Content

5.2 Gestaltung und Organisation der Risikoberichterstattung in:

Marc Diederichs

Risikomanagement und Risikocontrolling, page 184 - 195

3. Edition 2012, ISBN print: 978-3-8006-4222-9, ISBN online: 978-3-8006-4223-6, https://doi.org/10.15358/9783800642236_184

Series: Finance Competence

Bibliographic information
5. Risikoberichterstattung und Risikokommunikation164 Je nach Empfängerkreis lässt sich die interne und externe Risikoberichterstattung unterscheiden.381 Bei der internen Risikoberichterstattung werden Informationen an Empfänger im Unternehmen, bei der externen an Außenstehende382 übermittelt. Da die für die externe Risikoberichterstattung benötigten Informationen auf der Basis der internen Risikoberichterstattung ermittelt werden (vgl. Abb. 5-9, S. 174), steht Letztgenannte fort folgend im Fokus. 5.2 Gestaltung und Organisation der Risikoberichterstattung Um die Ziele und Aufgaben der Risikoberichterstattung erfüllen zu können, sind bei der Gestaltung und Organisation bestimmte Aspekte zu berücksichtigen, die als funktionale, inhaltliche, formale, zeitliche und personale Berichtsmerkmale bezeichnet werden.383 Die Abb. 5-1 zeigt, welche Fragen zu beantworten sind. Was (inhaltlich)? # Berichtsinhalt (-gegenstand) # Aussageart # Verdichtungsgrad & Genauigkeit # Anzahl # Berichtsquelle Wozu (funktional)? # Berichtszweck Wann (zeitlich)? # Termin # Bearbeitungszeit # Erscheinungsweise (Berichtszeitraum) Wie (formal)? # Datenerfassung & -aufbereitung # Art der Erstellung # Darstellung (Übersichtlichkeit) # Übermittlungsmedium # Berichtsart Wer (personal)? # Ersteller (Sender) # Empfänger (Adressat) Abb. 5-1: Parameter bei der Gestaltung der Risikoberichterstattung384 Da es schwierig ist, einen Aspekt isoliert betrachtet umfassend zu erfüllen, und es zudem nicht möglich ist, den teils konkurrierenden Aspekten gleichermaßen gerecht zu werden, ist in der Unternehmenspraxis nach einer Kompromisslösung zu suchen und ein individuelles Optimum anzustreben.385 381 Vgl. Blohm (1980), Sp. 316; Blohm (1982), S. 867 f.; Dinter (1999), S. 262. 382 Als Beispiel sei hier die Lageberichterstattung angeführt. 383 Vgl. Schierenbeck/Lister (2001), S. 370 f.; Wolf/Runzheimer (2003), S. 101 f. 384 In Anlehnung an Blohm (1974), S. 14. 385 Konkurrierende Beziehungen bestehen zum Beispiel zwischen der Menge an Berichtsinformationen, dem Verdichtungsgrad und der Übersichtlichkeit. 5.2 Gestaltung und Organisation der Risikoberichterstattung 165 5.2.1 Berichtszweck Bei der Gestaltung der Risikoberichterstattung steht zunächst die Frage nach dem Berichtszweck im Vordergrund (vgl. Abb. 5-1). Hieraus lässt sich ableiten, welche Inhalte zu berichten und wie die anderen Merkmale auszuprägen sind.386 Risikoberichte dienen unterschiedlichen Zwecken. Hierzu zählen die Dokumentation von Ereignissen, Auslösung von Arbeitsvorgängen, Vorbereitung von Entscheidungen und Kontrolle des Betriebsablaufs.387 Neben der an Beispielen aufgezeigten Dokumentations-, Durchsetzungs- und Sicherungsfunktion sei die Rechenschaftsfunktion genannt. Hierbei liegt der Zweck im Nachweis der Sorgfaltspflicht der Geschäftsführung begründet. 5.2.2 Berichtssender und Berichtsempfänger Bei der Gestaltung der Risikoberichterstattung sind Berichtssender und Berichtsempfänger festzulegen. Zudem sind Informations- und Kommunikationswege aufzubauen. So ist zu definieren, wie Informationen erfasst und weitergegeben werden. Sofern risikorelevante Informationen nicht aus bestehenden Systemen oder anderen Informationsquellen übernommen werden können, sollte die Risikoberichterstattung bottom-up erfolgen. So sind die Risiken in den operativen Einheiten − wie zum Beispiel in den Fachfunktionen oder Tochtergesellschaften − zu erfassen. Sie verfügen über das größte Wissen über die in ihrem Aktionsradius bestehenden Risiken. Aus Praktikabilitätsgründen sollte jede operative Einheit einen Verantwortlichen für die fortlaufende Risikoberichterstattung nominieren, der die Koordination der Risikoerfassung übernimmt. Um die Risiken möglichst ganzheitlich zu erfassen, sollten in den operativen Einheiten Workshops stattfinden. Dabei sollten die Risikoverantwortlichen (Risikoeigner), das heißt in der Regel die Bereichsleitung und die jeweiligen Mitarbeiter, die Risiken ihres Bereichs und die Risiken, für die sie verantwortlich sind, erörtern. Dabei ist sicherzustellen, dass die am Berichtsprozess Beteiligten bereit sind, die Risiken zu kommunizieren. Dazu ist eine offene Kommunikationskultur von der Geschäftsführung vorzuleben, die den Überbringer schlechter Nachrichten nicht sanktioniert, sondern fördert.388 Bei der erstmaligen Risikoerfassung oder bei der Erkennung eines neuen, großen Risikos kann zudem der zentrale Risikomanager die Diskussion begleiten. Je nach Tragweite des Risikos ist es außerdem sinnvoll, den Risikoausschuss einzubeziehen. Die erkannten Risiken sind sodann durch die Risikoeigner zu dokumentieren. Hierfür bieten sich Risikoerfassungsbögen an, deren Aufbau aus Gründen der Vergleichbarkeit einem unternehmensweit einheitlichen Standard folgen und bestimmte Mindestinhalte berücksichtigen sollte (vgl. Abb. 5-2). So sollte ein Risikoerfassungsbogen allgemeine Angaben zur berichtenden Einheit, den Risikonamen und eine Risikobeschreibung, eine Risikobeurteilung, die risikosteuernden Maßnahmen und die verantwortliche Funktion sowie ein Kom- 386 Vgl. Blohm (1974), S. 13; Blohm (1982), S. 868; Küpper (1994), S. 897. 387 Vgl. Asser (1971), S. 661;Welge (1988), S. 384 f.; Birk (1991), S. 8 ff. 388 Vgl. Weber/Weißenberger/Liekweg (1999b), S. 38. 5. Risikoberichterstattung und Risikokommunikation166 mentarfeld enthalten. Die im Folgenden näher beschriebenen Felder sind im Bedarfsfall um weitere Elemente zu ergänzen. Radius Stärke Radius Stärke Erläuterungen Kommentarfeld (Anregungen und Empfehlungen) Risikobeurteilung (Nettobetrachtung) Ergebniseffekt Imageauswirkung Eintrittswahrscheinlichkeit Reaktive Maßnahmen Geplante Maßnahmen Erläuterungen Risikosteuerung (Maßnahmen, Instrumente, Projekte, Systeme) Präventive Maßnahmen Risikobeurteilung (Bruttobetrachtung) Ergebniseffekt Imageauswirkung Eintrittswahrscheinlichkeit Risikoidentifikation Risikokurzbezeichnung Risikofeld Risikobeschreibung Allgemeine Angaben (zur berichtenden operativen Einheit) Berichtszeitpunkt Vorstandsressort Berichtende Einheit Ansprechpartner Abb. 5-2: Beispielhafter Risikoerfassungsbogen389 Nach der Dokumentation allgemeiner Angaben ist im beispielhaften Risikoerfassungsbogen eine Kurzbezeichnung anzugeben, die das identifizierte Risiko selbsterklärend benennt. Es ist zu beachten, dass für die Bezeichnung von in verschiedenen operativen Einheiten auftretenden, gleichartigen Risiken einheitliche Begriffe verwendet werden. Die Einheitlichkeit kann durch entsprechende Definitionen in der Risikomanagement-Richtlinie gewährleistet werden. Zudem sind die Risiken zu beschreiben. Die Beschreibung sollte von einem unabhängigen Dritten nachvollzogen werden können. Wenn möglich, sind auch Interdependen- 389 In der Abb. 5-11 (S. 176) wird ein weiterer Erfassungsbogen gezeigt. Im Gegensatz zur Abb. 5-2 (ein Risiko − ein Berichtsbogen) werden in der Abb. 5-11 mehrere Risiken auf einer Seite geführt. Zudem werden weitere mögliche Berichtsinhalte dargestellt. Die hier gezeigten Risikoerfassungsbögen verstehen sich als Fallbeispiele und sind an den jeweiligen Bedarf anzupassen. 5.2 Gestaltung und Organisation der Risikoberichterstattung 167 zen mit anderen identifizierten Risiken aufzuzeigen. Weiterhin ist das erkannte Risiko zu kategorisieren, indem es einem Risikofeld zugeordnet wird. Hierbei sollten die unternehmensindividuellen Risikokategorien zur Anwendung kommen. Die Beurteilung des erfassten Risikos erfolgt im Risikoerfassungsbogen der Abb. 5-2 sowohl anhand einer Brutto- als auch einer Nettobetrachtung. Es erfolgt also eine Risikobeurteilung einmal ohne und einmal unter Berücksichtigung der eingesetzten risikosteuernden Maßnahmen (vgl. Kapitel 3.2.2.1.2, S. 91). Die Risiken sind in beiden Berichtsbereichen anhand von zwei Parametern einzuschätzen. Zunächst ist der Ergebniseffekt (wie zum Beispiel der EBIT-Effekt), das heißt das potentielle Risikoausmaß einzutragen. Betrachtet man nur Geschäftsrisiken (also keine strategischen Risiken oder Force Majeure- Risiken), lässt sich eine weitere Unterteilung vornehmen. So lassen sich zum Beispiel der zum Berichtszeitpunkt geschätzte EBIT-Effekt (oder Umsatz-Effekt) des Risikos auf das Wirtschaftsjahr, der in der Unternehmensplanung für das Jahr berücksichtigte Wert und die Differenz ausweisen (Planabweichung). Auch im Rahmen der Prognoseberichterstattung kann man eine Abweichungsanalyse durchführen. So kann man den zum Berichtszeitpunkt geschätzten EBIT-Effekt des Risikos auf dasWirtschaftsjahr mit dem im Prognosewert (= geschätztes EBITzum Jahresende) eingepreisten EBIT-Effekt des Risikos vergleichen. Die Differenz zeigt, welche Risikobeträge nicht in der Prognose berücksichtigt sind und das prognostizierte Ergebnis noch beeinflussen können. Diese Betrachtung lässt sich auch auf Chancen anwenden. Anschließend ist die Wahrscheinlichkeit als zweite Bewertungsgröße anzuführen. Zudem ist eine Tendenzaussage zu treffen, welchen Einfluss das Risiko bei einem Eintritt auf die Reputation des Unternehmens hat. Im Fallbeispiel ist dies anhand von zwei Parametern zu beurteilen: Zum einen ist der Radius zu erfassen, der die Auswirkungen hinsichtlich der geographischen Ausbreitung dokumentiert, zum anderen die Stärke, als Maß der Intensität. Abschließend sind Erläuterungen zur Risikobeurteilung zu geben. Es ist darauf einzugehen, welche Prämissen und Annahmen der Bewertung zu Grunde liegen. Da eine exakte Quantifizierung der Risiken in der Unternehmenspraxis oftmals nicht möglich ist, kann sich die Risikobewertung an qualitativ geprägten Maßstäben oder monetären Bandbreiten orientieren. Damit wird die Angabe von Scheingenauigkeiten vermieden. Die Anwendung dieser Bewertungsmaßstäbe ist darüber hinaus besonders eingängig. Für die Erfassung der Auswirkungen auf die Reputation, des Ergebniseffekts sowie der Eintrittswahrscheinlichkeit können zum Beispiel die in Abb. 5-3 dargestellten Skalierungen genutzt werden. Falls Informationen vorliegen, die eine exakte Beurteilung des Risikos zulassen, können diese im Bereich der Erläuterungen dokumentiert werden.390 Zuletzt sind die wesentlichen risikosteuernden Maßnahmen zu dokumentieren, wobei zunächst die Präventivmaßnahmen abgefragt werden. Zudem sind die reaktiven Maßnahmen zu erfassen. Hierzu gehören Aktivitäten, die bei oder nach dem Eintritt eines Risikos in Kraft treten. Zudem können Informationen über geplante Maßnahmen festgehalten werden. 390 Werden Risiken zum Beispiel mit MS-Excel erfasst, lassen sich die Skalierungen durch ein Pull- Down-Menü vorhalten, so dass der Berichtsersteller die Kategorie einfach auswählen kann. 5. Risikoberichterstattung und Risikokommunikation168 Qualitativ/Verbal Punktbewertung Auswirkungen auf die Reputation Stärke kein Einfluss gering bedeutend bedrohlich lokal national international globalAuswirkungen auf dieReputation Radius Ergebniseffekt Eintrittswahrscheinlichkeit gering mittel hoch < 100 100 - 250 > 250 - 500 sehr hoch > 500 sehr unwahrscheinlich eher unwahrscheinlich >10% >10 - 50% >50 - 90% > 90% eher wahrscheinlich sehr wahrscheinlich Qualitativ/Verbal Punktbewertung Semi-Quantitativ Intervallschätzung Semi-Quantitativ Intervallschätzung Mio. € Abb. 5-3: Beispielhafte Maßstäbe zur Bewertung der Risiken Die ausgefüllten Bögen sind zu festgelegten Terminen − wie zum Beispiel monatlich, quartalsweise, halbjährlich − an den zentralen Risikomanager oder die zentrale Risikomanagement-Funktion zu berichten (vgl. Abb. 5-5). Die Risikoerfassungsbögen sind durch den zentralen Risikomanager (zum Beispiel in einer Datenbank) zu sammeln und auszuwerten. Er kommuniziert die Ergebnisse anhand von Berichten, die entsprechend dem Empfänger zu gestalten sind. So kann der Risikomanager beispielsweise einen komprimierten und kommentierten Bericht für das Management erstellen, der die wesentlichen Risiken der einzelnen Bereiche einschließlich der Beurteilungen und eingesetzten Risikosteuerungsmaßnahmen enthält (vgl. Abb. 5-4 und Abb. 5-6, S. 172). Risiko ΔWFeld 1516 1314 1112 910 78 56 34 12 Po te nt ie lle s R isi ko au sm aß (R ) Eintrittswahrscheinlichkeit (W) in% inMio € " Produktionsrisiken " Lieferantenabhängigkeit " Zinsrisiken " Währungsrisiken " Transportrisiken " Produktqualitätsrisiken " ... (8) (10) (10) (11) (11) (11) gesunken konstant gestiegen neues Risiko sehr unwahrscheinlich (< 10 %) eher unwahrscheinlich (10-50%) eher wahrscheinlich (> 50-90 %) sehrwahrscheinlich (> 90 %) gering (< 100) mittel (100-250) hoch (250-500) sehr hoch (> 500) ΔR Abb. 5-4: Risikotopbericht mit Risikobeurteilungen391 391 Entnommen aus Diederichs/Kißler (2008), S. 224. Liegen mehrere Risiken innerhalb eines Feldes, repräsentiert der Kreisdurchmesser die Anzahl der beinhalteten Risiken. Je größer der dargestellte Kreis desto mehr Risiken verbergen sich dahinter. 5.2 Gestaltung und Organisation der Risikoberichterstattung 169 Der primäre Adressat der Risikoberichte ist die Geschäftsführung. Sollte ein Risikoausschuss im Unternehmen installiert sein, gehört dieser auch zum primären Empfängerkreis. Da die gemeldeten Risiken funktionsübergreifend wirken können, ist es außerdem sinnvoll, den Kreis der Adressaten größer zu ziehen. So kann zum Beispiel die erste Führungsebene in die Risikoberichterstattung einbezogen werden. Außerdem schärfen Diskussionen mit weiteren Führungskreisen das Risikobewusstsein und erleichtern die Erkennung von Risikointerdependenzen. In den Sitzungen, in denen die Risiken besprochen werden, kann bei Bedarf auch der Risikomanager einbezogen werden, um auf eine weitere Expertise zurückgreifen zu können und den Erfahrungsaustausch zu fördern. Durch den skizzierten horizontalen und vertikalen Informationsaustausch wird die erforderliche Transparenz über die Risiken geschaffen. Zudem können die Risikoberichte an die interne Revision sowie den Aufsichtsrat und den Abschlussprüfer weitergeleitet werden. Die unmittelbare Einbindung in die Risikokommunikation erleichtert die Aufgabe der Instanzen, sich von dem Vorhandensein, der Funktionsfähigkeit und der Eignung des Risikomanagement-Systems zu überzeugen und ihrem Prüfauftrag nachzukommen. Die Umsetzung der Empfehlungen ist in der Unternehmenspraxis abhängig von der Größe und Struktur eines Unternehmens und an die Gegebenheiten anzupassen. Die Abb. 5-5 zeigt beispielhaft Informations- und Kommunikationswege der Risikoberichterstattung bei einer funktional gegliederten Organisation. Leiter/ Risikomanagement-Beauftragter der Funktion 1 Leiter/ Risikomanagement-Beauftragter der Funktion n … a Berichterstattung anhand von Risikoerfassungsbögen a a a Risikobericht a a Risikobericht a a a a A d ho c- B er ic ht er st at tu ng Pr oz es su na bh än gi ge K on tro lle n a a Leiter/ Risikomanagement-Beauftragter der Funktion 2 Interne RevisionRisiko-bericht Rückkopplung Rückkopplung a Empfehlungen Rückkopplung a a a aa Risikomanager Risikoausschuss Geschäftsführung Risikobericht Rückkopplung B ot to m -u p Ve rd ic ht un g D ril l-d ow n M ög lic hk ei te n (to pdo w n) Abb. 5-5: Informations- & Kommunikationswege der Risikoberichterstattung (Beispiel) 5. Risikoberichterstattung und Risikokommunikation170 5.2.3 Berichtsarten und Berichtsfrequenz Die Berichtsarten und die entsprechende Berichtsfrequenz sind weitere Parameter, die bei der Gestaltung der Risikoberichterstattung zu berücksichtigen sind. Nach der Berichtsart lassen sich Standardrisikoberichte, Spezialberichte und Ad-hoc-Berichte unterscheiden. Standardrisikoberichte gewährleisten eine regelmäßige Informationsversorgung der Entscheidungsträger.392 Sie basieren auf dem Informationsbedarf der Berichtsempfänger und stellen diesen kontinuierlich und in gleichbleibender Art und Weise risikorelevante Informationen zur Verfügung. Standardrisikoberichte zeichnen sich durch eine festgelegte Berichtsform, einen festgelegten Berichtsinhalt und einen festgelegten Berichtszeitpunkt aus. Die Berichtsfrequenz ist von den Charakteristika und der Branche des Unternehmens sowie der damit einhergehenden Risiken und deren Veränderungen im Zeitablauf abhängig. So können Standardrisikoberichte zum Beispiel täglich, wöchentlich, monatlich, quartalsweise, halbjährlich oder jährlich bereitgehalten werden. Grundsätzlich gilt, dass in Branchen oder Organisationseinheiten mit einer hohen Dynamik und sich schnell und häufig verändernden Risiken eine Berichterstattung mit kurzen Intervallen erforderlich ist. Der Risikobericht erfüllt nicht seinen Zweck, wenn er zu selten oder zeitlich verspätet den Empfängern zur Verfügung gestellt wird. Da individuellen, meist weitreichenden Informationswünschen durch die Standardrisikoberichterstattung nicht Rechnung getragen wird, sind bei Bedarf Spezialberichte anzufertigen. Sie zeichnen sich dadurch aus, dass Sachverhalte ausführlich beschrieben werden. Außerdem sollte bei dringenden Sachverhalten eine Ad-hoc-Risikoberichterstattung gelebt werden (vgl. Abb. 5-5). Dabei sollte eine unmittelbare Kommunikation zwischen der berichtenden Stelle und der Geschäftsführung erfolgen. Je nach Sachverhalt sollte auch der Risikomanager und der Risikoausschuss eingebunden werden. Es ist also sicherzustellen, dass eine schnelle Informationsweiterleitung unabhängig von institutionalisierten Berichtsstrukturen und Kommunikationswegen erfolgen kann. So wird gewährleistet, dass derartige Themen unverzüglich an die Entscheidungsträger berichtet werden und rechtzeitig geeignete Maßnahmen ergriffen werden können.393 Bei der Gestaltung der Risikoberichterstattung sind durch das Management − in Abhängigkeit von der Risikopolitik und in Abstimmung mit den operativen Bereichen − Auslöser und Toleranzgrenzen festzulegen. Sie spezifizieren, welche Sachverhalte und ab welcher Höhe diese Sachverhalte standardmäßig oder ad-hoc zu berichten sind. Damit gewährleisten berichtsauslösende Schwellenwerte, dass nach objektiven und nachvollziehbaren Kriterien berichtet wird. Auslöser können beispielsweise neue wesentliche Risiken, eine drastische Änderung der Einschätzung bekannter Risiken oder aber auch eingetretene Schäden sein.394 392 Vgl. Burger/Buchart (2002), S. 177;Wolf/Runzheimer (2003), S. 101. 393 Vgl. Emmerich (1999), S. 1084;Weber/Weißenberger/Liekweg (1999b), S. 31. 394 Der Vollständigkeit halber sei auch die nach dem WpHG gesetzlich vorgeschriebene Ad-hoc-Publizität erwähnt. 5.2 Gestaltung und Organisation der Risikoberichterstattung 171 Berichtsauslöser und Toleranzgrenzen helfen zudem, die zu berichtenden Informationen auf ein sinnvolles Maß zu reduzieren.395 Es ist weder zweckmäßig noch aufgrund des Aufwands, der mit der Erstellung von Risikoberichten verbunden ist, wirtschaftlich sinnvoll, alle potentiell risikorelevanten Informationen in der gleichen Frequenz zu erheben und zu berichten. Deshalb darf die Risikoberichterstattung kein beliebiges Ausmaß annehmen. Die Aspekte der Wirtschaftlichkeit und Notwendigkeit sind stets zu berücksichtigen. Es ist allerdings einschränkend anzumerken, dass es in der Unternehmenspraxis schwierig sein wird, den Grenznutzen der Information und die Kosten für die Informationsgewinnung und -auswertung gegenüberzustellen, um ein optimales Informationsangebot zu bestimmen. So können Kosten relativ genau festgestellt werden. Dagegen ist der Nutzen nur schwer quantifizierbar, was auch die Definition von Schwellenwerten und Toleranzgrenzen erschwert.396 5.2.4 Berichtsinhalte und -gestaltung Bei der Gestaltung der Risikoberichterstattung liegt eine weitere Aufgabe in der Auswahl und Verdichtung der Informationen, die an die Entscheidungsträger weitergegeben werden. Da die Qualität von Entscheidungen nicht durch die Menge an Informationen, sondern durch deren Relevanz verbessert werden kann, hat sich der Berichtsinhalt an dem Informationsbedarf des Empfängerkreises zu orientieren und ist auf ihn abzustimmen. So sollten Empfänger nur Berichte erhalten, die sie zur Ausübung ihrer Tätigkeit benötigen, die ihre Entscheidungsgrundlage verbessern und die sie in angemessener Zeit verarbeiten können.397 Eine übertriebene Genauigkeit ist zu vermeiden, eine Konzentration auf die wesentlichen Aspekte dagegen anzustreben. Deshalb ist eine möglichst optimale Kongruenz zwischen dem Informationsbedarf, der Informationsnachfrage und dem Informationsangebot anzustreben.398 So lässt sich die Menge an Informationen reduzieren, womit dem Kosten-Nutzen-Aspekt Rechnung getragen wird.399 Bleiben diese Punkte unberücksichtigt, führen die Berichte zu einer fehlenden Akzeptanz des Empfängers, wodurch der Bericht seinen Zweck nicht erfüllen kann. Es ist außerdem darauf zu achten, dass die Risikoberichte aufgrund sich wandelnder Informationsbedarfe oder eines besseren Informationsangebotes im Zeitablauf angepasst oder weiterentwickelt werden. Ein weiterer Aspekt bei der Berichtsgestaltung ist der Aggregationsgrad der Informationen (auch Verdichtungsgrad genannt). Risikorelevante Informationen sollten für die Entscheidungsträger entsprechend der hierarchischen Ebene und dem Verantwortungsbereich zusammengeführt und aufbereitet werden. So werden auf den unteren hierarchischen Ebenen 395 Sollten einmal keine Risiken oberhalb einer Meldeschwelle erkannt worden sein, so sollte im Rahmen der Risikoberichterstattung von der berichtenden Einheit eine explizite Meldung erfolgen, also eine Negativerklärung gegeben werden. 396 Vgl. Schierenbeck/Lister (2001), S. 69. 397 Ein Überschuss an irrelevanten Informationen bei gleichzeitigem Mangel an relevanten Informationen bezeichnen Hödl/Wambach als Mangel im Überfluss oder Informationsdilemma. Vgl. Hödl/ Wambach (1993), S. 167. Schierenbeck/Lister fordern eine Informationsaskese. Vgl. Schierenbeck/ Lister (2001), S. 68. 398 Vgl. Rosenhagen (1994), S. 273 f.; Ziegenbein (1998), S. 475. 399 Vgl. Steinbichler (1990), S. 144; Ederer (1995a), S. 705 f.; Gluchowski (1998), S. 1176. 5. Risikoberichterstattung und Risikokommunikation172 meist detaillierte, bereichsbezogene Informationen benötigt. Mit zunehmender Hierarchiestufe nimmt der Bedarf an Detailinformationen tendenziell ab. Auf Geschäftsführungsebene werden meist nur kommentierte Berichte benötigt, die einen Gesamtüberblick über die wesentlichen Risiken geben. Da mit einer Aggregation meist eine Informationsreduktion einher geht, ist sicherzustellen, dass der Berichtsempfänger bei Bedarf die verdichteten Informationen top-down, das heißt über die einzelnen Aggregationsstufen bis auf die Informationsquelle, zurückverfolgen kann. Nur durch derartige Drill-Down-Möglichkeiten können aggregierte Informationen nachvollzogen und geprüft werden. Neben der Festlegung der Berichtsinhalte und dem Verdichtungsgrad ist die Darstellungsform der Risikoberichte von Bedeutung. Die Art und Weise, wie risikorelevante Informationen dargestellt werden, beeinflusst in hohem Maße die Aussagekraft und Verständlichkeit und damit auch die Akzeptanz der Empfänger.400 Daher sollten in der Unternehmenspraxis die Berichtsform und der Aufbau einer unternehmensweit einheitlichen Struktur folgen. Außerdem ist darauf zu achten, die Form von Berichtsperiode zu Berichtsperiode möglichst beizubehalten. Risiko& Risikoeigner Risikobeschreibung Risiko […] Risikobeurteilung … Risikofeld … Risikoeigner … Wesentliche risikosteuernde Maßnahmen ImplementierteMaßnahmen & Instrumente Verantwortlichkeit … … … … … … … … … … … … Verantwortlicher Bereich … Wirksamkeit der eingesetzten Maßnahmen & Instrumente Bewertungdes Risikoeigners Geplante risikosteuernde Maßnahmen […] Verbesserungsmöglichkeiten • […] • […] • […] […] Legende E: Potentieller EBIT-Effekt W: Wahrscheinlichkeit brutto: Potentieller EBIT-Effekt ohne Berücksichtigungdereingesetzten risikosteuerndenMaßnahmen netto: Potentieller EBIT-Effekt unter Berücksichtigungdereingesetzten risikosteuerndenMaßnahmen W E brutto netto < 10 10-50 50-90 > 90 1-10 10-25 25-150 >150 Abb. 5-6: Risikobericht: Darstellung eines Risikos 400 Vgl. Neuhäuser-Metternich (1997), S. 286 ff.; Ziegenbein (1998), S. 483 ff. 5.2 Gestaltung und Organisation der Risikoberichterstattung 173 In den Risikoberichten sollten Überblick und Detail voneinander getrennt werden. So sollte zunächst ein aggregierter und kommentierter Überblick (wie zum Beispiel in Abb. 5-4, S. 168) gegeben und erst dann die entsprechenden Details und Basisdaten dargestellt werden (wie zum Beispiel in Abb. 5-6).401 Dies steigert die Übersichtlichkeit und erleichtert Berichtsempfängern die Informationsaufnahme. Daneben können Risikoberichte durch grafische Elemente und Visualisierungen ansprechend aufbereitet werden. So bieten zum Beispiel graphische Darstellungen gegenüber tabellarischen Auflistungen den Vorteil, die Verständlichkeit zu erhöhen. Außerdem erleichtern sie das Erkennen von Zusammenhängen. Als Beispiele seien hier die Risikoportfolios in Abb. 5-4 und Abb. 5-6 sowie das Kreisdiagramm der Abb. 5-7 genannt, die dem Adressaten einen schnellen Überblick über die jeweiligen Risiken vermitteln. Qualitative Sachverhalte, die in Tabellen, Grafiken und Kennzahlen nicht ausreichend zum Ausdruck kommen, sind zu erläutern. Zudem können Inhalte entsprechend ihrer Relevanz mit Hilfe farblicher Markierungen oder durch Ampeln hervorgehoben werden (vgl. Abb. 5-6). 1 2 3 4 5 6 Nr. Risiken*) Delta zu t-1 1 Kapitalverfügbarkeit 2 Verfügbarkeit talentierter Nachwuchskräfte 3 Zunehmende Staatseingriffe in dieMärkte 4 Preisdruck in saturierten Märkten 5 Versorgungssicherheit (Rohstoffknappheit) 6 Wettbewerbmit neuen Technologien *)Betrachtungshorizont: 5 Jahre Risikosituation hat sich verbessert Risikosituation hat sich verschlechtert Risikosituation ist unverändert Risiko hat eher einen kleinen Einfluss Risiko hat eher einen großen Einfluss Abb. 5-7: Risikobericht: Abbildung strategischer Risiken Bei der Gestaltung von Risikoberichten spielt auch die Mehrdimensionalität eine Rolle. So können die Berichte nach funktionalen und regionalen Kriterien oder nach Segmenten gegliedert werden (vgl. Abb. 5-8). Der funktionenspezifische Risikobericht orientiert sich an der Wertkette des Unternehmens. Hier werden die Risiken nach den Primär- und Sekundärfunktionen gegliedert. Bei einem, nach der geographischen Herkunft der Risiken differenzierten Bericht wird gezeigt, in welcher durch das Unternehmen penetrierten Region die Risiken bestehen. Dagegen wird bei dem nach Segmenten gegliederten Risikobericht aufgezeigt, in welcher Geschäftseinheit oder in welchem Geschäftsfeld Risiken den unternehmerischen Zielen oder Strategien entgegenstehen. 401 Vgl. Mertens/Griese (1988), S. 72; Ziegenbein (1998), S. 500; Waniczek (2002), S. 181. 5. Risikoberichterstattung und Risikokommunikation174 Interner Unternehmensrisikobericht Funktionsspezifischer Risikobericht Regionsspezifischer Risikobericht Segmentspezifischer Risikobericht Bericht über Einmalrisiken Bericht über Geschäftsrisiken Bericht über strategische Risiken Abb. 5-8: Mehrdimensionalität der Risikoberichterstattung Außerdem können • Einmalrisiken (Produktionsausfallrisiken, Force Majeure-Risiken etc.), • Geschäftsrisiken (wie die Verzögerung der Einführung eines neuen Produktes oder Währungsrisiken) und • strategische Risiken (wie zum Beispiel das Aufkommen von Substituten durch einen Technologiesprung) getrennt dargestellt werden (vgl. Abb. 5-8). Auf aggregierter Ebene können Risiken über alle Systematisierungskriterien zu einem internen Unternehmensrisikobericht zusammengeführt werden, der als Basis für die externe Risikoberichterstattung dienen kann (vgl. Abb. 5-9). Hier lassen sich die formelle und informelle Berichterstattung unterscheiden. Das formelle Reporting beinhaltet Informationen, die ein Unternehmen im Rahmen der externen Rechnungslegung berichten muss (wie zum Beispiel den Risikobericht im Lagebericht) oder freiwillig ergänzt. Das informelle Reporting beinhaltet darüber hinaus jene Informationen, die bestimmten Stakeholdern des Unternehmens gewährt werden. Formelle Risikoberichterstattung Informelle Risikoberichterstattung InternerUnternehmensrisikobericht Basis für die externe Risikoberichterstattung Interne Risikoberichterstattung Externe Risikoberichterstattung Abb. 5-9: Zusammenspiel von interner und externer Risikoberichterstattung 5.3 Berichtshierarchie mit Fallbeispielen 175 5.3 Berichtshierarchie mit Fallbeispielen In den vorherigen Ausführungen wurde dargestellt, wie Informations- und Kommunikationswege aufgebaut werden können. Es wurde gezeigt, dass die Risiken in den operativen Einheiten anhand von Risikoerfassungsbögen zu dokumentieren und an die zentrale Risikomanagement-Funktion zu berichten sind. Hier werden die Informationen gesammelt, ausgewertet und mit Hilfe von Management-Berichten aufbereitet. Eine den Führungsebenen angepasste Aggregation der risikorelevanten Informationen führt dann zu einer Berichtshierarchie, die sich je nach Größe und Struktur des Unternehmens unterscheidet. So lassen sich neben den in Abb. 5-8 genannten Berichten zum Beispiel hoch verdichtete Berichte wie eine Risk-Card oder eine Balanced Chance- & Risk-Card für das Top-Management aufbereiten. In den folgenden Ausführungen werden die Empfehlungen und Anregungen noch einmal anhand von Fallbeispielen und exemplarischen Berichtsformaten veranschaulicht. Die Ausführungen folgen dem beispielhaften Aufbau der Risikoberichterstattung aus Abb. 5-10. Risikoerfassungsbögen Erfassung der Risiken in den operativen Einheiten (wie zum Beispiel Fachfunktionen, Tochtergesellschaften, SGE oder SGF) ... Risk-Card Balanced Chance- & Risk-Card A Dynamische Risikomatrix Sammlung & Archivierung der Informationen der Risikoerfassungsbögen in einer Risikodatenbank durch die zentrale Risikomanagement-Funktion/den zentralen Risikomanager Hoch verdichtete Risikoberichte Auswertung& Kommentierung der wesentlichen Risiken durch den zentralen Risikomanager & Kommunikation an dasManagement anhand von Risikoberichten Abb. 5-10: Beispielhafter Aufbau einer Risikoberichterstattung 5.3.1 Risikoerfassungsbogen Risikoerfassungsbögen stellen die Grundlage der Risikoberichterstattung dar. Hierin dokumentieren die operativen Einheiten ihre Risiken. Im Fallbeispiel der Abb. 5-11 besteht der

Chapter Preview

References

Zusammenfassung

Risikomanagement und Risikocontrolling

Dieses Standardwerk beschäftigt sich mit Herausforderungen und Lösungsmöglichkeiten bei der Einrichtung und Weiterentwicklung von Risikomanagement- und Risikocontrolling-Systemen. Es bietet sowohl für den lösungssuchenden Praktiker als auch für den Wissenschaftler einen großen Fundus an wertvollem Wissen und liefert zahlreiche Anregungen und Hilfestellungen sowie in der Unternehmenspraxis erprobte Lösungen und Instrumente.

Aus dem Inhalt:

- Grundlagen des Risikomanagements und Risikocontrollings

- Anforderungskatalog an das Risikomanagement und die risikoorientierte Lageberichterstattung seitens des Gesetzgebers und des Wirtschaftsprüfers

- Internes Kontrollsystem (IKS), COSO und Internes Kontroll- und Risikomanagementsystem bezogen auf den Rechnungslegungsprozess

- Prozessschritte des Risikomanagements und Vorstellung praxiserprobter Instrumente zu deren Unterstützung

- Gestaltung einer Risikomanagement-Organisation, Abgrenzung von Risikomanagement und Interner Revision sowie Anforderungen an den Risikomanager

- Empfehlungen zum Aufbau einer chancen- und risikoorientierten Berichterstattung (Balanced Chance und Risk Card)

- Risikomanagement im DAX30

Der Autor:

Dr. Marc Diederichs leitet das Konzernrisikomanagement der Aurubis AG, Hamburg. Davor war er verantwortlich für das Corporate Risk & Insurance Management der Beiersdorf AG, Hamburg. Neben seiner beruflichen Laufbahn veröffentlicht der Autor Beiträge in Fachzeitschriften und Fachbüchern, leitet Seminare und hält Vorträge zu den Themen Risikomanagement und Risikocontrolling.

"Dr. Diederichs gelingt es auf konstruktive und anschauliche Weise, die Herausforderungen und Lösungsmöglichkeiten des Risikomanagements sowie des Risikocontrollings herauszustellen. Er bietet damit Praktikern und Wissenschaftlern ein Standardwerk, welches durch seine anschauliche Struktur sowie seine unkomplizierte Ausdrucksweise besticht. Mit zahlreichen Abbildungen und präzisen Begriffserklärungen ist es eine verständliche Lektüre, die einen breiten Überblick über das Themenfeld liefert."

Antonia Köhler, ZfCM - Zeitschrift Controlling & Management, 6/2012, S.450

"Diederichs Ansatz des Risikomanagements und des Risikocontrollings, vor allem die hier vorgeschlagenen Aufgaben und Instrumente, können in verschiedenen Branchen angewandt werden. Selbstverständlich müssen Aufgaben und Instrumente hier entsprechend konkretisiert und angepasst werden, aber auch hierzu gibt das Buch Hinweise... Das Buch kann daher jedem empfohlen werden, der sich in Theorie und Praxis mit Risikomanagement und Risikocontrolling beschäftigt."

Peter Bömelburg, Zeitschrift Die Wirtschaftsprüfung, 15-2011, zur Vorauflage