Die alljährliche Untersuchung von 200 Geschäftsberichten des Manager Magazins aus dem Jahres 2009 belegt, dass eine Schwachstelle der Risikobericht mit der Durchschnittsnote "befriedigend" ist. Somit erhalten die Stakeholder nicht die gewünschten und benötigten Informationen mit der Konsequenz, dass beispielsweise ein Kreditgeber Informationslücken mit einem Kreditaufschlag rechtfertigt oder ein mögliches Engagement bereits im Vorfeld ausschließt. Somit besteht für ein Unternehmen die Chance, sich durch einen aussagekräftigen Risikobericht zu differenzieren, das Vertrauen bei Finanzanalysten, Kreditgebern und Aktionären (wieder) herzustellen und eventuell weitere oder neue Finanzierungsquellen zu erschließen.
Schon vor mehr als 10 Jahren beschäftigte sich der Gesetzgeber unter anderem mit dem Thema "Verbesserung der Kommunikation zwischen Aktiengesellschaft und Aktionär". Das Ergebnis war das 1998 verabschiedete Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das Kapitalgesellschaften und denen gleichgestellte Unternehmen (Betroffen von der Pflicht zur Einführung eines Risikomanagementsystems sind in der Regel Organe von Unternehmen, die mindestens zwei der drei folgenden Größenkriterien erfüllen (siehe § 267 Abs. 1 HGB): (1) Bilanzsumme 4,84 Mio. €, (2) Umsatz > 9,68 Mio. €, Mitarbeiterzahl ≥ 50) verpflichtet, ein Risikomanagementsystem (Vgl. § 91 Abs. 2 AktG, Pflichten des Vorstands) einzuführen sowie einen Risikobericht zu veröffentlichen, der die Risikolage des Unternehmens vermittelt (Vgl. § 289 Abs. 1 HGB Lagebericht und den Deutschen Rechnungslegungsstandard (DRS)). Die Anforderungen des KonTraG an das Risikomanagementsystem werden durch den Prüfungsstandard 340 (PS 340) des Instituts der Wirtschaftsprüfer präzisiert. So sind beispielsweise Angaben zur Tragweite der analysierten Risiken in Bezug auf ihre Eintrittswahrscheinlichkeit und deren quantitative Auswirkungen vorzunehmen. Hierzu gehört auch die Einschätzung, ob Einzelrisiken, die isoliert betrachtet zwar von nachrangiger Bedeutung sind, sich in ihrem Zusammenwirken jedoch zu einer Bestandsgefährdung aggregieren können.
Durch diese Gesetze, Normen und Standards sind Mindestvorgaben für den Risikobericht definiert und es entstehen "standardisierte" Risikoberichte, die auf der einen Seite die gesetzlichen Anforderungen erfüllen aber für den Stakeholder keinen nennenswerten Mehrwert besitzen. Des Weiteren haben diese "standardisierten" Risikoberichte mehrere Schwächen, welche bereits in diversen Untersuchungen analysiert wurden (hier sei beispielsweise auf eine empirische Studie der Risikosituation aus Sicht der Geschäftsberichterstattung verwiesen, Berger, T./Gleißner, W.: Risikosituation und Stand des Risikomanagements aus Sicht der Geschäftsberichterstattung, in: ZCG – Zeitschrift für Corporate Governance, April 2007, S. 62-68).
Die wesentlichen Mängel sollen nun im Folgenden kurz erläutert werden.
Vollständige Risikoberichterstattung
Es ist nicht ausreichend, lediglich die in der Vergangenheit eingetretenen Risiken zu betrachten; vielmehr müssen Risiken ganzheitlich gesehen und ihre zukünftige Wirkung beurteilt werden. Somit muss zwangsläufig die Risikoberichterstattung auf der unternehmensindividuellen Planung aufbauen und es ist über sämtliche Risiken zu berichten, welche eine Abweichung von der Planung zur Folge haben können. Die Abweichungen können positiv sein, dann wird von einer Chance gesprochen oder negativ, dann wird der Begriff Gefahr (Risiko im engeren Sinne) verwendet. Bei der externen Berichterstattung im Risikobericht gilt es nun die intern vorhandenen Informationen sorgfältig zu transformieren. Sind im Nachhinein eindeutig eingetretene Risiken nicht im Risikobericht durch den Stakeholder erkennbar, wird das Vertrauen in die externe Berichterstattung nachhaltig zerstört.
Methodik des Risikomanagements
Die bestehenden Verpflichtungen zum Risikomanagement sind sehr allgemein gehalten, damit sämtliche Unternehmen erfasst und die jeweilige Individualität nicht beschnitten wird. Somit können Unternehmen diese Freiräume nutzen und ihre spezifische Methodik zum Risikomanagement und dem dahinterliegenden System vorstellen. Leider wird diese Chance nicht erkannt oder adäquat genutzt und der Stakeholder erfährt lediglich einen knapp umrissenen Auszug über die wesentlichen Elemente wie zum Beispiel die Risikoanalyse oder die Risikosteuerung. Diese knappe oder gar vernachlässigte Informationspolitik lassen Zweifel an der Qualität oder im schlimmsten Fall an der Funktionalität des Risikomanagements des Unternehmens aufkommen – trotz erfolgtem Testat des Wirtschaftsprüfers.
Transparenz der Risikoinformationen
Selbst in guten Risikoberichten, in denen die Einzelrisiken verständlich beschrieben sind, fehlen entscheidende Informationen für den Stakeholder, wie die quantitative Bewertung der Einzelrisiken. Nur diese Informationen erlauben es aber, über die Risikoaggregation eine Gesamtrisikoposition zu bilden und daraus den Eigenkapitalbedarf zu einem Sicherheitsniveau (Zielrating) zu bestimmen. Da Eigenkapital das risikotragende Kapital darstellt, kann über den Vergleich zwischen benötigtem (Eigenkapitalbedarf) und vorhandenem Eigenkapital eine Beurteilung der Bestandsbedrohung erfolgen (Risikotragfähigkeit). Fehlen diese Angaben, speziell zur Risikotragfähigkeit, so impliziert dies "Informationsrisiken" für Finanzanalysten, Kreditgebern und Aktionären, was unter anderem Kreditaufschläge zur Folge hat.
Somit bestehen bei Risikoberichten einige Optimierungsmöglichkeiten, welche gleich mehrere Nutzenpotentiale erfüllen können. Eine Möglichkeit wäre die tatsächliche Qualität des bestehenden Risikomanagementsystems darzustellen, wie beispielsweise "durch das Risikomanagement in Verbindung mit dem Controlling konnten die Planabweichungen vollständig beschrieben werden, was die Transparenz und folglich die Planungssicherheit erhöht". Weitere Möglichkeiten bestehen darin, die verwendete Methodik zur Risikoquantifizierung adäquat darzustellen oder die Nutzung der intern vorhandenen Risikoinformationen für die wertorientierte Unternehmenssteuerung (betriebswirtschaftliche Entscheidungen) aufzuzeigen, sofern das Risikomanagementsystem des Unternehmens bereits diese Leistungsfähigkeit erreicht hat.
Die wichtigste und zugleich relativ einfach durchzuführende Optimierung ist aber immer noch die Beschreibung des Eigenkapitalbedarfs, der aus der aggregierten Gesamtrisikoposition des Unternehmens abgeleitet werden kann und aufbereitet als Risikotragfähigkeit zu einem Sicherheitsniveau einen deutlichen Informationsgewinn für den Stakeholder darstellt.
Abbildung 1: Zuordnung von Risiken zu Planpositionen [Quelle: Gleißner, W. (2008): Grundlagen des Risikomanagements im Unternehmen, Verlag Vahlen, 2008]
Zur Bestimmung des Gesamtrisikoumfangs eines Unternehmens können die bereits intern vorhandenen Informationen genutzt werden. Dies verhindert einen unnötigen bürokratischen Aufwand und stellt einen ökonomischen Mehrwert dar. Dazu werden in einem ersten Schritt sämtliche unternehmensspezifische Einzelrisiken erfasst. Sofern Einzelrisiken nicht mindestens durch Schadenshöhe und Eintrittswahrscheinlichkeit (Binomialverteilung) quantifiziert sind, erfolgt eine (Nach-) Quantifizierung durch eine geeignete Verteilungsfunktion, wie beispielsweise die Normal- oder Dreiecksverteilung. Im zweiten Schritt werden die Einzelrisiken den Positionen der Planung zugeordnet, bei denen diese Abweichungen auslösen können. Mittels simulationsbasierter Software für Risikoaggregation oder über Zusatztools für MS Excel, wird in unabhängigen Simulationsläufen ein Geschäftsjahr mehrere tausend Mal simuliert und die Wirkung einer zufällig eingetretenen Kombination der potenziellen Risiken auf die Planung bestimmt. Das Ergebnis ist eine "Bandbreite des Gewinns" aus der die aggregierte Gesamtrisikoposition zu einem definierten Konfidenzniveau (Ein Konfidenzniveau von 97,5 Prozent (BB-Rating nach Standard & Poor‘s) drückt aus, dass das Ergebnis in 2,5 Prozent aller Fälle noch schlechter ausfällt) abgeleitet wird. Die gewonnene Gesamtrisikoposition wird dem vorhandenen Eigenkapital gegenübergestellt und daraus die Risikotragfähigkeit des Unternehmens bestimmt. Beträgt diese über 100 Prozent, dann ist genügend Eigenkapital zum gewählten Konfidenzniveau vorhanden, um die erfassten Risiken tragen zu können. Um eine konsistente Bestimmung zu gewährleisten, empfiehlt es sich, das Konfidenzniveau aus dem aktuellen bzw. angestrebten Rating abzuleiten.
Abbildung 2: Simulationsergebnis von beispielsweise "Gewinn vor Steuern"
Neben einer qualifizierten Aussage zum (einjährigen) Eigenkapitalbedarf erlaubt es diese Methode, weitere zukunftsgerichtete Informationen zu bestimmen.
- Mehrjähriger Eigenkapitalbedarf: Durch die Berücksichtigung der mehrjährigen Planung kann die Eigenkapitalausstattung beurteilt werden, indem der mehrjährige Bedarf dem vorhandenen Eigenkapital gegenübergestellt wird.
- Covenants: Bestehen Kreditvereinbarungen auf definierte Kennzahlen, kann simulativ die Entwicklung sowie die Wahrscheinlichkeit der Verletzung bestimmt werden; dies ermöglicht frühzeitig Bewältigungsmaßnahmen zu ergreifen.
- Stochastische Ratingprognose: Im Gegensatz zu einem traditionellen Rating werden die Wahrscheinlichkeit der Überschuldung und / oder Illiquidität direkt und zukunftsgerichtet abgeleitet, was eine frühzeitige Krisendiagnose ermöglicht.
Wie die aufgeführten Punkte verdeutlichen, besitzen Informationen zum Risikobericht auch einem Mehrwert für das Unternehmen und gesetzliche Anforderungen erhalten einen ökonomischen Nutzen. Somit sind für die Erstellung des Risikoberichts durch ein Unternehmen für seine Stakeholder folgende Punkte zu beachten.
- Analyse: Für die vorhandenen Risikomanagementunterlagen ist der Status quo im Hinblick auf gesetzliche Anforderungen und Mehrwert für den Stakeholder zu bestimmen. Dazu kann die angegebene Checkliste verwendet werden. In einem zweiten Schritt ist in derselben Checkliste der Soll-Status abzubilden; die entstehenden "Gaps" zeigen den Handlungsbedarf auf.
- Risikomanagementsystem: Das System sollte im Risikobericht vollständig, transparent und nachvollziehbar dargestellt werden. Als Anhaltspunkt kann der durch die Checkliste bestimmte Status quo dienen. Die identifizierten "Gaps" sind als Weiterentwicklungsschritte aufzufassen und eine Beschreibung dieser verdeutlicht dem Stakeholder, dass das System laufend verbessert und ausgebaut wird.
- Informationen: Die Qualität des Risikomanagements kann vor allem in einer qualifizierten Aussage zur Gesamtrisikoposition des Unternehmens untermauert werden. Die dazu verwendete Risikotragfähigkeit berücksichtigt sowohl die Gläubigersicht, durch das aus dem Rating abgeleitete Konfidenzniveau, als auch die Eigentümersicht, durch die zugrundeliegende Planung.
Wie aus diesem Artikel ersichtlich, kann der Risikobericht so modifiziert werden, dass dieser einen Mehrwert für die Stakeholder darstellt. Dazu kann entweder auf unternehmensinterne Ressourcen zurückgegriffen werden oder es findet ein Austausch mit einem Dritten statt, welcher auf die Methodik spezialisiert ist. Der Rückgriff auf Dritte hat den Vorteil, dass eine neutrale Analyse des vorhandenen Risikoberichts und der unterstützenden Risikomanagementdokumente im Hinblick auf Gesetzgebung und Implikationen durchgeführt werden kann. Durch dieses Zusammenspiel findet ein Ausbau des Risikoberichts statt, welcher den gesetzlichen Mindestanforderungen entspricht und darüber hinaus dem Kapitalmarkt die Qualität des Risk Managements signalisiert. Neben allgemeinen methodischen Präzisierungen wird der Risikobericht so vor allem um belastbare Aussagen zum Gesamtrisikoumfang und Eigenkapitalbedarf erweitert.
Autor: Dipl. Betriebswirt (FH) Christian Württemberger, Projektleiter bei der FutureValue Group AG
Checkliste:
Scoring Informationsgehalt | ||||
1 | 2 | 3 | ||
Risikokategorien / Risikofelder definiert | Die Adressaten sollten sich schnell zurechtfinden können. | Zwei bis drei Kategorien | Mehr als drei Kategorien | Gut strukturiert (z.B. dem DRS 5 folgend) |
Beschreibung des Risikos | Eine umfassende Einschätzung des Risikos sollte möglich sein. | Ein Satz | Zwei bis drei Sätze | Mehr als drei Sätze; hier kein Verweisen auf Passagen außerhalb des Risikoberichts |
Quantifizierung des Risikos | Konkrete Zahlen zur Höhe des Risikos sollten eine Einschätzung erlauben. | 1ne Zahl zur Risikohöhe oder mehrere Zahlen zur Orientierung, wie X% Umsatzanteil | Mehrere Risikohöhen in einer Kategorie | Mehrere Risikohöhen in mehreren Kategorien |
Beschreibung der Bewältigung | Eine umfassende Einschätzung der Risikobewältigung sollte möglich sein. | Ein Satz | Zwei bis drei Sätze | Mehr als drei Sätze; hier kein Verweisen auf Passagen außerhalb des Risikoberichts |
Gesamtrisiko-position | Das Gesamtrisiko zur Rendite des Unternehmens soll abgeschätzt werden. | Satz: „Es bestehen keine bestandsgefährdenden Risiken“ | Nachvollziehbare Beschreibung des Gesamtrisikos mit Hinweis auf Wechselwirkungen | Quantifizierung des Gesamtrisikos als relative oder absolute Größe |
Scoring Risikomanagementsystem | ||||
1 | 2 | 3 | ||
Strategie / Philosophie | Die Grundausrichtung des Risikomanagements sollt klar werden. | Satz: "Risiken durch unternehmerisches Handeln" | Die Rendite und das Risiko sollten mit Bezug zum Rating dargestellt werden (Mindestrendite) | Differenzierung nach Kernrisiken (werden getragen) und Randrisiken (werden abgewälzt) |
Analyse | Einschätzung, wie Risiken analysiert (identifiziert und bewertet) werden. | Satz: "Identifizierung, Dokumentation, Bewertung und Kontrolle von Risiken" | Nennung von Schadenshöhe und Eintritts-wahrscheinlichkeit | Bestimmung Value at Risk oder Planungsabweichungsanalyse |
Aggregation | Einschätzung, wie die Gesamtrisikoposition ermittelt wird. | Zentrale Zusammenfassung oder Szenarioanalysen | Berücksichtigung von Schadenshöhe und Eintritts-wahrscheinlichkeit mit Wechselwirkungen der Risiken | Explizite Nennung des Aggregationsverfahrens (z.B. Monte-Carlo-Simulation) |
Aufbau- / | Einschätzung der Effizienz und Effektivität des Risikomanagementsystems. | Bestandteil sämtlicher Prozesse | Risikoverantwortliche für Bereiche oder Risiken ausführlich dargelegt | Neben Risikoverantwortlichen zusätzlich eine Risikomanagementsoftware erwähnen |
Steuerung / Überwachung | Einschätzung, welche Instrumente und Methoden eingesetzt werden. | Regelmäßige Überwachung, z.B. interne Revision | Risiko-Landkarten bzw. Risk-Maps | Steuerung und Überwachung durch Schwellenwerte mit hinterlegten Maßnahmen |
[Bildquelle: iStockPhoto]
Kommentare zu diesem Beitrag
Ohne hier die Namen zu nennen, jeder kennt wohl die dafür einschlägig bekannten großen WP-Gesellschaften... ;-)
"Der Rückgriff auf Dritte hat den Vorteil, dass eine neutrale Analyse des vorhandenen Risikoberichts und der unterstützenden Risikomanagementdokumente im Hinblick auf Gesetzgebung und Implikationen durchgeführt werden kann."
Nachdem wahrscheinlich alle mit Wasser (DRS, IDW, ISO 31000, etc.) kochen, frage ich mich, ob nicht die Erwartung an das RMS nicht dazu führt, auf die Risikotragfähigkeit zu verlassen und auf die Normalverteilung des Konfidenzniveaus zu vertrauen.
In dem Artikel fehlt mir leider eine Beschreibung zu Aggregation der Risiken.