Risiken transparent machen

Der Risikobericht als vertrauensbildende Maßnahme für Stakeholder


Der Risikobericht als vertrauensbildende Maßnahme für Stakeholder News

Die alljährliche Untersuchung von 200 Geschäftsberichten des Manager Magazins aus dem Jahres 2009 belegt, dass eine Schwachstelle der Risikobericht mit der Durchschnittsnote "befriedigend" ist. Somit erhalten die Stakeholder nicht die gewünschten und benötigten Informationen mit der Konsequenz, dass beispielsweise ein Kreditgeber Informationslücken mit einem Kreditaufschlag rechtfertigt oder ein mögliches Engagement bereits im Vorfeld ausschließt. Somit besteht für ein Unternehmen die Chance, sich durch einen aussagekräftigen Risikobericht zu differenzieren, das Vertrauen bei Finanzanalysten, Kreditgebern und Aktionären (wieder) herzustellen und eventuell weitere oder neue Finanzierungsquellen zu erschließen.

Schon vor mehr als 10 Jahren beschäftigte sich der Gesetzgeber unter anderem mit dem Thema "Verbesserung der Kommunikation zwischen Aktiengesellschaft und Aktionär". Das Ergebnis war das 1998 verabschiedete Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das Kapitalgesellschaften und denen gleichgestellte Unternehmen (Betroffen von der Pflicht zur Einführung eines Risikomanagementsystems sind in der Regel Organe von Unternehmen, die mindestens zwei der drei folgenden Größenkriterien erfüllen (siehe § 267 Abs. 1 HGB): (1) Bilanzsumme 4,84 Mio. €, (2) Umsatz > 9,68 Mio. €, Mitarbeiterzahl ≥ 50) verpflichtet, ein Risikomanagementsystem (Vgl. § 91 Abs. 2 AktG, Pflichten des Vorstands) einzuführen sowie einen Risikobericht zu veröffentlichen, der die Risikolage des Unternehmens vermittelt (Vgl. § 289 Abs. 1 HGB Lagebericht und den Deutschen Rechnungslegungsstandard (DRS)). Die Anforderungen des KonTraG an das Risikomanagementsystem werden durch den Prüfungsstandard 340 (PS 340) des Instituts der Wirtschaftsprüfer präzisiert. So sind beispielsweise Angaben zur Tragweite der analysierten Risiken in Bezug auf ihre Eintrittswahrscheinlichkeit und deren quantitative Auswirkungen vorzunehmen. Hierzu gehört auch die Einschätzung, ob Einzelrisiken, die isoliert betrachtet zwar von nachrangiger Bedeutung sind, sich in ihrem Zusammenwirken jedoch zu einer Bestandsgefährdung aggregieren können.

Durch diese Gesetze, Normen und Standards sind Mindestvorgaben für den Risikobericht definiert und es entstehen "standardisierte" Risikoberichte, die auf der einen Seite die gesetzlichen Anforderungen erfüllen aber für den Stakeholder keinen nennenswerten Mehrwert besitzen. Des Weiteren haben diese "standardisierten" Risikoberichte mehrere Schwächen, welche bereits in diversen Untersuchungen analysiert wurden (hier sei beispielsweise auf eine empirische Studie der Risikosituation aus Sicht der Geschäftsberichterstattung verwiesen, Berger, T./Gleißner, W.: Risikosituation und Stand des Risikomanagements aus Sicht der Geschäftsberichterstattung, in: ZCG – Zeitschrift für Corporate Governance, April 2007, S. 62-68).

Die wesentlichen Mängel sollen nun im Folgenden kurz erläutert werden.

Vollständige Risikoberichterstattung

Es ist nicht ausreichend, lediglich die in der Vergangenheit eingetretenen Risiken zu betrachten; vielmehr müssen Risiken ganzheitlich gesehen und ihre zukünftige Wirkung beurteilt werden. Somit muss zwangsläufig die Risikoberichterstattung auf der unternehmensindividuellen Planung aufbauen und es ist über sämtliche Risiken zu berichten, welche eine Abweichung von der Planung zur Folge haben können. Die Abweichungen können positiv sein, dann wird von einer Chance gesprochen oder negativ, dann wird der Begriff Gefahr (Risiko im engeren Sinne) verwendet. Bei der externen Berichterstattung im Risikobericht gilt es nun die intern vorhandenen Informationen sorgfältig zu transformieren. Sind im Nachhinein eindeutig eingetretene Risiken nicht im Risikobericht durch den Stakeholder erkennbar, wird das Vertrauen in die externe Berichterstattung nachhaltig zerstört.

Methodik des Risikomanagements

Die bestehenden Verpflichtungen zum Risikomanagement sind sehr allgemein gehalten, damit sämtliche Unternehmen erfasst und die jeweilige Individualität nicht beschnitten wird. Somit können Unternehmen diese Freiräume nutzen und ihre spezifische Methodik zum Risikomanagement und dem dahinterliegenden System vorstellen. Leider wird diese Chance nicht erkannt oder adäquat genutzt und der Stakeholder erfährt lediglich einen knapp umrissenen Auszug über die wesentlichen Elemente wie zum Beispiel die Risikoanalyse oder die Risikosteuerung. Diese knappe oder gar vernachlässigte Informationspolitik lassen Zweifel an der Qualität oder im schlimmsten Fall an der Funktionalität des Risikomanagements des Unternehmens aufkommen – trotz erfolgtem Testat des Wirtschaftsprüfers.

Transparenz der Risikoinformationen

Selbst in guten Risikoberichten, in denen die Einzelrisiken verständlich beschrieben sind, fehlen entscheidende Informationen für den Stakeholder, wie die quantitative Bewertung der Einzelrisiken. Nur diese Informationen erlauben es aber, über die Risikoaggregation eine Gesamtrisikoposition zu bilden und daraus den Eigenkapitalbedarf zu einem Sicherheitsniveau (Zielrating) zu bestimmen. Da Eigenkapital das risikotragende Kapital darstellt, kann über den Vergleich zwischen benötigtem (Eigenkapitalbedarf) und vorhandenem Eigenkapital eine Beurteilung der Bestandsbedrohung erfolgen (Risikotragfähigkeit). Fehlen diese Angaben, speziell zur Risikotragfähigkeit, so impliziert dies "Informationsrisiken" für Finanzanalysten, Kreditgebern und Aktionären, was unter anderem Kreditaufschläge zur Folge hat.

Somit bestehen bei Risikoberichten einige Optimierungsmöglichkeiten, welche gleich mehrere Nutzenpotentiale erfüllen können. Eine Möglichkeit wäre die tatsächliche Qualität des bestehenden Risikomanagementsystems darzustellen, wie beispielsweise "durch das Risikomanagement in Verbindung mit dem Controlling konnten die Planabweichungen vollständig beschrieben werden, was die Transparenz und folglich die Planungssicherheit erhöht". Weitere Möglichkeiten bestehen darin, die verwendete Methodik zur Risikoquantifizierung adäquat darzustellen oder die Nutzung der intern vorhandenen Risikoinformationen für die wertorientierte Unternehmenssteuerung (betriebswirtschaftliche Entscheidungen) aufzuzeigen, sofern das Risikomanagementsystem des Unternehmens bereits diese Leistungsfähigkeit erreicht hat.

Die wichtigste und zugleich relativ einfach durchzuführende Optimierung ist aber immer noch die Beschreibung des Eigenkapitalbedarfs, der aus der aggregierten Gesamtrisikoposition des Unternehmens abgeleitet werden kann und aufbereitet als Risikotragfähigkeit zu einem Sicherheitsniveau einen deutlichen Informationsgewinn für den Stakeholder darstellt.





Abbildung 1: Zuordnung von Risiken zu Planpositionen [Quelle: Gleißner, W. (2008): Grundlagen des Risikomanagements im Unternehmen, Verlag Vahlen, 2008]

Zur Bestimmung des Gesamtrisikoumfangs eines Unternehmens können die bereits intern vorhandenen Informationen genutzt werden. Dies verhindert einen unnötigen bürokratischen Aufwand und stellt einen ökonomischen Mehrwert dar. Dazu werden in einem ersten Schritt sämtliche unternehmensspezifische Einzelrisiken erfasst. Sofern Einzelrisiken nicht mindestens durch Schadenshöhe und Eintrittswahrscheinlichkeit (Binomialverteilung) quantifiziert sind, erfolgt eine (Nach-) Quantifizierung durch eine geeignete Verteilungsfunktion, wie beispielsweise die Normal- oder Dreiecksverteilung. Im zweiten Schritt werden die Einzelrisiken den Positionen der Planung zugeordnet, bei denen diese Abweichungen auslösen können. Mittels simulationsbasierter Software für Risikoaggregation oder über Zusatztools für MS Excel, wird in unabhängigen Simulationsläufen ein Geschäftsjahr mehrere tausend Mal simuliert und die Wirkung einer zufällig eingetretenen Kombination der potenziellen Risiken auf die Planung bestimmt. Das Ergebnis ist eine "Bandbreite des Gewinns" aus der die aggregierte Gesamtrisikoposition zu einem definierten Konfidenzniveau (Ein Konfidenzniveau von 97,5 Prozent (BB-Rating nach Standard & Poor‘s) drückt aus, dass das Ergebnis in 2,5 Prozent aller Fälle noch schlechter ausfällt) abgeleitet wird. Die gewonnene Gesamtrisikoposition wird dem vorhandenen Eigenkapital gegenübergestellt und daraus die Risikotragfähigkeit des Unternehmens bestimmt. Beträgt diese über 100 Prozent, dann ist genügend Eigenkapital zum gewählten Konfidenzniveau vorhanden, um die erfassten Risiken tragen zu können. Um eine konsistente Bestimmung zu gewährleisten, empfiehlt es sich, das Konfidenzniveau aus dem aktuellen bzw. angestrebten Rating abzuleiten.


Abbildung 2: Simulationsergebnis von beispielsweise "Gewinn vor Steuern"


Neben einer qualifizierten Aussage zum (einjährigen) Eigenkapitalbedarf erlaubt es diese Methode, weitere zukunftsgerichtete Informationen zu bestimmen.

  • Mehrjähriger Eigenkapitalbedarf: Durch die Berücksichtigung der mehrjährigen Planung kann die Eigenkapitalausstattung beurteilt werden, indem der mehrjährige Bedarf dem vorhandenen Eigenkapital gegenübergestellt wird.
  • Covenants: Bestehen Kreditvereinbarungen auf definierte Kennzahlen, kann simulativ die Entwicklung sowie die Wahrscheinlichkeit der Verletzung bestimmt werden; dies ermöglicht frühzeitig Bewältigungsmaßnahmen zu ergreifen.
  • Stochastische Ratingprognose: Im Gegensatz zu einem traditionellen Rating werden die Wahrscheinlichkeit der Überschuldung und / oder Illiquidität direkt und zukunftsgerichtet abgeleitet, was eine frühzeitige Krisendiagnose ermöglicht.


Wie die aufgeführten Punkte verdeutlichen, besitzen Informationen zum Risikobericht auch einem Mehrwert für das Unternehmen und gesetzliche Anforderungen erhalten einen ökonomischen Nutzen. Somit sind für die Erstellung des Risikoberichts durch ein Unternehmen für seine Stakeholder folgende Punkte zu beachten.

  • Analyse: Für die vorhandenen Risikomanagementunterlagen ist der Status quo im Hinblick auf gesetzliche Anforderungen und Mehrwert für den Stakeholder zu bestimmen. Dazu kann die angegebene Checkliste verwendet werden. In einem zweiten Schritt ist in derselben Checkliste der Soll-Status abzubilden; die entstehenden "Gaps" zeigen den Handlungsbedarf auf.
  • Risikomanagementsystem: Das System sollte im Risikobericht vollständig, transparent und nachvollziehbar dargestellt werden. Als Anhaltspunkt kann der durch die Checkliste bestimmte Status quo dienen. Die identifizierten "Gaps" sind als Weiterentwicklungsschritte aufzufassen und eine Beschreibung dieser verdeutlicht dem Stakeholder, dass das System laufend verbessert und ausgebaut wird.
  • Informationen: Die Qualität des Risikomanagements kann vor allem in einer qualifizierten Aussage zur Gesamtrisikoposition des Unternehmens untermauert werden. Die dazu verwendete Risikotragfähigkeit berücksichtigt sowohl die Gläubigersicht, durch das aus dem Rating abgeleitete Konfidenzniveau, als auch die Eigentümersicht, durch die zugrundeliegende Planung.


Wie aus diesem Artikel ersichtlich, kann der Risikobericht so modifiziert werden, dass dieser einen Mehrwert für die Stakeholder darstellt. Dazu kann entweder auf unternehmensinterne Ressourcen zurückgegriffen werden oder es findet ein Austausch mit einem Dritten statt, welcher auf die Methodik spezialisiert ist. Der Rückgriff auf Dritte hat den Vorteil, dass eine neutrale Analyse des vorhandenen Risikoberichts und der unterstützenden Risikomanagementdokumente im Hinblick auf Gesetzgebung und Implikationen durchgeführt werden kann. Durch dieses Zusammenspiel findet ein Ausbau des Risikoberichts statt, welcher den gesetzlichen Mindestanforderungen entspricht und darüber hinaus dem Kapitalmarkt die Qualität des Risk Managements signalisiert. Neben allgemeinen methodischen Präzisierungen wird der Risikobericht so vor allem um belastbare Aussagen zum Gesamtrisikoumfang und Eigenkapitalbedarf erweitert.


Autor:
Dipl. Betriebswirt (FH) Christian Württemberger, Projektleiter bei der FutureValue Group AG

Checkliste:

Scoring Informationsgehalt



1

2

3

Risikokategorien /

Risikofelder definiert

Die Adressaten sollten sich schnell zurechtfinden können.

Zwei bis drei Kategorien

Mehr als drei Kategorien

Gut strukturiert (z.B. dem DRS 5 folgend)

Beschreibung des Risikos

Eine umfassende Einschätzung des Risikos sollte möglich sein.

Ein Satz

Zwei bis drei Sätze

Mehr als drei Sätze; hier kein Verweisen auf Passagen außerhalb des Risikoberichts

Quantifizierung des Risikos

Konkrete Zahlen zur Höhe des Risikos sollten eine Einschätzung erlauben.

1ne Zahl zur Risikohöhe oder mehrere Zahlen zur Orientierung, wie X% Umsatzanteil

Mehrere Risikohöhen in einer Kategorie

Mehrere Risikohöhen in mehreren Kategorien

Beschreibung der Bewältigung

Eine umfassende Einschätzung der Risikobewältigung sollte möglich sein.

Ein Satz

Zwei bis drei Sätze

Mehr als drei Sätze; hier kein Verweisen auf Passagen außerhalb des Risikoberichts

Gesamtrisiko-position

Das Gesamtrisiko zur Rendite des Unternehmens soll abgeschätzt werden.

Satz: „Es bestehen keine bestandsgefährdenden Risiken“

Nachvollziehbare Beschreibung des Gesamtrisikos mit Hinweis auf Wechselwirkungen

Quantifizierung des Gesamtrisikos als relative oder absolute Größe

Scoring Risikomanagementsystem



1

2

3

Strategie / Philosophie

Die Grundausrichtung des Risikomanagements sollt klar werden.

Satz: "Risiken durch unternehmerisches Handeln"

Die Rendite und das Risiko sollten mit Bezug zum Rating dargestellt werden (Mindestrendite)

Differenzierung nach Kernrisiken (werden getragen) und Randrisiken (werden abgewälzt)

Analyse

Einschätzung, wie Risiken analysiert (identifiziert und bewertet) werden.

Satz: "Identifizierung, Dokumentation, Bewertung und Kontrolle von Risiken"

Nennung von Schadenshöhe und Eintritts-wahrscheinlichkeit

Bestimmung Value at Risk oder Planungsabweichungsanalyse

Aggregation

Einschätzung, wie die Gesamtrisikoposition ermittelt wird.

Zentrale Zusammenfassung oder Szenarioanalysen

Berücksichtigung von Schadenshöhe und Eintritts-wahrscheinlichkeit mit Wechselwirkungen der Risiken

Explizite Nennung des Aggregationsverfahrens (z.B. Monte-Carlo-Simulation)

Aufbau- /

Ablauforganisation

Einschätzung der Effizienz und Effektivität des Risikomanagementsystems.

Bestandteil sämtlicher Prozesse

Risikoverantwortliche für Bereiche oder Risiken ausführlich dargelegt

Neben Risikoverantwortlichen zusätzlich eine Risikomanagementsoftware erwähnen

Steuerung /

Überwachung

Einschätzung, welche Instrumente und Methoden eingesetzt werden.

Regelmäßige Überwachung, z.B. interne Revision

Risiko-Landkarten bzw. Risk-Maps

Steuerung und Überwachung durch Schwellenwerte mit hinterlegten Maßnahmen




[Bildquelle: iStockPhoto]

Kommentare zu diesem Beitrag

Panzerknacker /18.08.2010 23:35
Sehr schöner Beitrag, aber ein Jahresabschluss oder Risikobericht daraus ist ungefähr so glaubwürdig wie die Regierungserklärung einer Bananenrepublik. Es gibt da sehr gute Beispiele aus der Vergangenheit und sogar wissenschaftliche Untersuchungen in den USA wie viele von Wirtschaftsprüfungsgesellschaften positiv testierte Gesellschaft im nächsten Geschäftsjahr durch Bilanzskandale etc. in den Ruin gelangt sind...

Ohne hier die Namen zu nennen, jeder kennt wohl die dafür einschlägig bekannten großen WP-Gesellschaften... ;-)
Roba /19.08.2010 10:51
Leider kann ich beim Lesen von Risikoberichten häufig nicht sauber unterscheiden zwischen Realität und Wunschdenken. Leider sind die Unterschiede in der Qualität und Quantität der Risikoberichterstattung gravierend. In jedem Fall ein sehr guter Text!
Gunnar /19.08.2010 11:22
"Diese knappe oder gar vernachlässigte Informationspolitik lassen Zweifel an der Qualität oder im schlimmsten Fall an der Funktionalität des Risikomanagements des Unternehmens aufkommen – trotz erfolgtem Testat des Wirtschaftsprüfers."

"Der Rückgriff auf Dritte hat den Vorteil, dass eine neutrale Analyse des vorhandenen Risikoberichts und der unterstützenden Risikomanagementdokumente im Hinblick auf Gesetzgebung und Implikationen durchgeführt werden kann."

Nachdem wahrscheinlich alle mit Wasser (DRS, IDW, ISO 31000, etc.) kochen, frage ich mich, ob nicht die Erwartung an das RMS nicht dazu führt, auf die Risikotragfähigkeit zu verlassen und auf die Normalverteilung des Konfidenzniveaus zu vertrauen.

In dem Artikel fehlt mir leider eine Beschreibung zu Aggregation der Risiken.
Christian /23.08.2010 17:47
Hr. Württemberger, mich würde speziell die Ableitung des Konfidenzniveaus aus dem Zielrating interessieren. Vielleicht könnten Sie dort einen Literaturhinweis geben.
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.