Die auch vom Institut der Wirtschaftsprüfer (IDW) im Prüfungsstandard 340 (IDW PS 340: Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB) geforderte unabhängige Überwachung des Risikomanagements wird in der Unternehmenspraxis oft von der internen Revision wahrgenommen, sodass das Deutsche Institut für Interne Revision e.V. (DIIR) für die Prüfung von Risikomanagement-Systemen im Jahr 2014 den DIIR-Revisionsstandard Nr. 2 erstellt hat.
Der Standard betont zunächst, dass gerade die Prüfung des Risikomanagement-Systems eine besondere Bedeutung hat. Und stellt klar, dass – im Sinne des Three-Line-of-Defense-Modells – grundsätzlich die Interne Revision (als Third Line) auch sämtliche Prozesse der "Second Line" (wie Controlling, Revision und eben Risikomanagement) zu prüfen habe. Der Revisionsstandard des DIIR orientiert sich dabei an Risikomanagement-Standards, wie dem internationalen Standard ISO 31000 und dem US-Standard COSO ERM sowie, wenn auch nicht ausdrücklich erwähnt, recht eng am IDW Prüfungsstandard 340. Auch auf den neueren deutschen Rechnungslegungsstandard DRS 20 zum Konzernlagebericht, mit seiner Regelungsberichterstattung, wird ausdrücklich verwiesen. Es wird zudem klargestellt, dass die Revisionsrichtlinie neben privatwirtschaftlichen Unternehmen sich auch bezieht auf die öffentlichen Bereiche, da auch diese gemäß §53 des Haushaltsgrundsätze-Gesetzes zu einem Risikomanagement verpflichtet seien.
Wenig Neues im Revisionsstandard Nr. 2
Inhaltlich bietet der DIIR Revisionsstandard Nr. 2, vergleicht man ihn mit dem IDW Prüfungsstandard 340 der Wirtschaftsprüfungsgesellschaft oder jüngeren Risikomanagement-Standards, wenig Neues. Ganz pauschal wird ausgeführt, dass alle Aspekte des Risikomanagement-Systems eben auch Gegenstand einer Prüfung durch die Interne Revision sein sollten. Entsprechend werden Aufbauprüfung und Funktionsprüfung angesprochen. Die Prüfung erfasst konkret die Risikomanagement-Organisation (einschließlich der Dokumentation in Form beispielsweise eines Risikomanagement-Handbuchs), die Risikostrategie, Risikoidentifikation und -erfassung, Risikoanalyse und -bewertung sowie Risikosteuerung und -überwachung und auch Risikoberichterstattung und -kommunikation. Im Standard findet man im Wesentlichen nur kurze Erläuterungen, was diese Themenfelder inhaltlich umfasst, und den Hinweis, dass eben all dies zu prüfen ist – aber keinen konkreten Prüfplan (was ausdrücklich auch nicht beabsichtigt ist, wie man bereits in der Präambel liest). Entsprechend liest man hauptsächlich, was zu prüfen ist und nicht etwa wie.
Revisionsstandard bleibt weitgehend in einer veralteten Sichtweise gefangen
Wenn damit der DIIR-Revisionsstandard Nr. 2 im Wesentlichen beschreibt, was alles ein Risikomanagement-System an Elementen umfassen sollte, gibt es doch an einigen Stellen Aspekte, die besonders hervorgehoben werden sollten:
- Sehr positiv herauszustellen ist die klare Betonung der Bedeutung einer Risikostrategie (Risikopolitik). Ganz auf Linie der Literatur [vgl. Gleißner 2000 und 2011, Romeike/Hager 2013, Korte/Romeike 2011, S. 51 und S. 133] muss sich auch die Interne Revision mit der Konsistenz der Risikostrategie (in Relation zur Gesamtstrategie) befassen, Risikotoleranzen und Limitsystem betrachten und auch die "Darlegung des Risikotragfähigkeitskonzepts prüfen, welches darstellt, welche Ressourcen beziehungsweise Haftungsmassen das Eingehen der tolerierten Risiken absichern" [DIIR 2014, S. 10]. Gerade dieser Aspekt ist besonders wichtig – und innerhalb der Unternehmen oft nicht adäquat umgesetzt. Besonders an diesem Punkt wird die zentrale Idee eines Risikomanagements deutlich, demzufolge transparent zu zeigen ist, inwieweit der aggregierte Gesamtrisikoumfang durch das vorhandene Risikodeckungspotenzial abgesichert wird. Wünschenswert wäre hier zumindest ein Hinweis, dass auf die notwendige Verknüpfung mit dem Rating zu achten ist. Die (verfügbare) Risikotragfähigkeit kann nämlich gerade als der maximale Verlust interpretiert werden, den das Unternehmen verkraften kann, ohne ein notwendiges (für die Finanzierungssicherung erforderliches) Mindestrating nicht zu verletzen. Bestandsbedrohende Krisen oder Insolvenzen von Unternehmen sind fast immer dann gegeben, wenn durch das Wirksamwerden eines oder mehrerer Risiken ein Mindestrating nicht mehr erreicht wird (Ratingnote B), das eine Finanzierung sicherstellt.
- Bedauerlich ist, dass der Risikobegriff noch immer weitgehend verengt wird auf die Gefahr, also eine mögliche negative Zielabweichung. So liest man im Standard [vgl. DIIR 2014, S. 6]: "Der Begriff Risiko beschreibt die Möglichkeit des Eintretens von Ereignissen oder Entwicklungen, die sich auf das Erreichen von Zielen negativ auswirken."
Die betriebswirtschaftliche Denkweise in Chancen und Gefahren (Risiken), also möglichen positiven und negativen Planabweichungen, fehlt. Es wäre wünschenswert, den Revisionsstandard an einem modernen Chancen- und Gefahren-Managementsystem oder Chancen- und Risikomanagement-System auszurichten. Hier würde auch ein Blick über den eigenen nationalen Tellerrand helfen. So wird im angloamerikanischen Raum regelmäßig von Downside-Risk (Gefahren) und Upside-Risk (Chancen) gesprochen oder auch von "Opportunity and Risk Management". Bereits die ethymologischen Wurzeln des Risikobegriffs [vgl. Romeike/Hager 2013, S. 2] betonen neben einer negativen auch eine positive Komponente. So enthält beispielsweise das chinesische Schriftzeichen für Risiko "Wei-ji" die beiden Zeichenbestandteile für Chance und Gefahr, womit auch die positive Abweichung eines erwarteten Zielzustands unter den Risikobegriff fällt. Analog bezeichnet auch der entscheidungstheoretische Risikobegriff durch das Konstrukt der Standardabweichung die positiven wie auch negativen Zielabweichungen von einem Erwartungswert. Dieser entscheidungsorientierte Risikobegriff berücksichtigt zudem, dass alle menschlichen Tätigkeiten auf Entscheidungen beruhen, die oft unter unvollkommener Information (= Ungewissheit oder Unsicherheit im engeren Sinne) über die Auswirkungen in der Zukunft getroffen werden, womit Informationsdefizite das Risiko vergrößern und zu ungünstigen Abweichungen zwischen Plan und Realisierung führen können. Informationsdefizite sind ein Teilaspekt der Risikos und in der Quantifizierung zu berücksichtigen [vgl. Brückner/Gleißner 2013].
Implizit ist die Betrachtung beider Seiten der Risikomedaille (Chance und Gefahr) auch notwendig, um beispielsweise das angesprochene Risikotragfähigkeitskonzept in die Praxis umzusetzen. Wer nur Gefahren (Risiken im engeren Sinn) betrachtet, wird den aggregierten Gesamtrisikoumfang und damit die Bedrohungslage des Unternehmens überschätzen. Eine alleinige Ausrichtung des Risikomanagements auf die Möglichkeit von negativen Entwicklungen führt zu verzerrten Einschätzungen des Eigenkapitalbedarfs, des zukünftigen Ratings, und des Kapitalkostensatzes. Und beim Abwägen erwarteter Erträge und Risiken, bei der Vorbereitung unternehmerischer Entscheidungen folgt dann eine unangemessene, also "restriktive" Vorgehensweise, das heißt es werden sinnvolle Opportunitäten und interessante Handlungsoptionen (Investitionsmöglichkeiten) ignoriert.
Wenn der Gesetzgeber den Aspekt der Chancen in der Zwischenzeit im gesetzlichen Rahmenwerk verankert hat [vgl. Korte/Romeike 2011, S. 36 sowie Nguyen/Romeike 2013, S. 3], bleibt hier der Revisionsstandard in einer veralteten Sichtweise gefangen. Risiko wird nicht verstanden als die Möglichkeit einer Planabweichung. - Positiv ist, dass im Kontext Risikoidentifikation ausdrücklich darauf verwiesen wird, dass auch die strategischen Risiken – das heißt beispielsweise Bedrohung von Erfolgspotenzialen – durch das Risikomanagement betrachtet werden müssen – und diese Betrachtung durch die Interne Revision zu erfassen ist. Die Empirie zeigt, dass Unternehmen vor allem durch strategische Risiken in eine Schieflage geraten [vgl. Romeike/Hager 2013, S. 91 sowie Gleißner 2008, S. 35 f.]. Damit wird auch richtigerweise klargestellt, dass sich das Risikomanagement auch mit den originären risikohaltigen Aufgaben der Unternehmensführung/des Vorstands befassen muss: Veränderungen der Strategie, Bedrohung von Erfolgspotenzialen und auch Veränderungen des zukünftigen Risikoumfangs durch Top-Management-Entscheidungen.
- Im Kontext Risikoanalyse und -bewertung wird die Bedeutung einer quantitativen Beurteilung von Risiken im Hinblick auf ihr "Schadenspotenzial" und die Eintrittswahrscheinlichkeit betont. Dennoch bleibt der Revisionsstandard 2 hier (ähnlich wie auch DRS 20) hinter den ökonomisch sinnvollen Anforderungen des IDW Prüfungsstandards 340 zurück – und ist letztlich in sich inkonsistent. Dies resultiert daher, dass auch auf die Möglichkeit von qualitativen Risikoeinschätzungen (beispielsweise durch Expertenschätzung) hingewiesen wird und quantitative Messverfahren beispielsweise mit einer stochastischen Szenarioanalyse (stochastische Simulation) verknüpft werden. Diese Erläuterungen sind in jeder Hinsicht unpräzise, inkonsistent und problematisch.
Zunächst einmal ist hier wieder von einem "Schadenspotenzial" die Rede, wenngleich eigentlich Chancen und Gefahren betrachtet werden sollten. Außerdem wäre es hilfreich klarzustellen, dass ein "Schadenspotenzial" natürlich nicht unbedingt eine sichere Zahl ist, sondern unsicher ist. Es ist also durch eine Bandbreite bzw. Wahrscheinlichkeitsverteilung zu beschreiben, beispielsweise durch die Angabe von (a) Mindestwert, (b) wahrscheinlichsten Wert und (c) Maximalwert eines Schadens im Falle des Risikoeintritts. Ebenso irreführend ist, dass eine "qualitative" Risikoeinschätzung mit einer Expertenschätzung verbunden wird, während eine quantitative Messung eines Risikos verknüpft wird mit der Monte-Carlo-Simulation. Zunächst einmal sind nun selbstverständlich auch quantitative Expertenschätzungen möglich und auch subjektive Schätzungen bezüglich Schadenshöhen oder Eintrittswahrscheinlichkeit können und müssen im Rahmen des Risikomanagements behandelt werden [vgl. Gleißner 2011 sowie Sinn 1980]. Zudem ist die stochastische Simulation (zumindest in erster Linie) ein Verfahren für die Risikoaggregation. Die adäquate Technik für die Risikoquantifizierung ist die Zuordnung einer Wahrscheinlichkeitsverteilung oder im Mehrperiodenfall eines stochastischen Prozesses, beispielsweise gestützt auf statistische Analysen, Benchmarks oder eben auch transparente und nachvollziehbare Expertenschätzung.
Hier begibt sich der Revisionsstandard Nr. 2 in gute Gesellschaft, da auch andere Standards hier durch unscharfe bis fehlerhafte Aussagen auffallen. So sind basierend auf DRS 20 Risiken nur zu quantifizieren, wenn dies auch zur internen Steuerung erfolgt und die quantitativen Angaben für den verständigen Adressaten wesentlich sind. Hieraus haben in der Zwischenzeit einige Unternehmen abgeleitet, dass die Risiken nicht mehr quantifiziert werden, da diese nicht in der internen Steuerung berücksichtigt werden [vgl. DRSC 2012, Nr. 152]. Des Weiteren weist der DRS 20 darauf hin, dass die Risikoberichterstattung Angaben zu den einzelnen Risiken sowie eine zusammenfassende Darstellung der Risikolage umfasst [vgl. DRSC 2012, Nr. 135]. Hierbei wird allerdings nicht klargestellt, ob es sich bei der zusammenfassenden Darstellung um eine Risikoaggregation und -konsolidierung handelt.
Auch der österreichische Standard ONR 49000 ff. weist in einer tabellarischen Übersicht über Methoden im Risikomanagement [vgl. Austrian Standards Institute 2014, S. 19] darauf hin, dass die Monte-Carlo-Simulation zur Identifikation und Bewertung von Risiken geeignet ist. Hier zeigt sich einmal mehr, dass die Autoren der Standards über unzureichende Kompetenzen bei der Anwendung der Methoden verfügen. Sie hätten ansonsten verstanden, dass die stochastische Simulation (bzw. Monte-Carlo-Simulation) vor allem zur Aggregation von Risiken zum Einsatz kommt.
Besonders problematisch (und inkonsistent) im Revisionsstandard Nr. 2 ist, dass eine Quantifizierung von Risiken gewünscht, aber nicht konsequent gefordert wird – und damit auch im Rahmen der Prüfung durch die Interne Revision wohl auch nicht konsequent betrachtet wird. Beim geforderten (aussagefähigen) Risikotragfähigkeitskonzept ist es erforderlich, das Risikodeckungspotenzial (die Haftungsmasse beziehungsweise Liquiditätsreserve) gegen den aggregierten Gesamtrisikoumfang zu stellen, also Risiken zu aggregieren [vgl. DIIR 2014, S. 12]. Dort wird auf die "korrekte Durchführung der Aggregation von Risiken" verwiesen, die "ggf. die Ableitung eines Gesamtrisikos" ermöglichen. Unklar bleibt hier allerdings, was ein "gegebenenfalls" hier zu suchen hat, da die Bestimmung des Gesamtrisikoumfangs genau die Zielsetzung der Risikoaggregation ist und notwendig, um im Kontext des Risikotragfähigkeitskonzepts zu prüfen, ob beziehungsweise inwieweit eine Bestandsbedrohung existiert, also zum Beispiel wie hoch die Insolvenzwahrscheinlichkeit ist.
Die Bestimmung des aggregierten Gesamtrisikoumfangs erfordert eine quantitative Beschreibung der Risiken, da Risiken, die nicht quantifiziert werden, auch nicht aggregiert werden können. Sie werden entsprechend bei der Bestimmung des Eigenkapitals (relativ zu einem vorgegebenen Ziel-Rating) dann nicht berücksichtigt, was faktisch eine Quantifizierung mit Null (Null Eintrittswahrscheinlichkeit oder Null Schadenshöhe) darstellt. Will man wesentliche, letztlich in Zahlen ausgedrückte Ergebnisse der Risikoaggregation – wie Insolvenzwahrscheinlichkeit, Eigenkapitalbedarf, Kapitalkostensatz oder die Wahrscheinlichkeit, Covenants zu verletzen – bestimmen, ist die durchgängige Quantifizierung aller wesentlichen Risiken erforderlich, da diese eben gemeinsam die genannten Kennzahlen bestimmen. Und gerade die auch als Prüfungsgegenstand im Revisionsstandard angesprochene Aggregation von Risiken ist die Frage von zentraler Bedeutung, weil eher selten Einzelrisiken (mit wesentlicher Wahrscheinlichkeit) bestandsbedrohend sind, sondern typischerweise die Kombinationswirkung verschiedener Risiken. Nur durch eine Monte-Carlo-Simulation, also die Berechnung einer großen risikobedingten möglichen Anzahl von Zukunftsszenarien, können durch unterschiedliche Wahrscheinlichkeitsverteilungen beschriebene Risiken (im Kontext der Planung) aggregiert werden.
Es erschließt sich an dieser Stelle nicht, warum der Revisionsstandard hier hinter dem IDW Prüfungsstandard 340 zurückbleibt [vgl. Füser/Gleißner/Meier 1999 und Gleißner 2011], es sei denn, man vermutet, dass (beispielsweise aus fachlichen Defiziten) eine Prüfung von Risikoaggregationsmodellen oder zu erwartende Konflikte, wenn man auf das häufige Fehlen eines fundierten Risikoaggregationsmodells verweist, vermieden werden sollen. Die Quantifizierung der wesentlichen Risiken und deren Aggregation – ausgehend von transparenten Annahmen – ist durchgängig möglich, wenngleich Modelle immer nachvollziehbare Vereinfachungen enthalten. Das Vernachlässigen von Risikoaggregationsmodellen führt dazu, dass ein wesentlicher ökonomischer Mehrwert des Risikomanagements nicht erreicht wird. Argumente gegen Risikoaggregationsmodelle kann man durchgängig zurückführen auf methodische Defizite bei der Anwendung der hier nutzbaren Methoden [vgl. Meyer/Romeike/Spitzner 2012].
Auch hier begibt sich der Revisionsstandard Nr. 2 in gute Gesellschaft. DRS 20 beispielsweise vermeidet den Begriff Risikoaggregation komplett. Dies hat leider in der Praxis bereits dazu geführt, dass einige Unternehmen den Reifegrad im Risikomanagement reduziert haben und auf eine Aggregation und ein Gesamtbild der Risikolage komplett verzichten. - Es ist erfreulich, dass der Revisionsstandard – in Abschnitt 6.5 – außer der Risikoüberwachung auch die Risikosteuerung einbezieht. Hier geht er über die Anforderungen nach "Transparenz" des Risikomanagements hinaus. Es wird der Tatsache Rechnung getragen, dass ein ökonomischer Mehrwert des Risikomanagements erreicht wird, wenn Risikoinformationen im Kontext von Entscheidungen berücksichtigt werden (siehe oben) und adäquate Risikobewältigungsmaßnahmen im Rahmen der Risikosteuerung ergriffen werden. Es ist also naheliegend, dass auch die Risikosteuerung ein Thema für die Revision ist.
Etwas nebulös bleibt allerdings der Wunsch, relevanten Risiken Indikatoren und Grenzwerte zuzuordnen, mit denen sich Veränderungen des Risikos im Zeitablauf messen und beurteilen lassen. Diese Anforderung korrespondiert zwar mit ähnlichen Aussagen in anderen Standards, verkennt aber in vielen Fällen den Charakter eines Risikos. Es geht beim Risikomanagement nicht um ein Prognosesystem, das eine zu erwartende (oder wahrscheinliche) Entwicklung vorhersagt [vgl. zur Abgrenzung Gleißner/Füser 2000]. Das Risikomanagement befasst sich gerade mit den möglichen Planabweichungen, die nicht prognostiziert oder vorhergesagt werden können. Diese Indikatoren zu finden, ist schwierig. Man müsste beispielsweise einen Indikator angeben, der angibt, dass sich in der Zukunft die Wahrscheinlichkeit für das Eintreten eines Risikos erhöht. Wenn Informationen aktuell vorliegen, die für eine höhere Eintrittswahrscheinlichkeit eines Risikos sprechen, muss man "nur" die Eintrittswahrscheinlichkeit des Risikos bei der Risikoquantifizierung entsprechend erhöhen. - Es ist positiv hervorzuheben, dass auch der Revisionsstandard im Kontext von Risikoberichterstattung und Risikokommunikation auf die Bedeutung der Ad-hoc-Risikomeldungen im konkreten Bedarfsfall eingeht. Es ist sicherlich eine interessante Revisionsaufgabe zu untersuchen, ob derartige Ad-hoc-Meldungen tatsächlich auch vorkommen.
Insgesamt ist festzuhalten, dass der DIIR-Revisionsstandard Nr. 2 zur Prüfung von Risikomanagement-Systemen durch die Interne Revision wenig Neues bietet. Er ist kein konkreter Prüfplan, und entsprechend beschreibt er im Wesentlichen die Bausteine eines Risikomanagement-Systems, die potenzieller Prüfgegenstand sind – und wiederholt so Erläuterungen, die man beispielsweise auch im IDW Prüfungsstandard 340 findet. Im Grundsatz ist diese Erläuterung sachgerecht und man findet wenig Überraschendes, wenngleich einige Betonungen und Erinnerungen durchaus hilfreich sind.
Es verbleiben jedoch auch einige signifikante Schwachpunkte. So ist die Beschränkung der Prüfung auf Gefahren – mögliche negative Zielabweichungen – wenig sinnvoll, da eine ganzheitliche Betrachtung von Chancen und Gefahren (Risiken) und damit der Ursachen von Planabweichungen notwendig ist. Auch problematisch ist, dass man die Methoden der Quantifizierung und Aggregation von Risiken zwar in ihrer Bedeutung anerkennt, aber Formulierungen wählt, die es der internen Revision erlauben, auf eine klare Kritik zu verzichten, wenn wesentliche Risiken nicht quantifiziert oder zum Gesamtrisikoumfang aggregiert werden. Hier sollte jedoch die Interne Revision zwingend intervenieren. Da es im Allgemeinen gerade die Kombinationswirkungen mehrerer Risiken sind, die den Bestand eines Unternehmens bedrohen, ist eine Risikoaggregation mittels stochastischer Simulation erforderlich, um eine repräsentative große Auswahl risikobedingt möglicher Zukunftsszenarien zu betrachten. Einen alternativen methodischen Ansatz gibt es schlicht und einfach nicht. Der aggregierte Gesamtrisikoumfang, beispielsweise ausgedrückt im Eigenkapitalbedarf, der im Rahmen der angesprochenen Risikotragfähigkeitskonzepte zu betrachten ist, ist eine Zahl – ein Euro-Betrag – und abhängig von allen Risiken.
Fazit
Der Revisionsstandard stellt eine nützliche und generische Zusammenfassung von wesentlichen Elementen des Risikomanagements dar, bietet aber wenig Neues gegenüber bekannten Veröffentlichungen. Auch wenn viele der Erläuterungen sicherlich hilfreich sind, ist es kritisch, dass die Anforderungen gerade im Kontext der Quantifizierung und Aggregation von Risiken so schwach formuliert sind, dass möglicherweise beim Unternehmen nötige Verbesserungsanstöße, die auf eine wirklich fundierte Beurteilung einer Bestandsbedrohung eines Unternehmens zielen, unterbleiben könnten. Hier ist eine Nachbesserung dringend zu empfehlen.
In einem bereits im Juni 2010 veröffentlichten Grünbuch beschäftigt sich die EU-Kommission unter anderem sehr ausführlich mit Fragen zur Verbesserung des Risikomanagements und seiner Stellung im Unternehmen. Es wird bemängelt, dass elementare Risikokontroll- und -managementregeln vernachlässigt wurden. Insbesondere haben – im Kontext der jüngsten Finanzkrise – nach Ansicht der EU-Kommission die am Risikomanagement beteiligten Akteure ihre Risiken nicht richtig verstanden. Außerdem wird ein mangelnder oder unzureichend diversifizierter Sachverstand des Risikomanagements kritisiert. Es wird namentlich Aggregation und Konsolidierung der Einzelrisiken zum Gesamtrisiko als generell zu träge und methodisch/technisch unzureichend kritisiert. Letztendlich konstatiert das Grünbuch das Fehlen einer gesunden Risikomanagementkultur auf sämtlichen Ebenen.
Diese wertvollen und überaus sinnvollen Erkenntnisse aus schmerzhaften Erfahrungen der jüngsten Vergangenheit fließen leider nicht beziehungsweise nur unzureichend in den IIR Revisionsstandard Nr. 2 ein. Somit werden wohl auch bei den nächsten Krisen viele Revisoren fragen, ob nicht konsequenter auf mehr methodische Kompetenz hätte gedrängt werden müssen.
Quellenverweise sowie weiterführende Literaturhinweise
Austrian Standards Institute (Hrsg.) (2014): Normensammlung Risikomanagement, 2. aktualisierte Auflage, Wien 2014.
Brückner, R./Gleißner, W. (2013): Unbefriedigende Datenlage: Ein Argument für den Ausbau von Controlling- und Risikomanagement-Methoden, in: Controller Magazin, Heft 4/2013, S. 12-16.
Deutsche Rechnungslegungs Standards Committee (DRSC) (2012): Deutscher Rechnungslegungs Standard Nr. 20 (DRS 20).
Europäische Kommission (2010): Corporate Governance in Finanzinstituten und Vergütungspolitik (Grünbuch), KOM(2010) 284, 2. Juni 2010.
Füser, K./Gleißner, W./Meier, G. (1999): Risikomanagement (KonTraG) - Erfahrungen aus der Praxis, in: Der Betrieb, Heft 15/1999, S. 753-758.
Gleißner, W. (2000): Risikopolitik und Strategische Unternehmensführung, in: Der Betrieb, Heft 33/2000, S. 1625-1629.
Gleißner, W. (2008): Risikocontrolling und strategisches Risikomanagement. Warum Risikocontrolling wichtig ist, in: Controller Magazin, Ausgabe August 2008, S. 35-42.
Gleißner, W. (2011): Grundlagen des Risikomanagements im Unternehmen, 2. Auflage, Vahlen Verlag, München 2011.
Gleißner, W./Füser, K. (2000): Moderne Frühwarn- und Prognosesysteme für Unternehmensplanung und Risikomanagement, in: Der Betrieb, Heft 19/2000, S. 933-941.
Gleißner, W./Romeike, F. (2012): Gute Frage: Was sind die "Grundsätze ordnungsgemäßer Planung (GoP)"?, in: Risk, Compliance & Audit, Heft 1/2012, S. 14-16.
Korte, T./Romeike, F. (2011): MaRisk VA erfolgreich umsetzen – Praxisleitfaden für das Risikomanagement in Versicherungen, 2. Neu bearbeitete und erweiterte Auflage, Erich Schmidt Verlag, Berlin 2011.
Meyer, M./Romeike, F./Spitzner, J. (2012): Simulationen in der Unternehmenssteuerung – Studienergebnisse, RiskNET GmbH, Brannenburg/Wendelstein 2012.
Nguyen, T./Romeike, F. (2013): Versicherungswirtschaftslehre – Grundlagen für Studium und Praxis, Springer Verlag, Wiesbaden 2013.
Romeike, F./Hager, P. (2013): Erfolgsfaktor Risikomanagement 3.0: Lessons learned, Methoden, Checklisten und Implementierung, Springer Verlag, Wiesbaden 2013.
Romeike, F./Spitzner, J. (2013): Von Szenarioanalyse bis Wargaming – Betriebswirtschaftliche Simulationen im Praxiseinsatz, Wiley Verlag, Weinheim 2013.
Sinn, H.-W. (1980): Ökonomische Entscheidungen bei Unsicherheit, J. C. B. Mohr (Paul Siebeck), Tübingen 1980.
Autoren:
Prof. Dr. Werner Gleißner ist Vorstand der FutureValue Group AG sowie Honorarprofessor an der Universität Dresden.
Frank Romeike ist geschäftsführender Gesellschafter RiskNET GmbH – The Risk Management Network sowie verantwortlicher Chefredakteur RISIKO MANAGER.
[Quelle: Der Artikel ist erschienen in der Zeitschrift RISIKO MANAGER, Ausgabe 01/2015, Seite 31-34]