Der Risikomanagement-Prozess
Autoren |
Ein systematischer Risikomanagement-Prozess soll gewährleisten, dass alle Risiken des Unternehmens systematisch identifiziert und bewertet werden, und dass risikorelevante Informationen an Entscheidungsträger weitergeleitet werden. Ziel ist sicherzustellen, dass Risikosteuerungsmaßnahmen rechtzeitig ergriffen werden können.
Der Risikomanagement-Prozess besteht aus den Phasen:
Ziel der Risikoidentifikation ist es, Chancen und Risiken des Unternehmens, die wesentlichen Einfluss auf die Unternehmensziele haben, rechtzeitig und vollständig zu erfassen. Dabei ist darauf zu achten, dass der Identifikationsprozess systematisch und strukturiert, aber auch schnell und wirtschaftlich ist. Zur Risikoidentifikation können unter anderem folgende Instrumente eingesetzt werden: Die Wahl der Methoden hängt von Geschäftsmodell und vom spezifischen Risikoprofil des Unternehmens ab. In der Praxis werden die einzelnen Instrumente häufig kombiniert.
Abhängig von der Komplexität des Unternehmens kann der Prozess top-down – das heißt ausschließlich durch das Top-Management des Unternehmens – oder bottom-up – das heißt unter Einbindung weiterer Hierarchieebenen im Unternehmen – erfolgen.
Um Risiken systematisch und strukturiert zu erheben ist es wesentlich, vor Beginn der Risikoidentifikation eine einheitliche Risikodefinition festzulegen und einen unternehmensspezifischen Risikokatalog zu erstellen.
Ergebnis der Risikoidentifikation ist eine Chancen-/Risikoübersicht des Unternehmens. Enthält diese bereits erste Bewertungsansätze (z.B. Eintrittswahrscheinlichkeit der Einzelrisiken), so lässt sich – als Ausgangspunkt für weitere Schritte – eine erste Priorisierung bzw. Selektion der Risiken durchführen.
Ziel der Risikobewertung ist eine regelmäßige und möglichst vollständige quantitative Bewertung aller identifizierten Risiken. Die Quantifizierung ermöglicht es, Bestandsgefährdung bzw. wesentliche Abweichung von Zielgrößen zu erkennen die identifizierten Risiken nach ihrer Bedeutung zu reihen. So können Anstrengungen zur Risikosteuerung gezielt auf die wichtigsten Risiken ausgerichtet werden. Eine Quantifizierung ist darüber hinaus Voraussetzung für die Risikoaggregation, d.h. für die Beurteilung der aggregierten Wirkung der Risiken auf die Unternehmensziele.
Um Risiken quantitativ zu erfassen, werden in der Praxis häufig die Dimensionen „Schadenshöhe“ und „Eintrittswahrscheinlichkeit“ herangezogen. Die Schadenshöhe gibt an, in welchem Maß sich ein Risiko auf eine bestimmte Zielgröße (z.B. Gewinn) auswirkt. Die Ermittlung erfolgt mittels subjektiver Schätzungen und/oder mit Hilfe verfügbarer objektiver Informationen. Durch Multiplikation der Schadenshöhe mit der Eintrittswahrscheinlichkeit erhält man einen periodisierten Risikoerwartungswert, der den erwarteten Schaden im betrachteten Zeitraum ausdrückt.
Die Bewertung von Risiken mithilfe von Schadenserwartungswerten ist zwar die in der Praxis am weitesten verbreitete Methode zur Risikobewertung, hat aber einen großen Nachteil: Durch die Verdichtung der Risikoinformation auf einen einzigen Wert (Erwartungswert) kommt es zu einem Informationsverlust. Es empfiehlt sich daher, Risiken nicht nur mittels Schadenserwartungswert zu quantifizieren, sondern die Wahrscheinlichkeitsverteilung der Risiken zu ermitteln. Auch diese kann entweder subjektiv geschätzt (z.B. Dreiecksverteilung) oder aus Vergangenheitsdaten objektiv ermittelt werden.
Zur Risikobewertung kann – abhängig von der Art der Risiken – eine Vielzahl von Instrumenten eingesetzt werden, wie beispielsweise Sensitivitätsanalysen, Regressionsanalysen und Simulationsmethoden.
Im Rahmen der Risikoaggregation gilt es, die Gesamtrisikoposition des Unternehmens bzw. eines Unternehmensteils zu bestimmen. Dies ist notwendig, weil die Einzelrisiken des Unternehmens gemeinsam auf die Risikogesamtposition wirken. Außerdem bewirken Risikointerdependenzen Risikokompensationseffekte oder wechselseitige Verstärkung von Risiken. Werden diese Effekte nicht beachtet, führt dies unter Umständen zur Überversicherung oder zu neuen Risikopositionen.
Die wichtigste Methode zur Risikoaggregation ist die Monte Carlo-Simulation. Diese dient zur experimentellen Ermittlung der Wahrscheinlichkeitsverteilung einer Zufallsgröße und eignet sich zur Simulation von Ergebniswerten, deren Struktur und Verhalten unbekannt sind, deren zugrunde liegende Risikofaktoren und deren Wahrscheinlichkeitsverteilungen jedoch bekannt sind.
Bei ihrer Anwendung im Rahmen des Risikomanagements entwickelt man zunächst ein Modell (z.B. eine Plan-Gewinn-und-Verlustrechnung), das die zu berücksichtigenden Risikofaktoren enthält und mit einer Zielgröße (z.B. Unternehmensergebnis) verknüpft. In der Folge sind die Wahrscheinlichkeitsverteilungen der Risikofaktoren zu schätzen bzw. auf Basis historischer Daten zu ermitteln. Durch die Simulation wird schließlich die Wahrscheinlichkeitsverteilung der Zielgröße ermittelt.
Die folgende Abbildung stellt die Vorgehensweise bei der Risikoaggregation mit Hilfe der Monte Carlo Simulation schematisch dar.
) |
Risikoidentifikation, -bewertung und -aggregation bilden die Entscheidungsgrundlagen für die Entwicklung von Risikosteuerungsstrategien und -maßnahmen. Ziel ist, die erkannten und quantifizierten Risiken für das Unternehmen – unter Beachtung der Risikostrategie – zu vermeiden, zu reduzieren oder bewusst einzugehen. Mit Hilfe der Risikosteuerung soll eine Optimierung des Verhältnisses zwischen Ertragschance und Verlustgefahr erreicht werden (Risk/Return Optimierung).
Man unterscheidet aktive (präventive) und passive (korrektive) Maßnahmen der Risikobeeinflussung. Aktive Maßnahmen gestalten und beeinflussen die Risikostrukturen und reduzieren Eintrittwahrscheinlichkeit und/oder Tragweite einzelner Risiken. Passive Risikobewältigungsmaßnahmen lassen die Risikostrukturen unverändert. Sie haben das Ziel, die finanziellen Auswirkungen auf das Unternehmen nach einem Risikoeintritt zu reduzieren, beispielsweise durch den Risikotransfer auf einen Vertragspartner (z.B. Versicherung).
Folgende Abbildung gibt einen Überblick über mögliche Risikobewältigungsmaßnahmen.
) |
Im Rahmen des Risikoberichtswesens wird über die identifizierten und bewerteten Risiken sowie über die eingeleiteten Maßnahmen zur Risikobewältigung regelmäßig berichtet. Inhalt der Risikoberichte sind die Ergebnisse der Risikoidentifikation, -analyse, -bewertung und
-aggregation, der Status der Planung, Steuerung und Umsetzung der Maßnahmen zur Risikobewältigung sowie Informationen aus Risikokontrolle und -überwachung.
Idealerweise ist das Risiko-Reporting in Abstimmung mit dem bestehenden Berichtssystem durchzuführen und nicht als isolierter Prozess zu installieren.
Das Risiko-Reporting umfasst einerseits die interne Risikoberichterstattung, beispielsweise an Bereichsleiter, zentrales Risikomanagement, Risk Committee, Vorstand und Aufsichtsrat, andererseits externe Risikoberichterstattung, beispielsweise an Wirtschaftsprüfer, Shareholder, Debtholder, Analysten und Rating-Agenturen.
Das interne Risikoberichtswesen ist frei gestaltbar. Es sollte vor allem Standardrisikoberichte mit klar definierten Inhalten, Berichtsempfängern und Berichtsterminen umfassen. In der Praxis berichten die meisten Unternehmen quartalsweise oder halbjährlich über ihre Risikosituation. Nur in Ausnahmefällen werden „außerordentliche Risikoberichte“ bzw. Ad-hoc-Risikoberichte erstellt.
Wichtigstes Instrument der externen Berichterstattung ist der Geschäftsbericht, insbesondere der Lagebericht. Diesem kommt bei der Informationsversorgung der Investoren neben anderen Informationsquellen (bspw. Ad-hoc-Berichterstattung, Zwischenberichterstattung) entscheidende Bedeutung zu.
Der Gesetzgeber legt zwar die Pflicht zur Risikoberichterstattung im Jahresabschluss fest, das Gesetz (KonTraG bzw. RLÄG 2004) bietet aber wenig Orientierung zur konkreten Gestaltung der Risikoberichterstattung. Zur Konkretisierung der Anforderungen an die Risikoberichterstattung lässt sich der Deutschen Rechnungslegungs-Standard Nr. 5 (DRS 5) heranziehen. In Deutschland ist der DRS 5 von Unternehmen aller Branchen, die zur Aufstellung des Konzernlageberichts verpflichtet sind, zu beachten. Für österreichische Unternehmen ist der Standard nicht verpflichtend, bietet aber eine gute Orientierung für die Gestaltung der Risikoberichterstattung.
Die nachfolgende Abbildung zeigt die wichtigsten Regeln zur Risikoberichterstattung lt. DRS 5:
) |