der Darstellung platziert wird. Auf der linken Seite werden die potenziellen Ursachen dieses Ereignisses sowie entsprechende Präventionsmaßnahmen aufgeführt, während auf der rechten Seite die möglichen Konsequenzen und Maßnahmen zur Schadensbegrenzung zu finden sind. Diese Struktur erinnert an eine Fliege („Bowtie“), was dem Modell seinen Namen verleiht.

Ein einfaches Beispiel zur Veranschaulichung ist das Risiko, durch einen abgerissenen Schnürsenkel zu stolpern. Das zentrale Risikoereignis ist hier das Stolpern („trip and fall“). Dieses wird ausgelöst durch einen gerissenen Schnürsenkel, der dazu führt, dass der Schuh nicht mehr richtig sitzt. Als präventive Maßnahme kann man den defekten Schnürsenkel rechtzeitig austauschen, um das Risiko zu vermeiden. Sollte das Risiko dennoch eintreten, könnte eine mögliche Konsequenz ein verstauchtes Handgelenk sein. In diesem Fall wären Maßnahmen zur Schadensminderung wie das Tragen von Bandagen oder das Trainieren von Sturztechniken sinnvoll.

Möchte man diese Herangehensweise in eine Risikomatrix mit den Dimensionen Eintrittswahrscheinlichkeit und Konsequenzen übertragen, so wird man tendenziell bei wahrscheinlichen Risikoereignissen Präventionsmaßnahmen favorisieren, während bei größeren Konsequenzen der Umgang mit dem eingetretenen Risikoereignis im Fokus steht.

Für Risiken, die eine hohe Wahrscheinlichkeit und große Konsequenzen etablieren, sollten beide Enden des Bowtie-Modells in Maßnahmen überführt werden, d.h. man etabliert sowohl präventive Maßnahmen als auch solche, die Auswirkungen begrenzen.

The model is structured in such a way that the central risk event is placed in the middle of the diagram. The potential causes of this event and corresponding preventive measures are listed on the left-hand side, while the possible consequences and mitigation measures are shown on the right-hand side. This structure is reminiscent of a bowtie, which gives the model its name.

A simple example to illustrate this is the risk of tripping over a broken shoelace. The central risk event here is the trip and fall. This is triggered by a broken shoelace, which means that the shoe no longer fits properly. As a preventative measure, the defective shoelace can be replaced in good time to avoid the risk. Should the risk nevertheless occur, a possible consequence could be a sprained wrist. In this case, damage reduction measures such as wearing supports or practicing fall techniques would be useful.

If you want to transfer this approach to a risk matrix with the dimensions of probability of occurrence and consequences, prevention measures will tend to be favored for probable risk events, while the focus for major consequences will be on dealing with the risk event that has occurred.

For risks that establish a high probability and major consequences, both ends of the Bowtie model should be translated into measures, i.e. both preventive measures and measures that limit the impact are established.