Die alljährliche Untersuchung von 200 Geschäftsberichten des Manager Magazins aus dem Jahres 2009 belegt, dass eine Schwachstelle der Risikobericht mit der Durchschnittsnote "befriedigend" ist. Somit erhalten die Stakeholder nicht die gewünschten und benötigten Informationen mit der Konsequenz, dass beispielsweise ein Kreditgeber Informationslücken mit einem Kreditaufschlag rechtfertigt oder ein mögliches Engagement bereits im Vorfeld ausschließt. Somit besteht für ein Unternehmen die Chance, sich durch einen aussagekräftigen Risikobericht zu differenzieren, das Vertrauen bei Finanzanalysten, Kreditgebern und Aktionären (wieder) herzustellen und eventuell weitere oder neue Finanzierungsquellen zu erschließen.

Schon vor mehr als 10 Jahren beschäftigte sich der Gesetzgeber unter anderem mit dem Thema "Verbesserung der Kommunikation zwischen Aktiengesellschaft und Aktionär". Das Ergebnis war das 1998 verabschiedete Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das Kapitalgesellschaften und denen gleichgestellte Unternehmen (Betroffen von der Pflicht zur Einführung eines Risikomanagementsystems sind in der Regel Organe von Unternehmen, die mindestens zwei der drei folgenden Größenkriterien erfüllen (siehe § 267 Abs. 1 HGB): (1) Bilanzsumme 4,84 Mio. €, (2) Umsatz > 9,68 Mio. €, Mitarbeiterzahl ≥ 50) verpflichtet, ein Risikomanagementsystem (Vgl. § 91 Abs. 2 AktG, Pflichten des Vorstands) einzuführen sowie einen Risikobericht zu veröffentlichen, der die Risikolage des Unternehmens vermittelt (Vgl. § 289 Abs. 1 HGB Lagebericht und den Deutschen Rechnungslegungsstandard (DRS)). Die Anforderungen des KonTraG an das Risikomanagementsystem werden durch den Prüfungsstandard 340 (PS 340) des Instituts der Wirtschaftsprüfer präzisiert. So sind beispielsweise Angaben zur Tragweite der analysierten Risiken in Bezug auf ihre Eintrittswahrscheinlichkeit und deren quantitative Auswirkungen vorzunehmen. Hierzu gehört auch die Einschätzung, ob Einzelrisiken, die isoliert betrachtet zwar von nachrangiger Bedeutung sind, sich in ihrem Zusammenwirken jedoch zu einer Bestandsgefährdung aggregieren können.

Durch diese Gesetze, Normen und Standards sind Mindestvorgaben für den Risikobericht definiert und es entstehen "standardisierte" Risikoberichte, die auf der einen Seite die gesetzlichen Anforderungen erfüllen aber für den Stakeholder keinen nennenswerten Mehrwert besitzen. Des Weiteren haben diese "standardisierten" Risikoberichte mehrere Schwächen, welche bereits in diversen Untersuchungen analysiert wurden (hier sei beispielsweise auf eine empirische Studie der Risikosituation aus Sicht der Geschäftsberichterstattung verwiesen, Berger, T./Gleißner, W.: Risikosituation und Stand des Risikomanagements aus Sicht der Geschäftsberichterstattung, in: ZCG – Zeitschrift für Corporate Governance, April 2007, S. 62-68).

Die wesentlichen Mängel sollen nun im Folgenden kurz erläutert werden.

Vollständige Risikoberichterstattung

Es ist nicht ausreichend, lediglich die in der Vergangenheit eingetretenen Risiken zu betrachten; vielmehr müssen Risiken ganzheitlich gesehen und ihre zukünftige Wirkung beurteilt werden. Somit muss zwangsläufig die Risikoberichterstattung auf der unternehmensindividuellen Planung aufbauen und es ist über sämtliche Risiken zu berichten, welche eine Abweichung von der Planung zur Folge haben können. Die Abweichungen können positiv sein, dann wird von einer Chance gesprochen oder negativ, dann wird der Begriff Gefahr (Risiko im engeren Sinne) verwendet. Bei der externen Berichterstattung im Risikobericht gilt es nun die intern vorhandenen Informationen sorgfältig zu transformieren. Sind im Nachhinein eindeutig eingetretene Risiken nicht im Risikobericht durch den Stakeholder erkennbar, wird das Vertrauen in die externe Berichterstattung nachhaltig zerstört.

Methodik des Risikomanagements

Die bestehenden Verpflichtungen zum Risikomanagement sind sehr allgemein gehalten, damit sämtliche Unternehmen erfasst und die jeweilige Individualität nicht beschnitten wird. Somit können Unternehmen diese Freiräume nutzen und ihre spezifische Methodik zum Risikomanagement und dem dahinterliegenden System vorstellen. Leider wird diese Chance nicht erkannt oder adäquat genutzt und der Stakeholder erfährt lediglich einen knapp umrissenen Auszug über die wesentlichen Elemente wie zum Beispiel die Risikoanalyse oder die Risikosteuerung. Diese knappe oder gar vernachlässigte Informationspolitik lassen Zweifel an der Qualität oder im schlimmsten Fall an der Funktionalität des Risikomanagements des Unternehmens aufkommen – trotz erfolgtem Testat des Wirtschaftsprüfers.

Transparenz der Risikoinformationen

Selbst in guten Risikoberichten, in denen die Einzelrisiken verständlich beschrieben sind, fehlen entscheidende Informationen für den Stakeholder, wie die quantitative Bewertung der Einzelrisiken. Nur diese Informationen erlauben es aber, über die Risikoaggregation eine Gesamtrisikoposition zu bilden und daraus den Eigenkapitalbedarf zu einem Sicherheitsniveau (Zielrating) zu bestimmen. Da Eigenkapital das risikotragende Kapital darstellt, kann über den Vergleich zwischen benötigtem (Eigenkapitalbedarf) und vorhandenem Eigenkapital eine Beurteilung der Bestandsbedrohung erfolgen (Risikotragfähigkeit). Fehlen diese Angaben, speziell zur Risikotragfähigkeit, so impliziert dies "Informationsrisiken" für Finanzanalysten, Kreditgebern und Aktionären, was unter anderem Kreditaufschläge zur Folge hat.

Somit bestehen bei Risikoberichten einige Optimierungsmöglichkeiten, welche gleich mehrere Nutzenpotentiale erfüllen können. Eine Möglichkeit wäre die tatsächliche Qualität des bestehenden Risikomanagementsystems darzustellen, wie beispielsweise "durch das Risikomanagement in Verbindung mit dem Controlling konnten die Planabweichungen vollständig beschrieben werden, was die Transparenz und folglich die Planungssicherheit erhöht". Weitere Möglichkeiten bestehen darin, die verwendete Methodik zur Risikoquantifizierung adäquat darzustellen oder die Nutzung der intern vorhandenen Risikoinformationen für die wertorientierte Unternehmenssteuerung (betriebswirtschaftliche Entscheidungen) aufzuzeigen, sofern das Risikomanagementsystem des Unternehmens bereits diese Leistungsfähigkeit erreicht hat.

Die wichtigste und zugleich relativ einfach durchzuführende Optimierung ist aber immer noch die Beschreibung des Eigenkapitalbedarfs, der aus der aggregierten Gesamtrisikoposition des Unternehmens abgeleitet werden kann und aufbereitet als Risikotragfähigkeit zu einem Sicherheitsniveau einen deutlichen Informationsgewinn für den Stakeholder darstellt.





Abbildung 1: Zuordnung von Risiken zu Planpositionen [Quelle: Gleißner, W. (2008): Grundlagen des Risikomanagements im Unternehmen, Verlag Vahlen, 2008]

Zur Bestimmung des Gesamtrisikoumfangs eines Unternehmens können die bereits intern vorhandenen Informationen genutzt werden. Dies verhindert einen unnötigen bürokratischen Aufwand und stellt einen ökonomischen Mehrwert dar. Dazu werden in einem ersten Schritt sämtliche unternehmensspezifische Einzelrisiken erfasst. Sofern Einzelrisiken nicht mindestens durch Schadenshöhe und Eintrittswahrscheinlichkeit (Binomialverteilung) quantifiziert sind, erfolgt eine (Nach-) Quantifizierung durch eine geeignete Verteilungsfunktion, wie beispielsweise die Normal- oder Dreiecksverteilung. Im zweiten Schritt werden die Einzelrisiken den Positionen der Planung zugeordnet, bei denen diese Abweichungen auslösen können. Mittels simulationsbasierter Software für Risikoaggregation oder über Zusatztools für MS Excel, wird in unabhängigen Simulationsläufen ein Geschäftsjahr mehrere tausend Mal simuliert und die Wirkung einer zufällig eingetretenen Kombination der potenziellen Risiken auf die Planung bestimmt. Das Ergebnis ist eine "Bandbreite des Gewinns" aus der die aggregierte Gesamtrisikoposition zu einem definierten Konfidenzniveau (Ein Konfidenzniveau von 97,5 Prozent (BB-Rating nach Standard & Poor‘s) drückt aus, dass das Ergebnis in 2,5 Prozent aller Fälle noch schlechter ausfällt) abgeleitet wird. Die gewonnene Gesamtrisikoposition wird dem vorhandenen Eigenkapital gegenübergestellt und daraus die Risikotragfähigkeit des Unternehmens bestimmt. Beträgt diese über 100 Prozent, dann ist genügend Eigenkapital zum gewählten Konfidenzniveau vorhanden, um die erfassten Risiken tragen zu können. Um eine konsistente Bestimmung zu gewährleisten, empfiehlt es sich, das Konfidenzniveau aus dem aktuellen bzw. angestrebten Rating abzuleiten.


Abbildung 2: Simulationsergebnis von beispielsweise "Gewinn vor Steuern"

Neben einer qualifizierten Aussage zum (einjährigen) Eigenkapitalbedarf erlaubt es diese Methode, weitere zukunftsgerichtete Informationen zu bestimmen.

• Mehrjähriger Eigenkapitalbedarf: Durch die Berücksichtigung der mehrjährigen Planung kann die Eigenkapitalausstattung beurteilt werden, indem der mehrjährige Bedarf dem vorhandenen Eigenkapital gegenübergestellt wird.
• Covenants: Bestehen Kreditvereinbarungen auf definierte Kennzahlen, kann simulativ die Entwicklung sowie die Wahrscheinlichkeit der Verletzung bestimmt werden; dies ermöglicht frühzeitig Bewältigungsmaßnahmen zu ergreifen.
• Stochastische Ratingprognose: Im Gegensatz zu einem traditionellen Rating werden die Wahrscheinlichkeit der Überschuldung und / oder Illiquidität direkt und zukunftsgerichtet abgeleitet, was eine frühzeitige Krisendiagnose ermöglicht.

Wie die aufgeführten Punkte verdeutlichen, besitzen Informationen zum Risikobericht auch einem Mehrwert für das Unternehmen und gesetzliche Anforderungen erhalten einen ökonomischen Nutzen. Somit sind für die Erstellung des Risikoberichts durch ein Unternehmen für seine Stakeholder folgende Punkte zu beachten.

• Analyse: Für die vorhandenen Risikomanagementunterlagen ist der Status quo im Hinblick auf gesetzliche Anforderungen und Mehrwert für den Stakeholder zu bestimmen. Dazu kann die angegebene Checkliste verwendet werden. In einem zweiten Schritt ist in derselben Checkliste der Soll-Status abzubilden; die entstehenden "Gaps" zeigen den Handlungsbedarf auf.
• Risikomanagementsystem: Das System sollte im Risikobericht vollständig, transparent und nachvollziehbar dargestellt werden. Als Anhaltspunkt kann der durch die Checkliste bestimmte Status quo dienen. Die identifizierten "Gaps" sind als Weiterentwicklungsschritte aufzufassen und eine Beschreibung dieser verdeutlicht dem Stakeholder, dass das System laufend verbessert und ausgebaut wird.
• Informationen: Die Qualität des Risikomanagements kann vor allem in einer qualifizierten Aussage zur Gesamtrisikoposition des Unternehmens untermauert werden. Die dazu verwendete Risikotragfähigkeit berücksichtigt sowohl die Gläubigersicht, durch das aus dem Rating abgeleitete Konfidenzniveau, als auch die Eigentümersicht, durch die zugrundeliegende Planung.

Wie aus diesem Artikel ersichtlich, kann der Risikobericht so modifiziert werden, dass dieser einen Mehrwert für die Stakeholder darstellt. Dazu kann entweder auf unternehmensinterne Ressourcen zurückgegriffen werden oder es findet ein Austausch mit einem Dritten statt, welcher auf die Methodik spezialisiert ist. Der Rückgriff auf Dritte hat den Vorteil, dass eine neutrale Analyse des vorhandenen Risikoberichts und der unterstützenden Risikomanagementdokumente im Hinblick auf Gesetzgebung und Implikationen durchgeführt werden kann. Durch dieses Zusammenspiel findet ein Ausbau des Risikoberichts statt, welcher den gesetzlichen Mindestanforderungen entspricht und darüber hinaus dem Kapitalmarkt die Qualität des Risk Managements signalisiert. Neben allgemeinen methodischen Präzisierungen wird der Risikobericht so vor allem um belastbare Aussagen zum Gesamtrisikoumfang und Eigenkapitalbedarf erweitert.


Autor: Dipl. Betriebswirt (FH) Christian Württemberger, Projektleiter bei der FutureValue Group AG

Checkliste:

[Bildquelle: iStockPhoto]