040504 risikomgmt fokus nonbanks - acrys.com · risikomanagement makroökonomische entwicklung 11...
TRANSCRIPT
Risikomanagement Inhalt • i
Risikomanagement
Risikomanagement im Kontext wertorientierter Unternehmensführung
Acrys Consult
Risikomanagement Inhalt • ii
Inhalt
Management Summary 5
Unser Leistungsangebot 6
Die Rahmenbedingungen 9 KonTraG..................................................................................................................9
Inhalt und betroffenen Unternehmen .........................................................9 Aufgabe......................................................................................................9 Status .........................................................................................................9
Basel II ..................................................................................................................10 Inhalt ........................................................................................................10 Bedeutung des neuen Rating-Prozesses für Nichtbanken......................10 Qualität des Risikomanagements beeinflusst das Rating .......................10 Qualität des Risikomanagements beeinflusst die Finanzierungskosten .10 Finanzierungsalternativen erfordern auch ein angemessenes Risikomanagement ..................................................................................11
Makroökonomische Entwicklung...........................................................................11 Konjunkturelle Entwicklung ......................................................................11 Mangelhaftes Risikomanagement oft auch Grund für Insolvenzen .........12
Versicherungsumfeld ............................................................................................12 Entwicklungen in der externen Rechnungslegung................................................13 Weitere Rahmenbedingungen ..............................................................................13
Die Ziele 14 Risikomanagement muss als Kernaufgabe verstanden werden ..........................14 Risikomanagement muss auch als Chancenmanagement verstanden werden...15
Der Weg 16
Einführung eines Risikomanagement-Systems 17 Integriertes Risikomanagement ............................................................................17 Einbettung des Risikomanagements in das Interne Kontrollsystem.....................18 Organisatorische Ausgestaltung eines Risikomanagement-Systems ..................19 Beispiel für die Einbettung in die Aufbauorganisation ..........................................20
Kernprozesse des Risikomanagements 22 Kernprozess Risikoidentifizierung.........................................................................22
Durchführung einer Risikoinventur ..........................................................22 Daten als Kernproblem ............................................................................23 Bedeutung des Datenmanagements .......................................................23 Vorgehensweise bei der Risikoidentifizierung .........................................23 Risikoindikatoren und deren Frühwarnfunktion .......................................24 Ursache-Wirkungs-Analyse auf Basis von Verlustdaten .........................24
Risikomanagement Inhalt • iii
Auswertung von Berichten der Internen Revision durch das Risikomanagement ..................................................................................25 Schärfung des Risikobewusstseins .........................................................25
Kernprozess Bewertung........................................................................................25 Risikoinventar...........................................................................................25 Qualitative Beurteilung des Risikos .........................................................25 Quantitative Beurteilung des Risikos .......................................................26 Ableitung des Risikoportfolios..................................................................27 Darstellung der Risikosituation durch Soll-Ist-Vergleich..........................27 Sensitivitäts- und Stresstests...................................................................27
Kernprozess Risikoreporting.................................................................................28 Nur Risikokommunikation ermöglicht Risikosteuerung ...........................28 Zu adressierende Fragestellungen ..........................................................28 Reporting-Beispiel Risikomatrix ...............................................................29 Reporting-Beispiel Risikomanagement-Cockpit ......................................30
Kernprozess Risikosteuerung ...............................................................................30 Alternativen zur Risikosteuerung .............................................................30 Maßnahmen und deren Verfolgung .........................................................32
Kernprozess Überwachung...................................................................................32 Prozessabhängige Überwachung............................................................32 Prozessunabhängige Überwachung........................................................32
Risikomanagement als Bestandteil einer wertorientierten Unternehmensführung 33
Wertorientierte Unternehmensführung .................................................................33 Einordnung des Risikomanagements ...................................................................33
Risikotragfähigkeitskalkül.........................................................................33 Risiko-Chance-Kalkül...............................................................................34
Balance Scorecard als methodische Alternative ..................................................34
Software-Unterstützung 35 Braucht man wirklich Software-Unterstützung?....................................................35
Anhang 36 Beispiel für eine Kauf-Software: RiMIS.................................................................36 Beispiel für unsere Access Lösung ORSA ...........................................................38
Kontakt 41
Risikomanagement Abbildungsverzeichnis • iv
Abbildungsverzeichnis Abbildung 1: Projektphasen ........................................................................................................................................... 6 Abbildung 2: Die Entwicklung der Gesamtinsolvenzen von 1993 bis 2003 .................................................................. 11 Abbildung 3: Vereinfachte Darstellung der Entwicklungsphasen einer Insolvenz ........................................................ 12 Abbildung 4: Integriertes Risikomanagement-System.................................................................................................. 17 Abbildung 5: Risikomanagement und Internes Kontrollsystem .................................................................................... 18 Abbildung 6: Integriertes Risikomanagement-System.................................................................................................. 19 Abbildung 7: Rollen und Verantwortlichkeiten ............................................................................................................. 21 Abbildung 8: Kernprozesse des Risikomanagement.................................................................................................... 22 Abbildung 9: Beispiel für ein Rating ............................................................................................................................. 25 Abbildung 10: Beispiel für eine Gewichtung................................................................................................................. 26 Abbildung 11: Darstellung des Ergebnisses in Ampelfarben (grün, gelb, rot) .............................................................. 26 Abbildung 12: Reporting-Beispiel Risikomatrix............................................................................................................. 29 Abbildung 13: Reporting-Beispiel Risikomanagement-Cockpit .................................................................................... 30 Abbildung 14: Abbau unkontrollierbarer Risiken und Wahrnehmung von Chancen..................................................... 31
Risikomanagement • 5
Management Summary
Ein professionelles Risikomanagement wird für immer mehr Unternehmen zum entscheidenden Erfolgs- bzw. Überlebensfaktor. Diese Sichtweise hat sich in der Praxis, insbesondere in vielen kleinen und mittleren Unter-nehmen (KMUs), aber noch nicht durchgesetzt. Viele Inhaber bzw. Ge-schäftsführer dieser Unternehmen kennen ihre Risiken nur unvollständig oder im schlimmsten Fall gar nicht.
Dies verwundert umso mehr, da die deutschen KMUs im Vergleich zu ausländischen Unternehmen mit geringen Eigenkapitalquoten arbeiten und doch gerade dann das Interesse groß sein sollte, die eigenen Risiken zu managen und Unternehmenskrisen zu vermeiden. Hinzu kommt, dass sich neben den gesetzlichen insbesondere die wirtschaftlichen und gesellschaftlichen Zwänge auf die Unternehmensführung massiv erhöht haben und ein risikoorientiertes Handeln erfordern.
Risikomanagement ist eine Kernaufgabe jeder Unternehmensführung.
Mit Risikomanagement wird Existenzsicherung betrieben. Sie können agieren anstatt nur zu reagieren.
Der von Ihnen gewählte Risikomanagement-Ansatz muss gewährleisten, dass die formalen Anforderungen des Gesetzgebers (insbesondere KonTraG) erfüllt werden. Aber der alleinige Fokus auf dieses Ziel ist gefährlich, deckt es doch im Wesentlichen nur die betriebswirtschaftliche Sicht auf die Risiken ab. Die wirklich großen Schäden und Unter-nehmenskrisen wurden jedoch von den operativen Risiken wie beispiels-weise Brand, Computerausfall oder Betrug hervorgerufen. Auch gilt es die strategische Sichtweise nicht aus den Augen zu verlieren. Risiko-management sollte auch zugleich Chancenmanagement bedeuten.
Risikomanagement • 6
Unser Leistungsangebot
Wir begleiten Sie bei allen Projektphasen ...
Abbildung 1: Projektphasen
... und lassen Sie nicht nach der Konzeption „im Regen stehen“.
Die Leistungen im einzelnen umfassen zum Beispiel:
Aufbau eines RMS / Frühwarnsystems
� Auf- und Ausbau Ihres RMS.
� Entwicklung von Risikomanagement-Strategien.
� Erstellung von Risikoprofilen, Schaffen von Transparenz.
� Bepreisung der Risiken
� Unterstützung bei der Erarbeitung von Leitlinien.
� Prüffähige Dokumentation Ihres Risikomanagement Systems
� Erstellung eines Risikohandbuchs.
� Unterstützung bei der Erfassung und Quantifizierung Ihrer Risiken.
� Methodisch-statistische Unterstützung bei der Bewertung (z.B. Value-at-Risk).
� Konzeption von Überwachungsinstrumenten (Limitsysteme, Integra-tion in die Prozesse).
� Reduzierung von Risikokosten.
� Einbettung in das Reporting/MIS.
� Einbindung des RMS in Ihr internes Kontrollsystem.
� Einbindung des RMS in Ihren Planungsprozess.
Projektmanagement
Abnahme/Dokumentation/Know-how Transfer
Realisierung/Systemeinführung
Systemkonzeption
Fachkonzeption
Management-/Machbarkeits-Studie
Risikomanagement • 7
Auswahl einer auf Ihre Anforderungen passende Standardsoftware
Ihr Vorteil: wir sind systemunabhängige Berater. Wir unterstützen Sie gerne bei
� der Definition der fachlichen und technischen Anforderungen an eine Systemlösung.
� der Auswahl und Analyse von Standardprodukten, damit Sie die wahre Leistungsfähigkeit und die tatsächlichen Schwächen ein-schätzen können (Basis bilden bereits vorhandene Kriterienkataloge für die Software-Auswahl).
� der Integration der ausgewählten Software in Ihre IT-Struktur und der Anbindung aller relevanten Input- und Output-Schnittstellen.
Falls Sie bereits eine Lösung haben, helfen wir Ihnen gerne bei der Beurteilung, ob sich ein Systemwechsel auch für Ihr Unternehmen rechnet.
Ferner haben wir Erfahrungen mit den Software-Produkten:
� RiMISTM – Risk Integrated Management Information System (Her-steller ANTARES Informationssysteme GmbH) und
� VÖB-ORC (Hersteller interexa AG),
die wir Ihnen gerne präsentieren.
(Quick-) Checks
� Beurteilung Ihrer strategischen Risikostrategie und/oder Ihrer Risiko-management Organisation
� Beurteilung Ihrer Kontrollen im Risikomanagement-Prozess
� Beurteilung Ihrer Risikoberichterstattung (intern/extern)
Datenmanagement
� Überprüfung der Datenqualität und Input-Parameter.
ORSA zur Durchführung spezieller Risikoanalysen
Dies betrifft Analysen der
� IT-Risiken,
� der Projektrisiken oder
� der Risiken im Zusammenhang mit Outsourcing.
Wir bringen unser Tool ORSA unentgeltlich in ein Beratungsprojekt ein.1
ORSA unterstützt die Vorbereitung, Durchführung und Auswertung von Self Assessments (siehe auch Screenshot-Beispiele im Anhang).
Dieses Vorgehen hat den Vorteil, dass
• alle Kontrollpunkte systematisch erfasst,
• ihre Qualität mittels eines Scoring-Verfahrens messbar gemacht werden und
1 Siehe www.acrys.com/Services&Competencies/Documentation.
Risikomanagement • 8
• der Zeitaufwand für die Implementierung und Durchführung ver-gleichsweise gering ist.
Basis-Fragebögen zu den o.g. Themenkomplexen sind bereits vorhan-den, die auf alle wesentlichen Risiken abdeckenden, kundenspezifisch anpassbaren Risikoprofilen aufbauen.
Durchführung von Schulungen und Workshops
� Praxisorientierter Know-how-Transfer an Ihre Mitarbeiter.
Basel II und MaK
� Aufzeigen der Auswirkungen von Basel II und den MaK (Mindestan-forderungen an das Kreditgeschäft) auf Ihr Unternehmen.
� Rating
• Quick-Check hinsichtlich Ihres Status für ein Rating.
• Unterstützung bei der Vorbereitung oder Verbesserung Ihres Rating.
Sarbanes-Oxley Act (SOX)
Sie fallen unter die Anforderungen des SOX? Wir helfen Ihnen bei der Analyse und Bewertung Ihres internen Kontrollsystems.
Unterstützung im operativen Risikomanagement
� Liquiditätssteuerung über das Instrument Forderungsverbriefung.
� Aufbau oder Quick-Check Ihrer Notfallplanung (Business Continuity Planning).
� Aufbau oder Quick-Check Ihres Krisenmanagements.
� Prozessmanagement - Aufzeigen von Reduzierungspotenzial bei den Risikokosten
• Identifizierung von Reengineering-Bedarf.
• Prozessoptimierung durch gezielte strukturelle und ablauf-organisatorische Maßnahmen.
Projektmanagement und Projektcontrolling
� Übernahme oder Unterstützung des Projektmanagements oder des Projektcontrolling.
Unser Know-how haben wir sowohl im Banken- als auch Nichtbanken-sektor (auch im kommunalen Bereich) unter Beweis gestellt.
Gerne erläutern wir Ihnen unsere bisherigen Projekte näher oder stehen Ihnen für ein unverbindliches, persönliches Gespräch in Ihrem Hause zur Verfügung, bei dem wir Ihnen Ihre ganz spezifische Situation besprechen und Ihnen unsere Lösungsansätze dafür vorstellen.
Risikomanagement KonTraG • 9
Die Rahmenbedingungen
KonTraG Inhalt und betroffenen Unternehmen
Am 1. Mai 1998 trat das Gesetz zur Kontrolle und Transparenz im Unter-nehmensbereich (KonTraG) in Kraft. Vorstände und Geschäftsführer aller börsennotierter Aktiengesellschaften, aller Kapitalgesellschaften (AG, GmbH, KGaA) und aller Gesellschaften, die ein Aufsichtsorgan haben, werden fortan explizit zur Einrichtung eines adäquaten Risikomanage-ment Systems verpflichtet.
Nach § 91 Abs. 2 AktG hat der Vorstand „...geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen frühzeitig er-kannt werden.“ Und die Pflicht des Nachweises, dass diese Anforderung eingehalten wird, obliegt dem Unternehmen.2
Das KonTraG hat auch Ausstrahlungswirkungen auf alle anderen Rechts-formen, Verbände und Non-Profit-Organisationen.
Aufgabe
Aus der Analyse der risikomanagementspezifischen Anforderungen des KonTraG resultiert die Aufgabe, mögliche Risiken mit geeigneten Früh-warnindikatoren zu identifizieren und pro-aktiv zu steuern.
Status
Auch 6 Jahre nach der Einführung des KonTraG besteht in den Unterneh-men noch ein großer Nachholbedarf im Kontext Risikomanagement.
Seit 1998 werden jährlich Untersuchungen über den Umsetzungsstand des KonTraG in den Unternehmen durchgeführt, die allesamt zum Er-gebnis haben, das oft ein nachlässiger Umgang mit Risiken erfolgt und hier noch ein großer Nachholbedarf besteht. Und auch die vor kurzem von Prof. Dr. Lück vorgestellte Untersuchung zeigt alarmierende Ergeb-nisse3. 100 der größten und bedeutendsten deutschen Unternehmen wurden zu ihrer Risikokultur und Risikoberichterstattung befragt. Im Er-gebnis wurden eine mangelnde Umsetzung einer Risikokultur und grobe Mängel in der Risikoberichterstattung diagnostiziert. Das wohl bekann-teste Beispiel für mangelnde Risikosensibilisierung und fehlende struk-
2 Für Kreditinstitute gibt es darüber hinaus noch weitere gesetzliche Grundlagen, die sich mit dem Risikomanagement beschäftigen. Unsere Lösungsansätze für Banken finden Sie unter www.acrys.com/Services&Competencies/Documentation. 3 Vgl. Prof. Dr. h.c. Wolfgang Lück, FAZ vom 01.03.2004.
Risikomanagement Basel II • 10
turierte Risikokommunikation der jüngsten Vergangenheit ist die Krise der Mannheimer Versicherung.
Diese Entwicklung erstaunt umso mehr, da die persönliche Haftung von Geschäftsführern und Aufsichtsräten immer öfter juristisch durchgesetzt wird.
Zu welchen Ergebnissen würde eine solche Umfrage bei den KMUs führen? Man wird sich sicherlich für eine solche Analyse auch die Statistik der Insolvenzen näher anschauen.
Basel II Inhalt
Der Kern der Anforderungen in den Basel II-Papieren zielt auf eine risikogerechtere und standardisierte Darstellung der Markt-, Kredit- und operationellen Risiken bei den Kreditinstituten ab. Damit sollen die Solidität und Sicherheit des Finanzsystems sichergestellt sowie Risiken umfassender und adäquater berücksichtigt werden.
Aktuell sind dies 8% pro herausgelegtem Euro, wobei die Bonität des Schuldners keine Rolle spielt. Ab 2006 sind unsichere Kredite mit mehr Eigenkapital zu unterlegen. Um die Bonität des Kunden, auch unter Be-rücksichtigung der einzuhaltenden Rahmenbedingungen durch Basel II oder der MaK zu beurteilen, entwickeln die Banken aktuell ihre Rating-Systeme weiter. Unter Rating ist die standardisierte Analyse und Bewertung der Bonität und wirtschaftlichen Leistungskraft der Bank-kunden zu verstehen.
Bedeutung des neuen Rating-Prozesses für Nichtbanken
Für Nichtbanken hat dies zur Folge, dass diejenigen, die auch künftig noch Kredite von den Banken erhalten möchten, transparente und glaub-hafte Daten über ihr Unternehmen vorweisen müssen. Ferner nimmt der Umfang der vorzulegenden Daten zu.
Qualität des Risikomanagements beeinflusst das Rating
Das Risikomanagement spielt im Rating-Prozess eine besonders große Rolle, da sich die Risiken des Unternehmens in der Folge auf das Kredit-risiko der Bank auswirken können. Auch die Pleitewelle der New Economy hat die Banken in hohem Maße dafür sensibilisiert.
Ein besonderer Fokus liegt auf dem Management der IT-Risiken, d.h. die grundsätzliche Sicherstellung der Existenz ist nachzuweisen.
Qualität des Risikomanagements beeinflusst die Finanzierungs-kosten
Die Banken werden wegen der geänderten Eigenkapitalanforderungen von Basel II die Kreditpreise den veränderten Risiken anpassen. Wäh-rend die öffentliche Diskussion im Wesentlichen darauf abzielt, dass dem Mittelstand künftig keine Bankkredite mehr zur Verfügung stehen, geht ganz die Schlussfolgerung verloren, dass sich für einen „guten“ Kredit-
Risikomanagement Makroökonomische Entwicklung • 11
nehmer künftig auch eine Chance ergibt, die genutzt werden muss: Die bisherigen Quersubventionen der schlechten Kreditnehmer zu Lasten der guten Kreditnehmer innerhalb der Bankplanung hat ein Ende.
Die stärkere Berücksichtigung der Kundenbonität bei der Kreditvergabe verteuert die Konditionen für schlechter geratete Kunden, u.U. wirkt sich ein schlechtes Rating auch auf die Höhe des Kreditrahmens aus. Gut geratete Kunden werden, und dies hoffentlich nicht nur in der Theorie, mit günstigerem Geld rechnen dürfen.
Finanzierungsalternativen erfordern auch ein angemessenes Risikomanagement
Auch die steigende Bedeutung der Finanzierungsalternativen erfordert ein angemessenes Risikomanagement. Der Kapitalmarkt wird neben dem klassischen Bankkredit als Finanzierungsquelle zunehmend wichtiger. Auch hier spielt das Risikomanagement eine große Rolle, da Investoren und Analysten ebenfalls die Transparenz über die Risiken und deren Handling fordern. Negative Erfahrungen mit Unternehmen, die z.B. nach dem Abschluss von Finanzderivaten Probleme hatten, gab es ja schon genug.
Makroökonomische Entwicklung Konjunkturelle Entwicklung
Es herrschen konjunkturell angespannte Zeiten, die gekennzeichnet sind durch wirtschaftliche Unsicherheit, damit einhergehende mangelnde Inve-stitionsbereitschaft sowie Wachstumsstagnation. In 2003 wurde erneut eine Höchstmarke an Insolvenzen erreicht. Der prozentuale Zuwachs bei den Unternehmensinsolvenzen hat sich im Vergleich zum Vorjahr zwar abgeschwächt, von einer Trendwende kann aber nicht gesprochen werden.4
Abbildung 2: Die Entwicklung der Gesamtinsolvenzen von 1993 bis 2003
4 Vgl. Creditreform, Pressemitteilung vom 04.12.2003
Risikomanagement Versicherungsumfeld • 12
Mangelhaftes Risikomanagement oft auch Grund für Insolvenzen
Eine Insolvenz kommt nicht überraschend, sondern kündigt sich an: Ver-lust an Marktanteilen, der ein Umsatz-, ein Auslastungs- sowie Ertrags-rückgang folgt und schließlich in Liquiditätsprobleme bis hin zur Über-schuldung mündet.
Abbildung 3: Vereinfachte Darstellung der Entwicklungsphasen einer Insolvenz
Typisch ist dann auch die Entwicklung der Auslastung der Bankkredite. Das Unternehmen nähert sich langsam, aber kontinuierlich den einge-räumten Linien.
Wird eine solche Entwicklung rechtzeitig erkannt, z.B. durch ein ange-messenes Risikofrüherkennungssystem, wird der Handlungsspielraum erweitert und Gegenmaßnahmen können eingeleitet werden.
Die Analyse von Insolvenzen zeigt, dass in den betroffenen Unternehmen vielfach ein Risikomanagement gar nicht oder nur unzureichend vorhanden war. Man kann viele Aussagen von Managern dieser maroden bzw. insolventen Unternehmen nachlesen, die insbesondere Schwächen in der Unternehmensstrategie, ein mangelhaftes Controlling und fehlende Steuerungsinstrumente für die Krisen verantwortlich machen.
Versicherungsumfeld Die Versicherungskosten steigen oder der Umfang der Risiken, die nicht durch Versicherungen abgedeckt sind, erhöht sich
Der Versicherungsmarkt ist durch zunehmende Komplexität und oftmals Nicht-Kalkulierbarkeit von Risiken gekennzeichnet. Auch haben sich die Vertragsbedingungen zu Ungunsten der Versicherer verändert. Daraus resultieren einerseits höhere Preise für den Abschluss von Versiche-rungen, die in Zeiten massiver Kosteneinsparungen zu einer tendenziell geringeren Versicherungsquote bei den Unternehmen führen. Auf der anderen Seite erhöhen die Versicherer den Druck auf die Unternehmen, ihr Risiko stringent zu managen und Transparenz zu schaffen.
Insolvenz
Überschuldung
Liquiditäts-probleme
Ertragsrückgang
Auslastungs-rückgang
Umsatzrück-gang
Verlust der Marktanteile
Zeitablauf
Unt
erne
hmen
swer
t
Risikomanagement Entwicklungen in der externen Rechnungslegung • 13
Entwicklungen in der externen Rechnungslegung
IFRS
Von 2005 an wird die IFRS5-Bilanzierung EU-weit für die Konzernab-schlüsse börsennotierter Unternehmen Pflicht sein. Mit der Einführung der IFRS werden die folgenden drei Ziele6 verfolgt:
� Eindeutigere und damit bessere Informationen für die Investoren,
� Harmonisierung der weltweiten Bilanzierungsregeln (Annäherung von IFRS und US-GAAP) und
� Erhöhung der Vergleichbarkeit von Unternehmen über Länder- und Branchengrenzen hinweg.
IFRS und Unternehmenssteuerung / Risikomanagement
Die zukünftigen Anforderungen der externen Rechnungslegung stellen auch Informationen bereit, die für die interne Steuerung Relevanz haben.
Die Regelungen sind jedoch sehr komplex, insbesondere was die Rech-nungslegung von Derivaten anbelangt. Es wird erwartet, dass manches Unternehmen auf notwendige Absicherungsgeschäfte verzichtet, da das Einhalten der bilanziellen Regeln, der Anrechnungsverfahren sowie der Erfordernisse an die Dokumentation der Geschäfte zu aufwändig sind.
Weitere Rahmenbedingungen Welche Herausforderungen müssen Sie noch bestehen? Globalisierung, verschärfter Wettbewerb, fortschreitende Technologisierung, neue Ver-triebswege, sinkende Kundenbindung, rückläufige Margen, veränderte Ertragsstrukturen, neue Geschäftszweige, Garantieverpflichtungen, politi-sche Risiken, neue Haftpflichtrisiken, zunehmende Schnelligkeit der Pro-duktentwicklung.
5 International Financial Reporting Standards. Im September 2002 wurden die IAS (International Accounting Standards) unter dem Namen IFRS zum künftigen Standard bei der externen Rechnungslegung erhoben. 6 Vgl. Karlheinz Küting und Johannes Wirth, Die IFRS-Konzernrechnungslegung – ein Umzug in eine Baustelle, FAZ vom 01.09.03, Seite 18.
Risikomanagement Risikomanagement muss als Kernaufgabe verstanden werden • 14
Die Ziele
Risikomanagement muss als Kernaufgabe verstanden werden
Unternehmerische Entscheidungen sollten immer auf der Grundlage von betriebswirtschaftlich fundierten Daten und Informationen erfolgen. Dies beinhaltet auch einen bewussten Umgang mit den unternehmerischen Risiken. Bilden Schätzungen, vage Annahmen oder gar Erwartungen die Basis, so ist dies plakativ ausgesprochen mit einem Blindflug vergleich-bar.
Oft gerät bei der Diskussion, wie und in welchem Umfang Risiko-management betrieben werden soll, in Vergessenheit, dass die struktu-rierte Erfassung und Bewertung von Risiken die angemessene Allokation des Risikokapitals erlaubt und damit das Chance-Risikoportfolio optimiert. In etlichen Studien kann man dies nachlesen. Der Einsatz von Führungs- und Steuerungsinstrumenten – zu dem das Risikomanagement gehört – sichert bzw. steigert die Wettbewerbsfähigkeit und führt damit auch zu einer Wertsteigerung des Unternehmens.
Auf die negative Auswirkung eines fehlenden Risikomanagementsystems sind wir bereits im Zusammenhang mit den Insolvenzen eingegangen.
Auch Non-Profit-Unternehmen unterliegen einem zunehmendem Druck ein Risikomanagement-System einzuführen, um die ihnen zur Verfügung stehenden Ressourcen optimal zu steuern, den Eintritt unvorher-gesehener Risiken auszuschließen oder Chancen (z.B. in der Zinsrisiko-steuerung) wahrzunehmen.
Chancen-/Nutzenargumente für eine erfolgreiche Projektierung des Risikomanagement sind beispielsweise:
� Das Risikobewusstsein Ihrer Mitarbeiter erhöht sich mit der Folge der Reduktion von Schäden und damit der Senkung von Istkosten (Ver-besserung der Cost-Income-Ratio).
� Ihre Prozess- und IT-Effizienz wird durch die Aufdeckung von Schwachstellen gesteigert.
� Durch die rechtzeitige Lokalisierung von Risiken und damit der Eröff-nung von Handlungsalternativen bietet sich Ihnen die Möglichkeit des Agierens (anstatt unter Umständen teures Reagieren auf die bereits eingetretenen Risiken).
Risikomanagement Risikomanagement muss auch als Chancenmanagement verstanden werden • 15
� Sie erhalten erheblich mehr und detailliertere Informationen über Ihre Risiken. Die Risikotragfähigkeit für diese Risiken wird ein Bestandteil Ihrer Entscheidungsprozesse.
� Je besser Sie Ihre Prozesse, IT-Systeme, Mitarbeiter und externe Einflüsse hinsichtlich der Risiken managen, umso größer ist die Chance der Reduzierung von Opportunitätskosten für die Verzinsung des dafür erforderlichen Eigenkapitals.
� Und nur das Beschäftigen mit diesen Risiken ermöglicht die Ein-bettung in eine umfassende Gesamtbanksteuerung.
Risikomanagement muss auch als Chancenmanage-ment verstanden werden
Es geht nicht darum, Risiken zu vermeiden, sondern sie bewusst und in Einklang mit der Unternehmensstrategie einzugehen mit dem Ziel, unter-nehmerische Chancen zu erkennen und wahrzunehmen und damit einhergehende Risiken zu managen. Es ist auch nicht zielführend, nur das Nötigste umzusetzen, da weiteres Ergebnispotenzial so unerkannt am Unternehmen vorüberzieht.
Um aber von diesen Chancen auch wirklich profitieren zu können, ist es notwendig, die Risikoverantwortlichen mit präzisen Informationen über ihre Risikolage zu versorgen, damit diese auch zielgerichtet steuern können:
� Was sind die Risikotreiber (risk driver) in den einzelnen Geschäfts-bereichen?
� Welches sind die kritischsten Risiken?
� Wie hoch ist die Wahrscheinlichkeit des Eintritts?
� Welcher Schaden (in Geldeinheiten) kann bei Eintritt entstehen?
� Wie wirken sich geplante Maßnahmen auf die bestehende Risiko-situation aus?
Risikomanagement • 16
Der Weg
� Die Festlegung der Risikostrategie und ihre Verankerung in der Unternehmenskultur sind Grundvoraussetzungen für ein wirksames Risikomanagementsystem.
� Aber auch die Beschreibung der operativen Abläufe darf nicht unter-schätzt werden.
� Nur der Aufbau eines integrierten Risikomanagementsystems führt zum Erfolg.
� Sämtliche Risikoarten müssen Berücksichtigung finden.
� Das Risikomanagement ist ein integraler Bestandteil der Unter-nehmensführung.
Strenge Projektnebenbedingung � Overload vermeiden
Bei alledem gilt es, Ihre spezifischen Gegebenheiten wie Größe, Ge-schäftsfelder u.ä. zu berücksichtigen. Ein "Overload" - nicht nur wegen der damit verbundenen Kosten - muss vermieden werden. Es gilt, den besten für Sie geeigneten Ansatz zu finden und zu verfolgen.
Herausforderung
Gehören Sie zu den Unternehmen, die Risikomanagement als Chance verstehen und direkten Nutzen daraus ziehen! Wir unterstützen Sie, zielgerichtet und effizient ein Risikomanagement-System aufzu-bauen.
Sprechen Sie mit uns. Wir sind Experten im Risk Management.
Risikomanagement Integriertes Risikomanagement • 17
Einführung eines Risikomanagement-Systems
Integriertes Risikomanagement Ein pro-aktives Risikomanagement7 erfordert die Integration eines konti-nuierlichen Überwachungs- und Steuerungsprozess entlang der ge-samten Wertschöpfungskette Ihres Unternehmens.
Dies stellt sich grafisch wie folgt dar:
Abbildung 4: Integriertes Risikomanagement-System
Die Unternehmensstrategie bestimmt in hohem Maße, wie stark die unternehmerischen Aktivitäten mit Risiken behaftet sind. Die wesent-lichen Aufgaben des RMS sind :
� ein Überwachungssystem zu implementieren, mit dessen Hilfe [be-standsgefährdende] Risiken frühzeitig erkannt und an das Manage-ment berichtet werden.
7 Gemäß dem Institut der Wirtschaftsprüfer subsumiert man unter Risikomanagement „... die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit Risiken unternehmerischer Betätigung.“
Identifizierung Bewertung Reporting Steuerung Überwachung
Produktentwicklung Einkauf
PRODUKTE / DIENSTLEISTUNGEN (WERTSCHÖPFUNGSKETTE)
Kun
den-
aqui
se/
-ver
wal
tung
Fina
ncia
lC
ontro
lling
ITFi
nanz
-bu
chha
ltung
Rec
hts-
abte
ilung
Per
sona
l-ab
teilu
ngR
evis
ion
*U
nter
neh-
men
skom
-m
unik
atio
n
RISIKOMANAGEMENT
Finanzrisiken Rechtsrisiken Reputations-risiken ...
Risikoarten
Risikodeckungs-masse (= Kapital)
AllokationRisikokapital
Risiko-potenzial
Information
TechnologyH
umanverm
ögen
STRATEGIE
STABSSTELLEN
RISIKO-CONTROL *
Regelmäßiger, sich wiederholender Prozess
VerkaufHerstellung
Prozesse
/*O
rganisation
Produkte
/D
ienstleistungR
isikostrategie
* Bestandteil des Internen Kontrollsystems
Risikomanagement Einbettung des Risikomanagements in das Interne Kontrollsystem • 18
� eine Aggregation der Risiken vorzunehmen und die Vernetzung der unterschiedlichen Risikoarten unter Berücksichtigung von Korrela-tionen aufzuzeigen.
� die Wesentlichkeit sowohl des Einzelrisikos als auch des Gesamt-risikos zu bewerten.
� die Risiken, die man bereit ist einzugehen, adäquat zu steuern und zu überwachen.
� das Risikopotenzial (= Risikoumfang/-höhe) mit der vorhandenen Risikodeckungsmasse (= Eigenkapital und Liquidität) optimal in Ein-klang zu bringen (ansonsten droht Überschuldung und Illiquidität).8
Einbettung des Risikomanagements in das Interne Kontrollsystem
In Bezug auf das Interne Kontrollsystem stellt sich das RMS wie folgt dar:
Abbildung 5: Risikomanagement und Internes Kontrollsystem9
8 Bei dieser Analyse sollte auch die Kostenstruktur mit berücksichtigt werden. 9 Übernommen von Prof. Dr. h.c. Wolfgang Lück und modifiziert.
Kontrolle
� prozessabhängig� in den Arbeitsablauf
integriert
Auf- und ablauforganisatorischeSicherungsmaßnahmen
� laufende, automatisierteMaßnahmen (Zweck: Ver-hinderung des Fehlerauf-tritts)
Interne Revision
Prozessunabhängig undsystematisch� Ordnungsmäßigkeit� Sicherheit� Wirtschaftlichkeit� Zweckmäßigkeit� Risikopotenzial
Risikomanagement i.e.S. (Risikomanagement der Risikoeigentümer)
� Risikoeinschätzung� Einzelgeschäftsbezogene Entscheidungen
I N T E R N E S Ü B E R W A C H U N G S S Y S T E M
F r ü h w a r n s y s t e m� Verringerung der Wahrscheinlichkeit
des Eintretens von Risiken
R i s i k o c o n t r o l l i n g� Neutrale Überwachung aller Risikoarten� Begrenzung des Risikopotenzials� Sicherstellung unternehmensweiter Standards� Optimierung der Kapitalallokation (Risk-Return-
Vergleiche)� Analysen für das Risikomanagement und andere
Risikomanagement Organisatorische Ausgestaltung eines Risikomanagement-Systems • 19
Organisatorische Ausgestaltung eines Risiko-management-Systems
Um eine unternehmensweite Sichtweise über die verschiedenen Risiko-arten zu erlangen, ist der Aufbau und die Implementierung eines Risiko-management-Systems notwendig, dass Bestandteil der Unternehmens-organisation wird.
Abbildung 6: Integriertes Risikomanagement-System
Die Basis bildet die Festlegung der Risikostrategie durch die Unter-nehmensleitung (z.B. welche Risiken möchte man eingehen, was soll die Verlustobergrenze sein, etc.). Diese Strategie wird in einer Rahmenricht-linie beschrieben. Dies auch, um ein einheitliches Begriffs- und Risiko-verständnis im Unternehmen sicherzustellen.
Darauf aufbauend werden für die wesentlichen Risiken risikopolitische Leitlinien und Limite festgelegt und vom Management verabschiedet. Das generelle Vorgehen bei der Einführung des RMS wird abgestimmt. Beachten Sie, dass für die Einführung und den langfristigen Erfolg eines RMS das Risikobewusstsein Ihres Senior Managements und das Backing durch ihn einer der zentralen Punkte ist.
Die quantitativen und qualitativen Methoden und Verfahren für die Er-mittlung der Risiken sind festzulegen.
Es entstehen neue Rollen und Verantwortlichkeiten in der Aufbauorgani-sation, in der Ablauforganisation schlägt sich dies in der Festlegung der Aufgaben- und Kompetenzen des Risikomanagements nieder. Im Risikohandbuch wird das RMS dokumentiert.
Auswirkungen werden Sie auch auf die Infrastruktur haben, sei es durch weitere Schnittstellen an vorhandenen Systemen, die Implementierung neuer Systeme oder den Aufbau zusätzlicher Datenbanken.
Das Risikomanagement wird Bestandteil der Berichterstattungsprozesse (MIS). Die Risikoberichterstattung ist in der Geschäftsordnung zu ver-ankern.
Risikomanagement liegt in der Verantwortung aller Mitarbeiter. Damit eine höchstmögliche Motivation und Akzeptanz innerhalb Ihres Unternehmens, aber auch eine hohe Risikosensibilisierung und Selbstkontrolle der Mit-
Strategie / Zielvorstellung und Fokus / Risikoappetit
INTEGRIERTES RISIKOMANAGEMENT-SYSTEM
Aufbauorganisation(Rollen und
Verantwortlichkeiten)
Ablauforganisation/Dokumentationen
IT-Infrastruktur
Information/Kommunikation
Methoden (qualitativ/quantitativ)
Management-informationssystem
Identifi-zierung/ Analyse
Bewer-tung
Repor-ting
Steue-rung
Über-wachung
Kontinuierlicher Verbesserungsprozess(Follow-up)
Risíkomanagement Prozess
Strategie / Zielvorstellung und Fokus / Risikoappetit
INTEGRIERTES RISIKOMANAGEMENT-SYSTEM
Aufbauorganisation(Rollen und
Verantwortlichkeiten)
Ablauforganisation/Dokumentationen
IT-Infrastruktur
Information/Kommunikation
Methoden (qualitativ/quantitativ)
Management-informationssystem
Identifi-zierung/ Analyse
Bewer-tung
Repor-ting
Steue-rung
Über-wachung
Kontinuierlicher Verbesserungsprozess(Follow-up)
Risíkomanagement Prozess
Risikomanagement Beispiel für die Einbettung in die Aufbauorganisation • 20
arbeiter erreicht wird, ist die Information sowie die intensive, regelmäßige Kommunikation mit ihnen äußerst wichtig. Binden Sie alle erforderlichen Mitarbeiter und Bereiche ein. Schaffen Sie eine Risikokultur.
Unterschätzen Sie hierbei auch nicht die Notwendigkeit der Einrichtung eines Anreizsystems (z.B. über Boni) für die Umsetzung dieser Risiko-kultur. Die erfolgreiche Umsetzung der Soft-Facts bestimmt den Erfolg Ihres Gesamtprojekts.
Der Aufbau des RMS wirkt sich auf annähernd auf alle Bereiche Ihres Unternehmens aus. Denken Sie rechtzeitig an die Einbindung des Be-triebsrats und ggfls. des Datenschutzbeauftragten (falls personenbezo-gene Daten erhoben werden sollen) sowie der Innenrevision. Beachten Sie in diesem Zusammenhang auch die Einhaltung sonstiger, unterneh-mensinterner Regelungen.
Das RMS muss „offen“ sein, damit Sie zukünftige Veränderungen zeitnah integrieren können (z.B. Veränderungen des Umfelds, in der Unter-nehmensstrategie oder der Risikoausrichtung).
Eine gute Planung und ein stringentes Projektmanagement begleitet den Aufbau Ihres RMS.
Beispiel für die Einbettung in die Aufbauorganisation Um überhaupt eine Risikoüberwachung zu ermöglichen, müssen die entsprechenden Organisationsstrukturen geschaffen werden.
Die Unternehmensführung trägt die Gesamtverantwortung für das RMS.
Das Risk Committee
� ist als Steering Committee für die Implementierung und Durch-setzung des RMS verantwortlich und genehmigt die Rahmenrichtlinie sowie angewandte Standards, Methoden und Instrumente.
� genehmigt wesentliche Risikosteuerungsmaßnahmen und Investitio-nen.
� fungiert als Eskalationsinstanz.
Das zentrale Risikomanagement (i.d.R. eine Stabsstelle), oft auch Risikocontrolling genannt,
� koordiniert die Risikomanagement-Aktivitäten und entwickelt Ver-fahren, Methoden und Instrumente in Zusammenarbeit mit den dezentralen Risikomanagern.
� entwickelt die Berichtsstandards und implementiert einen regel-mäßigen, konsolidierten Risikomanagement-Report.
� fungiert als Unterstützung für die Entscheidungsträger (Risk Owner).
Die dezentralen Risikomanager (die Risk Owner) identifizieren, berichten und steuern die Risiken ihres Geschäftsbereiches.
Risikomanagement Beispiel für die Einbettung in die Aufbauorganisation • 21
Aus Sicht des Risikomanagements stellt sich dies grafisch wie folgt dar:
Abbildung 7: Rollen und Verantwortlichkeiten
Unternehmensleitung Interne Revision
Stabsabteilungen
Geschäftsfeld 1
Geschäftsfelder
Geschäftsfeld 2
Geschäftsfeld nStabsabteilung n
Zentrales Risikomanagement /Risikocontrolling
Finanzbuchhaltung
IT
Risk Committee
Aufsichtsrat,Beirat o.ä.
Gesamtverant-wortung Neutrale
Überwachung
Federführung,Koordination
RiskOwner
RiskOwner
Risikomanagement • 22
Kernprozesse des Risikomanagements
Die Kernprozesse im Risikomanagement sind:
Abbildung 8: Kernprozesse des Risikomanagement
Es handelt sich um einen kontinuierlichen Prozess, der ggfls. auch die regelmäßige Überarbeitung bzw. Anpassung der Risikostrategie zur Folge hat.
Kernprozess Risikoidentifizierung Durchführung einer Risikoinventur
Das Ziel der Risikoidentifizierung ist die systematische, konsistente Er-fassung aller existierenden und potenziellen auf die Unternehmensziele wirkenden Risiken, ausgehend von den einzelnen Geschäftsbereichen bis hin zur Sichtweise Gesamtunternehmen.
Unter Risiken werden alle Arten von Risiken verstanden, wie Finanzrisi-ken, IT-Risiken, Kreditrisiken, Umweltrisiken, Strategische Risiken, Per-
Identifizierung /Analyse Bewertung Reporting Steuerung Überwachung
RISIKOMANAGEMENT REVISION
Regelmäßiger, sich wiederholender Prozess
Festlegen Risiko-felderRisikoinventur -Identifizierung derRisiken nach- Ursachen- Bereichen- Interdependenzen- wesentlichen EinflussfaktorenRisikoanalyse- Ursache/Wir- kungsbeziehung- Interpretation- Risikokatego- risierungBerücksichtigungvon:- vorhandenen Kontrollen- bereits ergriffenen Massnahmen
Erstellung Risiko-inventarBewertung derRisiken nach:- Qualität- Quantität- Wesentlichkeit- Eintrittswahr- scheinlichkeitErmittlung der Risi-koverantwortlichen(Risk Owner)Priorisierung derRisikenErmittlung Mass-nahmen/Empfeh-lungenErmittlung Gesamt-risikolage
Massnahmen zurRisikosteuerungauswählen:- Risiko-Übernahme- Risiko-Milderung- Risiko-Kompensa- tion- Risiko-Transfer- Risiko-Vermeidung
Berichterstattungnach den Dimen-sionen:- Inhalt- Formale Dar- stellung- Zeit- EmpfängerDarstellung Risiko-entwicklung
Neutrale Überprü-fung des Risiko-management-Prozesses und derWirksamkeit derSteuerungsmaß-nahmen
Risikomanagement Kernprozess Risikoidentifizierung • 23
sonalrisiken, Risiken aus Corporate Governance, etc. Es werden auch diejenigen Risiken erfasst, die nicht direkt quantifizierbar sind, wie beispielsweise das Reputationsrisiko.
Daten als Kernproblem
Die Grundlage für die Risikosteuerung und Maßnahmenplanung sowie die anschließende Priorisierung der Investitionen bilden die Daten, die bei der Risikoidentifizierung ermittelt werden. Ihre Güte und Aussagekraft bestimmt die Wirkung zukünftiger Entscheidungen. Nicht die Quantität des Datenvolumens ist entscheidend (Stichwort Datenüberschwem-mung), sondern ihr Informationsgehalt.
Einige Risikodaten sind direkt greif- und messbar (z.B. Markt- und Liqui-ditätsrisiken), andere dagegen sind weitaus schwieriger zu erfassen (z.B. Betriebsrisiken). Insbesondere bei der Szenarioanalyse zur Ermittlung der Verlusthöhen und Eintrittswahrscheinlichkeiten von Risiken sind sie in hohem Maße von subjektiven Einschätzungen abhängig.
Die Ermittlung von genauen und richtigen Daten sowie die Sicherstellung der Datenvollständigkeit sind daher Kernprobleme.
Bedeutung des Datenmanagements
Die Bedeutung und der Aufwandsumfang für das Datenmanagement wird zu Beginn eines Projektes oft unterschätzt. Aber gerade durch eine sinnvolle Datenstrukturierung können Sie den Erfolg des Projekts in hohem Maße positiv beeinflussen.
Vorgehensweise bei der Risikoidentifizierung
Zunächst sollten Sie analysieren, ob und welche Maßnahmen in Ihrem Unternehmen bereits in den einzelnen Geschäftsbereichen installiert sind, um Risiken zu erfassen. Diese sollten auf Verwendbarkeit für Ihr Projekt überprüft werden.
Daneben gilt es,
• die Risikobereiche und
• die Mitarbeiter, die am besten geeignet sind, Auskunft über die Risiken dieser Risikobereiche zu geben,
zu identifizieren.
Es ist ferner die Frage zu beantworten, nach welchen Kriterien die Risiken erfasst werden sollen:
• nach der Risikowirkung (Ertrags-, Vermögens- oder Finanz-wirkung),
• nach der Risikoursache oder
• nach der Risikoherkunft.
Um zunächst eine hohe Effizienz zu erreichen, sollte der Fokus auf den Risikobereichen mit hoher Relevanz liegen. Zu einem späteren Zeitpunkt empfiehlt es sich aber, die Analysen auszudehnen.
Risikomanagement Kernprozess Risikoidentifizierung • 24
Risikoindikatoren und deren Frühwarnfunktion
Risikoindikatoren sind Kennzahlen, die Ihnen Aufschluss über Ihre Risi-kosituation geben können. Durch die Verknüpfung mit Eskalationstriggern nehmen Sie bei der Identifizierung und Steuerung der Risiken eine Frühwarnfunktion ein. Sofern die „richtigen“ Indikatoren überwacht werden, tragen sie dazu bei, dass Verluste, potenzielle und Beinahe-verluste erkannt werden, bevor diese tatsächlich eintreten und das Ergebnis schmälern oder – im schlimmsten Fall – zu einem Reputations-verlust führen.
Indikatoren werden in den Prozessablauf integriert. Die Beobachtung der Indikatoren erfolgt zeitnah und kontinuierlich. Veränderungen im Zeit-ablauf liegen dem Risikomanager in der Regel zeitnah vor. Auf dieser Basis können adäquate Maßnahmen eingeleitet werden, deren Effektivität sich unverzüglich in der Entwicklung der Indikatoren widerspiegelt.
Herausforderungen bei der Festlegung von Risikoindikatoren
Folgende Fragestellungen müssen bei der Verwendung von Risiko-indikatoren beachtet werden:
� Erhält man mit dem Indikator auch tatsächlich eine Aussage über das Risiko bzw. den Risikotreiber oder misst er beispielsweise stattdessen die Performance?
� Erfasst der Indikator auch wirklich zukunftsgerichtete Informationen oder bestätigt er nur die Entwicklung der Vergangenheit?
� Welche Indikatoren eignen sich am besten für die einzelnen Ge-schäftsbereiche, um deren Risikopotenzial zu erfassen?
� Gibt es Indikatoren, die bereichs- und/oder unternehmensüber-greifend eingesetzt werden können?
� Erfasst der Indikator ein spezifisches Risiko oder können Indikatoren zusammen betrachtet werden, um einen Bezug zu einem be-stimmten Verlustereignis herzustellen?
� Ist der Indikator zum globalen Einsatz geeignet oder spiegelt er lokale Gegebenheiten wider?
� Bei Erreichung welchen Schwellenwertes soll eine Eskalation statt-finden?
� Sollen die Indikatoren mit Benchmarks versehen werden?
Die Notwendigkeit einzelner Indikatoren sollte zur Sicherstellung des größtmöglichen Kosten-/Nutzeneffektes regelmäßig überprüft werden. Als Stichworte sind hier Häufigkeit der Verlustereignisse versus Erfassungs-schärfe der Indikatoren zu nennen.
Ursache-Wirkungs-Analyse auf Basis von Verlustdaten
Der Auswertung historischer Verlustdaten mit Informationen über die Häufigkeit, Höhe und die Ursache von aufgetretenen Schäden kann bei dem Verstehen und zukünftigen Vermeiden von Schadensfällen hilfreich sein. Sie bilden eine gute Basis für die Entwicklung von Gegen- und Präventivmaßnahmen.
Risikomanagement Kernprozess Bewertung • 25
Auswertung von Berichten der Internen Revision durch das Risiko-management
Für die Zwecke der Verifizierung der Ergebnisse kann auch die Analyse der Berichte der Internen Revision hilfreich sein.
Schärfung des Risikobewusstseins
Der Prozess der Risikoidentifizierung sollte auch dazu verwendet werden, das Risikobewusstsein der Mitarbeiter zu schären.
Kernprozess Bewertung Risikoinventar
Sämtliche Risiken werden in ein Risikoinventar übertragen, nach Risikokategorien geordnet und priorisiert.
Damit die Risiken auch miteinander vergleichbar und ihre Gefährdungs-potenziale auf den Unternehmenswert für das Management greifbar werden, müssen Bewertungen durchgeführt werden (Ermittlung der Scha-denserwartungswerte).
Qualitative Beurteilung des Risikos
In der Regel erfolgt die Auswertung von qualitativen Kriterien nach einem Scoring Verfahren (Rating x Gewichtung).
Rating
Mit dem Rating wird die Qualität des Internen Kontrollsystems (IKS), der Prozesse, der Systeme bzw. der Arbeitsabläufe beurteilt bzw. Risiko-quellen identifiziert.
In unserem Beispiel unten beinhaltet das Rating 6 Stufen in beliebigen Alternativen (1-6, %-Angaben, Zeiträume, Häufigkeiten etc.), die nach der gleichen Systematik ausgewertet werden.
Die Systematik könnte beispielsweise sein:
Abbildung 9: Beispiel für ein Rating
Gewichtung
Mit der Gewichtung legt der Assessor fest, welche Bedeutung z.B. der Frage eines Self Assessments aus Organisations-, Prozess- oder Sy-stemsicht beigemessen wird. In unserem Beispiel unten erfolgt die Gewichtung in 5 Stufen.
gut, überdem
Durchschnitt
sehrschlecht,
ungenügendmangelhaft
schlecht,unter dem
Durchschnittadäquatsehr gut
Abnehmende Qualität des IKS
Risikomanagement Kernprozess Bewertung • 26
Die Systematik könnte beispielsweise sein:
Abbildung 10: Beispiel für eine Gewichtung
Ermittlung des Scales
Der aktuelle Score wird nun mit dem höchst möglichen Score in Beziehung gesetzt
� Aktueller Score = aktuelles Rating x aktuelle Gewichtung
� Höchst möglicher Score = höchst mögliches Rating multipliziert mit aktueller Gewichtung
� Scale = aktueller Score / höchst möglicher Score
Der Scale wird mit den zuvor festgelegten Toleranzgrenzen (wichtig für die Berichterstattung) verglichen. Im nächsten Schritt wird der Scale mit zuvor festgelegten Toleranzgrenzen für die Ampeleinteilung in Beziehung gesetzt (beispielsweise ab welchem Scale-Wert ist die geratete und gewichtete Fragestellung als kritisch einzustufen).
Das Ergebnis der gerateten und gewichteten Fragestellung könnte dann z.B. in Ampelfarben dargestellt werden. Diese Art der Darstellung ist im Reporting weit verbreitet.
Abbildung 11: Darstellung des Ergebnisses in Ampelfarben (grün, gelb, rot)
Quantitative Beurteilung des Risikos
Die gebräuchlichsten Ansätze zur Risikoquantifizierung sind
� das Risk Adjusted Performance Measurement (RAPM),
� der Value-at-Risk (VaR) und
� die Szenarioanalyse.
Wir haben etliche Unternehmen bei der Einführung der beiden letzten Ansätze begleitet. Während man bei den Banken oft den VaR-Ansatz findet, dominiert bei den Nonbanks aus Kosten-Nutzen-Aspekten heraus die Szenarioanalyse.
In einigen Unternehmen findet man auch Kombinationen dieser Ansätze, d.h. für unterschiedliche Risikoarten werden unterschiedliche Verfahren eingesetzt. In diesem Fall muss man sich ein Verfahren überlegen, die Ansätze miteinander zu verknüpfen, um einerseits Vergleiche machen zu können und andererseits eine Gesamtaussage zu erhalten.
Zunehmende Bedeutung
wenigerwichtig
überragendwichtigsehr wichtigwichtigunbe-
deutend
2 5431
gut, überdem
Durchschnittkatastrophal
sehrschlecht,kritisch
schlecht,unter dem
Durchschnittadäquatsehr gut
Risikomanagement Kernprozess Bewertung • 27
Szenarioanalyse
Durch die Ermittlung der potenziellen Verlusthöhen und Verlusteintritts-wahrscheinlichkeiten werden bei der Szenarioanalyse die Risiken hin-sichtlich ihrer monetären Wirkungen erfasst. Zum Beispiel IT-Risiken:
• Wie hoch schätzen Sie den monetären Schaden aus dem Ausfall des IT-Systems? Antwort: 500 TEuro.
• Wie hoch ist die Wahrscheinlichkeit des Ausfalls des IT-Systems? Antwort: 1 mal im Jahr.
Value-at-Risk
Beim Value-at-Risk (VaR) wird das Risiko auf Basis von statistisch-mathematisches Verfahren ermittelt (z.B. für die Ermittlung der Markt-preisrisiken). Es gibt unterschiedliche Methoden wie Varianz-Kovarianz-Modell, Historische Simulation, Monte-Carlo-Simualation, wobei letztere bei Ermittlung des VaR im Nonbanking-Bereich überwiegt. Der VaR ist definiert als die Wertänderung, die mit einer vorgegebenen Wahr-scheinlichkeit (Konfidenz) innerhalb einer in der Zukunft liegenden Periode (Beobachtungszeitraum) nicht überschritten wird. Bei dem VaR-Konzept handelt es sich um eine komplexere Methode. Ob sich die Einführung einer VaR-Ermittlung lohnt, ist im Einzelfall (Größe des Unternehmens, Nutzen/Aussagekraft, etc.) zu entscheiden.10
Ableitung des Risikoportfolios
Ausgehend von den oben erläuterten Ergebnissen muss nun das Risiko-portfolio abgeleitet werden. Dieses wird häufig in Form der Risikomatrix dargestellt (siehe Abbildung 10).
Etwas komplexer stellt sich hier die Berücksichtigung von Korrelationen zwischen den einzelnen Risikokategorien dar. Dies ist wichtig, um das Risiko so realistisch wie möglich darzustellen, damit die darauf auf-bauende Risikosteuerung nicht zu einem Fehlergebnis führt.
Darstellung der Risikosituation durch Soll-Ist-Vergleich
Um festzustellen, ob die vorhandenen Risikomanagement-Maßnahmen in Einklang mit der Risikostrategie des Unternehmens stehen, muss ein Soll-Ist-Vergleich durchgeführt werden.
Ergeben sich signifikante Unterschiede, so ist die Risikostrategie anzu-passen.
Sensitivitäts- und Stresstests
Über die Risikoidentifikation und Bewertung hinaus sollten Sensitivitäts-analysen durchgeführt werden, um zu erfahren, wie sich die Zielgröße (= das Risiko) bei Veränderung der Eingabedaten verhält.
10 Weiterführende Erläuterungen zum VaR-Konzept sind zu finden unter www.acrys.com/ Services&Competencies/Documentation/Risk Management/Basel II/ Gesamtbanksteuerung.
Risikomanagement Kernprozess Risikoreporting • 28
Stresstests stellen ein Hilfsmittel dar, um die Stabilität des Unternehmens bei Eintritt von extremen Ausnahmen von der normalen Marktentwicklung zu simulieren.
Kernprozess Risikoreporting Nur Risikokommunikation ermöglicht Risikosteuerung
Die [wesentlichen] Risiken müssen dem Management und den Risiko-eigentümern
� transparent gemacht und kommuniziert werden,
� damit diese frühzeitig über unerwartete Risiken informiert werden
� und in der Lage sind, zeitnah Gegenmaßnahmen einzuleiten.
Das Ziel ist, die richtigen Informationen (= qualitativ hochwertige und veri-fizierte Informationen) und Auswertungen an die richtigen Empfänger zur richtigen Zeit und in der richtigen Art und Weise (= flexibel und em-pfängerorientiert) zu berichten, damit diese in die Lage versetzt werden, unter Abwägung aller Chancen und Risiken fundierte Entscheidungen zu treffen. Um dies sicherzustellen, empfehlen wir nachdrücklich, die Rah-menbedingungen des Reporting im Projekt früh zu berücksichtigen.
Wie bei allen Berichterstattungen ist auch im Risikomanagement auf
� die Aktualität der Input-Daten,
� deren Plausibilität und
� Objektivität sowie
� eine verständliche Darstellung
zu achten.
Zu adressierende Fragestellungen
Inhaltliche Dimension
� Welche Daten sind für die (tägliche) Steuerung notwendig?
– Reporting-Gegenstand
– Sicherstellung der qualitativen Hochwertigkeit der Daten
– Verdichtungsgrad
� Woher erhalten wir die Daten?
– Sicherstellung des Zugriffs nur auf verifizierte Daten
Formale Dimension
� Wie sollen die Ergebnisse dargestellt werden?
– Darstellungsart (grafisch, verbal) und Struktur
– Empfängerorientiert versus flexibel
– Übersichtlichkeit
Zeitliche Dimension
� Wann sollen die Reports versendet werden?
Risikomanagement Kernprozess Risikoreporting • 29
– Reporting-Zeitpunkt, Häufigkeit
– Reporting-Zeitraum
Empfänger Dimension
� Wer soll die Reports wie erhalten?
– Empfänger: Aufsichtsrat, Inhouse-Empfänger (Geschäfts-führung, Risk Committee, Interne Revision, Controlling, Risikomanager), Externe Prüfer.
– Versendungsart
Die Möglichkeit der Durchführung eines Ad-hoc Reporting versteht sich als selbstverständlich.
Reporting-Beispiel Risikomatrix
Abbildung 12: Reporting-Beispiel Risikomatrix
(Quelle: interexa, Tool VÖB-ORC)
Legende:1: Feuer2: Rechtsrisiko3: Outsourcing-Risiko4: IT-Risiko5: Diebstahl durch Interne
Risikomanagement Kernprozess Risikosteuerung • 30
Reporting-Beispiel Risikomanagement-Cockpit
Abbildung 13: Reporting-Beispiel Risikomanagement-Cockpit
(Quelle: Antares, Tool RiMIS)
Kernprozess Risikosteuerung Auf Basis der Risikoanalyse (Risikoidentifizierung und –bewertung der Eintrittswahrscheinlichkeit und des potenziellen Schadensausmaßes) erfolgt die Risikosteuerung (auch Risikobewältigung genannt). Sie steht unter dem Leitsatz: Risiko - Chance – Strategie.
Alternativen zur Risikosteuerung
Zur Steuerung stehen folgende Alternativen zur Verfügung:
Risikomanagement Kernprozess Risikosteuerung • 31
Abbildung 14: Abbau unkontrollierbarer Risiken und Wahrnehmung von Chancen
Es gilt:
� Risiko-Übernahme
- Erwartete Risikokosten < notwendige Investitionen.
- Inkaufnahme des Risikos
- Dann aber. Kalkulation und Bepreisung in der Risikoprämie, Berücksichtigung des Risikos in Verträgen, Bildung einer Eigenkapitalreserve, Risikostreuung, etc.
� Risiko-Milderung
- Führt oft auch zu einer Investition.
- Teilweise oder weitgehende Vermeidung der Eintrittswahr-scheinlichkeit und/oder der Auswirkungen.
- Nur bei signifikanter Reduzierung der Risiken.
- Zum Beispiel durch: Verbesserung des IKS, Verlagerung des Risikos auf Kunden/Lieferanten, Konsortium, Outsourcing, Risikostreuung, Vorfinanzierung eines als sehr wahrscheinlich werdenden Schadens, ...
� Risiko-Kompensation
- Deckungsbeitragssatz > erwartete Risikokosten.
- Zum Beispiel Hedging durch den Abschluss von Finanz-Derivaten.
� Risiko-Transfer
- Deckungsbeitragssatz > erwartete Risikokosten.
- Zum Beispiel durch: Versicherungen oder Transfer von ver-sicherungsfähigen Risiken in die Kapitalmärkte (z.B. Cor-porate Bonds, Joint Venture, Forderungsverbriefung) oder an Kreditversicherer.
niedrig Verlusthäufigkeit hoch
Geringes Risiko,geringe Eintrittswahr-
scheinlichkeit
Risiko-Akzeptanz/-Übernahme
Hohe Wahrschein-lichkeit des Eintritts
Risiko-Milderung
Hoher Schaden,geringe Eintrittswahr-
scheinlichkeit
Risiko-Transfer
Wesentliches Risiko
Risikovermeidung
nied
rigV
erlu
sthö
heho
ch
Risikomanagement Kernprozess Überwachung • 32
� Aber beachte: Eintausch gegen rechtliches Risiko?
� Risiko-Vermeidung
- Zielt auf die Einstellung des Risikos.
- Deckungsbeitragssatz < erwartete Risikokosten.
- Zum Beispiel durch: Einsatz Treasury Management, Aufgabe des Produktfeldes, Ablehnung von Aufträgen, ...
Maßnahmen und deren Verfolgung
Die Maßnahmen, die sich aus den Steuerungsentscheidungen ableiten, sind zu dokumentieren (Maßnahmentyp, Status und idealerweise Vorgehensbeschreibung) und deren Erledigung zu verfolgen.
Die Maßnahmen sollten bis zur Beendigung ebenfalls in die regelmäßige Berichterstattung mit einbezogen werden.
Beispiel für die Maßnahmenverfolgung im Software-Tool RiMISTM:
Kernprozess Überwachung Prozessabhängige Überwachung
Das Risikocontrolling übernimmt die neutrale Überwachung aller Risiko-arten und berichtet an das Management bzw. Risk Committee. Ferner unterstützt es mit Analysen und Berichten die Risikomanager (Risk Owner) bei der Steuerung ihrer Risiken.
Prozessunabhängige Überwachung
Die Interne Revision ist Bestandteil des Internen Kontrollsystems. Sie überprüft als prozessunabhängige Instanz die Risikomanager, den Risiko-management-Prozess und das Risikocontrolling hinsichtlich Zielerrei-chung sowie Wirksamkeit und Effizienz der Risikosteuerungsmaßnah-men.
Daneben werden prozessunabhängige Prüfungen vom externen Prüfer und dem Aufsichtsrat durchgeführt.
Risikomanagement Wertorientierte Unternehmensführung • 33
Risikomanagement als Bestandteil einer wertorientierten Unternehmensführung
Wertorientierte Unternehmensführung
Der Wert eines Unternehmens wird von den zukünftigen Erträgen (Free Cash Flows) und deren Risiken bestimmt.
Bei der wertorientierten Unternehmensführung11 liegt der strategische Fokus auf der Steigerung des Unternehmenswertes. Ein wichtige Größe ist der Shareholder Value, hinter dem die Messgröße Aktienrendite steht. Die grundsätzliche Überlegung ist, dass nur dann ein Shareholder Value geschaffen wird, wenn die erwirtschafte Rendite über den Kapitalkosten liegt. Danach erzielt das Unternehmen den besten Shareholder Value, das den Kapitalgebern den höchsten Nutzen bietet.
Sämtliche Risiko- und Renditequellen des Unternehmens müssen be-trachtet werden, um die Frage beantworten zu können, wie hoch die Profitabilität im Verhältnis zum eingegangen Risiko ist.
Einordnung des Risikomanagements
Frühwarn- und Überwachungssysteme spielen bei der wertorientierten Unternehmensführung eine wesentliche Rolle. Das Risikomanagement etabliert und kalibriert die Beziehungen zwischen dem Risiko und der Rentabilität. Es soll sicherstellen, dass der Gewinn und das Wachstum nicht durch das Eingehen nicht-überwachungsfähiger Risiken gefährdet wird. Dafür muss Risikotransparenz geschaffen werden. Unterneh-merische Entscheidungen sollen unter der Abwägung von der mit den Erträgen in Zusammenhang stehenden Risiken gefällt werden.
Dies auch, da nur ein begrenzter Umfang an Eigenkapital zur Deckung der Risiken zur Verfügung steht.12 In diesem Zusammenhang treffen wir auch auf die nachfolgend erläuterten Begriffe.
Risikotragfähigkeitskalkül
Den potenziellen Risiken sind Eigenmittel in angemessener Höhe (Risiko-deckungsmasse) zur Absicherung entgegenzustellen. Aus dieser
11 Im angloamerikanischen Sprachraum Value Based Management (VBM) genannt. 12 Der Erfolg zeigt sich in der Höhe des Risikozuschlages und dem Banken-Rating.
Risikomanagement Balance Scorecard als methodische Alternative • 34
Deckungsfunktion resultiert ein untrennbarer Zusammenhang zwischen den Größen Risiko und Eigenmittel.
Das Risikotragfähigkeitskalkül setzt sich mit der Frage auseinander, ob das Unternehmen überhaupt in der Lage (und auch bereit ist), das Risiko wirtschaftlich einzugehen.
Risiko-Chance-Kalkül
Das Risiko-Chance-Kalkül hingegen beschäftigt sich mit den Frage-stellungen:
� Welchen Beitrag liefern die einzelnen Geschäftsfelder/Produkte zum Unternehmenswert? Erreichen Sie ihre Ergebnisvorgaben?
� Was sind die Werttreiber?
� Welche strategischen Geschäftsfelder sollten ausgeweitet und welche reduziert oder gar eingestellt werden?
Balance Scorecard als methodische Alternative Eine methodische Alternative die beiden Parameter „Ertrag“ und „Risiko“ miteinander in Beziehung zu setzen, stellt die Verknüpfung des RMS mit einer Balance Scorecard (BSC) dar.
Die BSC ist ein Instrument der strategischen Unternehmenssteuerung. Mit ihr können die Strategien von Geschäftseinheiten direkt in konkrete, operative Maßnahmen übertragen werden. Die Umsetzung dieser Maß-nahmen ist messbar.13
Die uns bekannte Standard-Risikomanagement-Software RiMIS ist Bestandteil der Produktfamilie CIM (Corporate Information Mall). Es be-steht die Möglichkeit, RiMIS zum umfassenden Steuerungssystem auszu-bauen. Gerne präsentieren wir Ihnen diese Lösungsalternative.
13 Eine im März 2004 veröffentlichte Studie der Horváth & Partners zeigt auf, dass der Einsatz von BSC Unternehmen erfolgreicher macht und Wettbewerbsvorteile bringt. Siehe FAZ vom 15.03.2004, Seite 28.
Risikomanagement Braucht man wirklich Software-Unterstützung? • 35
Software-Unterstützung
Braucht man wirklich Software-Unterstützung? Gerade in wirtschaftlich angespannten Zeiten ist es schwierig, Unter-nehmen davon zu überzeugen, eine Risikomanagement-Software-Lösung einzusetzen. Wir möchten Ihnen daher diese Frage beantworten, in dem wir hier zunächst noch einmal kurz die wesentlichen Vorteile eines RMS darstellen, die durch eine Vielzahl von Studien nachgewiesen werden:
� Nachhaltige Verbesserung der Ertrags- und Risikosituation und da-mit Sicherung bzw. Stärkung der Wettbewerbssituation.
� Chance der Identifizierung neuer Ertragsquellen und/oder Nutzen-potenziale und dadurch
� Steigerung der Erfolgspotenziale,
� Steigerung des Marktwertes / Reinvermögens,
� Erfüllung der Erwartungen der Stakeholder (Investoren, Arbeitsnehmer, Lieferanten).
Alle erfolgreichen Unternehmen sind sich aber auch einig darüber, dass man dies und auch die gesetzlichen Anforderungen aus dem KonTraG nicht ohne eine angemessene Software-Unterstützung erfüllen kann.
Oft findet man in Unternehmen Eigenlösungen basierend auf Excel oder Access vor, die den Anforderungen nicht (mehr) gerecht werden. Da-neben führt die automatisierte Zusammenführung von Daten häufig zu großen Schwierigkeiten. Manches Mal können diese auch gar nicht überwunden werden und manuelle Tätigkeiten prägen den Prozess. Von Prozessoptimierung kann wahrlich nicht die Rede sein. Ein solcher Risikomanagement-Prozess birgt selbst ein Risiko in sich und enthält Kostensenkungspotenzial.
Natürlich wird man bei der Auswahl der Software Überlegungen wie Größe des Unternehmens, Komplexität der Organisation, u.ä. anstellen müssen. Und auch ein wenig Pragmatismus sollte eingehen.
Unsere Software-Erfahrungen
Mit den folgenden Software-Lösungen haben wir Erfahrung. Gerne prä-sentieren wir sie Ihnen in Hersteller-unabhängiger Atmosphäre:
� RiMIS (siehe Beispiele im Anhang) oder
� VÖB-ORC.
Risikomanagement Beispiel für eine Kauf-Software: RiMIS • 36
Anhang
Beispiel für eine Kauf-Software: RiMIS Das Software-Tool RiMIS (Risikomanagement-Informationssystem) wurde als fachliche Anforderung zur Software-Unterstützung der operativen Handhabung von Risikomanagement in Unternehmen entwickelt. RiMIS
ist ein Softwareprodukt des Unternehmens Antares Informationssysteme. Die inhaltliche Konzeption wurde von der Ernst & Young AG begleitet und vor Markteinführung hinsichtlich der funktionalen und rechtlichen Anfor-derungen einer Überprüfung unterzogen.
RiMIS ist Bestandteil der Produktfamilie CIM (Corporate Information Mall). Es besteht die Möglichkeit, RiMIS zum umfassenden Steuerungssystem auszubauen, um die Steuerung von Chancen und Risiken konzeptionell zusammen zu führen. Nachfolgend einige Screenshots zum Risiko-management:
Risikoidentifikation mit RiMIS
Risikomanagement Beispiel für eine Kauf-Software: RiMIS • 37
Risikobewertung mit RiMIS
Value-at-Risk Ermittlung mit RiMIS
Risikomatrix qualitativ der Standardsoftware RiMIS
Risikomanagement Beispiel für unsere Access Lösung ORSA • 38
Steuerung der Top Risikotreiber mit RiMIS
Maßnahmenverfolgung mit RiMIS
Beispiel für unsere Access Lösung ORSA
ORSA unterstützt Sie bei der Durchführung und Auswertung von Self Assessments, bei denen qualitative Risikoeinschätzungen erhoben wer-den. Ursprünglich für die Identifizierung von operationellen Risiken im Sinne von Basel II entwickelt, wird das Tool mittlerweile auch zur Er-füllung weiterer Aufgaben eingesetzt, insbesondere zur Erfassung von IT-Risiken14.
Für folgende Themengebiete liegen bereits Fragebögen vor, die wir auf Wunsch unentgeltlich in ein Beratungsprojekt einbringen:
14 Siehe hierzu auch www.acrys.com/Services&Competencies/Documentation/Risk Manage-ment/ Basel II/Operational Risk/IT-Risk Assessment.
Risikomanagement Beispiel für unsere Access Lösung ORSA • 39
• Generische Fragestellungen zu operationellen Risiken
• IT-Risiken
• Projektrisiken
• Outsourcing / SLA-Management
• Aufbau und Bearbeitung des Risikoprofils
• Assessment: - Erfassung von Stammdaten - Zusammenstellung und - Ergebniserfassung
• Reports - Erfassung von Stammdaten - Zusammenstellung und - Ergebniserfassung
• Verwaltung von Bearbeitern und Berichtsempfängern der Assessments und Reports
Im Risikoprofil erfolgt die Definition der • Risikokategorien, • Risikotypen, • Items (= Fragen).
Risikomanagement Beispiel für unsere Access Lösung ORSA • 40
Eingabe der Assessments in die Datenbank über eine Eingabemaske.
Die oberste Report-Ebene zeigt den Risikogehalt der Risikotypen. Die zweite Ebene erläutert den Risikogehalt der einzelnen Items.
ORSA-Manager Steuert den Datenaustausch zwischen der PostgreSQL Datenbank und den stand-alone Access Datenbanken ORSA-Einzelplatz. • Assessments können von einer
zentralen Stelle an die Bearbeiter versendet werden und nach Be-antwortung wieder in die Daten-bank integriert werden.
• Kann folgende Aufgaben durchführen: o Aktualisieren des Risikoprofils
von ORSA-Einzelplatz Datenbanken
o Ausgliedern von Assessments in ORSA-Einzelplatz Datenbanken aus der PostgreSQL Datenbank
o Einstellen von Assessments aus ORSA-Einzelplatz Datenbanken in die PostgreSQL Datenbank
Risikomanagement • 41
Kontakt
Wir unterstützen Sie bei der Erreichung Ihrer Ziele.
Mitarbeiter mit langjährigen Erfahrungen und exzellentem Spezial-wissen stehen Ihnen zur Seite.
Sprechen Sie mit uns. Wir informieren Sie gerne näher.
Management
Acrys Consult GmbH & Co. KG
Barbara Dilges-Maruska +49 69 244506 16 [email protected]