| Vorwort zur 3. Auflage | 5 |
| Literaturverzeichnis | 13 |
| Einleitung | 18 |
| Teil 1 – Grundlagen | 22 |
| 1. Impuls – Tendenzen des Risikomanagements in der Unternehmenspraxis | 22 |
| 1.1. Typische Entwicklungspfade des Risikomanagements in Unternehmen | 22 |
| 1.2. Entwicklung integrierter Governance-, Risk- und Compliancesysteme (GRC) | 24 |
| 2. Grundlegende Begriffe | 26 |
| 2.1. Risikobegriff | 26 |
| 2.2. Risikomanagement | 28 |
| 2.3. Management von Einzelrisiken | 30 |
| 2.4. Unternehmensweites Risikomanagement | 31 |
| 3. Zusammenfassung und Implikationen für Teil 2 dieses Buchs | 32 |
| Teil 2 – Auslöser für den Bedarf nach einem strukturierten Risikomanagement | 33 |
| 1. Diskontinuitäten und Turbulenzen im Unternehmensumfeld als primärer Treiber des Risikomanagements | 33 |
| 2. Institutionelle Rahmenbedingungen als sekundärer Treiber des Risikomanagements | 36 |
| 2.1. Systematisierung der Rahmenbedingungen | 36 |
| 2.2. Verbindliche Rechtsnormen | 36 |
| 2.2.1. Rechtsnormen in Deutschland – das KonTraG Überblick | 36 |
| 2.2.2. Rechtsnormen in Österreich | 39 |
| 2.2.3. Internationale und branchenbezogene Rechtsnormen | 41 |
| 2.3. Freiwillige Selbstverpflichtung und Standards | 43 |
| 2.3.1. Corporate Governance Kodex | 43 |
| 2.3.1.1. Deutscher Corporate Governance Kodex | 43 |
| 2.3.1.2. Österreichischer Corporate Governance Kodex | 44 |
| 2.3.1.3. Public Corporate Governance Kodex | 46 |
| 2.3.2. COSO-II (COSO-ERM) | 48 |
| 2.3.2.1. Enterprise Risk Management – Integrated Framework (2004) | 48 |
| 2.3.2.2. Enterprise Risk Management – Integrating with Strategy and Performance (2017) | 50 |
| 2.3.3. ONR 49000 Risikomanagement für Organisationen und Systeme | 52 |
| 2.3.4. ISO-Standard 31000:2018 „Guidelines on Principles and Implementation of Risk Management“ | 57 |
| 2.4. Auswirkungen der Normen und Verpflichtungen auf das Risikomanagement | 59 |
| 3. Lücken in bestehenden Risikomanagementsystemen als Treiber eines unternehmensweiten Risikomanagements | 61 |
| 4. Zusammenfassung und Implikationen für Teil 3 dieses Buchs | 64 |
| Teil 3 – Risikomanagement im Unternehmen | 65 |
| 1. Risikomanagement im Führungssystem des Unternehmens | 65 |
| 1.1. Risikomanagement im Zielsystem des Unternehmens | 65 |
| 1.1.1. Unternehmensführung im Wandel | 65 |
| 1.1.2. Nachhaltiger Erfolg als Ziel der Unternehmensführung | 66 |
| 1.1.3. Ziele des Risikomanagements im Rahmen einer nachhaltig erfolgreichen Unternehmensführung | 67 |
| 1.2. Das Führungssystem des Unternehmens und seine Bezugspunkte zum Risikomanagement | 68 |
| 1.2.1. Bausteine des Führungssystems | 68 |
| 1.2.1.1. Außeneinflüsse auf das Führungssystem | 69 |
| 1.2.1.2. Ziele | 69 |
| 1.2.1.3. Inhaltliche Elemente des Führungssystems | 70 |
| 1.2.1.4. Methodik der Steuerung | 71 |
| 1.2.2. Bezugspunkte zum Risikomanagement | 72 |
| 2. Aufbau und Gestaltung des Risikomanagements | 74 |
| 2.1. Risikomanagement-Prozess im Überblick | 74 |
| 2.2. Risikoidentifikation | 75 |
| 2.2.1. Grundlagen der Risikoidentifikation | 75 |
| 2.2.1.1. Ziele und Grundsätze der Risikoidentifikation | 75 |
| 2.2.1.2. Periodizität und Betrachtungszeitraum | 76 |
| 2.2.1.3. Vorgehensweise im Identifikationsprozess | 77 |
| 2.2.1.4. Elemente der Risikoidentifikation | 80 |
| 2.2.2. Methoden und Instrumente der Risikoidentifikation | 80 |
| 2.2.2.1. Risikoklassifikation als Ausgangspunkt und Hilfsmittel der Risikoidentifikation | 81 |
| 2.2.2.2. Standardisierte Befragungen | 84 |
| 2.2.2.2.1. Checklisten | 84 |
| 2.2.2.2.2. Risk Assessment Sheets | 86 |
| 2.2.2.3. Risikoworkshops | 88 |
| 2.2.2.4. Pre-Mortem-Analyse | 91 |
| 2.2.2.5. Einzelschadensanalysen | 91 |
| 2.2.2.6. Ausfalleffektanalysen | 91 |
| 2.2.2.7. Fehlerbaumanalysen | 92 |
| 2.2.2.8. Bow-Tie-Analyse | 92 |
| 2.2.2.9. Frühwarnsysteme („Radar“) | 92 |
| 2.2.3. Behandlung von Risiken mit spezifischen Anforderungen an den Risikoidentifikations-Prozess | 93 |
| 2.2.3.1. Ansatzpunkte der Identifikation strategischer Risiken | 93 |
| 2.2.3.2. Desasterfälle (High impact-low probability risks) | 94 |
| 2.2.3.3. Bereichsübergreifende Risiken | 95 |
| 2.2.4. Dokumentation der Ergebnisse der Risikoidentifikation | 95 |
| 2.3. Risikobewertung und -aggregation | 97 |
| 2.3.1. Grundlagen der Risikobewertung | 97 |
| 2.3.2. Methoden der Risikobewertung | 98 |
| 2.3.2.1. Qualitative Risikobewertung | 98 |
| 2.3.2.2. Quantitative Risikobewertung mittels Schadenserwartungswerten | 99 |
| 2.3.2.3. Visualisierung der Risikobewertung mittels Risk Map | 101 |
| 2.3.2.4. Ermittlung von Wahrscheinlichkeitsverteilungen im Rahmen der Chancen- und Risikobewertung | 102 |
| 2.3.3. Methoden der Risikoanalyse | 103 |
| 2.3.3.1. Sensitivitätsanalysen | 103 |
| 2.3.3.2. Value at Risk (VaR) | 104 |
| 2.3.3.3. Scoring-Modelle | 130 |
| 2.3.3.4. Korrekturverfahren mittels Risikozuschlägen | 131 |
| 2.3.3.5. ABC-Analysen | 132 |
| 2.3.3.6. Graphentheoretisch-analytische Methoden | 132 |
| 2.3.3.7. Regressions- und Korrelationsanalyse | 133 |
| 2.3.3.8. Szenarioanalysen | 135 |
| 2.3.4. Risikoaggregation | 137 |
| 2.3.4.1. Grundlagen der Risikoaggregation | 137 |
| 2.3.4.2. Monte-Carlo-Simulation als Methode zur Risikoaggregation | 138 |
| 2.3.4.3. Risikoaggregation in der Praxis – Herausforderungen und Lösungsansätze | 142 |
| 2.3.5. Behandlung von Desasterfällen | 143 |
| 2.4. Risikosteuerung und -überwachung | 144 |
| 2.4.1. Ziele und Vorgehensweise | 144 |
| 2.4.2. Risikostrategie und -appetit | 144 |
| 2.4.3. Risikosteuerungsmaßnahmen | 145 |
| 2.4.4. Risikolimitierung | 148 |
| 2.4.5. Risikoüberwachung | 151 |
| 2.4.5.1. Frühwarnindikatoren (Key Risk Indikators) | 151 |
| 2.4.5.2. Rückkopplung zum Risikomanagement-Prozess | 153 |
| 2.5. Risikoreporting | 153 |
| 2.5.1. Ziele und Vorgehensweise | 153 |
| 2.5.2. Adressaten der Risikoberichterstattung | 153 |
| 2.5.2.1. Interne Adressaten | 153 |
| 2.5.2.2. Externe Adressaten | 155 |
| 2.5.3. Interne Berichterstattung | 155 |
| 2.5.3.1. Risikoregister als Grundlage der Risikoberichterstattung | 155 |
| 2.5.3.2. Auswahl der Berichtsobjekte und Berichtssubjekte | 156 |
| 2.5.3.3. Inhalt und Detaillierungsgrad der Berichte | 158 |
| 2.5.3.4. Periodizität der Risikoberichterstattung | 159 |
| 2.5.3.5. Ad-hoc-Berichterstattung | 160 |
| 2.5.3.6. Beispiele für internes Risikoberichtswesen | 160 |
| 2.5.3.7. Best Practice für ein entscheidungsorientiertes Risikoreporting | 163 |
| 2.5.4. Externe Berichterstattung | 166 |
| 2.5.4.1. Medien der externen Risikoberichterstattung | 166 |
| 2.5.4.2. Formale Gestaltung der Risikoberichterstattung – Deutscher Rechnungslegungs-Standard Nr. 20 (DRS 20) als Orientierungsgrundlage | 167 |
| 2.6. Risikomanagement-Prozess in projektorientierten Unternehmen | 172 |
| 2.7. IT-Unterstützung im Risikomanagement-Prozess | 174 |
| 3. Strategie und Risikomanagement | 178 |
| 3.1. Zielsetzung und Stoßrichtungen des Managements strategischer Risiken und Chancen | 178 |
| 3.2. Typologie und ausgewählte Besonderheiten strategischer und struktureller Risiken | 181 |
| 3.3. Risikomanagement in strategischen Analyse-, Planungs– und Umsetzungsprozessen | 184 |
| 3.3.1. Überblick | 184 |
| 3.3.2. Risikomanagement und strategische Zielbildung | 185 |
| 3.3.3. Risikomanagement in der Strategiefindung | 187 |
| 3.3.4. Risikomanagement in der Strategieumsetzung | 192 |
| 3.3.5. Sensitivitätsanalysen in der strategischen Risikobewertung und -steuerung | 195 |
| 3.4. Die Rolle des Ratings in der strategischen und finanziellen Steuerung des Unternehmens | 196 |
| 3.5. Die Verschränkung von Risikomanagement mit der strategischen und finanziellen Steuerung | 198 |
| 3.5.1. Grundlegende Überlegungen | 198 |
| 3.5.2. Die Grundstruktur der Vernetzung von strategischer Risikoevaluierung, Rating und finanziellem Zielsystem | 200 |
| 3.5.3. Wichtige Zusammenhänge zum wertorientierten Steuerungsansatz | 204 |
| 3.5.4. Strategisches Risikomanagement und derivativer Markt – ein Spannungsfeld | 205 |
| 3.5.5. Nutzen des integrierten strategie- und finanzorientierten Risikomanagements | 206 |
| 4. Chancen- und Risikomanagement und Controlling | 208 |
| 4.1. Berücksichtigung von Chancen und Risiken im Controlling – traditionelle Vorgehensweise | 209 |
| 4.2. Chancen- und risikoorientiertes Controlling | 211 |
| 4.2.1. Bewusste Gestaltung von Ergebnisvolatilitäten (Festlegung des „Risikoappetits“) | 211 |
| 4.2.2. Verbesserung der Aussagekraft der Planung durch Integration von Risikomanagement in strategische Planung, Budgetierung und Forecasting im Sinne einer stochastischen Planung | 215 |
| 4.2.3. Erweiterung des Maßnahmencontrollings um Aspekte der Chancen- und Risikosteuerung | 222 |
| 4.2.4. Aufbau eines entscheidungsorientierten Chancen- und Risikoreportings | 224 |
| 4.2.5. Chancen- und Risikomanagement-Kalender als integratives Element | 227 |
| 4.3. Anwendungsmöglichkeiten eines chancen- und risikoorientierten Controllings | 228 |
| 5. Aufbauorganisatorische Verankerung des Risikomanagements | 230 |
| 5.1. Einflussfaktoren auf die Wahl der Organisationsform | 230 |
| 5.2. Mögliche Organisationsformen des Risikomanagements | 231 |
| 5.2.1. Abgrenzung zu anderen verwandten Funktionen | 231 |
| 5.2.2.1. Risikomanagement als eigene Stabsstelle | 232 |
| 5.2.2.2. Integration des Risikomanagements in Rechnungswesen, Finanzierung oder andere Linienfunktionen | 233 |
| 5.2.2.3. Integration in das Controlling | 234 |
| 5.2.2.4. Integration in Qualitätsmanagement, Revision oder andere Stabsstellen | 234 |
| 5.2.2.5. Zusammenfassende Bewertung der allgemeinen aufbau organisatorischen Optionen | 235 |
| 5.2.3. Anbindung dezentraler Funktionen im Risikomanagement | 235 |
| 5.2.3.1. Verstärkung der zentralen Risikomanagementorganisation | 236 |
| 5.2.3.2. Aufbau einer dezentralen Risikomanagementorganisation über das Dotted-Line-Prinzip | 237 |
| 5.2.3.3. Zusammenfassende Bewertung der Unterstützung dezentraler Aspekte im Risikomanagement | 238 |
| 5.3. Aufgaben und Kompetenzen des Risikomanagers | 238 |
| 5.4. Einführung von Chancen- und Risikomanagement als Projekt | 244 |
| 6. Ausbaustufen des Risikomanagements | 248 |
| 6.1. Unternehmenskomplexität und adäquate Ausgestaltung des Risikomanagements | 248 |
| 6.2. Risikokategorien, Methoden und Rollenbilder im Risikomanagement | 252 |
| 7. Risikomanagement und Unternehmenskultur | 256 |
| 7.1. Risikokultur als Teil der Unternehmenskultur | 256 |
| 7.2. Ganzheitliches Verständnis des Risikomanagements | 257 |
| 7.3. Verantwortung des Managements für die Risikokultur | 257 |
| 7.4. Mitarbeiter als Risikomanager | 259 |
| 7.5. Risikopolitische Grundsätze als Teil der Führungsgrundsätze des Unternehmens | 260 |
| 8. Zusammenfassung und Ausblick | 262 |
| Anhang – Überblick über Risikomanagement-Softwarelösungen | 265 |
| Stichwortverzeichnis | 282 |
